Wissenswertes zur neuen EU-Datenschutzverordnung

Die EU-Datenschutzverordnung ist zurzeit bereits in aller Munde. Am 12. März 2014 hat das EU-Parlament einen Entwurf für eine EU-weite Datenschutzverordnung auf den Weg gebracht, die insbesondere die Verbraucherrechte schützen und stärken soll. Sie als Unternehmen müssen sich bereits jetzt auf Anforderungen einstellen. Zwar befindet sich aktuell die Verordnung noch im Abstimmungsprozess bei den einzelnen Organen der Europäischen Union. Jedoch lassen sich bereits jetzt aus dem Entwurf des Europaparlaments wichtige Eckfeiler entnehmen, die in diesem Beitrag dargestellt werden sollen. Eine abschließende und endgültige Aussage zu dem Umfang der Änderungen ist noch nicht ersichtlich, da aktuell erheblicher Änderungsbedarf zu bestehen scheint.

Europaweite Auskunftspflicht

Was deutsche Unternehmen bereits aufgrund der gesetzlichen Regelungen des Bundesdatenschutzgesetzes (BDSG) aus § 34 kennen, wird demnächst europaweit eingeführt werden. Nach deutschem Recht haben so genannte Betroffene den Anspruch, gegenüber dem Unternehmen, das personenbezogene Daten erhoben hat, einen Auskunftsanspruch geltend zu machen. Dies soll europaweit eingeführt werden.

Datenschutzbeauftragte europaweit

Ferner ist im Rahmen des Europaparlaments die Planung vorhanden, dass größere Unternehmen, die Datensätze von mehr als 5.000 Kunden innerhalb eines Zeitraumes von zwölf Monaten verarbeiten und zuvor erhoben haben, einen betrieblichen Datenschutzbeauftragten stellen müssen – ob und inwieweit diese Verpflichtung durchgreifend sein wird, ist fraglich.

Im Europarat (Ministervertretung) wird nunmehr die Frage diskutiert, ob und inwieweit dies nur erforderlich ist, wenn dies national durch gesetzliche Vorgaben in den einzelnen Mitgliedsstaaten der EU geregelt wird. Damit weichen die geplanten Neuregelungen von den aktuellen Vorgaben des deutschen Gesetzgebers im BDSG ab. Dort wird ausdrücklich an die Personenanzahl, die mit personenbezogenen Daten umgehen, die Pflicht zur Meldung oder Bestellung eines betrieblichen Datenschutzbeauftragten geknüpft. Künftig kann auch ein E-Commerce-Anbieter, der an mehr als 5.000 verschiedene Kunden liefert, unter die Verpflichtung fallen. Es bietet sich an, sich bereits jetzt auf diese Erfordernisse einzustellen.

Umfangreiche Handlungspflichten gegenüber Kunden

Ebenso möchte das Europaparlament erreichen, dass bei Sicherheitslücken, die zu Datenverlusten in umfangreicher Art und Weise führen, die betroffenen Personen und die Aufsichtsbehörde sofort verständigt werden sollen. Nicht mehr ausreichend sein soll, dass eine E-Mail, die Monate nach einem Verstoß versandt wird, darüber informiert.

Der EU-Rat mit den zuständigen Ministern möchten dies jedoch nunmehr dahingehend eine Verpflichtung aufnehmen, dass Datenschutzpannen nicht öffentlich gemacht werden sollen, wenn die entsprechenden abhandengekommenen personenbezogenen Daten verschlüsselt durch das Unternehmen gespeichert worden sind. Ebenfalls ist vorgesehen, dass bei Datenschutzpannen betroffene Personen künftig einen Anspruch auf immateriellen Schadensersatz haben, wenn und soweit es durch die Datenpanne zu entsprechenden Ansprüchen kommen kann. Auch Daten von Kindern sollen besonders geschützt werden. Personenbezogene Daten von Kindern, die das dreizehnte Lebensjahr noch nicht vollendet haben, sollen nur mit Zustimmung der erziehungsberechtigten Person(en) erhoben werden dürfen.

Vorgesehen ist nach dem Willen der EU-Parlamentarier auch, dass Unternehmen ihren Kunden auf Anfrage die von dem Unternehmen erhobenen und verarbeiteten Daten in elektronischer Form zur Verfügung stellen müssen. Hintergrund ist, dass etwa die Portierung von Daten zwischen verschiedenen sozialen Netzwerken ermöglicht werden soll.

