12.03.2014 | Top-Thema EU-Datenschutzverordnung

Weitere geplante Neuerungen

Kapitel
Bild: Michael Bamberger

Der Entwurf hält aber noch zahlreiche weitere, nennenswerte Neuerungen parat. Hier ein Überblick über die einzelnen Regelungen:

  • Personenbezug von IP-Adressen

Entgegen dem inoffiziellen Vorentwurf, der im Dezember 2011 bekannt geworden war, lässt sich aus Art. 4 Nr. 1 der DSGVO i. V. m. Erwägungsgrund 24 entnehmen, dass IP-Adressen nicht generell als personenbezogene Daten eingestuft werden sollen. Das ist bekanntlich derzeit nach wie vor hoch umstritten. Die Aufsichtsbehörden bejahen einen solchen generellen Personenbezug. Hier sind also noch Diskussionen zu erwarten.

  • Schutz von Kindern

Der datenschutzrechtliche Schutz von Kindern soll ausgeweitet werden. Die Daten von Kindern unter 13 Jahren sollen nur noch aufgrund einer Einwilligung der Erziehungsberechtigten verarbeitet werden dürfen.

  • Erweiterte Transparenzpflichten

Die Art. 11 ff. ADVSO des Entwurfs würden die Transparenzanforderungen ausweiten. Die für die Datenverarbeitung verantwortlichen Stellen sollen demnach Datenschutzerklärungen über die von ihnen vorgenommene Datenverarbeitung erstellen und darin auch angeben, wie die betroffenen Personen ihre Rechte, z. B. auf Auskunft oder Löschung, ausüben können. Diese Erklärung muss allgemein verständlich sein und einfach zugänglich vorgehalten werden. Nach Art. 12 DSGVO soll die datenverantwortliche Stelle auch darüber informieren müssen, wie lange die verarbeiteten Daten gespeichert werden.

Darüber hinaus soll die verantwortliche Stelle die Betroffenen nach Art. 13a DSGVO durch eine standardisierte Tabelle darüber informieren, wie sie mit personenbezogenen Daten verfährt. Anhand von Abbildungen, die an Verkehrsschilder erinnern, soll der Betroffene beispielsweise darüber informiert werden, ob personenbezogene Daten an Dritte übermittelt werden oder in unverschlüsselter Form aufbewahrt werden.

  • Einrichtung eines Verfahrens zur Ausübung der Betroffenenrechte

Ferner ist vorgesehen, dass datenverantwortliche Stellen nach Art. 12 DSGVO elektronische Verfahren einrichten, mittels derer die von der Datenverarbeitung betroffenen Personen ihre Betroffenenrechte, wie z. B. auf Auskunft oder Löschung, geltend machen können. Die verantwortliche Stelle muss auf die Anfrage der Betroffenen innerhalb von 40 Kalendertagen antworten. Nur ausnahmsweise darf eine Antwort einen Monat später erfolgen.

  • Recht auf Löschung und Berichtigung

Anstatt eines „Rechts auf Vergessenwerden“, wie es im Kommissionsentwurf noch vorgesehen war, sieht Art. 17 der DSGVO nur noch ein leicht erweitertes Recht auf Berichtigung und Löschung vor. Aus diesem Recht resultieren Löschungsverpflichtungen der verantwortlichen Stelle. Soweit die verantwortliche Stelle Daten des Betroffenen öffentlich gemacht hat, verpflichtet Art. 17 Nr. 2 DSGVO die verantwortliche Stelle darüber hinaus dazu, alle vernünftigen Maßnahmen zu ergreifen, um diese Daten auch bei Dritten löschen zu lassen.

  • Datenportabilität

Datenverantwortliche Stellen müssen den betroffenen Personen auf Anfrage die von ihnen verarbeiteten Daten elektronisch zur Verfügung stellen, wenn sie deren Daten automatisiert verarbeiten. Hierdurch soll es Personen insbesondere ermöglicht werden, Daten aus sozialen Netzwerken zu einem anderen Anbieter zu portieren.

  • Konzernprivileg

Art. 22 Abs. 3a würde außerdem eine Art Konzernprivileg in das europäische Datenschutzrecht einführen. Danach könnten gruppeninterne Datenweitergaben zwischen verbundenen Unternehmen unter erleichterten Voraussetzungen erfolgen; vorausgesetzt, dass ein angemessenes Datenschutzniveau z. B. durch gruppeninterne vertragliche Regelungen oder branchenweite Codes of Conduct gesichert sind.

  • Angemessenheit des Datenschutzniveaus in Drittländern

Nach Art. 41 der DSGVO kann die EU-Kommission nunmehr auch die Angemessenheit des Schutzniveaus für einzelne Territorien und bestimmte Verarbeitungssektoren innerhalb eines Drittstaates feststellen, in die Daten anschließend übermittelt werden dürfen. Dies könnte für föderale Staaten wie Kanada, aber auch die USA relevant sein, sodass ggf. künftig auch einzelne Bundesstaaten anerkannt werden können.

