Die seit geraumer Zeit bereits stattfindenden Verhandlungen zu einer Reformierung des EU-Datenschutzrechts treten in die Schlussphase ein: Nach der EU-Kommission und dem EU-Parlament hat sich am 15.6.2015 nun auch der Rat der EU auf eine Verhandlungsposition geeinigt, so dass nun die als „Trilog“ bezeichnete Verhandlungsphase beginnt, in der die EU-Institutionen versuchen werden, eine gemeinsame Position zu finden. Ziel ist es, diese Verhandlungen bis Ende 2015 abzuschließen, damit die Verordnung dann im Jahr 2018 in Kraft treten kann.

Worum geht es und was erwartet uns?

Bisher war die EU im Bereich Datenschutz nur über Richtlinien aktiv, die von den EU-Mitgliedstaaten zunächst noch in nationales Recht umgesetzt werden müssen. Bei dem jetzt verhandelten Gesetzesvorhaben handelt es sich hingegen um eine Verordnung, die mitunter auch als EU-Gesetz bezeichnet wird, weil sie direkt anwendbares EU-Recht darstellt, das keiner weiteren Umsetzung bedarf.

Räumlich von der Verordnung betroffen sind jedenfalls alle Unternehmen mit Sitz in einem EU-Mitgliedsstaat, sowie Unternehmen die EU-Bürgern Angebote machen oder deren Daten verwenden. Neuer Schwerpunkt dieser Verordnung ist somit die Bindung an die Datenschutzrechte der EU-Bürger.

Inhaltlich wird zwischen persönlichen und anonymen Daten unterschieden, aber auch die Kategorie der pseudonymen Daten wird nun erfasst. Allerdings sollen die Regelungen für den Umgang mit pseudonymen Daten weniger streng sein. Ebenso wird im Bereich der Wissenschaft oder des Gesundheitswesens eine gewisse Flexibilität gewährt, diese bleibt jedoch anhand des Einzelfalls zu untersuchen.

Wie werden Betroffene geschützt?

Die Verordnung ergänzt die bestehenden Rechte des Betroffenen auf Zugriff, Berichtigung, Löschung und Widerspruch um einige neue Rechte. Dazu gehört das inzwischen vom EuGH anerkannte Recht auf Vergessenwerden, aber auch das Recht, die eigenen Daten auf einen Datenträger kopiert zu bekommen. Ebenso soll der Zugang der Betroffenen zu ihren Daten erleichtert werden, eine Gebühr für die Bereitstellung kann vom Datenverarbeiter nur noch in besonders umfangreichen Fällen verlangt werden.

Auch der Einwilligung in die Datenverarbeitung und anderen Rechtfertigungsgründen wurde besondere Aufmerksamkeit gewidmet. Eine Einwilligung in die Verarbeitung der Daten muss einzelfallbezogen, informiert und eindeutig sein, dass sie hingegen ausdrücklich erteilt werden muss geht derzeit noch nicht aus dem Entwurf hervor. Kinder werden besonders geschützt, sowie auch im Allgemein eine Tendenz zugunsten der Betroffenen zu erkennen ist.

Im Zuge dieses betroffenenfreundlichen Datenschutzes verlangt die Verordnung von den verarbeitenden Unternehmen auch, dass die Datenverarbeitung überprüfbar bleibt. Dies impliziert zum einen eine technische und organisatorische Abschirmung von Unbefugten, zum anderen aber auch eine verantwortungsbewusste Tätigkeitsevaluierung, im Rahmen derer Gesichtspunkte wie Datensparsamkeit und interne Zurechnung beurteilt werden.

Die Verantwortung der datenverarbeitenden Unternehmen wird neuerdings nicht nur gegenüber den Betroffenen relevant. Die EU hat in der Verordnung einen eigenen Katalog an Bußgeldern eingeführt, die im Falle eines Verstoßes gegen bestimmte Punkte der Verordnung erhoben werden können.

Zudem ist ein einheitliches behördliches Aufsichts-, Beschwerde- und Rechtsschutzverfahren („One-Stop-Shop“) vorgesehen, durch welches eine in der EU allein zuständige behördliche Anlaufstelle für Unternehmen sowie für die Betroffenen geschaffen werden soll.

Profiling und Big Data

Die Nutzung von Profiling- und Big Data-Technologien könnte durch die Verordnung Hürden in den Weg gelegt bekommen. So ist u.a. vorgesehen, dass sich die bereits erwähnte Einwilligung auch explizit auf das Profiling beziehen muss, so dass eine solche Analysetechnik ggf. entsprechend angepasst werden müsste. Allerdings ist zu erwarten, dass zu diesem Thema aufgrund von dessen wirtschaftlicher Brisanz und zunehmender Bedeutung noch intensive Verhandlungen geführt werden werden.

Fazit

Es handelt sich bei der Datenschutzgrundverordnung um ein großes Unterfangen, das letztlich zu einer übersichtlicheren Rechtslage für Unternehmen sowie EU-Bürger führen soll, mit dem aber auch umfangreicher Anpassungsbedarf für alle Betroffenen – sowohl in technische als auch in organisatorischer Hinsicht – einher gehen wird.