26.06.2015
Trilog-Verhandlungen zur Datenschutz-Grundverordnung haben begonnen
Nachdem nunmehr auch der Europäische Rat am 15. Juni seinen Entwurf für die Datenschutz-Grundverordnung vorgelegt hat, haben nun noch vor der Sommerpause die Trilog-Verhandlungen zwischen Kommission, Parlament und Rat begonnen.
Nachdem nunmehr auch der Europäische Rat am 15. Juni seinen Entwurf für die Datenschutz-Grundverordnung vorgelegt hat, haben nun noch vor der Sommerpause die Trilog-Verhandlungen zwischen Kommission, Parlament und Rat begonnen. Ehrgeiziges Ziel für den Abschluss der Verhandlungen ist weiterhin das Jahresende.
Aus den drei teilweise stark voneinander abweichenden Entwürfen hat das Bayerische Landesamt für Datenschutz eine 420 Seiten umfassende Synopse zusammengestellt, die auf den Internetseiten der Aufsichtsbehörde eingesehen werden kann.
Die Datenschutz-Grundverordnung, die praktisch alle Unionsbürger, Behörden und in der EU tätigen Unternehmen betreffen wird, soll Ende des Jahres verabschiedet werden und sodann in Kraft treten. Nach derzeitigem Stand wird die Verordnung dann in allen Mitgliedsstaaten ab 2018 unmittelbar gelten. Für die nationalen Gesetzgeber fällt in diesen zwei Jahren erheblicher Arbeitsaufwand an, da alle bestehenden Datenschutzregelungen bereinigt werden müssen. Jede spezialgesetzliche Regelung zum Datenschutz, die dem neuen Europäischen Rechtsrahmen entgegensteht, muss aufgehoben werden. Zudem sind Wiederholungen des Wortlauts der Europäischen Regelung ab 2018 ebenfalls unzulässig, weil die Verordnung bereits unmittelbar gilt. Nur vereinzelt sind Öffnungsklauseln zugunsten des nationalen Rechtes vorgesehen, beispielsweise sofern Aufgaben im öffentlichen Interesse erläutert werden sollen.
Die Grundverordnung soll vor allem Transparenz im Hinblick auf das anwendbare Recht gewährleisten. Zukünftig gilt die Verordnung gleichermaßen in allen Mitgliedstaaten. Für Unternehmen soll außerdem eine einzige Aufsichtsbehörde zuständig sein, unabhängig davon, ob mehrere Niederlassungen in den Mitgliedstaaten vorhanden sind. Entscheidend ist nur noch der Hauptsitz des Unternehmens (sog. One-Stop-Shop). Betroffene können sich weiterhin an die für sie lokal zuständige Behörde wenden, die sich sodann mit der sachlich zuständigen Behörde abzustimmen hat.
Weiterhin befinden sich in den Entwürfen Ausarbeitungen zu erhöhten Transparenzpflichten, den Grundsätzen „Privacy by design“, „Privacy by default“ und dem risikobasierten Ansatz, einem Recht des Nutzers auf Portabilität seiner Daten, Grundlagen für Codes of Conduct und Zertifizierungen sowie schärfere Sanktionsmöglichkeiten als bisher.
Transparenzpflichten und Betroffenenrechte
In den Entwürfen sind unterschiedlich intensive Informationspflichten gegenüber den Betroffenen enthalten. Anders als bisher im Rahmen des § 34 BDSG, der nur auf Nachfrage zu konkreteren Auskünften verpflichtete, müssen Unternehmen unter Umständen zukünftig zum Beispiel aktiv über die Speicherdauer, Empfänger oder die zuständige Aufsichtsbehörde informieren. Alle drei vorliegenden Entwürfe gehen dabei über die derzeitigen Informationspflichten hinaus.
Newsletter
Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.
Datenportabilität
Nutzer sollen fortan das Recht haben, Ihre Daten in einem gängigen Format zu einem anderen Anbieter umzuziehen, um so den Anbieterwechsel zu erleichtern. Die praktischen Folgen dieses Vorschlags sind indes noch weitgehend ungeklärt. Eine reduzierte „Stickyness“ könnte den Wettbewerb zwischen den Anbietern erhöhen, aber mittelfristig ebenso große Anbieter in die Lage versetzen, kleine Konkurrenten leichter zu verdrängen.
Risikobasierter Ansatz
In unterschiedlich intensiver Form sehen die Entwürfe ein strengeres Datenschutzniveau für höhere Gefährdungssituationen und entsprechend weniger strenge Regeln für risikoärmere Verarbeitungen vor. Risikobehaftete Verarbeitungen wie Profiling, Videoüberwachungen oder die Verarbeitung spezieller Datenkategorien (z.B. besondere Arten von personenbezogenen Daten, Daten von Kindern oder Informationen über Straftaten) lösen zusätzliche Pflichten für die verantwortliche Stelle, wie zum Beispiel die vorherige Risikofolgenabschätzung und umfassende Informations- und Dokumentationspflichten, aus.
Sanktionsrahmen
Im Vergleich zum jetzigen Bußgeldrahmen sehen alle drei Entwürfe erheblich ausgeweiteten Spielraum für Bußgelder vor: je nach Entwurf wird die Höchstgrenze für Bußgelder auf 2% – 5% des Jahresumsatzes angehoben.
Bis zur finalen Verabschiedung besteht jedoch noch bei etlichen Themenfeldern umfassender Abstimmungsbedarf. Insbesondere die Fragen zur Datensparsamkeit und Zweckbindung sind noch weitgehend offen.
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Weitere Experten zum Thema
Weitere Neuigkeiten
28.11.2024
BGH zu Scraping: Was Unternehmen jetzt wissen müssen
18.11.2024
BGH-Urteil zur Haftung von Online-Marktplätzen: Betreiber haften wie Sharehoster
04.11.2024