Montag, 08.02.2016
EU-Datenschutz: So bald der Entwurf vom EU-Parlament beschlossen wurde, gilt europaweit ein neues Recht für den Datenschutz.  Foto Europäisches Parlament

EU-Datenschutz: So bald der Entwurf vom EU-Parlament beschlossen wurde, gilt europaweit ein neues Recht für den Datenschutz. Foto Europäisches Parlament

Recht & Steuern
Die EU-Datenschutz-Grundverordnung kommt

EU-Datenschutz: Was Unternehmen wissen müssen

Die EU-Datenschutz-Grundverordnung verlangt von Unternehmen mehr Aufwand für den Schutz personenbezogener Daten.

Auf eine endgültige Fassung der neuen Datenschutz-Grundverordnung einigten sich EU-Kommission, EU-Parlament und Vertreter der Mitgliedsstaaten am 15.Dezember 2015. Zwar muss der beschlossene Entwurf noch formell vom EU-Parlament angenommen werden – dies gilt aber als sicher. Die Verordnung tritt dann voraussichtlich im Jahr 2018 in Kraft.

EU-Datenschutz: Was ändert sich für Unternehmen?

Dr. Reemt Matthiesen ist Rechtsanwalt in der Wirtschaftskanzlei CMS Hasche Sigle und spezialisiert auf Datenschutzrecht und das Recht der IT-Sicherheit.  Foto CMS

Dr. Reemt Matthiesen ist Rechtsanwalt in der Wirtschaftskanzlei CMS Hasche Sigle und spezialisiert auf Datenschutzrecht und das Recht der IT-Sicherheit. Foto CMS

 

Die EU Datenschutz-Grundverordnung löst die seit 1995 geltende EU-Datenschutzrichtlinie ab. Anders als diese gilt die Grundverordnung unmittelbar in allen Mitgliedsstaaten der Europäischen Union – nur in wenigen Bereichen hat der nationale Gesetzgeber noch einen Ausgestaltungsspielraum. Damit wird auch das in Deutschland bislang geltende Bundesdatenschutzgesetz in großen Teilen obsolet.

Auch wenn die anwendbaren Vorschriften dadurch vollständig ersetzt werden, bedeutet dies aber keine grundlegende Umwälzung des Datenschutzes. Viele der auch schon bislang bekannten Prinzipien sind weiterhin anwendbar, wie etwa die Datensparsamkeit oder das Gebot der zweckgebundenen Nutzung. Der Teufel steckt allerdings im Detail. Daneben wurden viele neue Regelungen geschaffen oder bestehende modifiziert. Die Änderungen sind für Unternehmen teilweise erleichternd (etwa im Bereich der Werbung), teilweise werden aber auch höhere Hürden aufstellen (beispielsweise bei Big Data Analysen oder bei der Datenverarbeitung zu Forschungszwecken).

Welcher Handlungsbedarf besteht für Unternehmen bis 2018?

Praktisch jedes Unternehmen verarbeitet personenbezogene Daten, teils im großen Stil ( wie Facebook), teils nur als Beiwerk (Personal- oder Kundendatenverwaltung eines Handwerksbetriebs).

All diese Unternehmen müssen die Erhebung, Verarbeitung und Nutzung von Daten rechtlich auf den Prüfstand stellen. Dies kann massive Eingriffe in die technische Gestaltung der Datenverarbeitungsprozesse zur Folge haben.

Bedeutet die Neufassung mehr Bürokratie für Unternehmen?

Dr. Markus Kaulartz ist Rechtsanwalt in der Wirtschaftskanzlei CMS Hasche Sigle und spezialisiert auf Datenschutzrecht und das Recht der IT-Sicherheit.     Foto CMS

Dr. Markus Kaulartz ist Rechtsanwalt in der Wirtschaftskanzlei CMS Hasche Sigle und spezialisiert auf Datenschutzrecht und das Recht der IT-Sicherheit. Foto CMS

Durch die unmittelbare Geltung der Verordnung in allen EU-Mitgliedsstaaten wird zunächst ein europaweit einheitlicher Rechtsrahmen geschaffen, was für international agierende Unternehmen zu einem erheblichen Bürokratieabbau führen wird. Gerade für Unternehmensgruppen wird sich überdies vorteilhaft auswirken, dass meist nur noch eine einzige Aufsichtsbehörde für sie zuständig ist ("One-Stop-Shop").

Einen Datenschutzbeauftragten müssen kleine und mittlere Unternehmen nur noch bestellen, wenn die Datenverarbeitung ihre Haupttätigkeit ist. Im Übrigen tritt an die Stelle des Datenschutzbeauftragten die direkte Kommunikation mit den Behörden. Da hier allgemein eine anfängliche Überlastung der Behörden befürchtet wird, rechnen viele Unternehmen mit Verzögerungen bei der Schaffung neuer Datenverarbeitungsprozesse.

Die bislang in Teilbereichen bestehende Meldepflicht entfällt, was den kleinen und mittleren Unternehmen 130 Millionen Euro einsparen soll. Andererseits müssen Datenschutzverstöße künftig binnen 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden – eine vergleichbare Pflicht gab es bislang nur bei besonderen Datenarten.

Haben die neue Regelungen Auswirkungen auf die andauernden Safe-Harbor-Verhandlungen?

Die Vorschriften zum grenzüberschreitenden Datentransfer in Drittländern sind vergleichbar zu den geltenden Regelungen in der Datenschutzrichtlinie und dem Bundesdatenschutzgesetz. Auf die Verhandlungen zu einem neuen Safe-Harbor-Abkommen haben sie keinen direkten Einfluss, können aber als politisches Signal gedeutet werden.


Worauf Mittelständler besonders achten müssen

Obwohl die neue Datenschutz-Grundverordnung erst im Jahr 2018 in Kraft tritt, wirft sie schon heute ihre Schatten voraus: Wegen der Auswirkungen auf die Art und Weise der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten sollten Unternehmen die verbleibende Zeit nicht ungenutzt verstreichen lassen, sondern ihre Prozesse frühzeitig auf den Prüfstand stellen.

Dies gilt auch für jene Mittelständler, die datenschutzrechtliche Vorgaben bislang eher vernachlässigt haben.