24.05.2018Nachricht

Datenschutz-Grundverordnung gilt ab morgen: Fragen und Antworten

Ab dem 25. Mai, gelten in der EU neue Datenschutzregeln. "Die jüngsten Datenskandale haben bestätigt, dass wir mit den strengeren und klareren Datenschutzregeln in Europa richtig handeln", erklärte Andrus Ansip, der für den digitalen Binnenmarkt zuständige Vizepräsident, dazu heute (Donnerstag) in Brüssel. Justizkommissarin Věra Jourová wies angesichts der gerade in Deutschland verbreiteten Verunsicherung darauf hin, dass die Bestimmungen verhältnismäßig sind und kein Grund zur Panik besteht. Die Vertretung der Europäischen Kommission in Deutschland hat im Folgenden häufige Fragen und Antworten zusammengestellt.

"Unternehmen, die mit unseren Daten Geld verdienen, tragen eine höhere Verantwortung", sagte Jourová heute. "Für Unternehmen, zu deren Kerngeschäft nicht die Verarbeitung von Daten gehört, gibt es weniger Verpflichtungen. Sie müssen hauptsächlich gewährleisten, dass die Daten, die sie verarbeiten, sicher sind und auf legale Weise genutzt werden."

"Mit der Datenschutz-Grundverordnung behauptet Europa seine digitale Souveränität und ist für das digitale Zeitalter gerüstet. Darüber hinaus sind die neuen Regeln der erste Schritt zu einem weltweiten Standard für den Schutz der Privatsphäre. Sie helfen uns, das Vertrauen zurückzuerlangen, das wir brauchen, um in einer globalen digitalen Wirtschaft erfolgreich zu sein."

Welche Vorteile bietet die neue Datenschutz-Grundverordnung den Menschen in Europa?

Die Reform sieht vor, dass die Bürger mehr Kontrolle über ihre personenbezogenen Daten erhalten, deren Schutz in der Europäischen Union zu den Grundrechten gehört. Die neuen Regeln sorgen dafür, dass Unternehmen und Institutionen genau sagen müssen, für welchen Zweck sie welche Daten haben wollen. Für die Bürger bringt diese Regelung verschiedene Vorteile:

  • Das „Recht auf Vergessenwerden“: Möchte ein Bürger nicht, dass seine Daten verarbeitet werden, so müssen die Daten gelöscht werden, wenn kein berechtigter Grund für deren Speicherung vorliegt. Dabei geht es ausschließlich um den Schutz der Privatsphäre; es sollen keine vergangenen Ereignisse gelöscht oder gar die Pressefreiheit eingeschränkt werden.
  • Zugang zu eigenen Daten: Die Bürger werden besser darüber informiert, wie ihre Daten verarbeitet werden. Diese Informationen müssen klar und verständlich sein. Ein Recht auf Datenübertragbarkeit macht es Bürgern leichter, personenbezogene Daten zwischen verschiedenen Anbietern zu übermitteln.
  • Das Recht zu erfahren, ob eigene Daten gehackt wurden: Unternehmen und Organisationen müssen den nationalen Aufsichtsbehörden alle Datenschutzverstöße melden, durch die ein Risiko für den betroffenen Bürger entstanden ist. Zudem muss die betroffene Person so rasch wie möglich über alle mit hohem Risiko behafteten Verstöße informiert werden, damit er entsprechend reagieren kann.
  • Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen: „Datenschutz durch Technik“ und „datenschutzfreundliche Voreinstellungen“ sind nunmehr wesentliche Elemente der EU-Datenschutzvorschriften. Datenschutzgarantien werden bereits frühzeitig in die Entwicklung von Produkten und Dienstleistungen integriert und datenschutzfreundliche Voreinstellungen werden beispielsweise in sozialen Netzwerken oder Mobilen Apps zur Norm.

Was sind die wichtigsten Änderungen für  Unternehmen? Worin genau bestehen die Neuerungen im Vergleich zur bereits seit 1995 geltenden EU-Datenschutzrichtlinie?

Die neue  Datenschutz-Grundverordnung baut auf den mehr als 20 Jahre geltenden Regeln der Datenschutzrichtlinie auf. Die Grundprinzipien des Datenschutzes werden nicht geändert, sondern aktualisiert und modernisiert. Die entscheidende Neuerung ist, dass nun ein einheitliches europäisches Datenschutzrecht die verschiedenen Gesetze der Mitgliedstaaten ersetzt. Aus den 28 verschiedenen Gesetzen wird eine gemeinsame Datenschutzverordnung geschaffen. Für Unternehmen und Behörden wird somit ein einheitliches und klares Regelwerk geschaffen, das es einfacher und billiger macht, EU-weit Geschäfte zu tätigen.

