Bereits im März haben wir über eine Reform in der Thematik des Datenschutzes berichtet, als bekannt gegeben wurde, dass das EU-US Privacy Shield verabschiedet wurde und im Laufe des Jahres 2016 in Kraft treten soll. Nun steht eine weitere einschneidende Veränderung in diesem Gebiet an. Die EU-Datenschutz-Grundverordnung (DSGVO) löst die veraltete und seit 1995 gültige EU-Datenschutzrichtlinie ab.
Entstehung und Verabschiedung der DSGVO
Fast vier Jahre hat man reichlich über die neue EU-Datenschutz-Grundverordnung debattiert, bis man sich nun scheinbar auf eine Lösung einigen konnte. So wurde Mitte April letztlich der neuen Datenschutz-Grundverordnung von EU-Rat und –Parlament zugestimmt. Die Veröffentlichung im EU-Amtsblatt erfolgte am 4. Mai.
In Kraft treten soll die neue Verordnung allerdings erst im Jahr 2018, nach einer circa zweijährigen Übergangszeit.
Ziele der EU-Datenschutz-Grundverordnung (DSGVO)
Der Großteil der in der neuen Verordnung implementierten Pflichten und Richtlinien zielt auf ein elementares Ziel ab: die Vereinheitlichung des Datenschutzrechtes innerhalb Europas. Dies realisiert man dadurch, dass künftig in allen EU-Staaten die gleichen Datenschutzpflichten und –rechte gültig sind. Somit kann man verhindern, dass es innerhalb Europas „Rückzugsräume“ im Bereich Datenschutz gibt. Anhand dieser Maßnahme lässt sich ein weiteres, primäres Ziel der neuen Verordnung ableiten. Die Vereinheitlichung soll besonders dem Einzelnen mehr Sicherheit und Kontrolle über seine Daten einbringen.
Marktortprinzip der EU-Datenschutz-Grundverordnung
Die EU-Datenschutz-Grundverordnung ist übergreifend in allen EU-Mitgliedsstaaten gültig. Jedoch müssen sich nicht nur hier ansässige Unternehmen den neuen Bestimmungen unterziehen, sondern jedes Unternehmen, dass Daten von EU-Bürgern weiterverarbeitet. Der Verarbeitungsort der Daten spielt dabei keine Rolle. Somit sind auch Firmen des US-Marktes, wie z.B. Google oder Facebook, von der neuen Verordnung betroffen.
Inhaltspunkte der EU-Datenschutz-Grundverordnung (DSGVO)
Die wichtigsten Aspekte der neuen Verordnung haben wir für Sie im Folgenden zusammengefasst. Im Grunde genommen sollen dabei die meisten Ansatzpunkte der neuen Verordnung auf die Hauptziele „Vereinheitlichung des Datenschutzrechtes“ und „Stärkung der Rechte des Einzelnen“ abzielen.
1. Stärkung der Nutzerrechte
Sind Unternehmen daran interessiert, personenbezogene Daten von Nutzern zu verarbeiten, müssen sie sich künftig eine ausdrückliche Zustimmung dieser einholen. Ferner sollen die Nutzer künftig das Recht haben, jederzeit zu erfahren, welche Daten man über sie sammelt. Den Zugang zu ihren persönlichen Daten will man vereinfachen. Zusätzlich soll man die Nutzer künftig umgehend und ausführlich darüber informieren, falls man ihre Daten gehackt hat. Somit soll es ihnen besser möglich sein, frühzeitig Maßnahmen einzuleiten und die eigenen Daten angemessen zu schützen.
Ein weiterer Fokus der neuen Vereinbarung hat man auf den Aspekt gelegt, dass personenbezogene Daten dem Nutzer gehören. Und nicht denjenigen Internetdiensten, die sich mit der Verarbeitung der Daten befassen.
Aufgrund der EU-Datenschutz-Grundverordnung besitzen Nutzer nun das Recht, Daten von Anbieter A zu Anbieter B mitzunehmen. Bisherige Probleme der Nutzer, Daten von einem Internetportal in ein anderes zu übertragen, sollen somit künftig nicht mehr auftreten. Wie man dieses Unterfangen dann zukünftig genau realisieren soll, ist allerdings noch nicht eindeutig geklärt.
2. „Recht auf Vergessenwerden“
Ein weiterer Punkt der neuen Verfassung behandelt das sogenannte „Recht auf Vergessenwerden“. Den Anstoß hierfür lieferte ein Urteil des Europäischen Gerichtshofs. Dieses hat Google dazu verpflichtet, personenbezogene Daten zu löschen, falls dies vom Nutzer verlangt wird. Dieses Recht wurde mit der EU-Datenschutz-Grundverordnung auf alle ihm unterstellten Unternehmen ausgeweitet. Diese müssen somit zukünftig, falls dies vom Nutzer angefordert wird, alle personenbezogenen Daten löschen.
3. Erhöhung Mindestalter
Auf den bekannten Social Media Plattformen wie Facebook oder Instagram werden schon seit längerer Zeit eine Unmenge an Daten der Nutzer gesammelt. Einen großen Anteil daran machen hier auch Jugendliche aus, die sich ohne weitere Bedenken auf diesen Plattformen anmelden. Bislang konnte man in den meisten Ländern bereits mit 13 Jahren seine rechtswirksame Einwilligung in die Verarbeitung von personenbezogenen Daten geben. Das Mindestalter hat man jetzt im Zuge der DSGVO auf 16 Jahre heraufgeschraubt.
