23.12.2011 | Datenschutz

Einheitlicher Datenschutz in Europa?

Neuer Entwurf einer Datenschutzverordnung der Europäischen Union

Rasante technologische Entwicklungen und eine digitale Globalisierung haben stetig neue Herausforderungen für den Schutz von personenbezogenen Daten hervorgerufen. Die Anzahl von Datensammlungen und Portalen auf denen Daten mit unzähligen anderen Nutzern geteilt werden, ist rasend angestiegen. Beispielhaft sei hier nur Facebook mit einer Nutzeranzahl von 800 Millionen Usern erwähnt.

Neue Technologien erlauben es darüber hinaus sowohl Unternehmen als auch Behörden personenbezogene Daten auf neuen Wegen zu nutzen und sie für ihre Aktivitäten nutzbar zu machen. Viele Nutzer machen ihre eigenen personenbezogenen Informationen öffentlich und dies auf der ganzen Welt. Die neue Technologie hat sowohl die Wirtschaft als auch das Sozialleben auf der ganzen Welt verändert.

Dass das deutsche wie auch das europäische Datenschutzrecht dringend einer Anpassung an das Internetzeitalter und die zunehmende Digitalisierung bedürfen, ist hinlänglich bekannt und wurde vielfach diskutiert. Daher stand auch auf europäischer Ebene seit einiger Zeit eine Modernisierung der Normierungen zum Datenschutz aus. Die EU-Kommission arbeitet derzeit einen entsprechenden Regelungsvorschlag aus, der Ende Januar 2012 offiziell vorgestellt werden soll. Bereits jetzt ist jedoch ein Entwurf bekannt geworden, der dem offiziellen Entwurf, der Ende Januar 2012 der Öffentlichkeit vorgestellt werden sollte, recht nahe kommt.

Zum Hintergrund:

Bisher gibt es auf europäischer Ebene eine Datenschutzrichtlinie (95/46/IG), bei der die EU-Staaten verpflichtet waren, diese in nationales Recht umzusetzen. Dies hatte zur Folge, dass teilweise die datenschutzrechtlichen Regelungen in den einzelnen EU-Staaten recht unterschiedlich ausfielen. So besteht beispielsweise in Deutschland für Unternehmen, bei denen mehr als zehn Personen mit der automatisierten Verarbeitung von personenbezogenen Daten betraut sind, eine Verpflichtung, einen Datenschutzbeauftragten zu stellen. Eine solche Verpflichtung kennt zum Beispiel das französische Datenschutzrecht nicht. Diese unterschiedlichen Regelungen führten vor allem nicht nur im internationalen, sondern auch im europäischen Kontext zu erheblichen Problemen.

Der Entwurf sieht nunmehr vor, dass die Europäische Kommission eine Datenschutzverordnung erlassen will, welche dann unmittelbare Geltung in sämtlichen EU-Staaten hätte. Eine Umsetzung in das nationale Recht, wie bei einer Richtlinie, ist daher nicht mehr erforderlich. Der Vorteil einer Verordnung ist, dass dann für alle europäischen Staaten ein einheitliches Datenschutzrecht besteht.

Dies bedeutet im Ergebnis aber auch, dass die europäische Verordnung für die Anwendbarkeit nationaler Vorschriften aus dem Bereich des Datenschutzes weitreichende Konsequenzen hätte, da eine EU-Verordnung als unmittelbar geltendes europäisches Recht gilt.

Insofern würde eine solche EU-Verordnung, wie in dem Entwurf vorgesehen, nicht nur die bisher geltende europäische Datenschutzrichtlinie ersetzen, sondern auch die meisten nationalen Datenschutzgesetze. Die vielfach geforderte Angleichung und Vereinheitlichung des Datenschutzniveaus in den Mitgliedsstaaten würde dadurch jedoch erreicht werden.

Zielsetzung der Verordnung:

Die Verordnung setzt sich das Ziel, einen deutlich stärkeren und einheitlichen Datenschutz innerhalb der Europäischen Union zu gewährleisten. Im Vergleich zur bisher gültigen Datenschutzrichtlinie enthält die geplante Verordnung viele neue Konzepte und wesentlich strengere Vorschriften. Nichtsdestotrotz ist es neben der Stärkung der Rechte der von der Datenverarbeitung Betroffenen, ausdrückliches Ziel der Verordnung, die Entwicklung der digitalen Industrie europaweit zu fördern und die Attraktivität des europäischen Standorts zu erhöhen.

