Einigung bei den Verhandlungen zur Datenschutz-Grundverordnung: Der Countdown zur Umsetzung hat offiziell begonnen

Das neue europäische Datenschutzrecht ist faktisch beschlossen und wird 2018 in Kraft treten. Wir geben Ihnen im Folgenden einen kurzen Überblick über die Neuerungen.

Am 15. Dezember hat der Ausschuss für bürgerliche Freiheiten (LIBE) des Europäischen Parlaments in einer Presseerklärung die vorläufige politische Einigung zwischen den Unterhändlern des Europäischen Parlaments und des Europäischen Rats auf einen gemeinsamen Text der Datenschutz-Grundverordnung (DS-GVO) und der Richtlinie zum Datenschutz im Rahmen der polizeilichen und justiziellen Zusammenarbeit bekanntgegeben. Die erzielte Einigung bedarf nun noch der Bestätigung durch den Innen- und Justizausschuss des Europäischen Parlaments und des Ausschusses der ständigen Vertreter des Rats, welche für Anfang 2016 erwartet werden. Im Anschluss werden die neuen Regelungen im Amtsblatt veröffentlicht und nach einer Übergangszeit von zwei Jahren im ersten Quartal 2018 verbindlich.

Wesentliche Änderungen

Obwohl der verhandelte Text noch nicht offiziell verfügbar ist, kann aufgrund der Vorversionen sowie einer "geleakten" Version von folgenden wesentlichen Neuerungen ausgegangen werden:

