Entwurf einer EU-Datenschutz-Grundverordnung

Die EU-Kommission hat am 25.01.2012 den Entwurf einer Datenschutz-Grundverordnung vorgelegt. Die geplante Verordnung zielt auf einen einheitlicheren Datenschutz und einen erleichterten Datenfluss innerhalb der EU ab. Um dieses Ziel zu erreichen, soll der europäische Datenschutz künftig nicht mehr wie bislang in Form einer EU-Richtlinie, deren Vorgaben die einzelnen Mitgliedsstaaten durch nationale Gesetze umsetzen, geregelt werden. Mit der geplanten Regelung in einer EU-Verordnung würden die datenschutzrechtlichen Vorschriften vielmehr unmittelbar und direkt in allen Mitgliedstaaten Geltung erlangen. Im Ergebnis würde dies zu einer europäischen Vollharmonisierung des Datenschutzrechts führen.

Nach dem Entwurf soll der Geltungsbereich der Grundverordnung vor allem die automatisierte Datenverarbeitung durch Datenverarbeiter innerhalb der EU betreffen. Darüber hinaus können die neuen Regeln auch Datenverarbeiter außerhalb der EU tangieren. Für ausländische Datenverarbeiter sollen sie dann gelten, wenn diese personenbezogene Daten von Betroffenen in der EU verarbeiten und sich die betreffenden Datenverarbeitungen auf das Anbieten von Waren oder Dienstleistungen an die Betroffenen in der EU beziehen oder auf die Beobachtung des Verhaltens Betroffener in der EU richten.

Nach der geplanten EU-Verordnung soll die Verarbeitung personenbezogener Daten nur zulässig sein, wenn der Betroffene eingewilligt hat oder die Verordnung selbst die Erlaubnis dazu enthält. Die Einwilligung in die Verarbeitung ihrer personenbezogenen Daten können die Betroffenen nur für im Voraus konkret bestimmte Zwecke erteilen. Eine Einwilligung soll als Erlaubnis für eine Datenverarbeitung ausscheiden, wenn ein erhebliches Ungleichgewicht zwischen dem Betroffenen und dem Datenverarbeiter besteht. Nach Auffassung der EU-Kommission besteht ein solches Ungleichgewicht vor allem dann, wenn personenbezogene Daten von Arbeitnehmern durch den Arbeitgeber im Rahmen von Beschäftigungsverhältnissen verarbeitet werden. Damit wäre die Einwilligung im Beschäftigungsverhältnis künftig ausgeschlossen.

Als positiv dürften kleinere Unternehmen die geplante Regelung zur Bestellung eines Datenschutzbeauftragten empfinden. Die Pflicht zur Bestellung eines Datenschutzbeauftragten soll künftig erst dann bestehen, wenn das Unternehmen mehr als 250 Mitarbeiter beschäftigt.

Nach dem Entwurf können „Verbindliche Unternehmensregelungen", sog. Binding Corporate Rules, den internationalen Datenfluss im Konzern rechtskonform ausgestalten. Die Binding Corporate Rules dürften damit in Zukunft für international tätige Unternehmen einen wesentlich höheren praktischen Stellenwert haben.

Verstöße gegen die Regelungen der Verordnung hätten künftig schwerwiegende Konsequenzen. Die Aufsichtsbehörden werden ermächtigt, Bußgelder bis zu 1 Million Euro bzw. bis zu 2% des weltweiten Jahresumsatzes eines Unternehmens zu verhängen.

Über diese Regelungen hinaus enthält der Entwurf weitreichende Änderungen gegenüber der derzeit in Deutschland geltenden Gesetzeslage. Ob und in welcher Form diese Änderungen in Kraft treten, lässt sich derzeit nicht vorhersagen. Der Verordnungsentwurf sieht ein Inkrafttreten zwei Jahre nach seiner Verabschiedung vor, frühestens also im Jahr 2014. Die Unternehmen sollten die weitere Entwicklung verfolgen und sich vorbereiten, sobald die Verordnung verabschiedet ist.

Dr. Dede Kaya, Rechtsanwalt