Nach dreijährigen Verhandlungen haben sich das Europäische Parlament und der Rat der EU-Staaten am 15.12.2015 auf neue EU-Datenschutzregeln geeinigt. Die neue Datenschutzverordnung betrifft zwei Rechtsinstrumente, die Datenschutz-Grundverordnung und die Richtlinie für den Datenschutz bei Polizei und Strafjustiz. Vorgesehen ist unter anderem ein "Recht auf Vergessenwerden" und ein Recht auf Datenübertragbarkeit. Die Kommission will eng mit den Datenschutzbehörden der Mitgliedstaaten zusammenarbeiten, um eine einheitliche Anwendung der neuen Vorschriften zu gewährleisten. Die Neuregelungen sollen ab 2018 gelten.
Anzeige
Besserer Schutz für persönliche Daten
In Zukunft soll der Zugang zu den eigenen Daten vereinfacht werden. Es soll besser über die Art und Weise, wie die Daten verarbeitet werden, informiert werden. Diese Informationen müssten klar und verständlich sein. Das Recht auf Datenübertragbarkeit sehe vor, dass personenbezogene Daten künftig einfacher von einem Anbieter auf einen anderen übertragen werden können. Wenn die Betroffenen nicht möchten, dass ihre Daten weiter verarbeitet werden, und es keine legitimen Gründe für deren Speicherung gibt, müssten die Daten künftig gelöscht werden ("Recht auf Vergessenwerden"). Vorgesehen ist zudem das Recht zu erfahren, ob Daten gehackt wurden: Unternehmen und Organisationen müssen danach beispielsweise die nationale Aufsichtsbehörde so bald wie möglich über schwere Verstöße gegen den Datenschutz informieren, damit die Nutzer geeignete Maßnahmen ergreifen können.
Regeln gelten auch für Unternehmen mit Sitz außerhalb Europas
Nach dem Prinzip ein Kontinent, ein Recht soll durch die Verordnung ein einheitliches Regelwerk geschaffen werden, das Unternehmen die Geschäftstätigkeit in der EU erleichtert und Kosten spart.
Unternehmen haben nach der Novelle nur noch mit einer einzigen Aufsichtsbehörde zu tun. Damit werden nach Angaben der EU-Kommission pro Jahr schätzungsweise 2,3 Milliarden Euro eingespart. Unternehmen mit Sitz außerhalb Europas müssen dieselben Regeln befolgen, wenn sie Dienstleistungen in der EU anbieten wollen. Mit den neuen Regeln werde statt einer aufwändigen allgemeingültigen Verpflichtung eine den jeweiligen Risiken angepasste Verpflichtung eingeführt.
Mit der Verordnung sei gewährleistet, dass die Datenschutzgarantien von der frühesten Entwicklungsphase an in die Produkte und Dienstleistungen eingebaut werden ("Datenschutz durch Technik"). Datenschutzfreundliche Techniken wie Pseudonymisierung sollen gefördert werden, um die Vorteile von massendatenbezogenen Innovationen bei gleichzeitigem Schutz der Privatsphäre nutzen zu können.
Weniger Verwaltungsaufwand für kleine und mittlere Unternehmen
Von der Datenschutzreform sollen durch geringere Kosten und weniger Verwaltungsaufwand, insbesondere für kleine und mittlere Unternehmen (KMU), Impulse für das Wirtschaftswachstum ausgehen, heißt es in der Mitteilung der Kommission weiter. Vorgesehen ist die Aufhebung der Meldepflicht. Mitteilungen an die Aufsichtsbehörden sind eine Formalität, die nach Angaben der Kommission bei den Unternehmen jedes Jahr mit 130 Millionen Euro zu Buche schlägt. Die Meldepflicht werde durch die Reform vollständig beseitigt. Wenn Anträge auf Zugang zu den Daten offensichtlich unbegründet oder unverhältnismäßig sind, können KMU in Zukunft Gebühren für die Bereitstellung des Zugangs verlangen. KMU sind nach der Neuregelung nicht verpflichtet, einen Datenschutzbeauftragten zu ernennen, es sei denn, die Datenverarbeitung ist ihr Kerngeschäft. Auch eine Folgenabschätzung sei künftig nicht durchzuführen, es sei denn, es bestehe ein hohes Risiko.
Schutz personenbezogener Daten im Bereich der Strafverfolgung
Mit der neuen Datenschutzrichtlinie für Polizei und Strafjustiz sollen die Strafverfolgungsbehörden in den Mitgliedstaaten ermittlungsrelevante Informationen effizienter und wirksamer austauschen und besser bei der Bekämpfung von Terrorismus und sonstiger schwerer Kriminalität in Europa zusammenarbeiten können. Die Richtlinie trage den besonderen Erfordernissen der Strafverfolgung Rechnung, sie respektiere die unterschiedlichen Rechtstraditionen der Mitgliedstaaten und stehe voll und ganz im Einklang mit der Charta der Grundrechte, betonte die EU-Kommission.
Aufsicht durch unabhängige nationale Datenschutzbehörden
Die Datenverarbeitung in den Polizeibehörden und Staatsanwaltschaften der Union müsse den Grundsätzen der Notwendigkeit, Verhältnismäßigkeit und Rechtmäßigkeit genügen und mit angemessenen Vorkehrungen zum Schutz des Individuums einhergehen. Sie unterliege der Aufsicht durch unabhängige nationale Datenschutzbehörden, und es müsse für einen wirksamen Rechtsschutz gesorgt werden. Die Richtlinie für den Datenschutz bei Polizei und Strafjustiz enthalte klare Regeln für den Transfer personenbezogener Daten aus der EU, um zu gewährleisten, dass der in der EU dem Einzelnen garantierte Datenschutz nicht ausgehöhlt wird.
