Nächstes Jahr wird die neue Datenschutzverordnung der EU verabschiedet. Ab 2018 werden dann einheitliche Regeln zum Datenschutz in Europa gelten. Die europäischen Institutionen haben sich vor wenigen Tagen geeinigt, das 20 Jahre alte Datenschutzrecht zu reformieren. Auf datenverarbeitende Unternehmen kommen gewaltige Änderungen zu.

 

Mehr Schutz für den Einzelnen, mehr bürokratische Pflichten für Unternehmen

Ziel der Verordnung ist es, die Grundrechte der Unionsbürger bei der Datenverarbeitung zu schützen. Bürger haben fortan mehre Rechte, Daten löschen zu lassen und zu erfahren, was für Daten über sie gespeichert sind. Für Unternehmen bedeutet dies, dass sie zahlreiche neue Informations-, Hinweis- und Dokumentationspflichten beachten müssen. Vorgaben zur technischen Absicherung der Datenverarbeitung wie Pseudonymisierungen oder Verschlüsselungen sind ebenfalls vorgesehen.

Unternehmen dürfen zwar weiterhin personenbezogene Daten verarbeiten, allerdings bedarf es dazu meistens der Einwilligung des Betroffenen für einen bestimmten Zweck; in bestimmten Konstellationen ist selbst die Einwilligung ausgeschlossen. Da die Verordnung diesbezüglich viele unklare Bestimmungen enthält, besteht die Gefahr, dass für wirksam gehaltene Einwilligungen von Gerichten gleichwohl für unwirksam erklärt werden.

 

Hohe Strafen

Sollten Unternehmen gegen die Datenschutzregeln verstoßen, drohen bald massive Sanktionen. Ähnlich wie im Kartellrecht können Aufsichtsbehörden nun Strafen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens aussprechen. Auch deshalb ist es für Unternehmen noch wichtiger, regelmäßig Compliance-Audits durchzuführen, um das Risiko von Verstößen zu minimieren. Dies gilt nicht nur für in Deutschland beheimatete Unternehmen, sondern für den gesamten Raum der Europäischen Union. Die Datenschutzverordnung legt für alle Mitgliedstaaten einheitliche Standards fest und weitet damit den Anwendungsbereich aus.

Des Weiteren können Verstöße von Betroffenen zukünftig bei ihrer jeweiligen nationalen Datenschutzbehörde angezeigt werden, auch wenn das Unternehmen gar nicht in diesem Mitgliedstaat vertreten ist. Damit wird es schwieriger, einer allzu strengen Kontrolle zu entgehen, indem der Ort der Datenverarbeitung verlagert wird. Dass nach europäischem Recht selbst die Datenverarbeitung in den USA rechtswidrig sein kann, hat das Safe Harbor-Urteil gezeigt und deutet auch ein Urteil des Europäischen Gerichtshofs für Menschenrechte für Russland an. Hierzu wird es im nächsten Jahr sicherlich einiges Neues geben.

 

Mehr Gerichtsverfahren

Die Verordnung sieht ein Klagerecht von Verbänden gegen Unternehmen vor, wenn diese gegen Datenschutzbestimmungen verstoßen, auch wenn der Verband selbst davon gar nicht betroffen ist. Im Bundestag wird bereits jetzt über einen entsprechenden Gesetzentwurf beraten, der ebenfalls im nächsten Jahr in Kraft treten könnte. Des Weiteren werden Betroffene zukünftig Schadenersatz bei Datenschutzverstößen einfacher einklagen können. Damit steigt das Risiko für Unternehmen, sich wegen ihrer Datenverarbeitung vor Gericht verteidigen zu müssen.

 

Betrieblicher Datenschutzbeauftragter

Neuerungen gibt es auch bezüglich des betrieblichen Datenschutzbeauftragten. Unternehmen sind nun auch im europäischen Recht verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen. Dieser muss über eine professionelle Qualifikation und rechtliche Expertise im Datenschutz verfügen sowie mit den technischen Anforderungen umgehen können. Unternehmen können hierzu ihre Mitarbeiter schulen oder einfach einen auf das Datenschutzrecht spezialisierten Anwalt als betrieblichen Datenschutzbeauftragten benennen.

 

Datenschutzsiegel

Die Datenschutzgrundverordnung sieht auch ein Europäisches Datenschutzsiegel vor. Dieses soll belegen, dass europäische Datenschutzstandards eingehalten werden. Die auch von der Datenschutzkanzlei getragene „Gesellschaft für transparenten Datenschutz“ hat bereits ein Siegel entwickelt, mit dem Unternehmen ihren Kunden gegenüber zeigen können, dass sie die Daten ihrer Kunden im Einklang mit geltendem Recht nutzen.

 

Handlungsbedarf

Die beschriebenen Änderungen sind nur ein Ausschnitt der mehr als 200 Seiten füllenden EU-Datenschutzverordnung. Auch wenn diese erst in zwei Jahren bindend ist, sollten Unternehmen angesichts der grundlegenden und langwierigen Dauer von Umstellungsprozessen bereits jetzt beginnen, ihre Datenverarbeitungen an die neuen Regelungen anzupassen.

Autor: Malte Kröger