Unternehmensneustrukturierung erforderlich

Künftig sollen nach dem Willen der Europaparlamentarier sämtliche Unternehmen den Umgang mit Daten und Datenschutzvorstellungen beweisen können. Unternehmen sollen organisatorische und technische Maßnahmen ergreifen, damit die genutzten Systeme personenbezogene Daten entsprechend schützen, wenn und soweit diese dort verarbeitet werden. Die entsprechenden Vorgaben sollen alle zwei Jahre überprüft und gegebenenfalls nach Auffälligkeiten bearbeitet werden.

Zu diesem Zweck wird eine zentrale Aufsichtsbehörde in der Europäischen Union geschaffen, die die Einhaltung der Datenschutzregeln europaweit überwachen soll. Auch europäische Unternehmen, die einen Firmensitz außerhalb der EU haben, sollen sich künftig an die europäischen Regelungen zum Datenschutz halten. Nach Willen der Parlamentarier soll dies alle Unternehmen betreffen, die sich mit ihrem Angebot von Waren und Dienstleistungen an den Verbraucher richten oder aber das Nutzerverhalten überwachen (etwa Anbieter von Analyseprogrammen oder Retargeting-Diensten). Diese sollen nicht ohne weiteres vorhandene Daten von Personen und somit personenbezogene Daten an Dritte weitergeben können. In diesem Zusammenhang soll auch ein sogenanntes Konzernprivileg in das Datenschutzrecht eingeführt werden.

Dieses soll Unternehmen, die über einen Konzernverbund miteinander verbunden sind, die Datenweitergabe erleichtern. Dies aber auch nur eingeschränkt dann, wenn eine angemessenes Datenschutzniveau bei allen Unternehmen (zum Beispiel durch Verträge oder Branchenvereinbarungen) die Daten sichert.

Umfangreiche persönliche Verpflichtungen von Unternehmern

Künftig gewünscht ist auch, dass Unternehmensverantwortliche vor der entsprechenden Verarbeitung von Daten eine Risikoanalyse vornehmen und die Analyse der möglichen Folgen einer Datenpanne bereits vorab durchführen und planen müssen. Eine solche Risikoanalyse muss kontinuierlich durch das Unternehmen überprüft und aktualisiert werden, um Datenschutzpannen möglichst vermeiden zu können. Vorgesehen ist, dass Unternehmen alle zwei Jahre ihre internen Maßnahmen zum Datenschutz und damit Compliance in diesem Bereich überarbeiten und gegebenenfalls anpassen sollten.

Dies dürfte für alle Unternehmen der wesentliche Tätigkeitsschwerpunkt sein, da es insoweit nicht mehr damit getan ist, mit einem betrieblichen Datenschutzbeauftragten und einem IT-Sicherheitsbeauftragten zu arbeiten, sondern auch Neustrukturierungen im Rahmen des Unternehmens vorzunehmen, um die neuen Pflichten kontinuierlich aufrechtzuerhalten.

Neu soll ebenfalls eine weitergehende Haftung des Auftragsdatenverarbeiters gegenüber dem Betroffenen sein. Aktuell sieht das BDSG vor, dass nur ein Anspruch gegenüber dem Unternehmen besteht, das Daten erhoben hat. Diese Haftung auch auf Schadensersatz soll auf das Unternehmen ausgedehnt werden, das im Rahmen der Auftragsdatenverarbeitung tätig wird. Dabei soll es aber auch die Möglichkeit der Entlastung sowohl für den Auftragsdatenverarbeiter und auch das datenerhebende Unternehmen geben, wenn der Nachweis gelingt, dass diese kein Verschulden an dem Ereignis trifft, das den Schaden ausgelöst hat. Die Haftung solle dabei in voller Höhe je Unternehmen gelten.