  • Binding Corporate Rules

Auch Binding Corporate Rules können wie bisher einen Datentransfer in Drittländer erlauben. Derartige Binding Corporate Rules müssen zwar auch weiterhin noch anerkannt werden, jedoch wird dieses Verfahren nunmehr in Art. 43 DSGVO derart vereinfacht, dass nur noch von einer einzigen Datenschutzaufsichtsbehörde eine Genehmigung erteilt werden muss. Das aufwendige Koordinierungsverfahren mit diversen Behörden in verschiedenen Mitgliedstaaten entfiele also.

Die Einführung von Binding Corporate Rules könnte für internationale Konzerne dadurch wieder attraktiver werden.

  • Auskunft an Behörden oder Gerichte aus Drittstaaten

Wieder aufgenommen hat das EU-Parlament in Art. 43a eine schon in einer Vorversion stark umstrittene Regelung über die Übermittlung von Daten an Behörden oder Gerichte in Drittstaaten. Im Fall von derartigen Anfragen, auch beispielsweise aufgrund von Urteilen oder bindenden Entscheidungen, sollen die Daten verarbeitenden Stellen die Datenschutzaufsichtsbehörden benachrichtigen, die dann klären sollen, ob und inwiefern Daten offenbart werden dürfen. Durch diese Regelung soll offenbar versucht werden, vor allem den durch den Patriot Act legitimierten Datenzugriffen durch staatliche Stellen in den USA einen Riegel vorzuschieben. Nachdem diese Regelung aus dem ersten Entwurf der Verordnung entfernt wurde, hat das EU-Parlament sie wieder aufgenommen. Angesichts der jüngsten, fortgesetzten Berichte über Datenzugriffe durch ausländische Geheimdienste scheint das Parlament ein Zeichen setzen zu wollen.

  • Zusammenarbeit der Datenschutzbehörden

In der DSGVO ist zudem detailliert geregelt, wie die Datenschutzaufsichtsbehörden innerhalb der EU zusammenarbeiten sollen. So ist geplant, ein neues Gremium, das "European Data Protection Board",  zu schaffen. Es besteht aus den jeweiligen Leitern aller nationalen Datenschutzbehörden in Europa. Falls, wie in Deutschland, mehrere Datenschutzbehörden bestehen, sollen die nationalen Datenschutzbehörden das Mitglied bestimmen. Das European Data Protection Board soll insbesondere die nationalen Datenschutzbehörden koordinieren. Es hätte aber auch Entscheidungsbefugnisse im Fall von Streitigkeiten zwischen zwei Datenschutzaufsichtsbehörden aus verschiedenen EU-Mitgliedstaaten. Grundsätzlich sieht die DSGVO vor, dass Maßnahmen einer Datenschutzbehörde auch in einem anderen von dem Fall betroffenen EU-Mitgliedstaat durchgesetzt werden können.

Außerdem soll zukünftig nur noch eine Datenschutzaufsichtsbehörde für einen Fall zuständig sein, und zwar auch dann, wenn eine Untersuchung eine Datenverarbeitung in mehreren EU-Mitgliedstaaten betrifft. Regelmäßig soll dann die Datenschutzaufsichtsbehörde in dem EU-Mitgliedstaat zuständig sein, in dem die verantwortliche Stelle ihren Hauptsitz hat.

  • Verbandsklage

Mit den Art. 73 ff. DSGVO soll eine Art Verbandsklage eingeführt werden. Danach könnte ein Verband in Vertretung zumindest einer betroffenen Person sowohl bei den Datenschutzaufsichtsbehörden als auch vor Gericht ein Verfahren wegen der Verletzung von Datenschutzvorschriften anstrengen und durchführen.

  • Haftung des Auftragsdatenverarbeiters gegenüber den Betroffenen

Nach § 7 BDSG ist es den Betroffenen derzeit nur möglich, gegen die datenverantwortliche Stelle einen Ersatzanspruch für den Schaden geltend zu machen, der ihnen durch die unrechtmäßige Verarbeitung ihrer Daten entstanden ist. Diese Haftung soll durch Art. 77 DSGVO auf Auftragsdatenverarbeiter ausgeweitet werden.

Sowohl die verantwortliche Stelle als auch der Auftragsdatenverarbeiter sollen sich aber von der Haftung exkulpieren können, wenn sie nachweisen, dass sie das den Schaden auslösende Ereignis nicht verschuldet haben. Waren mehrere Daten verarbeitende Stellen beteiligt, soll jede Stelle gegenüber dem Betroffenen in Höhe des vollen Schadens haften. Das Haftungsrisiko steigt zusätzlich durch die bereits dargestellte Regelung, dass der Betroffene auch den Ersatz immaterieller Schäden verlangen kann.

Schlagworte zum Thema:  Internet, Aufsichtsbehörde, Drittstaat, Auftragsdatenverarbeitung, Europa, Datenschutz, EU-Datenschutzreform, Datenschutz-Grundverordnung

Aktuell

Meistgelesen