Gratis-Download

Bei vielen unternehmensinternen Regelungen mit Datenschutz-Bezug ist der Betriebsrat zu beteiligen. Hierbei kommt Ihnen als Datenschutzbeauftragten...

Jetzt downloaden

EU-Datenschutzverordnung 2012: die bedeutendsten Neuerungen

0 Beurteilungen

Von Wolfram von Gagern,

Hier finden Sie die bedeutendsten, zum Teil gravierenden Neuerungen im Entwurf der EU-Datenschutzverordnung.

Bezugspunkt „Betroffener in der EU“

Unternehmen wie Facebook, Google & Co. hatten es bisher leicht zu argumentieren, dass das europäische Datenschutzrecht nicht für sie gilt: Sie haben ihren Hauptsitz außerhalb der EU. Diese Argumentation wird zukünftig nicht mehr möglich sein.

Bezugspunkt soll die Person werden, die ihren gewöhnlichen Aufenthalt in der EU hat. Das heißt konkret: Richtet sich das Angebot an EU-Bürger, muss das europäische Datenschutzrecht eingehalten werden; das gilt selbst dann, wenn das Unternehmen seinen Sitz außerhalb der EU hat (vgl. Art. 2 Abs. 2 des Entwurfs).

Detaillierte Regelung der Einwilligung

Die Frage, was eine Einwilligung beinhalten muss und wie die Rahmenbedingungen aussehen müssen, damit die Erklärung überhaupt wirksam ist, wird schon immer in Deutschland kontrovers diskutiert. In Art. 7 des Entwurfs der EU-Verordnung geht es ausschließlich um die Einwilligung.

Doch auch dort werden besondere Hürden enthalten sein. So kann eine Verarbeitung nicht auf eine Einwilligung gestützt werden, wenn in einem Abhängigkeitsverhältnis ein deutliches Ungleichgewicht zwischen verantwortlicher Stelle und dem Betroffenen besteht. Dies dürfte gerade im Hinblick auf das Erheben, Verarbeiten oder Nutzen von Daten im Zusammenhang mit Beschäftigungsverhältnissen von besonderer Bedeutung sein.

Gestärkte Auskunftsrechte

Art. 13 des Entwurfs sieht nicht nur ein weitreichendes Auskunftsrecht für den Betroffenen vor. Vielmehr kann der Betroffene auch eine Kopie der verarbeiteten personenbezogenen Daten fordern. Je nach Geschäftstätigkeit Ihres Unternehmens kann dies eine besondere Herausforderung darstellen.

Besonderheiten in Sachen Profilbildung

Sollte der Entwurf der EU-Verordnung unverändert bleiben, könnten Auskunfteien durchaus ein Problem bekommen. Der Grund: Der Entwurf sieht in Art. 18 vor, dass jede natürliche Person grundsätzlich das Recht hat, nicht Ziel von Profilbildungsmaßnahmen zu sein, die sich etwa erheblich auf Kreditwürdigkeit, Gesundheit oder Verhalten auswirken.

Datenschutzbeauftragter ab 250 Mitarbeitern

Im Gegensatz zum Schwellenwert des BDSG, wonach bei mehr als 9 mit der Verarbeitung personenbezogener Daten beschäftigten Personen ein Datenschutzbeauftragter zu bestellen ist, sieht der Entwurf in Art. 32 eine Grenze von 250 Beschäftigten vor. Dies würde bedeuten, dass zahlreiche Unternehmen zukünftig keinen Datenschutzbeauftragten mehr benötigen.

Doch Vorsicht: Auch wenn es wegen des Unterschreitens des Beschäftigtenschwellenwerts keines Datenschutzbeauftragten mehr bedarf, muss den Bestimmungen zum Datenschutz dennoch Rechnung getragen werden. Auch bei weniger als 250 Beschäftigten wird es wohl jemanden geben müssen, der sich im Unternehmen des Themas Datenschutz annimmt.

Das Recht, „vergessen zu werden“

Die neuen EU-Regelungen kennen nicht nur die altbekannten Löschpflichten. Es soll zukünftig auch ein Recht darauf geben, vergessen zu werden (vgl. Art. 15 des Entwurfs). Eingeschlossen ist dabei auch, dass jegliche Verknüpfungen zu oder Kopien von veröffentlichten und allgemein zugänglichen Daten entfernt werden müssen. Dies dürfte für manch ein soziales Netzwerk eine besonders anspruchsvolle Herausforderung darstellen.

Strengere Informationspflichten

Zwar sieht auch jetzt schon § 42a BDSG Informationspflichten vor, wenn personenbezogene Daten Unbefugten zur Kenntnis gelangen. Allerdings sieht der Entwurf der EU-Verordnung in Art. 28 eine 24-Stunden-Frist für die Meldung gegenüber der Aufsichtsbehörde und in Art. 29 die gleiche Frist für die Information der Betroffenen vor.

Richtig schmerzhafte Strafen

Manch ein Unternehmen sieht in den im BDSG vorgesehenen Bußgeldern von bis zu 300.000 € nur die sprichwörtlichen „Peanuts“, die das Geschäft nur unmerklich beeinträchtigen. Sollte der Entwurf Realität werden, könnte diese Einschätzung schnell ganz anders ausfallen. Art. 79 des Entwurfs etwa sieht vor, dass bestenfalls eine Strafe zwischen 100 und 300.000 € auf das Unternehmen zukommt.

Schlimmstenfalls wird es richtig heftig: Das Bußgeld kann bis zu 1.000.000 € oder bis zu 5 % des weltweiten Umsatzes betragen. Das kann manches Unternehmen durchaus in den Ruin treiben. Es lohnt sich daher, das Thema Datenschutz ernst zu nehmen.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Ihr starker Berater für ein rechtssicheres Online-Marketing

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!