Es ist ja bekannt, dass die EU derzeit mit einer Datenschutz-VO schwanger geht, die diesen hochaktuellen Bereich europaeinheitlich regeln soll.
Heute, auf dem EDV-Gerichtstag hat Ralf Bendrath, Berater von Philipp Albrecht (Berichterstatter des EU-Parlaments zur Datenschutz-VO) die groben Leitlinien skizziert. Schlagwortmäßig also hier der Überblick:
- Die VO soll bis Juni 2014 (Europawahl) fertig sein.
- Neben der VO wird eine RL für die Strafjustiz geschaffen.
- Die Grundregeln des Datenschutzrechts, wie wir es in Deutschland kennen, sollen erhalten bleiben. Dennoch sind einige Neuerungen zu erwarten.
- Technischer Datenschutz soll neu gefasst werden (Privacy by Design/Privacy by default).
- Das Recht, vergessen zu werden, soll festgeschrieben werden (damit soll auch das Daten speichernde Unternehmen verpflichtet werden, bei einem durch den Betroffenen geltend gemachten Anspruch auf Datenlöschung die Datenspur zu verfolgen und ggf. darauf hinzuwirken, dass auch andere Unternehmen die Daten löschen. Wie das umgesetzt werden soll, ist nicht klar geworden).
- Data portability ist ein großer Streitpunkt. Dies versteht sich einerseits als Anspruch, Daten von Unternehmen in akzeptablen Formaten zu erhalten (soweit in Deutschland auch üblich, aber auch nicht völliger Standard), zugleich sollen diese Formate es aber auch möglich machen, die Daten zu exportieren und somit in andere Systeme einpflegen zu können. Kundenbindungsprogramme stehen hier auf der Kippe, weshalb hier noch Klärungsbedarf sein dürfte.
- Das Recht, zu erfahren, wie genau die Daten verarbeitet werden, ist derzeit nicht vorgesehen, da nicht klar ist, wie dies umgesetzt werden kann.
- Drittstaatenregelungen sollen erweitert werden, insbesondere soll es auch möglich sein, nur Sektoren zu akzeptieren, was eine Bewegung in Richtung USA darstellt, die Sektoren getrennt regeln.
- Zugleich sollen auch nicht-EU-Unternehmen, die aber in der EU Daten sammeln, durch die VO erfasst werden und u.a. verpflichtet werden, einen Repräsentanten zu ernennen. Wie dies konkret umgesetzt wird, dürfte auch noch Fragen aufwerfen.
- Im Fall eines Data Breaches sollen die Unternehmen verpflichtet werden, Betroffene und Aufsichtsbehörden zu informieren.
- Es wird noch um die Schwellenwerte gerungen, die für Unternehmen gelten, um einen Datenschutzbeauftragten stellen zu müssen. Die Kommission stellt sich vor, dass hier jedes Unternehmen ab 250 Mitarbeitern einen Datenschutzbeauftragten haben soll. Diese Regelung ist natürlich einfach, aber lebensfremd, wenn bedacht wird, dass auch sehr kleine Unternehmen viele Daten verarbeiten und umgekehrt. Unternehmen, die Datenverarbeitung als Geschäftszweck haben, sollen immer einen Datenschutzbeauftragten beschäftigen.
- Datenschutzbehörden sollen in der EU als one-stop-shop fungieren. Dann wäre nur die Behörde des Landes zuständig, in der ein Unternehmen seinen Sitzu hat.
- Strafen sollen schmerzhafter werden mit Strafsummen bis zu 2 Prozent des Umsatzes.
