Neue Datenschutz-Grundverordnung gilt ab 25. Mai 2018

 
Foto: European Union
 

„Zentrales Moment der neuen EU-Datenschutz-Grundverordnung ist das Prinzip nicht Daten zu schützen, sondern die Personen, denen diese Daten gehören“ stellt Bernd Lange, SPD-Europaabgeordneter und Vorsitzender des Handelsausschusses klar. „Damit wird weltweit erstmalig das Grundrecht auf die eigenen Daten nun in der EU rechtlich verankert.“

 

Am 25. Mai 2018 läuft die Umsetzungsfrist der neuen EU-Datenschutz-Grundverordnung (DSGVO) ab. Bis dahin müssen alle Vorgaben der Verordnung in den Mitgliedsländern der EU umgesetzt sein, dann wird sie scharf gestellt.

Die Regeln für die Verarbeitung personenbezogener Daten durch Unternehmen und öffentliche Stellen in der EU sind nun vereinheitlicht. Die seit 1995 geltende EU-Datenschutzrichtlinie wird durch die neue Verordnung ersetzt. Diese alte Richtlinie erlaubte leider - neben ihren vielen positiven Eckpfeilern - einen großen Ermessensspielraum in den Mitgliedstaaten und in Deutschland mit den 16 verschiedenen Interpretationen in den Bundesländern. Letztendlich gab es einen bunten Flickenteppich. Dies ist angesichts der digitalen Entwicklung völlig absurd. Das ändert sich nun fundamental: Die neue EU-Datenschutz-Grundverordnung wird ab dem 25. Mai 2018 alle bisherigen nationalen Gesetze ersetzen. Es gibt nur noch eine EU-einheitliche Regelung unmittelbar und überall. Diese liegt weitestgehend auf dem Niveau des deutschen Datenschutzrechts, aber natürlich nicht 1:1. Dies ist ein Europäisches Projekt zwischen den EU-Mitgliedstaaten und dem Europäischen Parlament. Im deutschen Recht gab es durchaus Weiterentwicklungsbedarf und die Datenschutz-Grundverordnung hebt auch in Deutschland das Schutzniveau.

So unterliegen nun alle Unternehmen, die Daten außerhalb der EU verarbeiten, ihre Dienste aber auch innerhalb der EU anbieten, dieser Verordnung. Davon betroffen sind insbesondere die bekannten US-Unternehmen.

Nichteinhaltung der Vorgaben der Verordnung ist nun mit Sanktionen belegt, die "wirksam und abschreckend" sein sollen. Wenn sich Unternehmen nicht an die strengen Vorgaben halten, drohen Geldbußen im Extremfall von bis zu vier Prozent des weltweiten Umsatzes des Vorjahres oder 20 Mio. Euro.

Bislang war es für Bürgerinnen und Bürgern aus Deutschland auch nicht nachzuvollziehen, wenn Ihre Daten von Unternehmen und öffentlichen Stellen verarbeitet werden, die nicht in Deutschland ihren Hauptsitz haben, und damit das Datenschutzniveau unterlaufen wurde. Nun ist der gleiche Grundrechtsschutz in allen Teilen der EU hergestellt worden. Dies kommt auch öffentlichen Stellen zu Gute, die bereits heute in zahlreichen Zusammenhängen in Infrastrukturen, Netzwerke und Dienste eingebunden sind, die nicht deutschem Recht unterliegen. Zukünftig können sie darauf vertrauen, dass bei allen Dienstleistungen und Produkten auf dem Europäischen Binnenmarkt derselbe Standard bezüglich des Schutzes personenbezogener Daten gilt.

Lange zeigt sich überzeugt: „Die Datenschutz-Grundverordnung packt gleichzeitig auch die neuen Herausforderungen der fortschreitenden Digitalisierung und Vernetzung an.“ Ein effektives Datenschutz-Managementsystem inklusive Risikoanalysen, Prozessen, Kontrollen und Change Management, wird nun notwendig und gibt Leitplanken für zukünftige Entwicklungen.

„Da das zentrale Moment der Datenschutz-Grundverordnung das Prinzip ist, nicht Daten zu schützen, sondern die Personen, denen diese Daten gehören bzw. diese erzeugen sind Elemente, wie Transparenz; das Recht auf Vergessen, der verpflichtende Löschungswunsch; die Datenübertragbarkeit zwischen verschiedenen Anbietern, eindeutige Verarbeitungseinwilligung und kein heimliches Profiling in der Verordnung integriert,“ so Lange.

Daraus ergeben sich auch technische Anforderungen, die heute häufig bei Hard- und Software-Anbietern keine Rolle spielen. IT-Systeme sind zukünftig nach dem Grundsatz der Erforderlichkeit und der Zweckbindung einzurichten und zu organisieren. Personenbezogene Daten sollten nur in dem Umfang erhoben werden, wie für den konkreten Zweck notwendig ist. „Datenschutz durch Technik“ (data protection by design) und „datenschutzfreundliche Voreinstellungen“ (data protection by default) sind anzugehen.

Beim Datenschutz am Arbeitsplatz gibt es viel Spielraum für Vereinfachungen. So können durch Betriebs- und Dienstvereinbarungen selbstständig Vorgaben zur Verarbeitung von Arbeitnehmerdaten ausgestaltet werden. Grundsätzlich gelten alle Betriebs- und Dienstvereinbarungen sowie Tarifverträge weiter und können Vereinfachungsreglungen entwickeln, sofern sie nicht im Widerspruch zu grundlegenden Vorgaben der neuen EU-Verordnung stehen.

Die neue Datenschutz-Grundverordnung ist wirklich revolutionär. Dies bedeutet aber auch, dass die Anpassung der Datenverarbeitungsprozesse besonders für öffentliche Stellen durchaus erheblich ist. Aber angesichts der fortschreitenden Digitalisierung ist die Notwendigkeit der Reform auch eine Möglichkeit, die Prozesse und Maßnahmen hinsichtlich. der Datenverarbeitung einer Revision zu unterziehen. Der Prozess der Digitalisierung steht im Bereich der Dienstleistungen noch am Anfang. Dort zeichnen sich größte Herausforderungen ab.

„Personenbezogene Daten sind keine Waren, sie sind Persönlichkeitsrechte. Damit ist klar, dass Unternehmen wie Facebook und Co nicht mehr nach der Devise, Daten sind das Öl des 21. Jahrhunderts und wir sind die Ölbarone, vorgehen“, verdeutlicht Lange, „Hier hat sich das Europäische Parlament gegen heftigste Lobbyversuche dieser Möchtegerndatenbarone durchgesetzt und eine zukunftsfitte Gesetzgebung zum Schutz der Bürgerrechte geschaffen.“