Datenschutz bald europaweit einheitlich
Europäische Verhandlungen sollen bis Ende 2015 abgeschlossen sein
Nachdem der Europäische Rat am 15. Juni seinen Entwurf für die Datenschutz-Grundverordnung vorgelegt hat, haben noch vor der Sommerpause die Trilog-Verhandlungen zwischen Kommission, Parlament und Rat begonnen. Die künftige Verordnung, die praktisch alle Unionsbürger, Behörden und in der EU tätigen Unternehmen betreffen wird, soll Ende des Jahres verabschiedet werden. Nach derzeitigem Stand soll sie ab 2018 in allen EU-Mitgliedsstaaten gelten.
Die Grundverordnung soll vor allem Transparenz im Hinblick auf das anwendbare Recht gewährleisten. Für Unternehmen soll außerdem eine einzige Aufsichtsbehörde zuständig sein, unabhängig davon, ob mehrere Niederlassungen in den Mitgliedstaaten vorhanden sind. Entscheidend ist nur noch der Hauptsitz des Unternehmens (sog. One-Stop-Shop). Betroffene können sich weiterhin an die für sie lokal zuständige Behörde wenden, die sich jeweils mit der sachlich zuständigen Behörde abzustimmen hat. Weiterhin befinden sich Ausarbeitungen zu erhöhten Transparenzpflichten, den Grundsätzen „Privacy by design“, „Privacy by default“ und dem risikobasierten Ansatz, einem Recht des Nutzers auf Portabilität seiner Daten, Grundlagen für Codes of Conduct und Zertifizierungen sowie schärfere Sanktionsmöglichkeiten als bisher in den Entwürfen .
Für die nationalen Gesetzgeber fällt bis 2018 erheblicher Arbeitsaufwand an, da alle bestehenden Datenschutzregelungen bereinigt werden müssen. Jede spezialgesetzliche Regelung zum Datenschutz, die dem neuen Europäischen Rechtsrahmen entgegensteht, muss aufgehoben werden. Zudem sind Wiederholungen des Wortlauts der Europäischen Regelung ab 2018 ebenfalls unzulässig, weil die Verordnung bereits unmittelbar gilt. Nur vereinzelt sind Öffnungsklauseln zugunsten des nationalen Rechtes vorgesehen, beispielsweise wenn Aufgaben im öffentlichen Interesse erläutert werden sollen.
Transparenzpflichten und Betroffenenrechte
In den Entwürfen sind unterschiedlich intensive Informationspflichten gegenüber den Betroffenen enthalten. Anders als bisher im Rahmen des § 34 Bundesdatenschutzgesetz (BDSG), der nur auf Nachfrage zu konkreteren Auskünften verpflichtete, müssen Unternehmen unter Umständen zukünftig zum Beispiel aktiv über die Speicherdauer, Empfänger oder die zuständige Aufsichtsbehörde informieren. Alle drei vorliegenden Entwürfe gehen dabei über die derzeitigen Informationspflichten hinaus.
Datenportabilität
Nutzer sollen fortan das Recht haben, Ihre Daten in einem gängigen Format zu einem anderen Anbieter umzuziehen, um so den Anbieterwechsel zu erleichtern. Die praktischen Folgen dieses Vorschlags sind indes noch weitgehend ungeklärt. Eine reduzierte „Stickyness“ könnte den Wettbewerb zwischen den Anbietern erhöhen, aber mittelfristig ebenso große Anbieter in die Lage versetzen, kleine Konkurrenten leichter zu verdrängen.
Risikobasierter Ansatz
In unterschiedlich intensiver Form sehen die Entwürfe ein strengeres Datenschutzniveau für höhere Gefährdungssituationen und entsprechend weniger strenge Regeln für risikoärmere Verarbeitungen vor. Risikobehaftete Verarbeitungen wie Profiling, Videoüberwachungen oder die Verarbeitung spezieller Datenkategorien (z.B. besondere Arten von personenbezogenen Daten, Daten von Kindern oder Informationen über Straftaten) lösen zusätzliche Pflichten für die verantwortliche Stelle, wie zum Beispiel die vorherige Risikofolgenabschätzung und umfassende Informations- und Dokumentationspflichten, aus.
Sanktionsrahmen
Im Vergleich zum jetzigen Bußgeldrahmen sehen alle drei Entwürfe erheblich ausgeweiteten Spielraum für Bußgelder vor: je nach Entwurf wird die Höchstgrenze für Bußgelder auf zwei bis fünf Prozent des Jahresumsatzes angehoben.
Bis zur finalen Verabschiedung besteht jedoch noch bei etlichen Themenfeldern umfassender Abstimmungsbedarf. Insbesondere die Fragen zur Datensparsamkeit und Zweckbindung sind noch weitgehend offen. Aus den drei teilweise stark voneinander abweichenden Entwürfen hat das Bayerische Landesamt für Datenschutz eine 420 Seiten umfassende Synopse zusammengestellt, die auf den Internetseiten der Aufsichtsbehörde eingesehen werden kann.