Datenschutz – Das kommt auf die Unternehmen zu

Die DSGV betrifft sowohl Unternehmen mit Sitz innerhalb der EU als auch Unternehmen außerhalb der EU, sofern deren Aktivitäten auf EU-Bürger abzielen. Folgende Kernpunkte der vorgestellten DSGV sind besonders relevant:

■ Deutlich erweiterter Anwendungsbereich auch auf Unternehmen außerhalb der EU: Die DSGV würde für alle Unternehmen gelten, die ihre Waren bzw. Dienstleistungen Bürgern in der EU anbieten oder das Verhalten von EU-Bürgern beobachten. Dies gilt auch, wenn die eigentliche Datenverarbeitung außerhalb der EU stattfindet.

■ Strengere Anforderungen an die Wirksamkeit einer Einwilligung, die ausdrücklich erteilt werden muss („Opt-In“).

■ Erweiterte Pflichten: Der Entwurf der DSGV enthält erweiterte Verpflichtungen für Unternehmen. Dabei handelt es sich im Wesentlichen um Vorgaben zur Umsetzung von Informationspflichten und Auskunftsansprüchen (Art. 12), erweiterte Informationspflichten (Art. 14), unbeschränkte Auskunftsansprüche (Art. 15), umfassende Dokumentationspflichten für Datenverarbeitungsvorgänge (Art. 28), die Verpflichtung zur Meldung von Datenschutzverstößen gegenüber den Aufsichtsbehörden innerhalb von 24 Stunden nach Feststellung eines Verstoßes (Art. 31) sowie in bestimmten Fällen auch gegenüber den Betroffenen (Art. 32). Darüber hinaus besteht die Verpflichtung zur Vornahme von so genannten Folgenabschätzungen vor Beginn von Datenverarbeitungsvorgängen, die besondere Risiken aufweisen (Art. 33) sowie die Verpflichtung, Aufsichtsbehörden in bestimmten Fällen zu konsultieren oder eine Genehmigung einzuholen (Art. 34).

Eingeschränkte Datenverwendung

Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten dürfte in den meisten Fällen hinter der derzeitigen Regelung im Bundesdatenschutzgesetz zurückbleiben, denn die Verpflichtung soll in der Regel erst bei Unternehmen mit 250 Mitarbeitern gelten und nicht bereits dann, wenn – wie nach derzeit bestehendem deutschen Recht – zehn Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Zudem sieht die Verordnung stärkere Kontrollmöglichkeiten des Einzelnen und Beschränkungen der Unternehmen in der Verwendung der Daten vor. Das dürfte an vielen Stellen zu einer Einschränkung der Unternehmen bei der Datenverwendung führen, wie sich an den folgenden Punkten zeigt: Zum einen sollen die Betroffenen das Recht haben, ihre Daten löschen zu lassen („right to be forgotten“).

Zum anderen müssen Unternehmen ihr Angebot so gestalten, dass den datenschutzrechtlichen Anforderungen Genüge getan wird (privacy by design). Zudem müssen Unternehmen ihre Angebote auf der höchsten Schutzstufe voreinstellen (privacy by default). Dabei müssen sie die Grundeinstellungen für ihr Angebot so wählen, dass personenbezogene Daten nicht einer unbestimmten Vielzahl von Personen zugänglich gemacht werden. Besondere Praxisrelevanz dürfte dies für soziale Netzwerke und ähnliche Dienste haben. Sofern der Betroffene dies wünscht, ist das Unternehmen verpflichtet, die Daten vollständig auf elektronischem Weg an ein anderes Unternehmen (etwa einen Wettbewerber) zu übertragen.

Die DSGV enthält zudem zahlreiche Beschränkungen für die Verwendung von Daten von Personen unter 18 Jahren. So soll etwa bei Kindern unter 13 Jahren eine Datenverarbeitung nur mit Einwilligung der Eltern zulässig sein. Dies dürfte in der Praxis mangels praktikabler Altersverifikationssysteme zu erheblichen Umsetzungsproblemen führen.

Verschärfte Sanktionen und One-Stop-Shop-Prinzip

Die DSGV sieht höhere Bußgelder als das bestehende Recht vor. Bußgelder sollen, abhängig von der Schwere des Verstoßes, bis zu 2% des weltweiten Jahresumsatzes eines Unternehmens betragen. Das so genannte One-Stop-Shop- Prinzip soll für Unternehmen mit mehreren Niederlassungen innerhalb der EU gelten. Diejenige Aufsichtsbehörde des Mitgliedstaates, in dem das Unternehmen seinen Hauptsitz bzw. seine Hauptniederlassung hat, soll für die Überwachung der Datenverarbeitung zuständig sein.

Die nächsten Schritte

Der Entwurf bedarf der Zustimmung des EU-Parlaments und des EU-Ministerrats. Die DSGV wäre zwei Jahre nach deren Inkrafttreten in allen Mitgliedstaaten unmittelbar durchsetzbar. Auch wenn es bis dahin noch einige Zeit dauern dürfte, sollten Unternehmen, insbesondere auch solche mit Sitz außerhalb der EU, angesichts der erheblichen Änderungen und Beschränkungen bereits jetzt die möglichen Auswirkungen auf ihr Unter-
nehmen und auch auf künftige Geschäftsbereiche prüfen.