Mit dem „One-Stop-Shop“ wird  außerdem eine zentrale Anlaufstelle für Unternehmen geschaffen.  Unternehmen müssen sich dann nur noch an eine einzige Behörde und nicht an 28 Behörden richten. Damit wird die notwendige Rechtssicherheit für Geschäftstätigkeiten gewährleitet. Die Unternehmen profitieren von schnelleren Entscheidungen, einem zentralen Ansprechpartner (Abschaffung mehrerer Kontaktstellen) und weniger Bürokratie. Darüber hinaus können sie bei gleichen Verarbeitungstätigkeiten in mehreren Mitgliedstaaten auf einheitliche Entscheidungen vertrauen.

Die  neuen Datenschutzregeln gelten für alle Unternehmen, unabhängig vom Firmensitz. Das heißt Unternehmen mit Sitz außerhalb Europas müssen dieselben Vorschriften befolgen, wenn sie Waren oder Dienstleistungen in der EU anbieten.

Schafft die Datenschutz-Grundverordnung unnötige Bürokratie und Wachstumshindernisse für den Mittelstand?

Nein. Im Gegenteil, Datenschutz-Grundverordnung baut Wachstumshindernisse auf europäischer Ebene ab, gerade auch für kleine Unternehmen. So werden z.B. Formalitäten wie allgemeine Meldepflichten abgeschafft, die in vielen Mitgliedstaaten üblich waren. Und es gibt künftig EU-weit eine einzige Datenschutzregelung, mit einem einzigen Ansprechpartner und einer einheitlichen Auslegung der Vorschriften. Davon profitieren auch mittelständische Unternehmen, die ihre Produkte oder Dienstleistungen in anderen Mitgliedstaaten anbieten. Sie brauchen sich keinen Anwalt mehr zu nehmen, um sich an Regelungen dort anzupassen.

Und wer die Regeln der aktuell geltenden Datenschutzrichtlinie einhält, sollte mit der Umsetzung der Datenschutzgrundverordnung keine allzu großen Schwierigkeiten haben. Die Grundprinzipien haben sich nicht geändert. 

Welche Ausnahmen gibt es für kleinere Unternehmen?

In der Datenschutz-Grundverordnung wurden für kleinere Unternehmen ganz bewusst weniger Verpflichtungen vorgesehen.

Wenn ein kleineres Unternehmen nicht primär in der Verarbeitung personenbezogener Daten tätig ist, braucht es beispielsweise keinen Datenschutzbeauftragten einzusetzen und muss auch keine detaillierte Datenschutz-Folgeabschätzung erstellen. Solche Unternehmen müssen zwar in der Regel ihre Datenverarbeitung dokumentieren, wenn sie regelmäßig personenbezogene Daten verarbeiten, und diese der Datenschutzbehörde auf Anfrage zur Verfügung stellen. Hier wird jedoch eine einfache einseitige Aufstellung reichen.

So muss beispielsweise ein Handwerksbetrieb der nur für eigene Zwecke Informationen über seine Mitarbeiter oder Kunden speichert und diese nicht weiterverkauft, im Grunde nur dafür sorgen, dass diese Daten sicher aufbewahrt sind. Eine kleine Bäckerei braucht keine Datenschutzfolgenabschätzung. Anderslautende Behauptungen sind Humbug.

Kommt die Datenschutz-Grundverordnung mit anderen Gesetzen zur Datenverarbeitung in Konflikt?

Grundsätzlich gibt es hier keine Konflikte. Die Datenschutz-Grundverordnung erlaubt bei Bedarf spezielle Klauseln für die Verarbeitung personenbezogener Daten und hindert Unternehmen nicht daran, ihre gesetzlichen Verpflichtungen einzuhalten.

Im Gegenteil, wenn das nationale oder das europäische Recht den Arbeitgebern eine rechtliche Verpflichtung zur Datenverarbeitung auferlegt, ist dies gemäß der Datenschutzverordnung rechtmäßig. Wichtig dabei ist, dass in solchen Fällen der Arbeitnehmer klar und vollständig über die Verarbeitung seiner Daten informiert wird.

Wer ist für  Verfolgung von Verstößen gegen die Datenschutzverordnung zuständig? Wie kann eine einheitliche Anwendung in den einzelnen Mitgliedstaaten garantiert werden?

Künftig wird es nicht nur eine europaweit einheitliche Datenschutzvorschrift, sondern auch eine wesentlich engere Zusammenarbeit der nationalen Aufsichtsbehörden geben. Im  neuen Europäischen Datenschutzausschuss, dem die Leiter der nationalen Datenschutzbehörden angehören, wird die einheitliche Anwendung regelmäßig überwacht.

