18.05.2016 |
Jetzt ist sie veröffentlicht! Am 04.Mai 2016 wurde der Text der künftigen EU-Datenschutz-Grundverordnung (EU-DS-GVO) offiziell im Amtsblatt der Europäischen Union veröffentlicht. Zum 25. Mai 2016 tritt sie in Kraft.
Die neue Datenschutz-Grundverordnung wird in allen 28 EU-Mitgliedsstaaten gelten. Sie ersetzt die Datenschutzrichtlinie 95/46/EG aus dem Jahre 1995 und die auf deren Grundlage erlassenen nationalen Umsetzungsgesetze.
Im Gegensatz zur bisherigen Datenschutzrichtlinie gilt die neue EU-DS-GVO mit ihrem Inkrafttreten Ende Mai unmittelbar in der gesamten Europäischen Union. Eine gesonderte Umsetzung in nationales Recht ist damit nicht erforderlich.
Neu ist auch, dass die Verordnung für alle Unternehmen gilt, die Waren oder Dienstleistungen auf dem europäischen Markt anbieten (Marktortprinzip). Damit müssen sich auch außer-europäische Anbieter an die neue Verordnung halten, die hier am Markt tätig sind oder es werden wollen. Das ist ein riesiger Fortschritt im Vergleich zur aktuell noch geltenden EU-Datenschutzrichtlinie.
Mit der neuen EU-DS-GVO ist der Datenschutz in der EU nun endlich auf eine einheitliche rechtliche Grundlage gestellt. Die einheitliche Durchführung und Durchsetzung in den einzelnen EU-Staaten ist meines Erachtens allerdings noch ein zweites paar Schuh.
Insgesamt 99 Artikel und 173 Erwägungsgründe umfasst die neue EU-DS-GVO. Damit ist sie erheblich umfangreicher als das Bundesdatenschutzgesetz (BDSG) und stellt deutlich höhere Datenschutz-Anforderungen an die Unternehmen. Noch offen ist, ob das BDSG komplett entfällt oder eine Art „Rest-BDSG“ erhalten bleiben wird. Zudem enthält die EU-Verordnung mehrere Öffnungsklauseln, die durch die nationalen Gesetzgeber ausgestaltet werden müssen.
Damit in den Unternehmen und Organisationen die Dokumentationen und alle Prozesse für den Umgang mit personenbezogenen Daten angepasst werden können, gilt eine Übergangsfrist von zwei Jahren. Ab dem 25. Mai 2018 ist die neue EU-DS-GVO dann verbindlich.
Das klingt, als läge der Termin noch in weiter Ferne, doch die umfangreichen Neuerungen erfordern eine frühzeitige Auseinandersetzung mit der Materie, weil Unternehmensprozesse angepasst werden müssen. Das gilt umso mehr, wenn sich das Unternehmen bisher nicht konsequent mit dem bestehenden Datenschutzanforderungen auseinander gesetzt hat. Außerdem müssen die nationalen Öffnungsklauseln und deren Interpretationen im Blick behalten werden, um auch darauf rechtzeitig reagieren zu können.
Ein wesentlicher Motivationsfaktor für die Auseinandersetzung mit der neuen EU-Datenschutzverordnung dürften jedoch die deutlich höheren Strafen sein, die in der Verordnung festgeschrieben sind. Bußgelder von bis zu 4 Prozent des Weltumsatzes des Unternehmens oder bis zu 20 Millionen Euro können zukünftig verhängt werden.
Das sind Summen, die auch für Großunternehmen schmerzhaft sein können.
Roland von Gehlen