EU: Neue Details zur EU-Datenschutzreform

Eine im Internet verfügbare Version des Entwurfs der EU-Datenschutzverordnung wirft das Licht auf die mögliche Zukunft des Datenschutzes in Europa. In insgesamt 91 Artikeln finden sich Bekanntes aber auch viel Neues.

1. Verordnung statt Richtlinie

Neu ist zunächst einmal, dass das neue EU-Datenschutzrecht nicht in Form einer Richtlinie sondern als Verordnung ausgestaltet sein soll. Da eine Verordnung direkte Wirkung entfaltet, ist dieser Schritt ein tauglicher Versuch, den Datenschutz innerhalb Europas zu harmonisieren. Nachfolgend finden Sie einige der kommenden Neuerungen in einem kurzen Überblick.

2. Die Einwilligung als zentrale Zulässigkeitsvoraussetzung

Die Zulässigkeit der Datenverarbeitung wird deutlich mehr an eine wirksame Einwilligung in die Datenverarbeitung geknüpft. Dies zeigt sich insbesondere an dem Bereich des Direktmarketings. Eine Datenverarbeitung zu diesen Zwecken soll nur noch mit der Einwilligung des Betroffenen möglich sein (Art. 5 paragraph 2). Ausnahmen, wie sie das Bundesdatenschutzgesetz bereithält, sieht der Entwurf für diesen Bereich nicht vor.

3. Strenge Anforderungen an den Umgang mit Daten von Kindern

Die Neuregelungen nehmen den Datenschutz von Kindern in den Blick. Bislang fehlte es hier an ausdrücklichen Regelungen. Im Sinne des Entwurfs handelt es sich bei Personen unter 18 Jahren um Kinder (Art. 3 No. 18). Die Verarbeitung von personenbezogenen Daten von Kindern wird in dem Entwurf besonders restriktiv gehandhabt. So sieht der Entwurf vor, dass bei Daten von Kindern der Schutz der Rechte und Freiheiten der Kinder im Rahmen der Abwägung gegenüber den berechtigten Interessen der verantwortlichen Stelle überwiegen (Art. 5 paragraph 1 (f) (ii)). Aber auch darüber hinaus wird die Verarbeitung der Daten von Kindern erschwert. So ist die Einwilligung eines Kindes nur dann gültig, wenn entweder die Eltern oder ein Vertreter des Kindes die Einwilligung abgegeben oder genehmigt haben (Art. 7 paragraph 6). Der Entwurf sieht auch vor, dass besondere Anforderungen an die Verständlichkeit von Informationen gestellt werden müssen, wenn sich die Informationen an Kinder richten (Art. 9 paragraph. 2). Auch die Möglichkeiten des so genannten „Profiling“ sind im Hinblick auf Kinder stark beschränkt (Art. 18 paragraph 3). Sind Daten von Kindern Gegenstand der bestimmter Verarbeitungsverfahren, ist regelmäßig eine Gefahrenanalyse (Data Protection Impact Assessment) durchzuführen (Art. 30 paragraph 2 (d)). Bei dem Entwurf von so genannten „Codes of Conduct“ müssen auch Regelungen zur Wahrung des Datenschutzes bei Daten von Kindern enthalten sein (Art. 35).

4. Recht auf Vergessen

Der Entwurf sieht ein Recht auf Vergessen vor. Danach sollen verantwortliche Stellen, welche Daten des Betroffenen öffentlich gemacht haben und dessen Daten nunmehr zu löschen sind sicherstellen, dass er auch Links auf seinen Seiten zu diesen Daten bei Dritten entfernt. Er muss zudem sicherstellen, dass diese Daten nicht aus anderen öffentlich zugänglichen Quellen bei ihm wiederhergestellt oder reproduziert werden (Art. 15 paragraph 2).

Der Entwurf reagiert auf die zuletzt immer hitziger geführte Debatte um die Übermittlung von personenbezogenen Daten an Gerichte und Ermittlungsbehörden außerhalb der EU mit der Anforderung, die Daten erst nach einer vorherigen Genehmigung durch die zuständige Aufsichtsbehörde zu übermitteln (Art. 31 paragraph 1 (a)). Diese Vorschrift dürfte einige Last von den Schultern der Entscheidungsträger der verantwortlichen Stellen nehmen, die sich mit einer solchen Anfrage konfrontiert sehen.

5. Data Protection Impact Assessment

Neu ist ebenfalls die Prüfung der Auswirkungen für den Datenschutz (Data Protection Impact Assessment) bei bestimmten Datenverarbeitungsverfahren. Die Vorschrift erweitert die bislang bekannte Vorabkontrolle. Danach ist eine solche Prüfung durchzuführen, wenn das Verfahren der Beurteilung der Person oder der Vorhersage eines wahrscheinlichen zukünftigen Verhaltens dient, besondere Arten von Daten verarbeitet werden, Verfahren der Videoüberwachung, Daten von Kindern, Gen- oder Biometriedaten verarbeitet werden oder ein Verfahren vorliegt, dass der Einschaltung der Aufsichtsbehörde unterliegt.

Inhalt dieses Assessments sollen mindestens folgende Punkte sein: Eine Allgemeine Beschreibung der betroffenen Verarbeitungsverfahren, die potentiellen Risiken dieser Verfahren für die Rechte und Freiheiten der Nutzer, Maßnahmen, Vorkehrungen und Sicherheitsmaßnahmen zur Wahrung des Datenschutzes unter Berücksichtigung der berechtigten Interessen des Betroffenen.

