[Köln, ] Am 15.12.2015 verkündete die EU das Ende der Verhandlungen über die Datenschutz-Grundverordnung (DSGVO), die seit vier Jahren andauerten. Vorbehaltlich der Zustimmung des Europäischen Parlaments und des Europäischen Rats (voraussichtlich Anfang 2016) wird die Verordnung nach Ablauf der Übergangsfrist im Jahr 2018 in allen Mitgliedstaaten in Kraft treten. Das Bundesdatenschutzgesetz (BDSG) wird dann in weiten Teilen Geschichte sein. Vorrangiges Ziel der Verordnung war es, die unterschiedlichen datenschutzrechtlichen Regelungen in den 28 Mitgliedstaaten zu vereinheitlichen und den „Flickenteppich“ an unterschiedlichen Regelungen zu beseitigen. Die Vorschriften sollen einerseits für Unternehmen eine zweckmäßige Basis ihres Handelns im „digitalen Zeitalter“ sein. Andererseits sollen die betroffenen Bürger besser geschützt werden und mehr Kontrolle über die Verwendung ihrer Daten erhalten.
Was bedeutet das für deutsche Unternehmen?
Die Verordnung enthält gravierende Änderungen für deutsche Unternehmen: So unterliegen Unternehmen demnächst erhöhten Dokumentationspflichten. Die DSGVO verabschiedet sich z.B. von den im BDSG verankerten Meldepflichten. Anstelle dessen werden die Unternehmen selbst im Sinne eines Verantwortlichkeitsprinzips deutlich mehr in die Pflicht genommen. Sie müssen künftig dokumentieren, was sie aktiv tun, um die Anforderungen der DSGVO zu erfüllen. Bei Beschwerden oder Verfahren müssen Unternehmen darlegen können, dass sie alle Sorgfaltspflichten erfüllt haben. Dazu gehört etwa die Transparenz. Sie werden beweisen müssen, Betroffene umfassender und genauer als es in der Vergangenheit nötig war über den Umgang mit ihren personenbezogenen Daten informiert zu haben. Auch wird es deutlich schwerer als bislang, Einwilligungen der Betroffenen wirksam einzuholen. Unternehmen werden bei allen Datenerhebungen, die nicht unbedingt für die Leistungserbringung oder Vertragsdurchführung erforderlich sind, besonders aufmerksam sein müssen. Jugendliche unter 16 Jahren können selbständig überhaupt nicht einwilligen; auch dies wird zu erheblichen Änderungen im Online-Geschäft führen. Darüber hinaus gibt es Berichtspflichten für die Unternehmen bei Datenpannen. Beim Umgang mit besonderen Arten personenbezogener Daten muss es vorher eine Folgeabschätzung geben. Die DSGVO schafft zudem im deutschen Datenschutzrecht bislang gesetzlich nicht geregelte Rechte, z.B. das „Recht auf Vergessen“ oder das sog. „Recht auf Datenübertragbarkeit“. Auch dem werden die Unternehmen, auch durch technische Vorkehrungen, gerecht werden müssen. Erschwerend kommt für deutsche Unternehmen hinzu, dass die DSGVO durchaus Raum für einzelstaatliche Regelungen lässt, was für Rechtsunsicherheit sorgen wird.
Welche Rechtsfolgen drohen bei Verstößen gegen die neuen Anforderungen?
Für Verstöße sah das BDSG bisher einen Bußgeldrahmen von bis zu 300.000 Euro vor. Nach der DSGVO werden die Strafen deutlich empfindlicher ausfallen: fortan sind Strafen von bis zu 20 Mio. Euro oder 4 Prozent des Jahresumsatzes vorgesehen. Der Jahresumsatz bemisst sich an dem des gesamten Konzerns.
Wie können Unternehmen sich rüsten?
Unternehmen, die einen Standort, Kunden oder Mitarbeiter in Europa haben, sollten schon jetzt damit beginnen, sich auf die neuen Pflichten, die die DSGVO statuiert, vorzubereiten. Datenbestand, Datenflüsse und Datenverarbeitungsprozesse sollten identifiziert und dokumentiert werden. Auch auf die erweiterten Dokumentationspflichten sollten sich Unternehmen schon jetzt einstellen – Erfahrungen bei der Erstellung eines Verfahrensverzeichnisses zeigen, dass sich solche Vorhaben nicht in kurzer Zeit umsetzen lassen; und die Pflichten nach der DSGVO dürften darüber noch deutlich hinausgehen. Der als final bezeichnete Text der neuen DSGVO ist noch nicht in alle Sprachen übersetzt, auf Englisch aber schon abrufbar unter http://www.statewatch.org/news/2015/dec/eu-council-dp-reg-draft-final-compromise-15039-15.pdf. In den vergangenen Jahren haben wir das Gesetzgebungsverfahren genau verfolgt und werden dies hinsichtlich der neuen Entwicklungen natürlich weiter tun. So stellen wir sicher, dass wir in datenschutzrechtlichen Fragen stets gemeinsam mit unseren Mandanten pragmatische Lösungen entwickeln können, die den gesetzlichen Anforderungen standhalten. Sollten Sie Beratungsbedarf oder Fragen haben, stehen wir Ihnen selbstverständlich sehr gerne zur Verfügung.