Reform Datenschutzrecht – Europa-Auswirkungen der geplanten Datenschutzgrundverordnung der EU-Kommission

Seit dem 25.1.2012 liegt ein Entwurf für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) vor. Die Datenschutz-Grundverordnung (DS-GVO) soll die aus dem Jahr 1995 stammende Richtlinie 95/46/EG (Datenschutzrichtlinie) ersetzen. Im Gegensatz zur Richtlinie 95/46/EG, die von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden musste, wird die Datenschutz-Grundverordnung wohl ohne Umsetzungsakt unmittelbar in allen EU-Mitgliedsstaaten gelten. Das bedeutet im eigentlichen Rechtssinne, dass hier eine einheitliche, für alle Mitgliedsstaaten bindende Rechtsnorm entsteht. Die Datenschutzgrundverordnung enthält hierbei wesentliche Reformvorschläge. Zu nennen sind hier vor allem die Instrumente „privacy by default“, „privacy by design“, „Recht auf Vergessenwerden“ und Datenportabilität (Erwägungsgrund - EG 61).

Vorgestellt werden in diesem Artikel auszugsweise die nachfolgenden Regelungsprinzipien:

Verarbeitung personenbezogener Daten

Es bleibt weiterhin bei der Rechtssystematik des Verbotes mit Erlaubnisvorbehalt bezüglich der Verarbeitung personenbezogener Daten.

"privacy by design" / "privacy by default"

Die Instrumente „privacy by design“ (Datenschutz durch Technik) und „privacy by default“ (datenschutzfreundliche Voreinstellungen) werden in Art. 23 DV-GVO nun rechtlich verankert.

Anwendungs- und Geltungsbereich inkl. Drittstaaten

Der Anwendungsbereich erstreckt sich weiterhin auf personenbezogene und -beziehbare Daten (EG 23). Die Verordnung stellt auch klar, dass nicht zwangsläufig ein Personenbezug bei der Inanspruchnahme von Online-Diensten hergestellt werden kann (Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente als solche sind nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu betrachten). Die Verordnung soll auch für Unternehmen, die außerhalb der EU ansässig sind, gelten – allerdings nur dann, wenn die Datenverarbeitung darauf abzielt, u.a. das Verhalten von Personen in der EU zu beobachten (Art 3 Nr. 2b). Im Kontext wird klar, dass es sich vornehmlich um Internetaktivitäten handeln muss. Zitat aus Erwägungsgrund (21) der Grundverordnung: „Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten mit Hilfe von Datenverarbeitungstechniken nachvollzogen werden, durch die einer Person ein Profil zugeordnet wird, das die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönliche Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen".

Artikel 41 DS-GVO stellt ausdrücklich klar, dass eine Datenübermittlung vorgenommen werden darf, wenn die Kommission festgestellt hat, dass das betreffende Drittland beziehungsweise ein Gebiet oder ein Verarbeitungssektor dieses Drittlands oder die betreffende internationale Organisation einen angemessenen Schutz bietet. Derartige Datenübermittlungen bedürfen keiner weiteren Genehmigung. Liegt allerdings kein Beschluss der Kommission vor, so muss die Datenübermittlung auf der Grundlage von geeigneten Garantien erfolgen. Zu nennen wären hier binding corporate rules, Standardvertragsklauseln. Art. 43 DS-GVO beinhaltet hierzu detaillierte Regelungen. Dabei ist streng darauf zu achten, ob Kriterien wie Rechtsverbindlichkeit interner Vorschriften, Datenschutzgrundsätze, Haftungsfragen, Betroffenenrechte, Implementierung eines Datenschutzbeauftragten, Compliance-Vorschriften usw. eingehalten wurden. Der Katalog wurde sehr weit gefasst, sodass hier anzunehmen ist, dass unternehmensinterne Vorschriften deutlich mehr in den Fokus rücken als bisher.

Definition personenbezogener Daten

Personenbezogene Daten werden in Art. 4 Abs. 1 DS-GVO legal definiert, welche vom deutschen BDSG inhaltlich abweichen. Nach der DS-GVO gelten als personenbezogene Daten nun solche, die direkt oder indirekt einer Person zugeordnet werden können. Liest man diese Legaldefinition mit dem EG 23 (siehe unter 3.), so ist diese Definition wahrscheinlich als sog. unbestimmter Rechtsbegriff zu lesen. Wie die jeweiligen Sachverhalte darunter subsumiert werden, insbesondere bei indirekter Zuordnung von personenbezogenen Daten, wird schließlich jeweils eine Einzelfallentscheidung werden.

