Germany

Choose location:

Germany (English)

Erster Entwurf einer EU-Datenschutzverordnung
9 December 2011

Ausgangssituation

Am 7. Dezember 2011 ist ein Vorabentwurf der Europäischen Kommission für eine Datenschutzverordnung bekannt geworden, die die derzeit geltende Datenschutzrichtlinie 95/46/EG  - und damit auch die meisten nationalen Datenschutzgesetze - ersetzen soll. Offiziell sollte dieser Entwurf von der zuständigen EU-Kommissarin Viviane Reding erst am 25. Januar 2012 vorgestellt werden.

Der Entwurf stellt eine mittlere Revolution im Bereich des Datenschutzrechts dar. Die Ausgestaltung als Verordnung bringt es mit sich, dass die Regelungen unmittelbar in den Mitgliedstaaten gelten würden, so dass sie nicht erst in nationales Recht umzusetzen wären. Das Bundesdatenschutzgesetz (BDSG), die Landesdatenschutzgesetze sowie zahlreiche weitere spezielle Datenschutzgesetze würden weitestgehend ersetzt. Die Datenschutzvorschriften im Telemediengesetz (TMG) und im Telekommunikationsgesetz (TKG) blieben hiervon aber grundsätzlich unangetastet. Die „Allgemeine Datenschutzverordnung“ würde somit die Verarbeitung personenbezogener Daten in der gesamten EU einheitlich regeln.

Auch inhaltlich hält der 120-seitige Entwurf einige Neuerungen und Überraschungen bereit: Der Anspruch der EU-Kommission an die Verordnung ist es, den Datenschutz auch im Zeitalter einer fortschreitenden, globalen technischen und wirtschaftlichen Vernetzung sicherzustellen und den möglichst ungehinderten Verkehr von Daten zu ermöglichen. Diese Ziele sollen mit Hilfe der 91 Artikel, die in diesem Entwurf enthalten sind, erreicht werden. Zwar sollen sich durch die neue Verordnung die bekannten Grundsätze, insbesondere das Verarbeitungsverbot mit Erlaubnisvorbehalt, nicht ändern. Dennoch enthält die Verordnung viele neuartige Regelungen, die erheblichen Anpassungsbedarf bei allen Unternehmen erfordern werden.