4. Vereinfachung bei Beschwerden
Falls Nutzer den Verdacht erheben, dass gegen einen der Punkte der DSGVO ihnen gegenüber verstoßen wurde, können sie umstandslos bei der eigenen nationalen Datenschutzbehörde Beschwerde einlegen. Zum Vergleich: Vor Inkrafttreten der EU-Datenschutzgrundverordnung musste man sich an die Nation wenden, in der das beschuldigte Unternehmen seinen Firmensitz besaß. So musste der international bekannte Datenschützer Maximilian Schrems in seinem Streitfall mit Facebook über eine Unmenge von Instanzen gehen, um letztendlich in Irland vor Gericht zu gehen. Fälle wie dieser dürften aufgrund der neuen Verordnung nicht mehr auftreten.
Hinzukommend ist es künftig möglich, dass Verbände im Auftrag von Bürgern gegen Datenschutzmissbrauch vorgehen und klagen.
5. Bußgeld-System
Bislang wurden Verstöße gegen die geltenden Datenschutzbestimmungen noch mit festen Werten an Bußgeldern abgestraft. Auch dieses System wird durch die DSGVO überholt. Anstatt fester Werte, werden künftig Bußgelder in Höhe von bis zu vier Prozent des Jahresumsatzes des entsprechenden Unternehmens als Strafe angesetzt. Diese Neuerung der Gesetzeslage wird besonders großen Unternehmen ein Dorn im Auge sein, da hier besonders hohe Bußgeldstrafen zu Stande kommen können.
Bedeutung für Unternehmen
Mit der Einführung der EU-Datenschutz-Grundverordnung kommen definitiv einige grundlegende Neuerungen in der Thematik des Datenschutzes auf Unternehmen jeglicher Art zu. Die zweijährige Einführungszeit der neuen Verordnung sollte sich jeder zu Nutzen machen. In dieser Zeit kann man sich ausführlich über die neuen, das Unternehmen betreffend, Bestimmungen informieren und interne Prozesse, falls notwendig, bestmöglich anpassen. Dies sollte der Weg sein, um bestmöglich für die endgültige Einführung der DSGVO gerüstet zu sein. Somit kann man Verfehlungen im Bereich Datenschutz frühzeitig vorbeugen und dafür sorgen, die Neuerungen im Bußgeld-System nicht am eigenen Leib zu erfahren.
Kritik
Die fast jahrelangen Diskussionen um die Einführung einer neuen Datenschutzverordnung und ihrer Inhaltspunkte waren besonders bei Datenschutzrechtlern und –experten immer wieder ein Thema mit reichlich Polarisationspotential.
Grundsätzlich entspricht eine neue Datenschutzvereinbarung den ausdrücklichen Wünschen der meisten Datenschutzrechtlern. Es bestehen jedoch Zweifel und Unstimmigkeiten, ob die EU-Datenschutz-Grundverordnung diesen Wünschen vollends gerecht werden kann. Dabei wird nicht der grundsätzliche Aufbau samt seiner einzelnen Inhaltspunkte als Problem angesehen, sondern vielmehr die unpräzisen Formulierung und wagen Erklärungen bezüglich der Umsetzung von Veränderungen.
Die Ansatzpunkte und Neuerungen der DSGVO klingen vielversprechend, wie sie in der Realität allerdings genau umgesetzt werden sollen, ist vielen Kritikern unklar und dürfte daher auch für viele Unternehmen zukünftig ein Problem darstellen.
Diese Auffassung teilt auch Datenschutzexpertin Susanne Dehmel vom Digital Verband Deutschlands bitkom e.V.:
„Viele Regelungen der neuen Datenschutzverordnung sind so allgemein formuliert, dass nicht auf den ersten Blick klar ist, wie sie in der Praxis umgesetzt werden sollen. Das wird in der Anfangszeit zu einer gewissen Rechtsunsicherheit führen.“
Ein weiterer Kritikpunkt an der neuen Verordnung wird von einer ganz anderen Seite laut: Wirtschafts- und IT-Experten befürchten, dass die EU-Datenschutz-Grundverordnung weiter dazu beiträgt, dass die Unternehmen der EU-Mitgliedsstaaten weiter an Konkurrenzfähigkeit gegenüber den US-Unternehmen einbüßen. Durch eine immer stärkere Eingrenzung in der Datenverarbeitung können die Unternehmen, so die Meinung vieler Kritiker, auf Dauer nicht mit den US-Unternehmen konkurrieren, da diese über eine deutlich größere Freiheit in dieser Hinsicht verfügen.
Statement zu DSGVO
Das Thema Datenschutz wird auch nach der Verkündung der EU-Datenschutz-Grundverordnung ein bestimmendes Thema im Bereich der digitalen Medien bleiben. Dem Einen sind die Gesetzesvorschriften zu schwammig formuliert, der Andere fürchtet um die Konkurrenzfähigkeit in der Branche. Eine hundertprozentige Übereinstimmung in dieser Angelegenheit erreicht man wohl nie.
Nicht zu klein bewerten sollte man bei der Verabschiedung der DSGVO allerdings die zweijährige Übergangszeit. Diese bietet einen großen Zeitraum, um sich mit den neuen Vorschriften und Richtlinien vertraut zu machen, ob man sie befürwortet oder auch nicht. Eine derartige „Revolution“ bringt immer eine Menge Gefahren, aber auch Möglichkeiten mit sich. Die Einführungsphase sollte daher alle Seiten so nutzen, dass man möglichst optimal auf den Moment vorbereitet ist, in dem die EU-Datenschutz-Grundverordnung letztendlich wirklich in Kraft tritt.
