EU-Datenschutz-Grundverordnung - Einigung bei den Trilog-Verhandlungen

Nachdem die Trilog-Verhandlungen zwischen EU-Kommission, Ministerrat und europäischem Parlament nun abgeschlossen sind, ist zu erwarten, dass die EU-Datenschutz-Grundverordnung (EU-DSGVO) Anfang 2016 auch noch den EU-Ministerrat und das EU-Parlament mit einer Zustimmung passiert. Experten gehen davon aus, dass keine Änderungen an der Grundverordnung im weiteren Gesetzgebungsverfahren mehr zu erwarten sind, so dass die vorliegende Textversion der EU-DSGVO voraussichtlich im Juni 2016 in Kraft tritt. Nach Inkrafttreten gilt eine zweijährige Übergangsfrist, die von den Mitgliedsstaaten zu nutzen ist, um die neuen Vorschriften der EU-Datenschutz-Grundverordnung umzusetzen.

Die wichtigsten Änderungen der neuen EU-Datenschutz-Grundverordnung gegenüber der bisher geltenden Europäischen Richtlinie „Richtlinie 95/46/EG“ aus 1995 sind:

Einwilligung und Recht auf Vergessenwerden:
Die ausdrückliche und jederzeit widerrufbare Einwilligung der Nutzer in die Verarbeitung ihrer personenbezogenen Daten sowie auch das „Recht auf Vergessenwerden“ sollen mit der neuen Datenschutzgrundverordnung weiter gestärkt werden.

Vorgaben für soziale Medien:
Für die Eröffnung von Social-Media-Konten soll es zukünftig Altersgrenzen geben, wer darunter liegt, benötigt die Zustimmung der Eltern bzw. Sorgeberechtigten. Die EU-Mitgliedsstaaten legen dabei individuell fest, wo die Altersgrenze liegen soll, wobei der von der EU-DSGVO gesteckte Rahmen die Altersspanne von 13 Jahren bis 16 Jahren vorsieht.

Datenlecks und Datenpannen:
Bei Datenlecks und Datenpannen sind Anbieter zukünftig verpflichtet, diese umgehend an die Aufsichtsbehörden zu melden, damit die Betroffenen vor weiteren Beeinträchtigungen geschützt werden können.

Transparente Information der Verbraucher:
Verbraucher müssen zukünftig in klar und einfach verständlich formulierten Sätzen oder
Abbildungen über ihre Rechte und Pflichten informiert werden. Das Verstecken von Informationen im „Kleingedruckten“ soll abgeschafft werden.

Strafen bei Verstößen:
Unternehmen können Strafen von bis zu 4% ihres Jahresumsatzes erwarten, wenn sie Datenschutzbestimmungen nicht einhalten.

Bestellung eines Datenschutzbeauftragten:
Es gilt eine Bestellpflicht für einen Datenschutzbeauftragten dann, wenn Unternehmen im großen Ausmaß sensible Daten verarbeiten oder das Verhalten von Betroffenen überwachen. KMU müssen jedoch nur dann eine/n Datenschutzbeauftragte/n bestellen, wenn ihr Hauptgeschäftsfeld in der Verarbeitung von personenbezogenen Daten liegt. Die EU-DSGVO sieht hier eine Öffnungsklausel vor. Die Ausgestaltung obliegt den EU-Mitgliedsländern.

Zentrale Beschwerdestellen:
Nationale Datenschutzbehörden sollen zukünftig ausgebaut und zentrale Anlaufstellen für Beschwerden von Bürgern und Meldung über Datenschutzverstöße werden.

Quellen:

Pressemitteilung des Europäischen Parlaments vom 17.12.2015:
EU-Datenschutzreform: Mehr Rechte für Europas Internetnutzer