Back to top

Die bemerkenswertesten Neuerungen im Überblick

  • Ausweitung des Anwendungsbereich der Datenschutzregeln: Derzeit ist deutsches Datenschutzrecht anwendbar, wenn die für die Datenverarbeitung verantwortliche Stelle ihren Sitz in Deutschland hat oder dieser zwar außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) ist, aber in Deutschland belegene (technische) Mittel zur Datenverarbeitung genutzt werden. Die geplante Datenschutzverordnung geht jedoch weiter. Nach Art. 2 Nr. 2 des Entwurfs soll die Allgemeine Datenschutzverordnung (ADSVO) auch dann anwendbar sein, wenn eine datenverantwortliche Stelle weder ihren Sitz noch technische Mittel wie z. B. Server in der EU hat, sich ihr Angebot aber an Personen richtet, die ihren gewöhnlichen Aufenthalt in der EU haben. Kriterien, ob sich ein Angebot auch an Personen in der EU richtet, können nach der ADSVO z. B. die Sprache des Angebots, die Domainadresse oder die Währung sein, mit der die angebotene Leistung bezahlt werden soll. Mit anderen Worten: Bietet ein amerikanisches Unternehmen über eine Website in deutscher Sprache Leistungen an und erhebt in diesem Zusammenhang personenbezogene Daten, so kann die ADSVO anwendbar sein, obwohl das Unternehmen seinen Sitz in den USA hat. In diesem Fall soll das amerikanische Unternehmen, sofern es über keine Niederlassung in der EU verfügt, nach Art. 22 ADSVO sogar auch noch einen Repräsentanten innerhalb der EU bestimmen müssen, der als Ansprechpartner des Unternehmens für die europäischen Datenschutzaufsichtsbehörden fungieren kann.
  • Personenbezug von IP-Adressen: Art. 3 Nr. 1 der ADSVO i. V. m. Erwägungsgrund 23 soll verbindlich festlegen, dass u. a. IP-Adressen grundsätzlich personenbezogene Daten darstellen, was derzeit nach wie vor hoch umstritten ist.
  • Keine wirksame Einwilligung im Beschäftigungsverhältnis: Im Rahmen von Beschäftigungsverhältnissen soll im Umkehrschluss aus Art. 7 Nr. 5 lit. b ADSVO eine Datenverarbeitung nur noch dann erlaubt sein, wenn eine gesetzliche Vorschrift dies erlaubt. Diese bereichsspezifischen Vorschriften können nach Art. 82 zwar auch durch die jeweiligen EU-Mitgliedstaaten, z. B. in einem deutschen Arbeitnehmerdatenschutzgesetz, bestimmt werden. Eine Einwilligung des Beschäftigten soll in diesem Bereich nach Art. 7 Nr. 4 ADSVO aber keinesfalls mehr eine Datenverarbeitung legitimieren können, weil es aufgrund des Über- bzw. Unterordnungsverhältnisses an der notwendigen Freiwilligkeit mangele.
  • Erweiterte Transparenzpflichten: In Art. 9 ADSVO sollen die Transparenzanforderungen verstärkt werden. Die für die Datenverarbeitung verantwortlichen Stellen sollen demnach Datenschutzerklärungen über die von ihnen vorgenommene Datenverarbeitung erstellen und darin auch angeben, wie die betroffenen Personen ihre Rechte, z. B. auf Auskunft oder Löschung, ausüben können. Diese Erklärung muss allgemein verständlich sein und einfach zugänglich vorgehalten werden. Nach Art. 12 ADSVO soll die datenverantwortliche Stelle auch darüber informieren müssen, wie lange die verarbeiteten Daten gespeichert werden.
  • Einrichtung eines Verfahrens zur Ausübung der Betroffenenrechte: Ferner ist vorgesehen, dass Datenverantwortliche Stellen nach Art. 10 ADSVO Verfahren einrichten, mittels derer die von der Datenverarbeitung betroffenen Personen ihre Betroffenenrechte, wie z. B. auf Auskunft oder Löschung, geltend machen können. Unter anderem muss die datenverantwortliche Stelle hierbei dem Betroffenen grundsätzlich innerhalb eines Monates kostenlos darüber Bescheid geben, welche Maßnahmen hinsichtlich seiner Anfrage ergangen sind.
  • Recht auf Vergessenwerden: Art. 15 der ADSVO konstituiert ein neues Recht der von einer Datenverarbeitung betroffenen Personen: das Recht auf Vergessenwerden. Einerseits umfasst dieses Recht bereits bekannte Löschungsverpflichtungen. Andererseits soll die datenverantwortliche Stelle, die ein personenbezogenes Datum öffentlich gemacht hat, verpflichtet sein, dieses Datum wieder aus dem Internet zu „entfernen“. Hierzu muss sie sämtliche öffentlich zugänglichen Hyperlinks auf dieses Datum sowie sämtliche öffentlich zugänglichen Kopien und Replikationen dieses Datums aus dem Internet entfernen (lassen). Wie eine datenverantwortliche Stelle dieser mit einem Bußgeld von immerhin bis zu EUR 600.000 oder drei Prozent des weltweiten Jahresumsatzes bewehrten Verpflichtung nachkommen soll, wird in dem Entwurf jedoch nicht erwähnt.
  • Datenportabilität: Datenverantwortliche Stellen müssen den betroffenen Personen auf Anfrage die von ihnen verarbeiteten Daten elektronisch zur Verfügung stellen, wenn sie deren Daten automatisiert verarbeiten. Hierdurch soll es Personen insbesondere ermöglicht werden, Daten aus sozialen Netzwerken zu einem anderen Anbieter zu portieren.
