Die wichtigsten Änderungen der neuen EU-Datenschutz-Grundverordnung im Überblick

Mai 12, 2016
Ab Anfang 2018 soll die neue EU-Datenschutz-Grundverordnung (DSGVO) gelten und die bis dahin geltende EU-Datenschutzrichtlinie (RL 95/46/EG) ablösen.
Für Internetnutzer eine gute Nachricht, denn ihre Rechte in Bezug auf ihre persönlichen Daten sowohl im privaten als auch öffentlichen Bereich sollen gestärkt werden. Innerhalb Europas wird mithilfe der Verordnung das Datenschutzrecht harmonisiert, sodass es keine Nischen mehr gibt, in die man sich zurückziehen kann, um höheren Datenschutzanforderungen zu entkommen. Da die Verordnung europäisches Recht ist, gilt sie vor dem nationalen TMG und dem BDSG.

Stärkung der Nutzer – Erlaubnisvorbehalt

Persönliche Daten dürfen nur mit Einwilligung des Nutzers erhoben, genutzt und verarbeitet werden oder wenn es die DSGVO oder andere einschlägige gesetzliche Regelungen ausdrücklich erlauben. Da in Deutschland genau die gleichen Anforderungen nach dem Bundesdatenschutzgesetz (BDSG) gelten, wird sich hier nichts ändern. In anderen Ländern Europas, wo dies bisher nicht gefordert war, müssen diese Voraussetzungen für die Datenerhebung, -nutzung und –verarbeitung gegeben sein.

Die Einwilligung muss in Zukunft in „informierter Weise und unmissverständlich“ abgegeben werden. Diese Formulierung sorgt bereits jetzt für Diskussionen um die Anforderungen einer solchen Einwilligung, die wohl in Zukunft durch die Rechtsprechung konkretisiert werden müssen. Der Verantwortliche muss nachweisen können, dass der Nutzer der Datenerhebung und –verarbeitung zugestimmt hat.

Außerdem haben die Nutzer ein verstärktes Recht auf klare und verständliche Information darüber, ob und welche Daten über ihn von wem wo erhoben bzw. verarbeitet werden und bereits erhoben/verarbeitet wurden. Das bedeutet, dass insbesondere dann, wenn ein Account gehackt wurde, der Betroffene schnell und umfangreich zu informieren ist, damit dieser sich auch selbst um die Sicherheit seiner Daten kümmern kann.

Allerdings hat der Gesetzgeber auch weite Ausnahmen von dem Erlaubnistatbestand zugelassen – sofern es bei dem jetzigen Entwurf bleibt: Gemäß Art. 6 Abs. 1 lit. b-f DSGVO ist eine Einwilligung nicht mehr nötig für die verarbeitung personenbezogener Daten, sofern es sich z.B. um für die Erfüllung von vertragspflichten erforderliche Daten handelt oder wenn die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder die Verarbeitung ist zur Wahrung berechtigter Interessen Dritter oder des Verantwortlichen notwendig.

Das sind sehr vage Ausführungen und gleichen einem Rundumschlag für die Erlaubnisfreiheit. – Man muss es im Streitfall nur gut begründen können. Andererseits ist es für Unternehmen schwierig, rechtssicher abzugrenzen, welche Informationen ihrer Nutzer bzw. Kunden nun „notwendig“ sind.

Der Betroffene soll nach der neuen DSGVO jederzeit die Möglichkeit haben, seine Einwilligung zu widerrufen (Art. 7 abs. 3 DSGVO). Für den Betroffenen ist das von Vorteil, für die Unternehmen ergibt sich jedoch ein gewisses Planungsrisiko, da die Erlaubnis zur Nutzung der Daten jederzeit entzogen werden kann.

Das Recht auf Vergessen, das Betroffene dazu berechtigt, dass persönliche Daten von Google & Co. gelöscht werden müssen, wenn die Information veraltet ist und kein öffentliches Interesse der Allgemeinheit an der Veröffentlichung der Information existiert. Das Urteil des EuGH, nachdem Suchmaschinenbetreiber wie Google auf Antrag und nach Prüfung der Sachlage Links und Verweise löschen muss, wird durch die DSGVO erweitert. Unternehmen müssen gemäß Art. 17 der derzeitigen deutschsprachigen Fassung der DSGVO (kann bis 2018 noch einmal verändert werden) dem Ersuchen von Nutzern grundsätzlich nachkommen, wenn diese eine Löschung ihrer Daten wünschen und es keine zulässigen Gründe für die weitere Datenspeicherung gibt.

Mindestalter für Einwilligung angehoben

Offensichtlich sieht der Gesetzgeber Kinder und Jugendliche trotz ihrer zunehmenden jungen Reife als besonders schutzwürdig an. Das mag vielleicht an der sinkenden Hemmschwelle liegen, private Informationen von sich im Internet preiszugeben. Denn bisher war es in vielen Ländern der EU so, dass man schon mit 13 Jahren aufgrund der nötigen Einsichtsfähigkeit seine Einwilligung in die Verarbeitung von personenbezogenen Daten abgeben konnte.

In Zukunft soll dies erst ab 16 Jahren zulässig sein – vorher ist die Einwilligung der Eltern erforderlich. So z.B. auch bei einer Anmeldung bei facebook etc. Fraglich ist jedoch, wie die Kontrolle dieser Einwilligung funktionieren soll, denn Jugendliche werden sich, wenn sie noch keine 16 Jahre alt sind, sehr wahrscheinlich illegal anmelden und die Eltern werden gar nicht erst gefragt. Wie die Erlaubnis der Eltern eingeholt werden soll, bleibt offen. Es stellt jedoch einen großen Aufwand für Unternehmen dar, den Personalausweis des Erziehungsberechtigten anzufordern. Und der lässt sich auch schnell von Jugendlichen fotokopieren und unrechtmäßig nutzen. Zwar gibt der derzeitige Verordnungs-Entwurf den Mitgliedstaaten die Möglichkeit, die Altersgrenze auf 13 herunterzusetzen, aber das wiederum sorgt für eine noch schwierigere Situation international agierender Unternehmen, die so die einzelnen Altersbeschränkungen beachten müssen.

Ausländische Unternehmen an europäischen Datenschutzrecht gebunden

Da sich in Europa viele außereuropäische Unternehmen tummeln und ihre Dienste über das Internet anbieten, sollen die neuen Regelungen künftig auch nicht-europäische Unternehmen betreffen. Das bedeutet, dass auch facebook sich an diese Regeln halten muss.

Höhere Bußgelder, härtere Sanktionen

Künftig können Bußgelder bis zu 20.000.000 EUR oder im Falle eines Unternehmens bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden – je nachdem, welcher Betrag höher ist. Da es nicht auf den Gewinn, sondern den Umsatz ankommt, können die Geldbußen teils schmerzlich hoch ausfallen. Insbesondere, wenn es sich um einen Konzern handelt, denn dann wird der Konzernumsatz als Berechnungsgrundlage genutzt und nicht die einzelne GmbH.

Sanktionen und Bußgelder gelten für alle Unternehmen, die ihren Sitz in der EU haben und alle Unternehmen, die ihre Dienste an EU Bürger richten und von diesen personenbezogene Daten erheben/verarbeiten/nutzen.

Da bereits jetzt der Entwurf für die neue DSGVO vorliegt und es sicher ist, dass sich demnächst das europäische Datenschutzrecht ändern wird, sollten sich Unternehmen bereits jetzt auf Neuerungen einstellen und ggf. Änderungen vornehmen, um rechtzeitig gewappnet zu sein.