Entwurf für verschärftes europäisches Datenschutzrecht

Die Europäische Kommission hat am 25.01.2012 den Entwurf zu einer Allgemeinen Europäischen Datenschutzverordnung veröffentlicht. Wenn der Entwurf so umgesetzt werden sollte, wird dies zu erheblichen Änderungen auch in Deutschland führen.

Verwendung von Daten wird weiter eingeschränkt

Der Entwurf schränkt im Vergleich zur bestehenden Datenschutzrichtlinie die Verwendung von Daten erheblich ein.

Der Austausch von Kunden- und Interessentenadressen wird im Vergleich zur bisherigen Richtlinie und dem deutschen Datenschutzrecht weiter eingeschränkt.

Die Einschränkungen für die Verwendung von Daten gelten auch im B2B-Bereich.

Es sind Beschränkungen für die Datenverwendung von Personen unter 18 Jahren vorgesehen, die sich in der Praxis kaum oder nur mit erheblichem Aufwand umsetzen lassen.

Die Verordnung sieht das „Recht auf vergessen werden“ vor. Betroffene Personen sollen das Recht haben, ihre Daten löschen zu lassen.

Pflichten für Unternehmen werden erweitert

Der Entwurf für die geplante Verordnung enthält eine Reihe erweiterter administrativer Pflichten, darunter zusätzliche Transparenzpflichten, unbeschränkte Auskunftsansprüche und administrative Vorgaben. Es müssen Unternehmensrichtlinien erstellt und aufwendige Dokumentationen geführt werden. Außerdem werden die Pflichten und Verantwortlichkeiten von Dienstleistern erheblich erweitert.

Weggefallen sind die Meldepflichten gegenüber Datenschutzaufsichtsbehörden. Dafür müssen Folgenabschätzungen durchgeführt werden. In bestimmten Fällen sind die Datenschutzaufsichtsbehörden zu konsultieren und häufig wird eine Genehmigung von Datenverarbeitungen durch die Aufsichtsbehörden erforderlich sein.

Nicht zuletzt wird eine allgemeine Verpflichtung zur Meldung von Datenschutzverstößen, die im Anwendungsbereich sehr weit ist.

Bei all diesen Pflichten ist zu bedenken, dass jedes kleine Unternehmen diese Vorschriften einhalten muss, wenn es personenbezogene Daten verarbeitet.

Nur bzgl. der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten ist die Verordnung lockerer als das bestehende deutsche Recht, denn die Verpflichtung soll nicht wie aktuell in Deutschland ab 10 sondern in der Regel erst ab 250 Mitarbeitern gelten.

Beschränkungen der Datenübermittlung werden erweitert

Es sind weitere Beschränkungen der Datenübermittlung in Länder außerhalb der Europäischen Union geplant, die es Unternehmen erschweren, global zu handeln und außerhalb der Europäischen Union angesiedelte Dienstleister einzusetzen.

Sanktionen werden verschärft

Der Entwurf sieht höhere Bußgelder als das Bundesdatenschutzgesetz vor. Sie sollen bis zu 2% des jährlichen Weltumsatzes eines Unternehmens betragen.

Unsere Meinung dazu:

Sollte der Entwurf – auch nur teilweise – umgesetzt werden, was zu erwarten ist, wird das erhebliche Auswirkungen auf das Datenschutzrecht in Deutschland haben. Unternehmen müssen sich auf große Probleme bei der Umsetzung und Einhaltung der neuen Vorschriften einstellen.

Das Datenschutzrecht wird immer mehr vom bloßen Papiertiger zum echten Haftungsproblem für Unternehmen.

Ob die Verschärfungen angesichts der laufenden Transparenzdebatte und der internationalen Möglichkeiten der Datenerhebung und -verbreitung im Internet zeitgemäß sind, wird zu diskutieren sein.

Dass die europäische Wirtschaft dadurch erhebliche Standordnachteile zu befürchten hat, in Anbetracht der laxen Handhabung solcher Vorgaben in anderen teilen der Welt, dürfte aber auf der Hand liegen.

Der weitere Gesetzgebungsverlauf wird mit Spannung zu verfolgen sein.

Timo Schutt
Rechtsanwalt und Fachanwalt für IT-Recht