  • Compliance-Nachweis: Datenverantwortliche Stellen sollen nach Art. 19 Nr. 1 der ADSVO Datenschutz-Policies und geeignete organisatorische und technische Maßnahmen vorhalten müssen, um die Einhaltung der ADSVO nachzuweisen. Zudem ist nach Art. 20 darauf zu achten, dass sowohl die Systeme mit denen personenbezogene Daten verarbeitet werden als auch die entsprechenden Arbeitsabläufe datenschutzfreundlich gestaltet sind. Diese Verpflichtung gilt auch für einen Auftragsdatenverarbeiter. Zudem müssen sowohl eine datenverantwortliche Stelle als auch ein Auftragsdatenverarbeiter nach Art. 25 ADSVO eine Dokumentation sämtlicher Datenverarbeitungsvorgänge vorhalten.
  • Abschaffung der Meldepflicht: Die bisher in § 4 d BDSG enthaltene Meldepflicht soll durch die ADSV abgeschafft werden. Als Ersatz hierfür werden sowohl die datenverantwortliche Stelle als auch der Auftragsdatenverarbeiter nach Art. 30 ADSVO verpflichtet, im Vorfeld der geplanten Datenverarbeitung eine Analyse der datenschutzrechtlichen Implikationen durchzuführen, die von der geplanten Datenverarbeitung ausgehen. Werden hierbei besondere Risiken festgestellt, wäre die zuständige Datenschutzaufsichtsbehörde zu konsultieren, die die geplante Datenverarbeitung ggf. sogar untersagen kann.
  • Betrieblicher Datenschutzbeauftragter erst bei größeren Unternehmen verpflichtend: Nach Art. 32 ADSVO sollen grundsätzlich nur noch Unternehmen mit mehr als 250 dauerhaft beschäftigten Mitarbeitern verpflichtet sein, einen betrieblichen Datenschutzbeauftragten zu bestellen. Nach § 4d BDSG ist derzeit i. d. R. ein betrieblicher Datenschutzbeauftragter zu bestellen, wenn 10 oder mehr Personen ständig mit der Datenverarbeitung beschäftigt sind.
  • Angemessenheit des Datenschutzniveaus in Drittländern: Nach Art. 38 der ADSVO kann die EU-Kommission nunmehr auch die Angemessenheit des Schutzniveaus für einzelne Territorien und bestimmte Verarbeitungssektoren innerhalb eines Drittstaates feststellen, in die Daten anschließend übermittelt werden dürfen.
  • Binding Corporate Rules: Auch Binding Corporate Rules können wie bisher einen Datentransfer in Drittländer erlauben. Derartige Binding Corporate Rules müssen zwar auch weiterhin noch von den Datenschutzaufsichtsbehörden anerkannt werden, doch wird dieses Verfahren nunmehr in Art. 40 ADSVO vereinfacht und verbindlich geregelt, so dass die Einführung von Binding Corporate Rules insbesondere für internationale Konzerne attraktiver werden könnte.
  • Keine Auskunft an Behörden oder Gerichte aus Drittstaaten: Weder datenverantwortliche Stellen noch Auftragsdatenverarbeiter sollen nach Art. 42 ADSVO Behörden oder Gerichten aus Drittstatten personenbezogene Daten offenbaren dürfen. Im Fall von derartigen Anfragen werden die Daten verarbeitenden Stellen die Datenschutzaufsichtsbehörden benachrichtigen müssen, die dann klären sollen, ob und inwiefern Daten offenbart werden dürfen. Durch diese Regelung soll offenbar versucht werden, vor allem den durch den Patriot Act legitimierten Datenzugriffen durch staatliche Stellen in den USA einen Riegel vorzuschieben.
  • Zusammenarbeit der Datenschutzbehörden: In der ADSVO ist zudem detailliert geregelt, wie die Datenschutzaufsichtsbehörden innerhalb der EU zusammenarbeiten sollen. So ist geplant auch eine neue Aufsichtsbehörde, die Europäische Datenschutzbehörde, zu schaffen, die insbesondere Koordinierungsaufgaben, aber auch Entscheidungsbefugnisse im Fall von Streitigkeiten zwischen zwei Datenschutzaufsichtsbehörden aus verschiedenen EU-Mitgliedstaaten erhalten soll. Des Weiteren ist in der ADSVO vorgesehen, dass Maßnahmen einer Datenschutzbehörde auch in einem anderen von dem Fall betroffenen EU-Mitgliedstaat durchgesetzt werden können. Außerdem soll zukünftig nur noch eine Datenschutzaufsichtsbehörde für einen Fall zuständig sein, und zwar auch dann, wenn eine Untersuchung eine Datenverarbeitung in mehreren EU-Mitgliedstaaten betrifft. Regelmäßig soll dann die Datenschutzaufsichtsbehörde in dem EU-Mitgliedstaat zuständig sein, in dem die verantwortliche Stelle ihren Hauptsitz hat.
  • Verbandsklage: Mit den Art. 73 ff. ADSVO soll eine Art Verbandsklagemöglichkeit eingeführt werden. Danach könnte ein Verband in Vertretung zumindest einer betroffenen Person sowohl bei den Datenschutzaufsichtsbehörden als auch vor Gericht ein Verfahren wegen der Verletzung von Datenschutzvorschriften anstrengen und durchführen.
  • Haftung des Auftragsdatenverarbeiters gegenüber den Betroffenen: Nach § 7 BDSG ist es den Betroffenen derzeit nur möglich, gegen die datenverantwortliche Stelle einen Ersatzanspruch für den Schaden geltend zu machen, der ihnen durch die unrechtmäßige Verarbeitung ihrer Daten entstanden ist. Diese Haftung soll durch Art. 77 ADSVO auf Auftragsdatenverarbeiter ausgeweitet werden. Der Auftragsdatenverarbeiter soll sich aber von der Haftung exkulpieren können, wenn er nachweisen kann, dass er die unrechtmäßige Datenverarbeitung nicht verschuldet hat. Waren mehrere Daten verarbeitende Stellen beteiligt, soll jede Stelle gegenüber dem Betroffenen in Höhe des vollen Schadens haften.
  • Bußgelder: Die Höhe der Bußgelder für Verstöße gegen die ADSVO wird nach Art. 79 ADSVO massiv erhöht. Im schlimmsten Fall droht ein Bußgeld in Höhe von bis zu EUR 1 Mio. bzw. - im Falle eines Unternehmens - sogar in Höhe von bis zu fünf Prozent des weltweiten Jahresumsatzes.

