In diesem (zweiten) Teil der Serie zur Zukunft des Datenschutzes gibt Alexander Zuser einen Überblick über Neuerungen in der Anwendung des Datenschutzrechts aus unternehmerischer Sicht. [...]
Zwar sind die finalen Entscheidungen in Brüssel noch nicht gefallen, aber die Gestalt des künftigen Rahmens für den Datenschutz ist bereits sehr gut sichtbar. Manches bleibt unverändert, wie zum Beispiel der Kernanspruch des Datenschutzes – also der Sicherstellung des Schutzes von personenbezogenen Daten im Kontext unternehmerischer und teilweise staatlicher Verarbeitung von persönlichen Daten. Vieles allerdings soll sich ändern, soll einfacher, effektiver, aber auch strenger und den technologischen Entwicklungen angepasst werden.
In diesem (zweiten) Teil der Serie zur Zukunft des Datenschutzes will ich heute einen Überblick über Neuerungen in der Anwendung des Datenschutzrechts aus unternehmerischer Sicht geben.
Und damit komme ich gleich zur ersten wesentlichen und (noch) politisch umstrittensten Neuerung: Der künftige Datenschutzrahmen will einen echten EU-Binnenmarkt für alle unternehmerischen Nutzungen von persönlichen (meist Kunden-)Daten schaffen. Das bedeutet, dass die Datenschutzregeln in der gesamten Union vollständig vereinheitlicht werden sollen, nach dem Prinzip: Es gibt nur ein einziges anstelle von 28 verschiedenen Datenschutzgesetzen. Dieser Schritt sollte gegenüber der Ist-Situation tatsächlich eine erhebliche Erleichterung bedeuten – vor allem für jene Unternehmen, die innerhalb der EU grenzüberschreitend tätig sind und daher aus heutiger Sicht mehreren, mehr oder weniger unterschiedlichen, nationalen Regelungen unterworfen sind.
Zweitens sollen notwendige Kontakte mit Datenschutzbehörden nach dem Prinzip eines „one stop shopping“ ablaufen, sodass eine nationale Datenschutzbehörde (also etwa die für die Konzernmutter in Österreich zuständige Behörde) sämtliche datenschutzrelevante Themen auch für Tochtergesellschaften im EU-Ausland wirksam erledigen kann. Auch das wird wohl eine nicht unerhebliche Arbeitserleichterung für größere Unternehmen mit Tochtergesellschaften im EU-Ausland bringen.
Allerdings soll das one-stop-shopping-Prinzip nicht nur Unternehmensgruppen (mit Niederlassungen in mehreren EU-Mitgliedstaaten) das Leben erleichtern, sondern auch die Rechtsdurchsetzung vereinfachen: In ihren Rechten verletzte EU-Bürger haben die Möglichkeit, bei der nationalen Datenschutzbehörde ihrer Wahl (und damit wohl meistens die Behörde ihrer Sprache) Beschwerden vorzubringen. Sie müssen sich, anders als jetzt, nicht an die Datenschutzbehörde im Niederlassungsland jenes Unternehmens halten, dem eine Datenschutzverletzung vorgeworfen wird.
Die EU hat es sich in der Datenschutzreform insbesondere zum Ziel gesetzt, ein „level playing field“ zwischen den v.a. in den USA beheimateten Internetgiganten (Google, facebook, etc), deren Geschäftsmodell maßgeblich von der Verarbeitung personenbezogener Daten abhängig ist, und EU-Unternehmen zu schaffen. Der Anwendungsbereich der EU-Datenschutzverordnung (DSVO) sieht daher vor, dass die DSVO auch für jedes nicht in der EU niedergelassene Unternehmen gilt, sofern dieses Unternehmen Daten von in der EU ansässigen Personen mit kommerzieller Absicht (Angebot von Waren oder Dienstleistungen, Verhaltensbeobachtung) verarbeitet.
Und schließlich will die EU, dass der Schutz personenbezogener Daten von Unternehmen künftig als Top-Priorität betrachtet wird, was insbesondere durch das Einführen strenger EU-weit einheitlicher Strafbestimmungen gelingen soll: Geht es nach dem EU-Parlament sollen Verstöße gegen die DSVO mit Strafen bis zu 100 Mio. Euro bzw. bis zu fünf Prozent des weltweiten Unternehmensumsatzes bedroht werden. Bei dieser Strafhöhe wird es zwar voraussichtlich nicht bleiben – ich vermute, dass der EU-Rat deutlich unternehmensfreundlichere Vorstellungen vertreten wird – aber dennoch: Verglichen mit den heute üblichen Größenordnungen wird der Strafrahmen in der Endfassung der DSVO mit Sicherheit ein Vielfaches des heutigen Strafrahmens (25.000 Euro) ausmachen.
Auch materiell bietet das Datenschutzpacket 2014 viel Neues (z.B. Recht auf Vergessen-Werden, Daten-Portabilität, „Privacy by Design“ und „Privacy by Default“). Über die wesentlichen inhaltlichen Neuerungen und insbesondere auch über die Neuerungen in der praktischen Umsetzung aus Unternehmenssicht werde ich Ihnen in den kommenden Teilen der Artikel-Serie berichten.
* Dies ist Teil 2 einer Serie zu Neuerungen im Datenschutzbereich (hier finden Sie Teil 1). Der Autor Alexander Zuser ist Gründer des Beratungsunternehmens P R O.
Be the first to comment