Entwurf EU Datenschutzgrundverordung– Einigung zwischen dem EU-Parlament und dem EU-Rat

Das Europäische Parlament und der EU-Rat haben eine Einigung über eine EU-Datenschutzgrundverordnung erzielt.

Ob es sich tatsächlich um einen „starken Kompromiss zur Sicherung eines hohen Datenschutzniveaus in der gesamten EU“ handelt oder um eine Aushöhlung deutscher Datenschutzstandards, bleibt abzuwarten. Der Ball liegt nun im Spielfeld des EU-Parlaments. Dieses müssen nun seine Zustimmung zu der EU-Datenschutzgrundverordnung geben.

Es handelt sich dabei – wie schon der Name sagt, um eine EU-Verordnung, mithin um ein Gesetz, das keine nationale Umsetzung durch den nationalen Gesetzgeber, z.B. den Bundestag benötigt. Die Wirkung ist also unmittelbar. Die gleichzeitig verhandelte EU-Richtlinie, die im Unterschied zu der EU-Verordnung einer Umsetzung bedarf, betrifft die polizeiliche Zusammenarbeit und die Zusammenarbeit der Justiz.

Der Verordnungsentwurf bzgl. der zukünftigen EU-Datenschutzniveaus zielt – laut eigenen Angaben der Verhandlungspartner - darauf ab, den Bürgern die "Kontrolle über ihre privaten Daten" zu geben, aber auch die "Schaffung von Klarheit und Rechtssicherheit für Unternehmen" zu bieten sowie den "Wettbewerb auf den digitalen Märkten" voranzutreiben.

Bildquelle:angry upset boy little man blowing pathdoc fotolia.com

Zukünftig sollen also alle 28 EU-Staaten die gleichen Mindeststandards beim Datenschutz einhalten. Vertreter des Europaparlaments, des Rates der EU-Staaten und der Kommission in Straßburg müssen noch mehrere Streitpunkte klären: Dabei geht es z.B. um die Höhe der Strafzahlungen bei Datenschutzverstößen und die verbindliche Ernennung von Datenschutzbeauftragten bei Unternehmen.

Bleibt die Pflicht zur Bestellung eines Datenschutzbeauftragten weiterhin bestehen?

Ob also Unternehmen in Zukunft einen Datenschutzbeauftragten bestellen müssen, wenn Sie eine gewisse Mitarbeiteranzahl beschäftigen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, ist weiterhin nicht ganz klar. Es zeichnet sich aber ab, dass wohl in Zukunft alle Unternehmen zumindest einen Datenschutzbeauftragten ernennen müssen, wenn sie „sensible Daten im großen Stil“ verarbeiten oder sammeln, insbesondere auch Informationen über Verbraucher ". Was unter „sensiblen Daten im großen Stil“ zu verstehen ist, ist momentan aber noch genauso unklar wie die Frage, ob die einzelnen Mitgliedsstaaten zukünftig diesbzgl. strengere Vorgaben machen dürfen, z.B. solche wie sie in §4f BDSG vorgesehen sind (sog. Öffnungsklausel).

Ein zwischenzeitlich bei statewatch geleaktes Dokument der Ratspräsidentschaft vom 27.11.2015 zur EU-Datenschutzgrundverordnung legt nahe, dass die im deutschen Datenschutzrecht vorgesehene Bestellpflicht des Datenschutzbeauftragten (DSB) für die meisten Unternehmen entfallen soll (vgl. http://statewatch.org/news/2015/nov/eu-council-dp-reg-whole-text-14481-15.pdf).

Ob eine Öffnungsklausel in Bezug auf Art. 35 Abs. 4 (vgl. http://www.statewatch.org/news/2015/dec/eu-council-dp-reg-prep-trilogue-14902-15.pdf) heute beschlossen wurde, ist unklar.

Letztlich wird es auf die finale Formulierung des Art. 35 Abs. 4 EU-DSGVO ankommen, ob in Deutschland das bisherige Datenschutzniveau durch den Einsatz von fachkundigen und unabhängigen Experten gehalten werden kann oder ob die bislang absolut zahnlosen Aufsichtsbehörden, die weder personell noch mit Sachmitteln auch nur annährend adäquat ausgestattet sind, durch repressive Maßnahmen versuchen müssen, die durchaus recht strengen Vorgaben der EU-Datenschutzgrundverordnung durchzusetzen.

Statement Rechtsanwalt Marcus Dury LL.M.Fachanwalt für IT-Recht: In meinen Augen passt es absolut nicht zusammen, auf der einen Seite die rechtlichen Vorgaben und Pflichten zu verschärfen, auf der anderen Seite aber eine leidlich gut funktionierende Selbstkontrolle durch betriebliche Datenschutzbeauftragte abzuschaffen. Wenn es soweit kommt, macht sich die EU unglaubwürdig. Es scheint dann m.E. bei der ganzen Reform eher darum zu gehen, Augenwischerei zu betreiben bzw. nur auf dem Papier das Datenschutzniveau zu erhöhen und zu vereinheitlichen.
In der Praxis wird sich aber – gerade bei kleineren Unternehmen – keiner um die rechtlichen Vorgaben kümmern.

Wie geht es nun weiter?

Die vorläufige Vereinbarung über das Paket muss nun noch im Ausschuss für bürgerliche Freiheiten des EU-Parlaments bestätigt werden. Die Sitzung ist für den Donnerstag, 17. Dezember 2015., um 9.30 Uhr geplant.

Wenn der Ausschuss zustimmt – wovon auszugehen ist – das EU-Parlament selbst im neuen Jahr über den Entwurf abstimmen.

Danach haben die EU-Mitgliedstaaten zwei Jahre Zeit, um die Bestimmungen der beiden neuen EU-Rechtsvorschriften in nationales Recht umzusetzen. In Bezug auf die EU-Richtlinie können Sie dabei auch strengere Regelungen als von der EU vorgesehen erlassen.