Umfangreiche Unterrichtungspflichten – Datenschutzerklärung muss überarbeitet werden

Ebenfalls ist vorgesehen, dass umfangreiche Unterrichtungspflichten zugunsten der Kunden und damit Betroffenen eines Datenerhebungsvorgangs geschaffen werden. Dies ist auch bereits aus dem deutschen Recht bekannt, wird europaweit jedoch nicht entsprechend gehandhabt. Somit sollen im Rahmen der datenschutzrechtlichen Informationen die Angaben erfolgen, wie die Daten verarbeitet werden, welche Rechte ein Betroffener hat, wie zum Beispiel auch das Recht auf Löschung von Daten zu erfolgen hat. Diese Angaben sollen leicht verständlich und für Kunden gut sichtbar vorhanden sein. Auch dies ist aus dem deutschen Recht bereits bekannt, entsprechend muss dies auch auf andere Länder angewandt werden.

Nach dem Willen der Parlamentarier sollen Anbieter verpflichtet werden, neben der Datenschutzerklärung selbst eine Tabelle zu platzieren. Hier stellen sich die Parlamentarier vor, dass mit Darstellungen, die etwa aus dem Straßenverkehr bekannt sind, in Form von Hinweisschildern dem Nutzer plakativ erklärt wird, wie mit personenbezogenen Daten umgegangen wird und wie der Vorgang der Datenerhebung und Datennutzung ist. Zudem sollen Unternehmen tatsächliche und technische Vorkehrungen dahingehend treffen, wie der Betroffene Ansprüche geltend machen und so seine Auskunft zum Datenbestand verlangen oder die Löschung der Daten beantragen kann.

Dazu soll das Unternehmen ein elektronisches Verfahren einrichten und dafür Sorge tragen, dass eine Anfrage eines Betroffenen grundsätzlich innerhalb einer Frist von 40 Kalendertagen (ACHTUNG: nicht Werktage) bearbeitet wird.

 Folgen – drastische Bußgelder vorgesehen

Die wohl wichtigste Folge der EU-Datenschutzverordnung ist, dass massive Verstöße durch drastische Bußgelder geahndet werden können. Nach den vorliegenden Wünschen des Europaparlaments sollen Bußgelder bis zu 100 Millionen Euro oder fünf Prozent des Jahresumsatzes des Unternehmens betragen. Gerade für Unternehmen, die nicht Milliardenumsätze tätigen, ist hier bereits mit einem fünfprozentigen Jahresumsatz eine erhebliche Forderung begründet.

EU-Rat will erheblich einschränken

Wie aktuell bekannt wurde, möchte der Rat der Innen- und Justizminister der EU erhebliche Einschränkungen vornehmen. Technische und organisatorische Schutzmaßnahmen sind insbesondere für gefährdete Personen von personenbezogenen Daten gedacht. Dies betrifft zum Beispiel Gendaten, Angaben zur ethnischen Herkunft oder politischen Meinung. Bei weniger risikobehafteten Daten sollen Unternehmen nach dem Willen der Minister von Pflichten befreit werden, Datenschutzanalysen vorzunehmen oder Verstöße zu melden.

Praxistipp

Unternehmen sollten sich bereits heute auf die möglichen Grundzüge einer EU-Datenschutzverordnung einstellen. Ob und inwieweit in welchem Umfang die Wünsche des Europaparlaments umgesetzt werden, bleibt abzuwarten. Es kann jedoch nicht schaden, als deutsches Unternehmen, das im Ausland tätig ist, sich bereits auf umfangreiche Änderungen einzustellen und dort analog zum deutschen Recht das deutsche Recht Anwendung finden zu lassen. Sobald die EU-Datenschutzverordnung veröffentlicht wird, ist mit einer gewissen Umsetzungsfrist zu rechnen. Diese soll nach dem Willen der Europaparlamentarier ein bis zwei Jahre betragen. Unmittelbar nach der Verabschiedung sollten allerspätestens dann die Unternehmer anfangen, intern die Umsetzungsmaßnahmen vorzunehmen.

Autor: Rolf Albrecht ist in der Kanzlei volke2.0 tätig. Als Fachanwalt für gewerblichen Rechtsschutz und Fachanwalt für Informationstechnologierecht (IT-Recht) betreut er Onlineshops vor allem in Fragen des Wettbewerbs- und Markenrechts. Rolf Albrecht ist weiter Lehrbeauftragter an der Hagen Law School.  Kontakt: www.volke2-0.de

Dieser Beitrag erschien erstmals im e-commerce Magazin 01/2015.