Back to top

Fazit

Nach den Ankündigungen der EU-Kommission soll dieser Entwurf offiziell am 25. Januar 2012 präsentiert werden, so dass sich bis zu diesem Termin durchaus noch leichte Änderungen ergeben können. Gravierende Neuerungen sind freilich bis dahin nicht mehr zu erwarten. Allerdings ist davon auszugehen, dass nach der offiziellen Präsentation dieses Entwurfs ein Diskussionsprozess einsetzen wird, der noch zu mehreren Überarbeitungen und Anpassungen führen kann. Der vorliegende Entwurf lässt schon gut erkennen, in welche Richtung sich das Datenschutzrecht auf nationaler und europäischer Ebene entwickeln wird. Unternehmen tun gut daran, sich bereits jetzt in Grundzügen mit den geplanten Änderungen vertraut zu machen, damit Datenverarbeitungsprozesse, die in Kürze erst eingeführt werden sollen, nicht alsbald abermals geändert werden müssen.

Es ist vorgesehen, dass die ADSVO zwei Jahre nach ihrer Verabschiedung und Veröffentlichung im Verordnungsblatt gelten soll. Das bedeutet, dass die Verordnung - so sie denn kommt  - frühestens ab 2014 die bisher geltenden Datenschutzgesetze wie das BDSG ersetzen könnte.

Back to top

Related contacts

Flemming Moos

Flemming Moos

Partner

Hamburg

+49 (0)40 970799 189

Global expertise

Information technology
   

Explore our site

Our offices in Germany

Munich
Norton Rose LLP
Theatinerstrasse 11
80333 Munich
Germany
T +49 (0)89 212148 0
F +49 (0)89 212148 900 Frankfurt
Norton Rose LLP
Stephanstrasse 15
60313 Frankfurt am Main
Germany
T +49 (0)69 505096 0
F +49 (0)69 505096 100
Hamburg
Norton Rose Germany LLP
Bleichenbrücke 10 (Kaufmannshaus)
20354 Hamburg
Germany
T +49 (0)40 970799 0
F +49 (0)40 970799 111

© Norton Rose LLP 2012