Die Datenschutz-Grundverordnung führt auch den sogenannten „One-Stop-Shop“ -Mechanismus ein, der die Zusammenarbeit zwischen den Datenschutzbehörden gewährleistet, wenn die Tätigkeit eines Unternehmens Datenverarbeitungsvorgänge in mehreren Mitgliedstaaten umfasst. Es gibt einen einzigen Ansprechpartner für das Unternehmen und eine einheitliche Auslegung der Vorschriften durch die oberste Aufsichtsbehörde des Mitgliedstaats, in dem sich die Hauptniederlassung des Unternehmens befindet.

Mit welchen Strafen müssen Unternehmen rechnen, wenn sie gegen die neuen Datenschutzvorschriften verstoßen?

Die Datenschutzbehörden sind befugt, Verstöße gegen die Datenschutzbestimmungen zu ahnden. Sie können Abhilfemaßnahmen ergreifen oder Geldbuße verhängen. Allerdings muss die Entscheidung über Geldbußen immer verhältnismäßig sein und alle Umstände des Einzelfalls berücksichtigen. Die Strafen fallen dazu proportional zur Größe der Organisation aus. Wer die Vorgaben der Datenschutzverordnung nicht anwendet, dem drohen Strafen von vier Prozent des Jahresumsatzes. Damit ist sichergestellt, dass auch globale Unternehmen und Internetgiganten ein Interesse haben, die Regeln einzuhalten.

Müssen Unternehmen mit Bußgeldern rechnen, sofern diese es nicht schaffen, alle Anforderungen umzusetzen?

Grundsätzlich gibt es keine Schonfrist. Die neuen Regeln wurden vor fast zwei Jahren, am 27. April 2016 beschlossen und traten am 24. Mai 2016 in Kraft. Nach einer zweijährigen Übergangsphase kommt die Verordnung nun am 25. Mai 2018 zur Anwendung. Die Unternehmen hatten also zwei Jahre, um sich auf die neuen Regeln vorzubereiten.

Sicher werden die nationalen Behörden aber auf die Verhältnismäßigkeit der Sanktionen achten. Justizkommissarin Vera Jourová geht davon aus, dass die Datenschutzbehörden in den ersten ein, zwei Jahren sich darauf konzentrieren, Unternehmen zu helfen, die Regeln umzusetzen und nicht zu „Sanktionsmaschinen“ werden.

Es gibt klare Kriterien: Wenn ein Unternehmen kooperiert oder die Zahl der Betroffenen überschaubar ist, muss es auch keine drakonischen Strafen befürchten. Wenn eine Firma hingegen ein Datenleck verschleiert und wenig zur Aufklärung beiträgt, werden die Behörden Ernst machen.

Wo finden Bürger und Unternehmen Unterstützung bei der Umsetzung der neuen Regeln?

Die Hauptverantwortung liegt hier vor Ort bei den nationalen Akteuren. In Deutschland sind unter anderem das Bundeswirtschaftsministerium, das Bundesinnenministerium und das Bundesjustizministerium aktiv, die Landesdatenschutzbehörde und auch Unternehmensverbände wie die IHKs.

Die Kommission ist sich darüber bewusst, dass es noch Fragen und Unsicherheiten gibt. Die Kommission ist deshalb unterstützend tätig. So werden 1,7 Mio. Euro für die Finanzierung der Datenschutzbehörden und die Schulung von Datenschutz-Fachkräften bereitgestellt. Auch werden  nationalen Behörden weitere 2 Mio. Euro für ihre Informationsarbeit mit den Unternehmen zur Verfügung gestellt. Speziell für Unternehmen hat die Kommission einen Leitfaden auch in deutscher Sprache im Netz veröffentlicht, in dem die wichtigsten Fragen beantwortet werden. Zusätzliche gibt es eine Übersicht "Sieben Schritte für Unternehmen zur Vorbereitung auf die DGSVO."

Wurde die Datenschutz-Grundverordnung einer Folgenabschätzung unterzogen, bevor sie in Kraft trat?

Die Datenschutz-Grundverordnung ist das Ergebnis einer mehr als zweijährigen, umfassenden Konsultation aller wichtigen Akteure, in deren Rahmen es 2009 bzw. 2010/2011 auch zwei öffentliche Konsultationsphasen gab.

Die Kommission hat vor Vorlage ihres Vorschlags auch eine Folgenabschätzung politischer Alternativen vorgenommen, also andere Lösungsmöglichkeiten geprüft.

Aus der Folgenabschätzung ergab sich, dass die im Vorschlag für die DSGVO vorgesehene Option u. a. zu erheblichen Verbesserungen in Bezug auf Rechtssicherheit und Verwaltungsaufwand und zu einer größeren Kohärenz der Durchsetzung der Datenschutzvorschriften führen würde.

Quelle: Europäische Kommission, Pressemitteilung vom 24.05.2018

Mehr zu diesen Themen