eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk

Verhandlungen zur DSGVO abgeschlossen

[Update 06.04.2016]

Die DSGVO wurde mittlerweile verabschiedet. Den aktuellen Artikel dazu finden sie hier.

[Ende Update]

So, es ist soweit. Nach mehrjährigen Verhandlungen haben EU-Parlament, -Rat und -Kommission die Verhandlungen (den Trilog) diesen Dienstag (15.12.2015) abgeschlossen und sich auf eine gemeinsame Formulierung der EU-Datenschutzgrundverordnung (DSGVO) geeinigt.

Kompromisse und Lobbyismus

Natürlich sind diese Verhandlungen nicht ohne Kompromisse verlaufen. So haben alle drei Parteien Ihre – teilweise wirklich sehr weit auseinander liegenden – Standpunkte eingebracht. Herausgekommen ist eine Verordnung, die es in sich hat. Im Vergleich mit dem Bundesdatenschutzgesetz (BDSG) wird sich vieles ändern.

Den aus europäischer Sicht doch recht strengen Text haben wir in großen Teilen dem Grünen Europaabgeordneten Jan-Philip Albrecht zu verdanken. Ohne sein Engagement wären viele Regelungen, darunter auch einige, die in Deutschland seit Jahren eingeführt und von Unternehmen, Betroffenen sowie den Aufsichtsbehörden gleichermaßen als sinnvoll und notwendig erachtet waren, dem Lobbyismus zum Opfer gefallen.

So geht’s weiter

Nun muss die Verordnung noch aus dem Englischen in alle Landessprachen übersetzt werden. Des Weiteren müssen EU-Rat und EU-Parlament noch offiziell zustimmen. Nach einer Veröffentlichung im EU-Amtsblatt tritt die Verordnung dann nach einer Übergangsfrist von 2 Jahren in Kraft. Das dürfte vermutlich im ersten Quartal 2018 sein. Bis dahin haben alle Unternehmen in allen EU-Mitgliedsstaaten ausreichend Gelegenheit, die neuen Regelungen umzusetzen.

Mit dem Inkrafttreten wird das BDSG weitreichend abgelöst. Es ist zu erwarten, dass die Bundesregierung bis zum Inkrafttreten der DSGVO das BDSG kräftig “überarbeiten” und verschlanken wird. Eine Überführung der DSGVO in nationales Recht ist nicht notwendig, da sie als Verordnung unmittelbar in allen EU-Mitgliedsstaaten Gültigkeit entfaltet.

Drücken gilt nicht…

Positiv ist zu vermelden, dass die DSGVO Regelungen enthält, die festlegen, dass nicht nur Unternehmen mit Sitz oder Niederlassung in der EU an die Verordnung gebunden sind. Vielmehr müssen sich alle Unternehmen (eigentlich alle verantwortlichen Stellen), die Daten von Betroffenen aus dem Geltungsbereich der DSGVO verarbeiten, daran halten. Somit ist es nicht mehr möglich, sich den aus Drittlands-Sicht strengen Vorschriften der EU zu entziehen, indem Unternehmen sich außerhalb der EU niederlassen.

Es wird teurer

Die Geldbußen und -strafen für Verstöße gegen die Regelungen (bisher max. 300.000 Euro) werden mehr als verdreißigfacht auf  10.000.000 Euro, bzw. 2% des weltweiten jährlichen Konzernumsatzes (bei bestimmten Verstößen sogar 20.000.000 Euro, bzw. 4% des Umsatzes), je nachdem, welcher Wert höher ist.

Einwilligung wird wichtiger – und schwieriger

Der informierten Einwilligung kommt zukünftig eine höhere Bedeutung zu. Allerdings wird sie gleichzeitig auch stärker reguliert. Bislang konnte – mit geringen Einschränkungen – auf Basis einer gültigen Einwilligung (s. hierzu auch meinen Artikel zu dem Thema) so ziemlich alles mit personenbezogenen Daten gemacht werden, was man wollte. Schon alleine eine wirklich gültige Einwilligung zu bekommen, dürfte zukünftig deutlich schwieriger werden, wird das Thema in der DSGVO doch stärker reglementiert. Dazu gehört auch, dass es eine Spezialregelung für Minderjährige unter 16 Jahren geben wird. Diese können schlicht und einfach keine gültige Einwilligung erteilen. Falls es hier nicht noch eine nationale Öffnungsklausel gibt (davon ist zumindest in einigen Pressemitteilungen die Rede), wird z. B. die Nutzung von Facebook für unter 16-jährige demnächst fraglich sein. In meinen Augen ist das unrealistisch und überreguliert.

Problematisch an der stärkeren Regulierung der Einwilligung ist vor allem auch, dass zukünftig nur noch die Verarbeitung der notwendigen Daten erlaubt sein soll. Die Einholung weiterer Daten muss absolut freiwillig sein, es muss möglich sein, jede Leistung auch ohne die Preisgabe der absolut minimal notwendigen Daten zu erhalten. Außerdem kann jeder Betroffene der Verarbeitung der freiwillig preisgegebenen Daten jederzeit widersprechen. Um das verordnungskonform umzusetzen, dürften in der Wirtschaft hohe Aufwände notwendig sein. Vor allem müssen sämtliche Verarbeitungen und Prozesse einer eingehenden Prüfung unterzogen werden.

Die Gerichte sind gefragt – mal wieder

So richtig glücklich scheinen auch die Aufsichtsbehörden mit den neuen Regelungen auch nicht zu sein. Der Hamburgische Landesdatenschutzbeauftragte Johannes Caspar hat sich in seiner Pressemitteilung wie folgt geäußert: “Jetzt wird es darum gehen, den teilweise sehr unscharfen Bestimmungen Leben einzuhauchen. Durch den Kompromisscharakter sind einzelne Bestimmungen eher unklar geraten. Hinzu kommt ein überbürokratisches aufsichtsbehördliches Abstimmungsverfahren. Beides führt dazu, dass es künftig schwerfallen wird, einen einheitlichen und effizienten Rechtsvollzug sicherzustellen. Hier wird auch der Rechtsprechung des EuGH eine wichtige Rolle zufallen.“

So ähnlich sehe ich es auch. Leider werden es aufgrund der häufig unscharfen Formulierungen – mal wieder – die Gerichte klären müssen. Da in vielen Fällen der EuGH das letzte Wort haben wird, werden sich diese Verfahren häufig lange hinziehen.

Dennoch: Starten Sie Anfang 2016 mit den Analysen, damit genügend Zeit für die Umsetzung bleibt. Gerne unterstützen wir dabei.


Diesen Beitrag teilen