eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo

EU-Datenschutzgrundverordnung passiert den Rat

Man glaubt es kaum… Nach nunmehr über drei Jahren hin und her hat die EU-Datenschutzgrundverordnung (DSGVO) am 15.06.2015 endlich die nächste Hürde genommen. Alleine die Verhandlungen im Rat haben mehr als ein Jahr benötigt.

Starke Verwässerung des ursprünglichen Entwurfs

In dieser Zwischenstufe wurden noch enorm viele Änderungen an den Texten gemacht. Die Lobby-Maschinen liefen auf Hochtouren. Selbst unser letzter Artikel zu diesem Thema (gerade mal vor zwei Monaten geschrieben) ist damit nicht mehr auf einem aktuellen Stand. Das Ergebnis der Verhandlungen ist allenfalls mittelprächtig und steht m. E. in vielen Belangen hinter den bisherigen Regelungen zurück. Allerdings wurden auch einige erfreuliche Konkretisierungen gemacht.

Einige Änderungen im Überblick

Wer den vom Rat verabschiedeten Text inkl. der gemachten Änderungen und einer Beurteilung zum Thema „Verschärfung oder Erleichterung“ nachlesen möchte, findet diesen hier. Für alle anderen habe ich hier eine sehr kurze Zusammenfassung:

  • Die in meinen Augen wichtigste Regelung findet sich gleich zu Beginn. So dürfen nämlich die einzelnen Staaten eigene „spezifischere“ Regelungen erlassen. Alles was in der bisherigen deutschen Gesetzgebung bislang strenger geregelt war als es die DS-GVO ggf. zukünftig tut, bleibt uns also erhalten.
  • Zum ersten Mal überhaupt wurde der Begriff der Pseudonymisierung in die Liste der Begriffsdefinitionen aufgenommen. In meinen Augen positiv, denn das gibt Rechtssicherheit.
  • Die Erweiterung des Verwendungszwecks von personenbezogenen Daten ist deutlich erleichtert. Hier wird zwar immer noch das berechtigte Interesse der verantwortlichen Stelle gegen die schutzwürdigen Interessen des Betroffenen abgewogen, aber es reicht bereits das berechtigte Interesse von Dritten, um die die Verarbeitung zu legitimieren. Der Datenweitergabe werden also Tür und Tor geöffnet.
  • Der bisherige Entwurf sah die Erweiterung der sog. besonderen Arten personenbezogener Daten (bislang definiert in § 3 Abs. 9 BDSG) um Daten zu kriminellen Aktivitäten vor. Diese Erweiterung wurde wieder gestrichen. Erhalten geblieben ist hingegen die explizite Erweiterung der Gesundheitsdaten um genetische Informationen.
  • Auch das Prinzip der Datentransparenz ist erhalten geblieben. So soll jeder Betroffene das Recht haben, vollumfängliche Auskünfte zu erhalten, welche Daten zu welchem Zweck eine verantwortliche Stelle über ihn speichert und aus welcher Quelle diese Daten stammen. Damit einher gehen die Regelungen zum Recht auf Korrektur und dem explizit enthaltenen Recht auf „vergessen werden“. Weitreichendere Folgen für die Unternehmen dürfte allerdings das Recht auf Datenportabilität haben. Hier wird das Recht des Betroffenen festgeschrieben, seine Daten von der verantwortlichen Stelle sozusagen als Export in „maschinenlesbarer Form“ zu erhalten. Abgesehen davon, dass das Format nicht näher spezifiziert wird und somit jedes Unternehmen sein eigenes Süppchen kochen wird, stellt sich mir die Frage, wie die Daten sicher vom Unternehmen zum Betroffenen kommen sollen. Das geht m. E. nur per verschlüsselter Verbindung oder per Postversand auf CD, Stick etc. Die daraus entstehenden Kosten dürften immens sein.
  • Positiv für Unternehmen sind die wieder stark verringerten Strafen bei Verstößen. In unserem letzten Artikel musste ich noch von 100.000.000 Euro, bzw. 5% des Jahresumsatzes schreiben. Diese Beträge wurden im aktuellen Entwurf wieder auf „nur“ 250.000 Euro, bzw. 0,5% des Jahresumsatzes gesenkt. Damit liegt die Höchststrafe sogar unter der heute in Deutschland geltenden.
  • Auch positiv werte ich, dass sich Betroffene zukünftig bei Beschwerden an die Aufsichtsbehörden im eigenen Land wenden können und nicht mehr ggf. in fremder Sprache mit der für ein Unternehmen verantwortlichen Aufsichtsbehörde Kontakt aufnehmen und diese im Vorfeld erst ermitteln müssen (immerhin hat in Deutschland z. B. jedes Bundesland eine eigene Aufsichtsbehörde, wie es in anderen EU-Staaten aussieht… Ich weiß es nicht…).

Verbände und Politik sind sich nicht einig

Der BvD hat bereits eine Stellungnahme veröffentlicht [Anmerkung: Link entfernt, da der BvD die Stellungnahme nicht mehr online zur Verfügung stellt], in der er die aktuelle Version der DS-GVO-EU entschieden ablehnt. Anders äußert sich Jan-Philipp Albrecht (MdEP) von den Grünen in seiner Pressemitteilung: „[…] Doch wenn alle Seiten für pragmatische Kompromisslösungen offen sind, steht einer schnellen Einigung nichts im Wege. Das wäre ein Segen für alle Beteiligten. So könnten wir zeigen, dass die Europäische Union Vorreiterin ist für Regeln im digitalisierten Zeitalter„.

Es wirkt so, als wäre weiterhin alles offen. Meine große Hoffnung ist, dass Artikel 1 Abs. 2a weitgehend unverändert bleibt. Dort wird nämlich die Möglichkeit des „spezifischeren nationalen Rechts“ geregelt.

Noch ist genügend Zeit, Ihr Unternehmen auf die neuen Anforderungen der EU-Datenschutzgrundverordnung vorzubereiten. Meine Empfehlung: Starten Sie kurzfristig!