Die bisher umfassendste Reform des europäischen Datenschutzrechts ist abgeschlossen: Das EU-Parlament hat am 14. April 2016 mit der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) eine weitreichende Neuregelung verabschiedet. Die Verordnung gilt erst ab dem 25. Mai 2018. Damit besteht eine zweijährige Übergangszeit, in der Unternehmen und Behörden ihre internen Prozesse, die IT-Systeme und die Abläufe der Datenverarbeitung an die neuen Vorgaben anpassen können. Unternehmen sollten diese Zeit nutzen um sorgfältig zu prüfen, inwieweit die verschärften Vorgaben Einfluss auf die Geschäftstätigkeit und die Abläufe im Unternehmen haben könnten. Eine rechtzeitige Anpassung der Compliance-Strukturen ist auch deshalb wichtig, weil sich das auf die Höhe etwaiger Bußgelder mindernd auswirken kann. In der Umsetzungszeit ist auch zu überlegen, wie datenschutzrechtlich relevante unternehmerische Entscheidungen abzusichern sind, die unmittelbar vor und nach Geltung der Verordnung wirksam werden sollen.
Harmonisierung
Ziel der Neuregelung ist die Harmonisierung des Datenschutzrechts in Europa. Zukünftig werden in allen Staaten der EU gleiche Datenschutzstandards gelten. Anders als bisher wird es künftig keine datenschutzrechtlichen Rückzugsräume in einzelnen Mitgliedstaaten mehr geben.
Geltungsbereich
Die neuen Vorgaben gelten für alle Unternehmen und Behörden mit Niederlassungen in der EU, die personenbezogene Daten verarbeiten. Nunmehr sind nach dem Marktortprinzip auch Unternehmen an die Standards gebunden, die nicht in der EU ansässig sind – beispielsweise Anbieter von Waren oder Dienstleistungen, wenn sie Daten von Personen verarbeiten, die sich in der EU befinden oder Unternehmen, die in der EU das Verhalten von Personen in der EU beobachten.
Stärkung der Verbraucherrechte
Einen besonderen Schwerpunkt legt die Neuregelung auf die Stärkung der Verbraucherrechte. Verbrauchern steht zukünftig insbesondere ein Recht auf Datenübertragbarkeit zu. Sie können die Herausgabe gespeicherter Daten verlangen und diese an Dritte übermitteln. Neben dem Recht auf Berichtigung unrichtiger Daten hat nunmehr auch das bereits in der Rechtsprechung des Europäischen Gerichtshofes (EuGH) anerkannte Recht auf Löschung von Daten („Recht auf Vergessenwerden“) eine Regelung erfahren.
Anforderungen an Unternehmen und Behörden
Die Anforderungen an Unternehmen und Behörden steigen beträchtlich. Hinzu kommt, dass nahezu alle Vorgaben der Verordnung bußgeldbewehrt sind. So besteht nunmehr spiegelbildlich zum Recht auf Löschung für Datenverarbeiter auch eine bußgeldbewehrte Pflicht zu Löschung von Daten. Ferner verschärfen verschiedene Dokumentations-, Informations-, Nachweis- und Transparenzpflichten sowie die Pflicht zur Datenschutz-Folgenabschätzung die Anforderungen an Unternehmen und Behörden. Diese Pflichten gehen zum Teil deutlich über bisher geltende datenschutzrechtliche Anforderungen hinaus und dürften zu erheblichem finanziellen Mehraufwand führen.
Bußgelder, Haftung und weitere Risiken
Wie wichtig es ist, die neuen Vorgaben rechtzeitig umzusetzen, zeigt sich insbesondere an der Höhe der Bußgelder, die verhängt werden können. Drohte bisher in Deutschland lediglich ein Bußgeld von höchstens 300.000 Euro, so können zukünftig – auch an Personen – je nach Art des Verstoßes Geldbußen von bis zu 20 Millionen Euro verhängt werden. Bei Unternehmen sieht die Verordnung Bußgelder von bis zu 4 Prozent des weltweit erzielten Jahresumsatzes vor. Eine solche Geldbuße kann – ähnlich wie bei Kartellrechtsverstößen – gerade bei global agierenden Unternehmen beträchtliche Höhen erreichen. Datenverantwortliche sind zudem bei Verstößen gegen die Verordnung einer zivilrechtlichen Haftung ausgesetzt, die sich nunmehr ausdrücklich auch auf immaterielle Schäden bezieht. Zudem gilt eine für Unternehmen und Behörden nachteilige Beweislastverteilung. Weitere Risiken drohen durch die von der Verordnung eröffnete Möglichkeit einer Verbandsklagebefugnis bei Verstößen gegen die Verordnung.
(31. Mai 2016)