EU-Datenschutz-Grundverordnung: Harmonisierung des Datenschutzrechts

Nach langen Beratungen und Verhandlungen liegt nun die EU-Datenschutz-Grundverordnung (EU-DSGVO) vor, die alle Unternehmen betrifft und am 25.05.2016 in Kraft getreten ist. Dabei müssen die Vorschriften nicht in nationales Recht umgesetzt werden, sondern ersetzen diese automatisch. Dafür ist eine Übergangsfrist von zwei Jahren vorgesehen.

Die EU-DSGVO sieht vor, den Umgang mit personenbezogenen Daten grundsätzlich zu untersagen, es sei denn, die Verordnung, eine andere gesetzliche Vorschrift oder eine Einwilligung des Betroffenen erlauben dies ausdrücklich. Das Bundesdatenschutzgesetz enthält bereits eine identische Regelung dazu.

Im Wege der Harmonisierung soll auch die Tätigkeit der zuständigen Aufsichtsbehörden vereinheitlicht werden. Es soll eine einheitliche Stelle, der Datenschutzausschuss, geschaffen werden. Damit soll eine unterschiedliche Auslegung und Anwendung des Gesetzes durch Landesdatenschutzbehörden beendet werden.

Zur Einhaltung der Pflichten müssen Unternehmen verbraucher- und datenschutz­freundliche Voreinstellungen, z. B. bei elektronischen Geräten vornehmen.

Mit „Privacy by Design“ und „Privacy by Defailt“ verpflichten sich die datenbearbeitenden Unternehmen, die Einhaltung des Datenschutzes bei Wahl ihrer Mittel und Technik zu gewährleisten. Denn es sind Verfahren einzusetzen, die sicherstellen, dass lediglich die personenbezogenen Daten bearbeitet werden, die für den spezifischen Zweck erforderlich sind und nicht mehr Daten als notwendig erhoben werden. Auch gelten strengere Pflichten für Unternehmen hinsichtlich der Dokumentation. Unternehmen müssen künftig nicht nur die Einhaltung der EU-DSGVO dokumentieren, sondern diese auch auf Nachfrage belegen können. Absolute Transparenz, verständliche und umfassende Informationen mit dem Umgang der personenbezogenen Daten stehen dabei im Fokus. Das gilt auch dann, wenn Daten von Dritten, durch Adresshandel oder Bonitätsprüfung, geliefert werden. Die Unternehmen müssen dann den Verbraucher darüber informieren, dass ihre Daten weiterverarbeitet werden. Denn der betroffene Verbraucher muss darüber aufgeklärt werden, was Unternehmen genau mit den Daten vorhaben. Dem Verbraucher werden Rechte eingeräumt, die es ihm erleichtern, Kontrolle über den Umgang seiner Daten zu haben, z. B. ein Widerspruchsrecht.

Neu ist dabei auch das Recht des Verbrauchers auf „Vergessenwerden“. Nach der neuen Verordnung hat der Verbraucher das Recht auf Löschung seiner personenbezogenen Daten nach dem Wegfall des legitimen Grunds der Speicherung.

Praxishinweis:

Die EU-Datenschutz-Grundverordnung wird, gerade in Bezug auf die Datenschutz­erklärung, Auswirkungen auf die Anforderungen an Websitebetreiber haben. Viele bisherige Regelungen zum Datenschutz werden bestehen bleiben, jedoch sollten diese mit den Vorgaben der EU-DSGVO abgestimmt werden. Denn europäisches Recht geht dem nationalen Recht vor.

Es wird in den meisten Fällen notwendig sein, Einwilligungserklärungen zu überarbeiten und gegebenenfalls neu einzuholen sowie Datenschutzhinweise umfassend anzupassen.

Zwei Jahre Übergangszeit klingen zunächst lang – relativieren sich jedoch, wenn alle internen Prozesse der Datenverarbeitung überprüft und möglicherweise angepasst werden müssen.