Zulässigkeit der Verarbeitung

Nach Art. 4 Abs. 3 d DS-GVO ist die Verarbeitung (also Erheben, Nutzen, Löschen) nur zulässig, wenn eine Einwilligung vorliegt oder diese Verordnung selbst die Einwilligung erteilt. Nach wie vor ist der Zweck wie z.B. Vertragsbeziehungen, vorvertragliche Vertrauensverhältnisse maßgeblich. Die Einwilligung muss nunmehr allerdings expressis verbis also ausdrücklich erfolgen (Art. 4 Abs 8 DS-GVO), dass die betroffene Person mit der Verarbeitung einverstanden ist. Hierfür wird nunmehr der für die Verarbeitung Verantwortliche nach der allgemeinen Beweislastregel die Beweislast tragen müssen. Es wird demzufolge die Aufgabe des Verantwortlichen werden, die Einwilligung zur Absicherung in geeigneter Form zu dokumentieren. Art. 7 Abs 3 DS-GVO regelt die Widerruflichkeit. Es besteht zwar ausdrücklich kein Schriftformerfordernis. Allerdings trägt der Verantwortliche wie zuvor beschrieben die Beweislast. Hier wird möglichenfalls eine schriftliche Dokumentation erforderlich werden. Auch der Beschäftigungsdatenschutz (z.B. zw. Arbeitnehmern und Arbeitgebern) wird zunehmend im Hinblick auf ein erhebliches Ungleichgewicht eine Rolle spielen (siehe Art. 7 Abs. 4 DS-GVO). Die Einwilligung bietet keine Rechtsgrundlage für die Verarbeitung, wenn zwischen der Position der betroffenen Person und des für die Verarbeitung Verantwortlichen ein erhebliches Ungleichgewicht besteht. Das Tatbestandsmerkmal "erhebliches Ungleichgewicht" stellt hier erneut einen unbestimmten Rechtsbegriff dar. Daher wäre jeder Sachverhalt künftig eine Einzelfallentscheidung. Ein sog. Subordinationsverhältnis ist jedenfalls zwischen Arbeitgeber und Arbeitnehmer oder zwischen Staat und Bürger zu bejahen. Allerdings bleibt hier offen, wie es sich beispielsweise zwischen einem Verbraucher und Unternehmer verhält. Wird hier auch von einem erheblichen Ungleichgewicht gesprochen? Aus Sicht der Unternehmen bedeutet dies, dass sie bei jeder Verarbeitung von personenbezogenen Verbraucherdaten darauf angewiesen sind, eine gemäß Art. 6 Abs. 1 f DS-GVO „richtige“ Abwägung der Interessen vorzunehmen, wobei sie stets befürchten müssen, dass staatliche Aufsichtsbehörden die Abwägung überprüfen und zu abweichenden Ergebnissen gelangen.

Art. 17 DS-GVO regelt das Löschen von Daten präzisiert um ein Recht auf „Vergessenwerden“. Verschärfte Anforderungen und daraus resultierende Handlungspflichten gelten im Falle einer Veröffentlichung von Daten, nämlich das Unternehmen von allen vertretbaren Schritten, auch technischer Art diese Daten inklusive Querverweise zu löschen (Anmerkung: Vergisst das Internet wirklich nie?)

Gänzlich neu wird das Recht auf Datenübertragbarkeit sein, welches in Art. 18 DS-GVO normiert ist. Danach haben Personen, deren Daten in gängigen strukturierten Formaten verarbeitet werden, das Recht, hiervon eine elektronische Kopie zu erhalten. Auf Verlangen soll ein Betroffener seine Daten bei einem Anbieter komplett löschen und zu einem anderen verschieben können.

Anpassung Schutzzweck

Anpassung des Schutzzweckes an veränderte äußere Gegebenheiten (Transparenzgebot, Schutz Minderjähriger, technische Weiterentwicklungen). Siehe hierzu die lesenswerte Empfehlung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder: „Ein modernes Datenschutzrecht für das 21. Jahrhundert“[1]

Datenschutzverletzungen

Diese sind nun durch den für die Verarbeitung Verantwortlichen gegenüber einer Aufsichtsbehörde und der betroffenen Person binnen 24 Stunden nach Feststellung der Verletzung zu melden (Art. 31 und 32 DS-GVO). Nach Art 33 DS-GVO führt bei Verarbeitungsvorgängen, die aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen, der für die Verarbeitung Verantwortliche oder der in seinem Auftrag handelnde Auftragsverarbeiter vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Diese Formulierung wird in Absatz 2 durch Regelbeispiele ergänzt.

Innerorganisatorische Regelungen

Die Benennung eines internen oder externen Datenschutzbeauftragten wird zur gesetzlichen Regel – entgegen des § 4 f BDSG aber u.a. nur bei Unternehmen mit mindestens 250 Beschäftigten und solchen mit bestimmten Kerntätigkeiten (z.B. Durchführung von Verarbeitungsvorgängen).

Aufgaben und Befugnisse der Aufsichtsbehörden

Die Befugnisse werden in Art 53 näher bezeichnet, z.B. Hinweis und Anweisungspflichten, Ermahnungen bis hin zu Verboten und Zugangsersuchen zu Geschäftsräumen. Verstöße können ordnungsrechtliche Strafen bis max. 1 Mio. € nach sich ziehen.

Aus juristischer Sicht dürfte mit dieser Grundverordnung zwar EU-weit ein einheitlicher Datenschutz verankert werden. Allerdings lässt diese Grundverordnung auch viel Interpretationsspielraum zu. Es bleibt daher abzuwarten, ob die Europäische Kommission diesen Reformvorschlag 1:1 umsetzen wird. Das BDSG mit seinen durchaus soliden und rechtssicheren Formulierungen, insbesondere bei der Definition von personenbezogenen Daten, wäre als nachrangige Rechtsnorm bedeutungslos.

Insoweit wird dies auch vom Deutschen Anwaltsverein (DAV) kritisch gesehen, siehe Stellungnahme des Deutschen Anwaltvereins durch die Ausschüsse Informationsrecht und Verfassungsrecht zum Vorschlag für „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)“ (Kom(2012) 11 endgültig).[2]

Aktuelles/Verweise:

Der Rat der Europäischen Union hat am 04.12.2014 eine partielle allgemeine Ausrichtung bezüglich der Anwendung der Datenschutz-Grundverordnung auf den öffentlichen Bereich angenommen (pdf-Datei, hinterlegt auf den Seiten des Rats[3])[4].