Die Verordnung soll dazu beitragen, den freien Datenfluss zwar zu erhalten, aber gleichzeitig einen hohen Standard an Datensicherheit und Datenschutz für die einzelnen Individuen zu etablieren. Um einen solchen hohen Status an Datenschutzniveau zu erreichen und gleichzeitig auch die Hindernisse für Datenflüsse zu beseitigen ist es unerlässlich, das in allen Mitgliedsstaaten das gleiche Niveau an Datenschutz und Rechten für die Betroffenen gilt. Nicht zuletzt ist dies notwendig, um Rechtssicherheit und Transparenz für alle Akteure, sowohl Unternehmen als auch Privatpersonen zu schaffen.

Anwendungsbereich:

Das Ziel eines EU-weiten flächendeckenden Datenschutzniveaus wird insbesondere bei dem Anwendungsbereich der Verordnung, so wie er sich derzeit aus dem Entwurf ergibt, deutlich. Demnach soll die EU-Verordnung nicht nur für alle in der EU ansässigen Unternehmen bindend sein, sondern auch für Unternehmen, die eine in der „Europäischen Union ansässige Person ansprechen“. Das heißt, die Verordnung ist unabhängig davon anwendbar, ob die Verarbeitung selbst in der Union stattfindet oder nicht.

Bisher war es so, dass jeweils der Ort der Datenverarbeitung darüber entschied, welches Datenschutzrecht anwendbar war. Das heißt, sofern ein deutscher Nutzer seine Daten bei einem internationalen Social Network einträgt, welches seinen Sitz in den USA hat und dort auch die Datenverarbeitung stattfindet, diese Datenverarbeitung bisher nicht dem deutschen Datenschutzrecht unterfiel. Sofern nunmehr der Entwurf der neuen EU-Verordnung so umgesetzt wird, würde dies bedeuten, dass die Verordnung Wirkung weit über die Grenzen der Europäischen Union hinaus entfalten würde. Wenn beispielsweise ein US-amerikanischer Internetdienstleister eine in der europäischen Union ansässige Person mit seinem Angebot anspricht, soll nach dem Entwurf der Verordnung die Nutzung und Auswertung der dabei erhobenen Daten der Datenschutzverordnung unterfallen und somit müssten auch die nicht in Europäischen Union ansässigen Unternehmen die entsprechenden Datenschutzbestimmungen erfüllen.

Im Fall von Zuwiderhandlungen sieht der Entwurf bisher Bußgelder bis 1 Mio. EUR bzw. i.H.v. bis zu 5% des weltweit gesamten Umsatzes des Dienstleisters vor.

Sollte der Entwurf in diesem Punkt tatsächlich so umgesetzt werden, wird das heiß diskutierte Thema des Datenschutzniveaus bei außerhalb der Europäischen Union ansässigen Social Networks eine neue Wendung erfahren.

Einzelne Neuerungen:

Ein weiteres wichtiges Ziel, welches ebenfalls die Verordnung verfolgt, ist die Stärkung der Rechte der von der Datenverarbeitung betroffenen Personen. So soll es beispielsweise ein sogenanntes Recht auf Vergessen werden („right to be forgotten“) geben. In diesem Zusammenhang sieht der Entwurf beispielsweise auch deutlich höhere Anforderungen an eine gültige Einwilligungserklärung in die jeweilige Datenverarbeitung und insbesondere auch ein Verbot von Direktmarketing ohne vorherige Einwilligung vor. Des Weiteren soll dieses Ziel beispielsweise durch erweitere Transparenz- und Auskunftspflichten gestärkt werden.

