E
uropäischer Rat, Europäisches Parla-
ment und Europäische Kommission
haben sich über den endgültigen Inhalt der
neuen EU-Datenschutz-Grundverordnung
geeinigt. Diese soll Anfang 2018 in Kraft
treten und die bereits seit 1995 geltende
EU-Datenschutzrichtlinie ersetzen.
Einheitlicher Datenschutz in Europa durch
EU-Datenschutz-Grundverordnung
Ziel der neuen EU-Datenschutz-Grund-
verordnung ist eine Vereinheitlichung des
Datenschutzrechts innerhalb Europas.
Dadurch soll der Einzelne mehr Kontrolle
über seine Daten erhalten. Insbesondere
soll ein gerechter Ausgleich zwischen dem
allgemeinen freien Datenverkehr und dem
individuellen Schutz personenbezogener
Daten innerhalb der Union gewährleistet
werden.
Die Datenschutz-Grundverordnung wird
der Systematik des Bundesdatenschutzge-
setzes (BDSG) ähnlich sein. Grundsätzlich
wird der Umgang mit personenbezogenen
Daten untersagt sein, außer die Daten-
schutz-Grundverordnung, eine andere ge-
setzliche Grundlage oder eine Einwilligung
des Betroffenen erlauben dies. Folgerichtig
werden zukünftig in allen EU-Staaten die
gleichen Standards beim Datenschutz gel-
ten. Insbesondere sollen Nutzer leichteren
Zugang zu ihren Daten haben. Zudem wird
der Nutzer Anspruch auf klare und leicht
verständliche Informationen darüber ha-
ben, wer seine Daten zu welchem Zweck
wie und wo verarbeitet.
Nach einer Pressemitteilung des Europäi-
schen Parlaments bestehen die wichtigs-
ten Änderungen in folgenden Punkten:
• Verarbeitung der Daten nur nach aus-
drücklicher Einwilligung: Der Nutzer soll
Herr seiner Daten werden. Er soll seine
Einwilligung auch leicht wieder zurück-
ziehen können dürfen.
• Kinder und soziale Medien: Kinder un-
ter einem bestimmten Alter benötigen
die Zustimmung der Eltern, um ein So-
cial-Media-Konto zu eröffnen, wie zum
Beispiel bei Facebook, Instagram oder
Snapchat. Dies ist bereits in den meisten
EU-Ländern üblich. Die neuen flexiblen
Vorschriften räumen den Mitgliedstaaten
einen Spielraum für die Altersgrenzen ein
(allerdings muss diese mindestens bei
13 und höchstens bei 16 Jahren liegen).
Diese Flexibilität wurde auf den auf den
dringenden Wunsch der Mitgliedstaaten
beibehalten. Das Verhandlungsteam des
Parlaments hätte eine EU-weite Alters-
grenze von 13 Jahren vorgezogen.
• Recht auf Vergessenwerden: Die Ver-
braucher sollten ihre Einwilligung geben
müssen, aber genauso einfach sollten
sie sie auch wieder zurückziehen können.
Sie bekommen ein „Recht auf Vergessen-
werden“, d. h. ein Recht darauf, dass auf
ihren Wunsch ihre persönlichen Daten
aus den Speichern von Unternehmen auch
wieder gelöscht werden müssen.
• Datenlecks oder „gehackte“ Daten: Bei
Verstößen gegen den Schutz personen-
bezogener Daten müssen die Anbieter
die zuständigen Behörden so schnell wie
möglich informieren, sodass die Nutzer
geeignete Maßnahmen ergreifen können.
• Verständliche Sprache: Die Abgeord-
neten haben darauf bestanden, dass
die neuen Vorschriften die Praxis des
„Kleingedruckten“ abschaffen müssen.
Die Verbraucher sollen in klarer, verständ-
licher Sprache und mit leicht verständli-
chen Symbolen informiert werden, bevor
die Daten gespeichert werden.
• Strafen: Wenn Firmen gegen die Regeln
verstoßen, drohen ihnen Strafen von bis
zu vier Prozent des Jahresumsatzes.
• Unternehmen müssen Datenschutzbe-
auftragte anstellen: Unternehmen müs-
sen einen Datenschutzbeauftragten
benennen, wenn sie im großen Ausmaß
sensible Daten verarbeiten oder das Ver-
halten vieler Verbraucher überwachen.
KMU sind von dieser Vorschrift ausge-
nommen, es sei denn, die Datenverarbei-
tung ist ihre Haupttätigkeit.
• Zentrale Anlaufstellen für Beschwerden
und die Durchsetzung der neuen Regeln:
Die nationalen Datenschutzbehörden
werden ausgebaut und sollen zu zen
tralen Anlaufstellen für Bürger werden,
wo sie ihre Beschwerden über Verstöße
gegen die Datenschutzvorschriften ein-
reichen können. Die Zusammenarbeit
zwischen diesen nationalen Behörden
soll erheblich verstärkt werden, um ei-
nen einheitlichen Schutz der personen-
bezogenen Daten innerhalb der Union
sicherzustellen.
US-Unternehmen an europäisches Daten-
schutzrecht gebunden
Die Verordnung verbietet auch weiterhin
die Übermittlung von personenbezogenen
Daten in Drittländer. Als Ausnahme gilt,
wenn die Kommission für das Empfänger-
land eine Angemessenheitsentscheidung
getroffen hat, die Parteien für angemes-
sene Garantien gesorgt (z. B. über die
sog. Standardvertragsklauseln) haben oder
konzernintern sog. Binding Corporate
Rules bestehen.
Zudem dürfen Anfragen von Gerichten oder
Behörden von Drittländern nur dann zu ei-
ner Datenübermittlung führen, wenn dies
auf einem Rechtshilfeabkommen basiert.
Dies wird viele Unternehmen vor Probleme
stellen, wenn sie z. B. aus den USA sog. pre-
trial discovery requests erhalten.
Fazit
Während einige Stimmen in der neuen Ver-
ordnung eine Bevormundung des Bürgers
sehen, dem die Abgabe einer rechtswirk-
samen Einwilligungserklärung durch die
geplanten Regelungen erheblich erschwert
wird, loben andere Stimmen die Reform als
Meilenstein im Verbraucherdatenschutz.
Mit der geplanten Datenschutzgrundver-
ordnung werde endlich der bislang beste-
hende Flickenteppich an innerhalb Europas
bestehenden datenschutzrechtlichen Re-
gelungen beseitigt.
Die neue Europäische
Datenschutz-Grundverordnung
Am 15.12.2015 hat der EU-Trilog eine Einigung auf die endgültige Version
einer künftigen EU-Datenschutz-GVO erzielt.
DAS QUARTAL 2.16
28
Themen im Fokus
BEI FRAGEN SPRECHEN SIE BITTE IHREN
ZUSTÄNDIGEN STEUERBERATER AN.
