Der Rat der Europäischen Union hat am 6. April 2016 die voraussichtlich endgültige Fassung des Gesetzesentwurfs für die neue Datenschutz Grundverordnung (kurz: GSGVO) veröffentlich. Diese Fassung liegt in den 24 Sprachen der Europäischen Union vor und wird nun im Gesetzgebungsverfahren in die erste Lesung gehen: Entwurf

Die deutsche Version finden Sie hier: Entwurf EU DSGVO-E Deutsch

Es ist nicht davon auszugehen, dass im weiteren Gesetzgebungsverfahren noch Änderungen durchgeführt werden (ohnehin wurden auch vorher von Entwurf zu Entwurf kaum etwas verändert) und die EU-DSGVO wird voraussichtlich ohne weitere Anpassungen bis Juni in Kraft treten. Der Anwendungszeitpunkt ist dann zwei Jahre später, ab Juni 2018. Der jetzige Entwurf ist als sehr wahrscheinlich so gut wie die kommende Verordnung.

Bisher ist Datenschutz in der EU ein Flickenteppich, die neue Regelung soll wie so oft vereinheitlichen. Es wird einiges anders, wie sehr ist in vielen Punkten noch offen. Ein paar wichtige Punkte im Überblick:

Verordnung, nicht Richtlinie

Anders als sonst, wir die DSGVO direkt und unmittelbar wirken, also ohne weiteren legislativen Zwischen-/Umsetzungsakt. Es bedarf keines Umsetzungsgesetzes oder weiterer nationaler Ausgestaltung. Besonders bemerkenswert ist der Grundverordungscharakter: Den Mitgliedsstaaten steht es zwar frei, gleiche Regelungen zu treffen, diese dürfen nach jetzigem Stand das Schutzniveau aber weder über- noch unterschreiten.

Datenverarbeitende Stellen in der Haftung

Bisher konnten Unternehmen durch die Auftragsdatenverarbeitung die Datenverarbeitung an einen Dienstleister übertragen und sich damit auch der Haftung entledigen. Mit anderen Worten: Wer Nutzerdaten sammelt kann von den Host Providern und anderen Diensten per Vertrag die Haftung für Verlust etc. übernehmen lassen. Die neue Datenschutz-Grundverordnung löst das auf und belässt jeden, der mit den Daten in Kontakt kommt, in der Verantwortung, auch die verarbeitende Stelle und auch für Verfehlungen, die nicht bei der verarbeitenden Stelle entstehen.

Als höchste Zeit und ein guter Anlass, die Vereinbarungen mit Drittanbietern durchzugehen, in wie fern Haftungsrisiken – etwa von Cloud Anbietern – zu eigenen Risiken werden können.

Die Grundverordnung nimmt Facebook & Co. In die Pflicht

Einer der Zwecke der Grundverordnung ist – wenn auch nicht explizit so genannt – das Vorgehen gegen Anbieter im nicht-EU-Ausland, die europäisches Datenschutzrecht bislang quasi aus Prinzip missachtet haben. Obwohl als europäische Regelung bezeichnet  Konkret wird die DSGVO als eine „lex facebook“. Die Regelung betrifft jedes internationale Unternehmen das von Europäischen Bürgern und Einwohnern Daten speichert.

Nutzer werden auf Schadensersatz klagen können

Die Verordnung will Nutzern Schadensersatzklagen zuerkennen, wenn diese im Schutz ihrer personenbezogenen Daten von verarbeitenden Stellen verletzt wurden, Massenverfahren im Stile von US-Klagen inklusive. Das bedeutet vor allem für Unternehmen, deren Geschäftszweck (u.a.) der Handel mit Nutzerdaten ist besonderen Augenmerk auf die Voraussetzungen, nach denen solche Ansprüche begründet werden.  Ganz allgemein wird es härtere Sanktionen geben, die bis zu 4% des weltweiten Jahresumsatz eines Unternehmens betreffen können. Zwar ist nach Aussage der Behörden bisher diese Keule den großen und regelmäßigen Verstößen à la Facebook vorenthalten, aber die Möglichkeit besteht.