Eu-Datenschutzverordnung
Ab dem 25.05.2018 gilt EU-weit die bereits seit dem 14.05.2016 in Kraft getretene EU-Datenschutzgrundverordnung (DSGVO). Ihr Ziel ist die Vollharmonisierung des Datenschutzrechtes in der EU.
Sinn der Regelung ist es, ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu erreichen, aber auch Hemmnisse für den Verkehr personenbezogener Daten innerhalb der Union zu beseitigen.
Das Ziel der Vollharmonisierung wurde durch die Aufnahme von über 50 Öffnungsklauseln, auch in so wichtigen Bereichen wie z. B. dem Arbeitnehmerdatenschutz, deutlich aufgeweicht. Für die Bundesrepublik Deutschland ist in Ausfüllung der Öffnungsklauseln bereits ein neues Bundesdatenschutzgesetz verabschiedet. Die Angleichung zahlreicher weiterer Gesetze, wie beispielsweise des Telemediengesetzes, erfolgt.
Die Struktur des zukünftigen EU-Datenschutzes gleicht in weiten Teilen dem bisherigen nationalen deutschen Recht.
Es gelten nach wie vor
- die Grundprinzipien der Datenvermeidung und Datensparsamkeit
- der Zweckbindungsgrundsatz
- das Verbot mit Erlaubnisvorbehalt
- das Transparenzgebot.
Die Regelungen zum Datenschutzbeauftragten wurden gegenüber dem bisherigen Bundesdatenschutzgesetz gelockert, durch die nationalen deutschen Gesetzgeber jedoch sogleich wieder auf den alten Rechtsstand zurückgeführt.
Entgegen seit Langem und vehement erhobenen Forderungen aus der Praxis ist der Datenverkehr im Konzern - entsprechend der bisherigen Rechtslage - nicht privilegiert worden.
Daneben sieht die Verordnung zum Teil verschärfte Regelungen zu zentralen Punkten des Datenschutzrechts vor, wie im Zusammenhang mit der Information der Betroffenen über die Verarbeitung ihrer Daten, der Notwendigkeit zur Einholung und Qualität der Zustimmung der Betroffenen (Freiwilligkeit, für den bestimmten Fall, in informierter Weise und durch eindeutige Erklärung), dem Inhalt der zu treffenden vertraglichen Vereinbarungen bei der Verarbeitung von Daten durch Dritte (Auftragsdatenverarbeitung) sowie erleichterte Voraussetzungen zur Übermittlung von Personendaten in Länder, in denen die DSGVO nicht gilt.
Neu ist der Ansatz, dem Datenschutz durch den Einsatz datenschutzfreundlicher Technologien und datenschutzfreundlicher Voreinstellungen zur Geltung zu verhelfen. Ebenfalls zu Gunsten des Datenschutzes erweitert sind die Rechte der Betroffenen im Hinblick auf die Löschung personenbezogener Daten ("Recht auf Vergessenwerden").
Erstmals ausdrücklich gefordert ist eine Datenschutz-Folgenabschätzung, wenn eine Form der Verarbeitung, insbesondere bei Verwendung innovativer Technologien, aufgrund der Art des Umfanges, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko in Bezug auf personenbezogene Daten zu vermuten ist.
Eine Zertifizierung nach der DSGVO ist nicht ausdrücklich vorgesehen, möglicherweise jedoch mittelfristig auf der Basis der ISO 27001/-018 vorstellbar.
Drastisch erhöht wurde der Bußgeldrahmen bei Verstößen insbesondere durch datengetriebene Unternehmen und Konzerne. Es können durch die Aufsichtsbehörden Bußgelder bis zu 4 % des weltweiten Jahresumsatzes gefordert werden.
Mandantanteninformation als Druckversion (PDF-Dokument)