Datenschutz in Europa – darauf sollten Sie sich vorbereiten

- April 25, 2014

Brüssel/Hamburg, 23.04.2014.

Die EU kommt ihrer neuen Datenschutzgrundverordnung langsam, aber sicher, näher. Dr. Bettina Kähler von der PrivCom Datenschutz GmbH rät Unternehmern, sich schon jetzt über die Grundzüge der geplanten Veränderungen zu informieren, um mittelfristig die eigenen Prozesse in Bezug auf den Umgang mit personenbezogenen Daten sinnvoll planen zu können.
Am 12. März wurde ein ca. 120 Seiten langer Entwurf der Datenschutzgrundverordnung (DSGVO) vom EU-Parlament verabschiedet, der jetzt dem Ministerrat und der Europäischen Kommission zur weiteren Diskussion vorliegt. Im Anschluss an die Europawahl am 25. Mai werden die Gespräche hierzu aufgenommen.

Die 1995 verfasste Rechtsgrundlage zum Datenschutz innerhalb Europas wird also in absehbarer Zeit durch das längst überfällige Reformpaket ersetzt. Schon jetzt zeichnet sich ein großer Konsens innerhalb der EU ab: Bei der Abstimmung im März gab es unter den insgesamt 653 Abgeordneten mit 621 Ja-Stimmen bereits eine deutliche Mehrheit. Auch wenn sich nationale Interessen im weiteren Prozess bemerkbar machen werden (Großbritannien etwa möchte eine grundsätzlich liberale Datenschutzpolitik durchsetzen, um die ansässigen Unternehmen vor Kosten zu schützen; Deutschland hingegen will den öffentlichen Sektor stärker vom Datenschutz ausnehmen), so steht der grundsätzliche Kurs doch inzwischen fest.

Das sind die geplanten Änderungen

Durch die Neuregelung soll einerseits der Schutz von personenbezogenen Daten verbessert und zum anderen auch der Datenverkehr innerhalb der EU erleichtert werden. Für Unternehmen sind zwei Punkte zentral: Der rechtmäßige Umgang mit dem Thema Datenschutz und die Strafe bei Zuwiderhandlung.

Die Sanktionen bei Verstößen gegen das Datenschutzgesetz werden sich in jedem Fall verschärfen. Das bisherige Bußgeld von maximal 300.000 Euro steigt im aktuellen Entwurf auf eine Höchststrafe von 100 Millionen Euro bzw. 5 % des Jahresumsatzes eines Unternehmens. Diese Strafen sind durchaus mit denen zu vergleichen, die bei Kartellrechtsverstößen anfallen. Unternehmen werden dadurch gezwungen, regelmäßige Compliance-Audits durchzuführen, um dem Risiko hoher Strafen entsprechend entgegen zu treten.
Auch werden die Aufsichtsbehörden enorm gestärkt: Wenn Unternehmen in Zukunft dazu verpflichtet werden, im Vorfeld einer geplanten Datenverarbeitung eine Risikoanalyse und die datenrechtliche Folgenabschätzung zu erstellen, kann die zuständige Aufsichtsbehörde diese Datenverarbeitung bei Gesetzesverstößen sogar bereits im Vorfeld untersagen.

Außerdem werden sich einige grundsätzliche Verfahrensbedingungen ändern: War bislang für ein Unternehmen noch die Zahl derjenigen Mitarbeiter (nämlich mehr als 9), die mit personenbezogenen Daten in Berührung kommen, entscheidend für die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten, so wird in Zukunft die Anzahl der personenbezogenen Datensätze hierüber entscheiden. Der Entwurf sieht vor, dass ein Datenschutzbeauftragter bestellt werden muss, wenn in einem Jahr mindestens 5.000 Datensätze verarbeitet werden. Auch verantwortliche Stellen, die besonders sensible Datenverarbeitung betreiben, müssen einen Datenschutzbeauftragten bestellen. Abzuwarten bleibt dabei noch, ob IP-Adressen nicht mehr als personenbezogene Daten eingestuft werden. Die Diskussion hierum ist nach wie vor groß.

Die DSGVO sieht ebenfalls vor, dass interne Datenschutzrichtlinien und geeignete Maßnahmen von Unternehmen entwickelt (und diese auch alle 2 Jahre erneuert) werden müssen.

Schließlich ist ein Verbandsklagerecht geplant. Durch dieses könnten sich Daten verarbeitende Unternehmen vermehrt gerichtlichen Auseinandersetzungen gegenüber sehen.

Kontakt:
PrivCom Datenschutz GmbH / Dr. Bettina Kähler / Telefon: 040 48409010 / E-Mail: info@privcom.de

Wir erarbeiten Sicherheitskonzepte und übernehmen für Sie den externen betrieblichen Datenschutz.