Für viele Unternehmen relevant sein wird die entworfene Regelung zum Profilnutzungsverbot und das Recht zur Datenportabilität. Bisher ist hier eine Regelung vorgesehen, die die Erstellung von Profilen deutlich beschränkt. Dem liegt der Gedanke zugrunde, dass jede Person das Recht haben sollte, nicht Gegenstand einer sogenannten Profiling-Maßnahme zu sein, besonders nicht solcher, die nachteilig für ihn ist und auch nicht ohne sein Wissen. Mit der Erstellung von Profilen sind automatisierte Verarbeitungen gemeint, die bestimmte persönliche Aspekte zum Verhalten einer Person im Bezug auf beispielsweise Wohngegend, Kreditwürdigkeit, Gesundheit, persönliche Vorlieben, Zuverlässigkeit, etc. zum Gegenstand haben. Darüber hinaus soll es ein sogenanntes Recht auf Datenportabilität geben. Dies soll dem Betroffenen die Möglichkeit geben, vom jeweiligen Datenhalter eine elektronische und strukturierte Kopie seiner Daten anzufordern, die ein gängiges und weiter zu verarbeitendes Format ausweist, sodass der Betroffene hier in die Lage versetzt wird, beispielsweise seine Daten in einem anderen sozialen Netzwerk weiter zu nutzen.

Im Zusammenhang mit den sozialen Netzwerken gibt es auch eine weitere Regelung, die vorsieht, dass Datenschutz „automatisch“ und „standardmäßig“ zu implementieren ist (Privacy by Design/Default).

Darüber hinaus ist ein Datenverlust nicht nur, wie bisher, an die Aufsichtsbehörde zu melden, sondern auch der Betroffene selbst ist darüber zu informieren.

Weitere Neuerungen sind beispielsweise:

– Strengere Anforderungen an den Einsatz von Auftragsdatenverarbeitern

– europaweite Verpflichtung zur Bestellung eines Datenschutzbeauftragten

– Überarbeitete Vorschrift zur Ermittlung von Daten in Drittländern

– umfassende Befugnisse für Datenschutzaufsichtsbehörden

– Beschwerderechte von Verbraucherschutzverbänden

– Schaffung einer neuen europäischen Einrichtung zur Sicherstellung einer einheitlichen Auslegung der Verordnung innerhalb der europäischen Union

– weitergehende Befugnis der Europäischen Kommission zur eigenständigen weiteren Verschärfung des Datenschutzrechtes

Darüber hinaus sind deutlich höhere Strafen und Bußgelder vorgesehen. Die konkreten Beträge sind gestaffelt und richten sich nach der Schwere des Verstoßes. Als Höchstbetrag sieht der Entwurf derzeit eine Strafzahlung von bis zu 1 Mio. EUR oder bis zu 5% des Jahresumsatzes vor.

Ausblick:

Nach der offiziellen Vorlage des Entwurfs durch die Europäische Kommission wird die Verordnung im Rahmen des Gesetzgebungsprozesses beim Europäischen Parlament und dem Europäischen Rat eingereicht. Im Laufe dieses Prozesses wird es am Entwurf mit Sicherheit noch einige Änderungen geben. Sobald die Verordnung dann verabschiedet ist, wird sie direkt in allen Mitgliedsstaaten innerhalb der Europäischen Union wirksam.

Fazit:

Der Entwurf der EU-Datenschutzverordnung macht zunächst einen sehr guten Eindruck. Der Entwurf ist weitestgehend gut durchdacht und differenziert. Zu begrüßen ist auch, dass nunmehr eine europäische Datenschutzverordnung eingeführt werden soll und nicht wieder eine Richtlinie, die dann von jedem Mitgliedsstaat in nationales Recht umgesetzt werden muss. Hierdurch ist zumindest zu erreichen, dass es in naher Zukunft ein einheitliches Datenschutzniveau im europäischen Rechtsraum gibt.

Die vereinfachte Regelung ist insbesondere für Unternehmen, die europaweit arbeiten eine Chance, ihre Datenflüsse zu optimieren und gesetzeskonform zu gestalten, da die jeweils nationalen Unsicherheiten wegfallen. Insgesamt stellt der Entwurf einen Schritt in die richtige Richtung dar. Es bleibt nun abzuwarten, wie viel von diesem Entwurf noch in der Endversion der EU-Datenschutzverordnung enthalten sein wird.


Hinterlassen Sie einen Kommentar


Weitere Artikel

Anwälte der Kanzlei empfohlen durch: