Neue EU-Datenschutz-Verordnung

Voraussichtlich im Juni 2016 verabschiedet das EU-Parlament die EU-Datenschutz-Grundverordnung. Die Verordnung soll Datenverarbeitungen künftig in der gesamten Union einheitlich regeln und den bisherigen Flickenteppich nationaler Gesetze zum Umgang mit personenbezogenen Daten ablösen.

Wenn sich Unternehmen nicht an die strengen neuen Vorgaben halten, drohen Geldbußen von bis zu vier Prozent des weltweiten Umsatzes des Vorjahres. Selbst bei kleineren Fehlern drohen Bußgelder von bis zu zwei Prozent des Umsatzes. Bei Unternehmensgruppen werden die Aufsichtsbehörden Geldbußen dabei wohl auf der Basis des Konzernumsatzes berechnen.

Was ändert sich mit dem neuen Recht?

  • Weltweite Geltung: Unternehmen im Ausland müssen den europäischen Datenschutz anwenden, wenn sie Daten von Personen in der EU verarbeiten, um diesen Personen Waren oder Dienstleistungen anzubieten oder das Verhalten von Personen in der Union beobachten.
  • Persönliche Haftung von Datenschützern und Managern: Bislang mussten deutsche Datenschutzbeauftragte lediglich auf das Einhalten der Vorschriften „hinwirken“. Nach dem neuen Recht müssen sie jedoch überwachen, dass alle Regeln auch tatsächlich eingehalten werden. Aber auch Vorstände oder Geschäftsführer sind nicht besser dran. Sie haben schon nach dem bisherigen Recht weitreichende Kontrollpflichten.
  •  Training, Nachweispflichten und Rechenschaft: Auch bei der Dokumentation kommt im Datenschutz viel Arbeit auf die Wirtschaft zu. Diese unscheinbare Veränderung kann in der Praxis sehr teuer werden. Denn den geforderten Beweis, dass man alles richtig gemacht hat, muss man in Prozessen über Bußgelder oder Schadensersatz für Unternehmen erst einmal erbringen.  Das setzt ein effektives Datenschutz Management System voraus – inklusive Risikoanalysen, Trainings, Strukturen, Prozesse, Kontrollen und ein schnelles Change Management beim Datenschutz.
  • Information und Unterrichtung: Unternehmen müssen Personen künftig viel umfassender und früher unterrichten, wenn sie deren Daten verarbeiten.
  • Recht auf Vergessenwerden: Sobald ich personenbezogene Daten nicht mehr benötige, muss ich sie löschen. Wenn ich Daten veröffentlich habe, muss ich die Empfänger, an die ich die Daten weitergegeben habe, darüber informieren, wenn ein Betroffener die Löschung von Links oder Kopien dieser Daten verlangt.
  • Recht auf Kopie und „Datenportabilität“: Ein Betroffener kann von Unternehmen, die seine Daten speichern, verlangen, dass sie ihm eine Kopie sämtlicher gespeicherter Daten geben.
  • Koppelungsverbot bei Einwilligungen: Vertragliche Zusatzleistungen dürfen nicht mehr daran geknüpft werden, dass der Betroffene in die Verarbeitung seiner Daten einwilligt. Das Geschäftsmodell „Dienste gegen Daten“ dürfte über diese Veränderung nicht glücklich sein.
  • Datenschutz-Folgenabschätzungen: Wenn eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge hat, muss das Unternehmen eine umfassende Vorprüfung vornehmen, dokumentieren und gegebenenfalls später mit der Datenschutzbehörde abstimmen.
  • Datenschutz durch Technik: Firmen müssen ihre IT-Systeme so gestalten, dass diese den Anforderungen der Verordnungen entsprechen, als beispielsweise von vornherein nur so wenige Daten sammeln und verarbeiten, wie es zur Erreichung des konkret verfolgten Zwecks nötig ist. Wo dies möglich ist, sollen Daten pseudonymisert werden. Wenn ein Unternehmen nicht die vorgeschriebene Datensicherheit sicherstellt – beispielsweise zur Abwehr von Hackerangriffen -, kann das sehr teuer werden. Hier drohen bei Mängeln Bußgelder von bis zu zwei Prozent des Umsatzes.
  • Datenschutz am Arbeitsplatz: Viele der neuen Regeln hatten die IT-Wirtschaft im Blick und passen daher schlecht zum Datenschutz am Arbeitsplatz. Allerdings kann man in Betriebsvereinbarungen alternative Vorgaben zur Verarbeitung von Arbeitnehmerdaten vereinbaren. Das geht aber nur zusammen mit dem Betriebsrat. Daher verhandeln die ersten Unternehmen jetzt schon mit ihren Arbeitnehmervertretern.