NSA-Affäre als Beschleuniger?
Die Mitgliedsstaaten der Europäischen Union planen seit geraumer Zeit, einen Rechtsrahmen für den Schutz personenbezogener Daten bei der Verarbeitung durch private Unternehmen zu schaffen. Die sogenannte Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, kurz: „Datenschutz-Grundverordnung“ ist Teil dieser Datenschutz-Reform. Vielleicht führte die NSA-Affäre Ende 2013 zu der Entscheidung des Europäischen Parlaments, das diesbezügliche Gesetzgebungsverfahren zu beschleunigen.
An aktuelle Herausforderungen angepasst
Die neue Verordnung soll den Herausforderungen des Datenschutzes Rechnung tragen, die durch den raschen technologischen Fortschritt entstanden sind. In dem Vorschlag der Europäischen Kommission für eine Verordnung des Europäischen Parlaments und des Rates heißt es:
„Das Ausmaß, in dem Daten ausgetauscht und erhoben werden, hat rasant zugenommen. Die Technik macht es möglich, dass Privatwirtschaft und Staat im Rahmen ihrer Tätigkeiten in einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen. Zunehmend werden auch private Informationen ins weltweite Netz gestellt und damit öffentlich zugänglich gemacht. Die Informationstechnologie hat das wirtschaftliche und gesellschaftliche Leben gründlich verändert.
Die wirtschaftliche Entwicklung setzt Vertrauen in die Online-Umgebung voraus.
Verbraucher, denen es an Vertrauen mangelt, scheuen Online-Einkäufe und neue Dienste. Hierdurch könnte sich die Entwicklung innovativer Anwendungen neuer Technologien verlangsamen. Der Schutz personenbezogener Daten spielt daher eine zentrale Rolle…“
Ziel des Regelwerks ist es daher zum Einen, dem Einzelnen mehr Kontrolle über seine persönlichen Daten zu geben. Zum Anderen soll die Gewährleistung eines einheitlichen und freien Datenverkehrs innerhalb des Europäischen Binnenmarktes den Unternehmen das grenzüberschreitende Arbeiten vereinfachen.
Inhalte der Datenschutzgrundverordnung
Daten im Netz sollen besser geschützt werden durch
- das Recht auf Löschung der persönlichen Daten
- strengere Grenzen für die Erstellung, Aktualisierung und Verwendung von Profilen, im Rahmen des „Profiling“
- das Erfordernis der eindeutigen Zustimmung des Betroffenen zur Verarbeitung personenbezogener Daten durch einen Internetprovider
- und – als Kernpunkt der Verordnung – die Regelung von Datenübermittlungen durch Unternehmen an Nicht-EU-Staaten. Dies soll in Zukunft nur noch mit vorheriger Genehmigung einer nationalen Datenschutzbehörde möglich sein. Der Betroffene muss über die beantragte Genehmigung informiert werden.
Bei Verletzung der genannten Regeln drohen den Unternehmen Geldstrafen bis zu 100 Millionen Euro oder bis zu vier Prozent vom Jahresumsatz.
Anwendungsbereich
Das Europäische Datenschutzrecht soll grundsätzlich bereits dann Anwendung finden, wenn Daten eines europäischen Bürgers verarbeitet werden sollen. Dies trifft praktisch auf jedes Unternehmen zu, das außerhalb Europas sitzt und einen Großteil seines Geschäfts mit Daten europäischer Bürger macht.
Praxishinweise
Ob die Verordnung wie anvisiert tatsächlich noch 2014 in Kraft tritt, bleibt abzuwarten. Zuvor muss sie noch das weitere Gesetzgebungsvorhaben der EU durchlaufen.
Zwar soll sie dann – im Gegensatz zu ihrem Vorgänger, der 1995 erlassenen Richtlinie 95/46/EG (Datenschutzrichtlinie) – ohne weiteren Umsetzungsakt unmittelbar in den Mitgliedsstaaten gelten. Jedoch müssen die Behörden der Mitgliedsstaaten ihre Mitarbeit auch in der praktischen Anwendung garantieren.
Quellen
Klinger, Markus: Vorschlag zur EU-Datenschutz-Grundverordnung i.d.F. des EU-Parlaments – Auswirkungen auf datenverarbeitende Unternehmen im Überblick, jurisPR-ITR 6/2014 Anm. 2 vom 28.03.2014