Nähere Einzelheiten zum Inhalt und Ablauf des Assessments sollen in einem weiteren Gesetz geregelt werden (Art. 30 paragraphs 6 and 7)

6. Binding Corporate Rules

Die bereits in den Working Documents der Artikel 29 Gruppe ausgiebig behandelten „Binding Corporate Rules“ (BCR) sind nach dem Entwurf Teil der Verordnung (Art. und können zu einer zulässigen Datenübermittlung in Drittstaaten führen (Art. 39 paragraph 2 (a)) Der Entwurf enthält sowohl Vorschriften zum Mindest-Inhalt der Binding Corporate Rules (Art. 40 paragraph 2) als auch zum erforderlichen Genehmigungsverfahren. Für die weiteren Anforderungen an die Binding Corporate Rules sieht der Entwurf weitere Gesetze vor.

7. Datenschutzbeauftragter

Ab einer Unternehmensgröße von 250 Mitarbeitern müssen nach dem Entwurf verantwortliche Stellen einen Datenschutzbeauftragten bestellen (Art. 32 paragraph 1 (b)). Auch wenn dies nicht zwingend vorgeschrieben ist können kleinere Unternehmen einen Datenschutzbeauftragten freiwillig bestellen. Der Datenschutzbeauftragte kann intern bestellt werden oder als externer Dienstleister tätig werden (Art. 32 paragraph 6). Der Name und die Kontaktdaten des Datenschutzbeauftragten sollen der zuständigen Aufsichtsbehörde sowie der Öffentlichkeit mitgeteilt werden (Art. 32 paragraph 7). Zudem sieht der Entwurf vor, dass Mindestanforderungen an die fachliche Qualifikation des Datenschutzbeauftragten zu richten sind. Nähere Details zu den fachlichen Anforderungen an den Datenschutzbeauftragten sowie dessen Stellung und Aufgaben sollen in gesonderten Gesetzen abgelegt werden (Art. 33 paragraph 9; Art. 34 paragraph 2).

8. Zuständige Aufsichtsbehörde

Die Zuständigkeit der Aufsichtsbehörden wird auf den ersten Blick drastisch vereinfacht. Für ein europaweit agierendes Unternehmen soll ausschließlich die Aufsichtsbehörde des Mitgliedsstaates zuständig sein, in welchem das Unternehmen seine Hauptniederlassung hat (Art. #). Per Definition soll die Hauptniederlassung die Niederlassung sein, in der die Zwecke, Bedingungen und Maßnahmen der Datenverarbeitung festgelegt werden, also die „Management-Entscheidung“ über die Datenverarbeitung fällt. Die Vorbemerkung 83 stellt klar, dass nicht an den Ort der tatsächlichen Datenverarbeitung anzuknüpfen ist. Diese Definition stößt dann an ihre Grenzen, wenn unter Ausnutzung heutiger Kommunikationsmöglichkeiten nicht nur die Datenverarbeitung über die Mitgliedsstaaten verteilt stattfindet, sondern auch das Management nicht mehr zentral an einem Ort zu einer Entscheidung findet, Es insofern also kein physisches „Company Headquarter“ mehr gibt. Wenn sich also gleichberechtigte Managing Partner in einem virtuellen Headquarter zur Abstimmung zusammenfinden und in dieser Umgebung zu einer Entscheidung über den Zweck und die Art der Datenverarbeitung gelangen, darf die Frage aufgeworfen werden, ob dann der Serverstandort für den virtuellen Besprechungsraum Anknüpfungspunkt sein soll. Wenn die Neuregelung zukunftssicher sein soll, müssen auch an dieser Stelle die Möglichkeiten und Realitäten der bereits heute schon hochgradig vernetzen Geschäftswelt berücksichtigt werden.

9. Autorisierung und vorherige Einbeziehung der Aufsichtsbehörde

Die bisher bestehende Meldepflicht soll weitgehend entfallen. Dafür zieht der Entwurf Regelungen ein, welche eine Einschaltung der Aufsichtsbehörden bei bestimmten Datenverarbeitungen vorsehen. Die Aufsichtsbehörde ist beispielsweise zu konsultieren, wenn das „Data Protection Assessment“ zu dem Ergebnis führt, dass die Datenverarbeitung mit einem hohen Risiko für die Betroffenen einhergeht oder die Aufsichtsbehörde es für notwendig hält, vor dem Beginn der Verarbeitung eingeschaltet zu werden. Zu diesem Zweck soll eine Liste der Verfahren mit spezifischen Risiken geben. Diese wird in einem gesonderten Gesetz enthalten sein (Art. 31 paragraph 8) ebenso wie Standardformulare und Verfahren zur Durchführung dieser Konsultationen (Art. 31 paragraph 9). Der Datenschutzbeauftragte dient in diesem Zusammenhang als Kontaktperson. Er muss zudem das Data Protection Impact Assessment und den Antrag auf Freigabe eines Verfahrens durch die Aufsichtsbehörde überwachen.

Von einer vollständigen Abschaffung der Meldepflicht kann daher nicht die Rede sein. Allerdings hat sich der Charakter deutlich geändert. Neben der bloßen Information über das Vorhandensein eines Verarbeitungsverfahrens ist nun die Aufsichtsbehörde aufgerufen, sich mit dem gemeldeten Verfahren auseinanderzusetzen und zu reagieren.

Mit diesem Artikel haben wir Ihnen einige der Highlights des Entwurfs vorgestellt. Weitere Einzelheiten und Erwägungen zu möglichen Auswirkungen für die Unternehmen stellen wir Ihnen in den nächsten Tagen und Wochen als gesonderte Artikel vor.

Weitere Informationen:

statewatch.org/news/2011/dec/eu-com-draft-dp-reg-inter-service-consultation.pdf