Ende 2015 sind zwei datenschutzrechtlich bedeutsame Gesetzesvorhaben umgesetzt werden. Ein neues Gesetz zur Vorratsdatenspeicherung wurde in Deutschland im Oktober 2015 verabschiedet und ist am 18. Dezember 2015 in Kraft getreten. Die wieder eingeführten Speicherpflichten für Telekommunikationsdaten sind spätestens ab 1. Juli 2017 zu erfüllen. Damit haben wir den nächsten Anlauf in Deutschland, die anlasslose Vorratsdatenspeicherung von Telekommunikationsdaten einzuführen. Bundestagsbeschlüsse und Urteile des Bundesverfassungsgerichts und des EuGH in der Vergangenheit, die sich gegen die seinerzeit geplante sowie konkret ausgestaltete Vorratsdatenspeicherung ausgesprochen haben, haben hier keine Wirkung gezeigt. Ebenso wenig, wie letztlich fehlende Belege von der Effektivität einer solche Speicherung zur Terrorbekämpfung in Deutschland und auch andernorts, wo die Vorratsdatenspeicherung schon länger praktiziert wird. Von verschiedener Seite wurden auch diesmal bereits Klagen gegen dieses Gesetz angekündigt.
Für die Wirtschaft von noch viel größerer Bedeutung ist, dass sich im Dezember Europäischer Rat, Europäisches Parlament und Europäische Kommission nach fast vierjähriger Debatte über den endgültigen Inhalt der neuen EU-Datenschutzgrundverordnung geeinigt haben. Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen europaweit vereinheitlicht werden sollen. Dadurch soll einerseits der Schutz von personenbezogenen Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Die Datenschutz-Grundverordnung wird die aus dem Jahr 1995 stammende Datenschutzrichtlinie ersetzen. Im Gegensatz zur Richtlinie 95/46/EG, die von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden musste, wird die Datenschutz-Grundverordnung ohne Umsetzungsakt unmittelbar in allen EU-Mitgliedsstaaten gelten. Den Mitgliedsstaaten wird es daher nicht möglich sein, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken. Die Datenschutz-Grundverordnung ist aber in vielen Punkten nicht abschließend und kaum konkreter als in Deutschland das Bundesdatenschutzgesetz. Nationale Regelungen werden daher nicht vollständig entbehrlich sein. Fest steht, dass sowohl Bundes- wie Landesgesetze aufgrund der Datenschutz-Grundverordnung ebenfalls novelliert werden müssen. Eine offizielle deutsche Übersetzung der EU-Datenschutz-Grundverordnung gibt es bisher noch nicht.
Inhaltlich wird man sich die einzelnen Regelungen noch im Detail ansehen müssen.
Grundsätzlich gibt es aber datenschutzrechtliche Änderungen in folgenden Punkten:
- Stärkung der Nutzerrechte (Stärkere Informationsrechte, Mitnahmerechte von Daten zu anderen Internetdienstanbietern).
- Erhöhung des Mindestalters für die Abgabe einer Einwilligung auf 16 Jahre.
- US-Unternehmen müssen sich an europäische Vorgaben halten, wenn sie sich auf dem europäischen Markt betätigen.
- Höhere Bußgelder für Datenschutzverstöße.
- Der Datenschutzbeauftragte wird zwar europaweit eingeführt, jedoch nur unteren engen Voraussetzungen zur Pflicht. Allerdings kann der nationale Gesetzgeber diese Anforderung herabsetzen, so dass sich in Deutschland möglicherweise – wenn man den derzeitigen Bekundungen der Regierungsseite glauben will – nichts ändert.
Eine detaillierte Analyse steht noch aus. Für produzierende Unternehmen werden die Änderungen jedoch überschaubar bleiben, mit der Ausnahme jedenfalls, dass sich die Höhe von Bußgeldern – im Falle eines Verstoßes – deutlich verschärfen wird.
Auswirkungen auf die Wirtschaft haben insbesondere zwei Entscheidungen aus 2015. Von großer Bedeutung ist die Entscheidung des EuGH, welcher die Safe Harbor Regelung zum Austausch von Daten zwischen den USA und der EU für ungültig erklärt. Die EU-Kommission hätte demnach die Befugnisse der nationalen Datenschutzbehörden durch einen Beschluss nicht wie geschehen beschränken dürfen. Die persönlichen Daten europäischer Internetnutzer seien in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt. Eine Regelung, die es den US-Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, verletze den Wesensgehalt des Grundrechts auf Achtung des Privatlebens. Da EU-Bürger gegen die Weiternutzung ihrer Daten nicht gerichtlich Einspruch erheben könnten, sei zudem der Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt. Diese Entscheidung kommt im Ergebnis nicht ganz unerwartet, da europäische Datenschutzbehörden Safe Harbor schon seit längerem für unwirksam hielten bzw. jedenfalls nicht für alle Arten von personenbezogene Daten gelten lassen wollten. Fortan bleibt dem Unternehmen praktisch nur die Nutzung der EU-Standardvertragsklauseln, die US-Unternehmen für ihre Produkte und Dienstleistungen oft schlicht nicht immer anbieten oder sich dem Risiko einer Überprüfung und Beanstandung durch die Aufsichtsbehörde für den Datenschutz auszusetzen. Bis Ende Januar 2016 hatten die Datenschutzaufsichtsbehörden eine Stillhaltefrist ausgerufen, in der nicht kontrolliert werden sollte, um der EU die Möglichkeit zu geben, ein neues Abkommen mit den USA auszuhandeln. Ein neues Abkommen mit dem Namen Privacy-Shield wurde auch zwischenzeitlich angekündigt. Die genauen Inhalte hierzu sind jedoch noch nicht bekannt und wohl auch noch nicht verbindlich vereinbart. Soweit Inhalte bekannt wurden ist jedoch zweifelhaft, ob die vom EuGH geäußerten Kritikpunkte tatsächlich beseitigt werden.
Mit großem Interesse wurde auch eine Bußgeldentscheidung des Bayrischen Landesamtes für Datenschutzaufsicht aufgenommen, indem es um eine unzureichende Auftragserteilung ging. Hier wurde eine Geldbuße in fünfstelliger Höhe festgesetzt. Das BayLDA stellte damit klar: Wer andere für sich mit personenbezogenen Daten arbeiten lässt, muss darüber Kraft Gesetzes einen ziemlich detaillierten Vertrag schließen. Wird so ein Vertrag nicht oder unzureichend abgeschlossen, droht ein Bußgeld. Im konkreten Fall hatte das Unternehmen in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine bestimmten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt. Grundsätzlich bedarf es, wenn personenbezogene Daten im Auftrag durch ein anderes Unternehmen verarbeitet werden, gem. § 11 Bundesdatenschutzgesetz eines Vertragsabschlusses zur sog. „Auftragsdatenverarbeitung“. Welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen, kann nicht pauschal beantwortet werden, sondern richtet sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen. Den gesetzlichen Maßstab für die festzulegenden technisch-organisatorischen Maßnahmen bildet jedenfalls die Anlage zu § 9 BDSG. Ein Leitfaden der bayrischen Aufsichtsbehörde nennt als Hilfestellung Dienstleistungen, bei denen eine Auftragsdatenverarbeitung notwendig ist.
Für regelmäßige Informationen zum Datenschutz empfehle ich Ihnen meinen Newsletter unter www.datenschutz-duesseldorf.info zu abonnieren.
