EU-Datenschutzgrundverordnung in Kraft

Die EU-Datenschutzgrundverordnung ist am 25.05.2016 in Kraft getreten. Hier finden Sie den Text in den verschiedenen EU-Amtssprachen.

Die EU-Datenschutzgrundverordnung gilt in allen europäischen Ländern unmittelbar. Das bedeutet: Anders als unter der bisherigen EU-Datenschutz-Richtlinie besteht nicht mehr die Notwendigkeit für die einzelnen EU-Mitgliedstaaten, das europäische Datenschutzrecht nochmals durch ein nationales Gesetz umzusetzen. Allerdings lässt auch die EU-Datenschutzgrundverordnung für bestimmte Bereiche weiterhin nationale Regelungen in den einzelnen EU-Mitgliedsstaaten zu. Dies ist z.B. der Fall beim Beschäftigtendatenschutz oder auch beim betrieblichen Datenschutzbeauftragten.

Nun müssen Unternehmen und sonstige Stellen bis zum 24.05.2018 die Anforderungen der EU-Datenschutzgrundverordnung umzusetzen.

Folgende Änderungen des bislang in Deutschland geltenden Datenschutzrechts sind aufgrund der EU-Datenschutzgrundverordnung absehbar:

  • Der persönliche Anwendungsbereich des Datenschutzrechts wird erweitert: Das Datenschutzrecht richtet sich nicht mehr wie bisher an diejenigen Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen, sondern vielmehr an alle Personen und Stellen, die alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Somit kommt es künftig nicht mehr auf die technische Hoheit über die Datenverarbeitung an, sondern auf die Entscheidungsgewalt.
  • Die EU-Datenschutzgrundverordnung enthält ein abgespecktes „Recht auf Vergessenwerden“. Anders als in den Vorentwürfen zur EU-Datenschutzgrundverordnung findet dieses „Recht auf Vergessenwerden“ seine Grenze in der Meinungs- und Pressefreiheit, wie sie in den einzelnen EU-Mitgliedsstaaten gilt. Damit dürfte sich im Bereich der Löschpflichten von Internetsuchmaschinenbetreibern und sonstigen Internetportalbetreibern im Vergleich zur bisherigen Rechtslage wenig verändern. Auch bisher haben die Gerichte zwischen dem Interesse des Betroffenen auf Löschung der über ihn veröffentlichen Informationen einerseits und der Meinungs- und Pressefreiheit der jeweiligen Portalbetreiber andererseits abgewogen.
  • Erstmals wird es für die datenschutzrechtliche Einwilligung von Minderjährigen eine Altersgrenze geben, bei deren Unterschreitung die Einwilligung unwirksam ist. Die EU-Datenschutzgrundverordnung setzt diese Altersgrenze beim vollendeten 16 Lebensjahr an, die EU-Mitgliedsstaaten können diese Grenze jedoch jeweils auf 13 Jahre senken.
  • Es wird ein Widerspruchsrecht gegen technische Profiling-Vorgänge geben. Unter Profiling versteht die EU-Datenschutzgrundverordnung jede automatisierte Verarbeitung von personenbezogenen Daten, um bestimmte Lebensumstände einer Person systematisch zu untersuchen (wie z.B. Arbeitsleistung, wirtschaftliche Situation, Gesundheit, persönliche Interessen, Zuverlässigkeit, Verhalten oder räumliche Bewegungen). Somit fallen auch beispielsweise Vorgänge wie die Erfassung von Standortdaten oder auch das Scoring für Zwecke der Kreditvergabe unter das sogenannte Profiling. Die Betroffenen können dem Profiling widersprechen, jedoch nur, soweit die Stelle, die für das Profiling verantwortlich ist, kein Interesse hat, dass das Interesse des Betroffenen an der Beendigung des Profilings überwiegt.
  • Der Datentransfer in Länder, die nicht Mitglied der Europäischen Union oder des europäischen Wirtschaftsraumes sind, wird vereinfacht.
  • Auch im Bereich der Auftragsdatenverarbeitung sind mit der EU-Datenschutzgrundverordnung Vereinfachungen zu erwarten, insbesondere bei den bürokratischen Anforderungen an die Verwaltung der Auftragsdatenverarbeitung in Unternehmen und Unternehmensgruppen.
  • Die verantwortlichen Stellen müssen den Betroffenen in der Regel eine elektronische Möglichkeit zur Geltendmachung der Rechte auf Auskunft, Berichtigung, Löschung, Übertragbarkeit von Daten und auf Widerspruch einräumen. Daneben wird es feste Fristen geben, binnen derer die verantwortlichen Stellen diese Ansprüche erfüllen müssen (ein Monat plus Verlängerungsmöglichkeit um maximal zwei weitere Monate).
  • Auf Unternehmen kommt eine Pflicht zur datenschutzrechtlichen Folgenabschätzung zu. Diese trifft Unternehmen z.B. beim Einsatz neuer Technologien. Die Unternehmen müssen dabei die Folgen der vorgesehenen Datenverarbeitungsvorgänge auf die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen abschätzen. Bei hohen Risiken für die Freiheitsrechte der Betroffenen muss die verantwortliche Stelle neben der Datenschutzfolgenabschätzung zudem die zuständige Datenschutzaufsichtsbehörde konsultieren.
  • Die Sanktionen bei Datenschutzrechtsverstößen werden drastisch verschärft. Unter dem Bundesdatenschutzgesetz konnten die zuständigen Bußgeldstellen bisher Bußgelder von maximal EURO 300.000 im Einzelfall verhängen. Künftig sind Bußgelder von bis zu
    20 Millionen EURO oder 4% des weltweiten Jahresumsatzes der verantwortlichen Stelle möglich (je nachdem, welcher Betrag höher ist).
  • Die Datenschutzaufsicht wird reformiert. Grundsätzlich wird künftig die Datenschutzaufsichtsbehörde am Hauptsitz der verantwortlichen Stelle zuständig sein. Diese hat jedoch die Pflicht, sich mit anderen Datenschutzaufsichtsbehörden abzustimmen, in deren örtlichen Zuständigkeitsbereich die betreffenden Datenerhebungs-, Verarbeitungs- oder Nutzungsvorgänge fallen. Können sich die unterschiedlichen Aufsichtsbehörden nicht einigen, entscheidet ein sogenannter Europäischer Datenschutzausschuss.
  • Künftig wird es im Datenschutzrecht eine Art „Class Action“ geben. Einrichtungen, Organisationen und Verbände, die im öffentlichen Interessen handeln, können künftig von Datenschutzverletzungen betroffene Personen bündeln und für diese kollektiv gegen Aufsichtsbehörden oder gegen die Verletzer klagen.
Dieser Beitrag wurde unter Datenschutzrecht, Datensicherheit, IT-Sicherheit abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Die Kommentarfunktion ist geschlossen.