• Bußgelder: Die Bußgelder werden verglichen mit dem derzeitigen Recht massiv erhöht. Die Höchstsumme an Bußgeldern wurde auf bis zu 4 % des weltweiten Gesamtumsatzes eines Unternehmens oder €20 Millionen festgesetzt. Verstöße werden kategorisiert und es werden für die Kategorien jeweils gesonderte Höchstbeträge vorgesehen. Wenngleich nicht der Maximalforderung des Europäischen Parlaments entsprochen wird, liegen die Bußgelder doch am oberen Ende der diskutierten Sanktionen.
• Einwilligung: Nach der DS-GVO müssen im Hinblick auf die Einwilligung verschiedene Anforderungen beachtet werden, u.a. muss nun ausdrücklich auf die Möglichkeit des jederzeitigen Widerrufs hingewiesen werden.
• Neue Altersgrenze: Im Hinblick auf gewisse Online-Dienste ist für Jugendliche unter 16 Jahren zur Nutzung eine Einwilligung der Eltern notwendig (sofern nicht einzelne Mitgliedsstaaten ein niedrigeres Alter festlegen, was jedoch 13 Jahre nicht unterschreiten darf).
• Datenschutzerklärungen: Betroffenen müssen im Hinblick auf die Datenverarbeitung umfangreiche Informationen zur Verfügung gestellt werden, einschließlich einer genauen Darstellung des berechtigten Interesses der verantwortlichen Stelle oder der jeweiligen Rechtsgrundlage auf welche die Datenverarbeitung ggf. gestützt wird. Daneben müssen den Betroffenen auch ihre jeweiligen Rechte erläutert werden.
• Betroffenenrechte: Das Recht auf Vergessenwerden und das Recht auf Datenportabilität sind in der DS-GVO enthalten, wurden allerdings klarer definiert.
• Profilbildung und Big Data: Betroffene sind über Profiling aufzuklären, wobei dessen Intensität und Auswirkungen sowie die Logik darzustellen ist. Sofern ein Betroffener eine automatisierte Entscheidung in Frage stellt, hat er Anspruch auf eine manuelle Überprüfung. Die DS-GVO enthält eine "Big Data"-/ Weiterverarbeitungsklausel, welche regelt, ob und inwiefern eine Nutzung zu anderen Zwecken noch mit dem ursprünglichen Zweck vereinbar ist. Weitergehende Vorschläge des Rats die Nutzung flexibler und unabhängig von der ursprünglichen Zweckbindung zu ermöglichen, wurden hingegen nicht in den finalen Text aufgenommen.
• Privacy by Design: Neben umfangreichen Anforderungen zur internen Überwachung und Kontrolle, sind auch interne Datenschutzverpflichtungen zu erstellen und der Grundsatz des „Privacy by Design“ zu befolgen (Ausnahmen bestehen lediglich für Unternehmen mit weniger als 250 Mitarbeitern).
• Folgenabschätzung: Datenverarbeitungsprozesse mit hohem Risiko erfordern eine vorherige Folgenabschätzung und ggf. sogar die Einschaltung der Aufsichtsbehörden.
• Datenschutzbeauftragter: Datenschutzbeauftragte sind für öffentliche Einrichtungen zu bestellen sowie für private Stellen, deren Kerngeschäft eine extensive, regelmäßige und systematische Kontrolle von Betroffenen oder eine extensive Verarbeitung sensibler Daten oder von Informationen über kriminelle Handlungen mit sich bringt. Die Mitgliedstaaten können weitere Fälle bestimmen, in denen ein Datenschutzbeauftragter zu bestellen ist – wir rechnen damit, dass der deutsche Gesetzgeber dies aufgreifen wird.
• Auftragsdatenverarbeitung: Datenverarbeiter sind nunmehr direkt den Ansprüchen Betroffener ausgesetzt. Daneben besteht auch die Möglichkeit einer gemeinsamen Haftung mit der verantwortlichen Stelle, welche nur durch spezifische Regelungen in den Datenverarbeitungsverträgen abgemildert werden kann.
• Meldungen von Datenschutzverstößen: Meldungen von Datenschutzverstößen an die Datenschutzbehörden und Betroffene haben innerhalb von 72 Stunden bzw. unverzüglich zu erfolgen.
• BCRs: Es besteht weiterhin die Möglichkeit zum Abschluss von verpflichtenden unternehmensinternen Datenschutzregeln (Binding Corporate Rules).
• Datenexport in Drittstaaten: Die Einschätzungen der Europäischen Kommission zur Angemessenheit des Datenschutzniveaus in Drittstaaten werden mindestens alle vier Jahre überprüft. Allerdings bleiben die bisherigen Einschätzungen und Standardvertragsklauseln (Model Clauses) bis zu ihrer Aufhebung oder Ersetzung weiterhin gültig.
• Datenübermittlung für Verfahren und Ermittlungen: Der umstrittene Artikel 43a (welcher hauptsächlich darauf abzielt, Datenexporte aufgrund von Discovery-Anfragen einzuschränken, wie vom Europäischen Parlament gefordert) bleibt in einer abgeschwächten und verwirrenden Form bestehen: Übermittlungen in Drittländer, um dortigen gerichtlichen oder regulatorischen Anforderungen gerecht zu werden, sollen nur anerkannt werden oder durchsetzbar sein, wenn sie auf einem internationalen Abkommen, wie einem bilateralen Rechtshilfeabkommen, basieren. Allerdings würde dies unbeschadet etwaiger anderer Rechtsgrundlagen für Übermittlungen gelten, weshalb man argumentieren kann, dass andere großzügigere Rechtsgrundlagen für die Übermittlung in Discovery-Verfahren oder Ermittlungen nach wie vor Anwendung finden.
• Anwendungsbereich: Der Anwendungsbereich der DS-GVO erstreckt sich über verantwortliche Stellen mit Niederlassung in der EU hinaus. Sie ist auch auf die Verarbeitung personenbezogener Daten von Betroffenen in der EU durch verantwortliche Stellen ohne Niederlassung in der EU anzuwenden, soweit diese Verarbeitung im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an diese Betroffenen oder der Kontrolle des Verhaltens dieser Betroffenen erfolgt. Verantwortliche Stellen ohne Niederlassung in der EU müssen zukünftig einen Vertreter benennen, sofern kein Ausnahmetatbestand einschlägig ist.
• Neue EU-Behörde: Es wird der Europäische Datenschutzausschuss (als Nachfolger der Artikel 29 Datenschutzgruppe) mit umfangreichen Befugnissen geschaffen.
• Datenschutzaufsicht: Wie erwartet, wurde das "One Stop Shop"-Prinzip, wonach eine einzige Aufsichtsbehörde federführend in Datenschutzsachen für multinational operierende Konzerne zuständig wäre, abgeschwächt. Nunmehr müssen bei Datenschutzverstößen, welche eine Vielzahl von Jurisdiktionen betreffen, alle relevanten Datenschutzbehörden konsultiert werden und es besteht die Möglichkeit, die Federführung durch eine Behörde anzugreifen.

Unsere erste Einschätzung

Wie zu erwarten wird die DS-GVO für viele Unternehmen im Hinblick auf ihre Umsetzung eine große Herausforderung darstellen. Die erheblich verschärften Sanktionen sollten allerdings Anlass genug geben, sich mit den neuen Anforderungen der DS-GVO zu befassen und deren Einhaltung sicherzustellen.

Viele der neuen Anforderungen werden in den nächsten 24 Monaten durch die Leitlinien des neuen Europäischen Datenschutzausschusses und der nationalen Datenschutzbehörden klargestellt und konkretisiert werden.

Im September und Oktober hatten wir in Europa bereits eine Reihe von Workshops abgehalten, in denen dargestellt wurde, welche Auswirkungen die DS-GVO auf relevante Verarbeitungstätigkeiten haben würde. Falls Sie die konkreten Auswirkungen der DS-GVO auf Ihr Unternehmen erfahren möchten, sprechen Sie uns gerne an.