Zwar sind die finalen Entscheidungen in Brüssel noch nicht gefallen, aber die Gestalt des künftigen Rahmens für den Datenschutz ist bereits sichtbar. [...]
Vieles soll sich ändern, soll einfacher, effektiver, aber auch strenger und den technologischen Entwicklungen angepasst werden. Im zweiten Teil der Serie zur Zukunft des Datenschutzes gibt es einen Überblick über Neuerungen in der Anwendung des Datenschutzrechts aus unternehmerischer Sicht:
Der künftige Datenschutzrahmen will einen echten EU-Binnenmarkt für alle unternehmerischen Nutzungen von persönlichen (meist Kunden-)Daten schaffen. Das bedeutet, dass die Datenschutzregeln in der gesamten Union vollständig vereinheitlicht werden sollen, nach dem Prinzip: Es gibt nur ein einziges anstelle von 28 verschiedenen Datenschutzgesetzen. Dieser Schritt sollte gegenüber der Ist-Situation tatsächlich eine erhebliche Erleichterung bedeuten – vor allem für jene Unternehmen, die innerhalb der EU grenzüberschreitend tätig sind und daher aus heutiger Sicht mehreren, mehr oder weniger unterschiedlichen nationalen Regelungen unterworfen sind.
Zweitens sollen notwendige Kontakte mit Datenschutzbehörden nach dem Prinzip eines One-Stop-Shopping ablaufen, sodass eine nationale Datenschutzbehörde (also etwa die für die Konzernmutter in Österreich zuständige Behörde) sämtliche datenschutzrelevante Themen auch für Tochtergesellschaften im EU-Ausland wirksam erledigen kann. Auch das wird wohl eine nicht unerhebliche Arbeitserleichterung für größere Unternehmen mit Tochtergesellschaften im EU-Ausland bringen.
Allerdings soll das One-Stop-Shopping-Prinzip nicht nur Unternehmensgruppen (mit Niederlassungen in mehreren EU-Mitgliedstaaten) das Leben erleichtern, sondern auch die Rechtsdurchsetzung vereinfachen: In ihren Rechten verletzte EU-Bürger haben die Möglichkeit, bei der nationalen Datenschutzbehörde ihrer Wahl Beschwerden vorzubringen. Sie müssen sich also nicht an die Datenschutzbehörde im Niederlassungsland jenes Unternehmens halten, dem eine Datenschutzverletzung vorgeworfen wird.
Die EU hat es sich in der DatenschutzReform insbesondere zum Ziel gesetzt, ein „level playing field“ zwischen den v.a. in den USA beheimateten Internetgiganten (Google, Facebook etc.), deren Geschäftsmodell maßgeblich von der Verarbeitung personenbezogener Daten abhängig ist, und EU-Unternehmen zu schaffen. Der Anwendungsbereich der EU-Datenschutzverordnung (DSVO) sieht daher vor, dass die DSVO auch für jedes nicht in der EU niedergelassene Unternehmen gilt, sofern dieses Unternehmen Daten von in der EU ansässigen Personen mit kommerzieller Absicht verarbeitet.
Und schließlich will die EU, dass der Schutz personenbezogener Daten von Unternehmen künftig als Top-Priorität betrachtet wird, was insbesondere durch das Einführen strenger EU-weit einheitlicher Strafbestimmungen gelingen soll: Geht es nach dem EU-Parlament, sollen Verstöße gegen die DSVO mit Strafen bis zu 100 Mio. Euro bzw. bis zu fünf Prozent des weltweiten Unternehmensumsatzes bedroht werden. Bei dieser Strafhöhe wird es zwar voraussichtlich nicht bleiben – ich vermute, dass der EU-Rat deutlich unternehmensfreundlichere Vorstellungen vertreten wird –, aber dennoch: Verglichen mit den heute üblichen Größenordnungen wird der Strafrahmen in der Endfassung der DSVO mit Sicherheit ein Vielfaches des heutigen Strafrahmens (25.000 Euro) ausmachen. Auch materiell bietet das Datenschutzpaket 2014 viel Neues (z.B. Recht auf Vergessen-Werden, Daten-Portabilität). Über die wesentlichen inhaltlichen Neuerungen und insbesondere auch über die Neuerungen in der praktischen Umsetzung aus Unternehmenssicht werde ich in den kommenden Teilen der Serie berichten.
* Dies ist Teil 2 einer Serie zu Neuerungen im Datenschutzbereich. Alexander Zuser ist Gründer des Beratungsunternehmens P R O.
Be the first to comment