Einheitlicher Datenschutz in Europa: Der Entwurf der Datenschutzverordnung

Nachdem die vergangenen Monate schon vielfach über den zunächst geleakten und Ende November dann doch öffentlich gemachten ersten Entwurf einer Datenschutzverordnung für Europa diskutiert wurde, stellte die EU-Kommissarin Vivianne Reding am Mittwoch offiziell den überarbeiteten Entwurf für eine neue europäische Datenschutz-Verordnung vor.

Mit der Verordnung soll zum einen das Datenschutzrecht innerhalb der Europäischen Union reformiert und zum anderen europaweit vereinheitlicht werden. Der Entwurf muss nun zunächst einmal das europäische Gesetzgebungsverfahren durchlaufen. Änderungen sind daher noch durchaus möglich. Sollte die Verordnung allerdings verabschiedet werden, so wird sie ab Inkraftreten in allen EU-Mitgliedsstaaten gleichermaßen unmittelbare Rechtswirkung entfalten. EIne mühsame Umsetzung in nationales Recht ist bei einer Verordnung nicht notwendig.

Im Wesentlichen ergeben sich durch im Vergleich zum deutschen aktuellen Datenschutzrecht für in Deutschland tätige Unternehmen folgende Veränderungen:

1. Ein wichtiger Grundsatz soll „Privacy by Design“ werden. Das bedeutet, dass die Erfordernisse des Datenschutzes bereits zu einem frühen Zeitpunkt berücksichtigt werden sollen, da neue technologische Systeme oftmals versteckte Gefahren bergen, die sich nur schwer beseitigen lassen, wenn die Grundkonzeption erst einmal feststeht. Datenschutzprobleme sollen daher schon bei der Entwicklung neuer Technologien festgestellt, geprüft und von vorneherein in die Gesamtkonzeption der Technologie einbezogen werden.
2. Interessanterweise wird nicht erwähnt, ob oder dass die Übermittlung perso-nenbezogener Daten, beispielsweise in USA, im Rahmen des bislang etablierten Safe Harbor Programmes möglich ist. Es ist daher davon auszugehen, dass diese Option wegfallen könnte.
3. Die Verwendung von Kunden- und Interessendaten wird deutlich erschwert. Auch Verhaltensdaten können nur unter besonderen Voraussetzungen verwendet werden.
4. Datenschutzverstöße müssen bislang nur in bestimmten Fällen gemeldet werden. Diese Pflicht soll erheblich ausgedehnt werden.
5. Die möglichen Sanktionen für Datenschutzvertsöße werden verschärft; Bußgelder können bis zu 2 % des weltweiten Umsatzes des Unternehmens betragen. Bislang liegen die Bußgelder bei maximal EUR 300.000.

Im Verhältnis zu anderen EU-Ländern dürfte die Umstellung – sofern die Verordnung verabschiedet werden sollte – für deutsche Unternehmen oder solche, die sich bereits jetzt an deutsches Datenschutzrecht halten, am wenigsten einschneidend sein. Denn die EU-Kommission erwähnte ausdrücklich Deutschland als Vorbild für die neue Verordnung. Der Entwurf greift tatsächlich einige Prinzipien des deutschen Datenschutzrechts auf. Dies hat zur Folge, dass Unternehmen, die bislang im Einklang mit den deutschen Datenschutzgesetzen operieren, auf das neue Datenschutzrecht gut vorbereitet sein sollten. Umgekehrt behalten alle Anstrengungen von Unternehmen, die bis zum Inkrafttreten der Verordnung unternommen werden, um den geltenden Gesetzen gerecht zu werden, ihre Wirkung auch unter der neuen Verordnung.