Entwurf zur europäischen Datenschutz-Grundverordnung: Inhalt und Auswirkungen auf das BDSG

McDermott Will & Emery
Contact
LinkedIn
Facebook
X
Send
Embed

Am 12. März 2014 hat das EU-Parlament dem aktuellen Entwurf zur geplanten europäischen Datenschutz-Grundverordnung (DSGVO) zugestimmt. Unterbreitet wurde der Entscheidungsvorschlag durch den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE). Die Verhandlungen zwischen dem EU-Parlament, dem Rat der europäischen Union (Ministerrat) und der EU-Kommission sollen im Juli 2014 beginnen (sog. „Trialog-Verfahren“). Im Rahmen dieser Verhandlungen sind noch weitere Anpassungen der DSGVO zu erwarten.

Die Ausgestaltung als Verordnung bringt es mit sich, dass die Regelungen unmittelbar in den Mitgliedstaaten gelten werden und es keines nationalen Umsetzungsaktes mehr bedarf. Das geltende BDSG wird voraussichtlich durch die neue DSGVO komplett abgeschafft werden. Bisher ist jedoch vorgesehen, dass die DSGVO zwei Jahre nach ihrer Verabschiedung und Veröffentlichung im Verordnungsblatt in Kraft treten soll (Art. 91 Nr. 2 Entwurf DSGVO). Damit könnte sie frühestens ab 2016 das geltende BDSG ersetzen. Bis dahin bleibt der Datenschutz in Deutschland weiterhin durch das BDSG geregelt.

Auch wenn das deutsche BDSG voraussichtlich frühestens im Jahr 2016 durch die DSGVO ersetzt werden könnte, sollten sich Unternehmen bereits jetzt mit den geplanten Regelungen vertraut machen. Nur so kann verhindert werden, dass Datenverarbeitungsprozesse, die in nächster Zeit eingeführt werden sollen, kurz nach ihrer Einführung bereits überarbeitet und abgeändert werden müssen. Regelmäßige, rechtzeitige und gründliche Datenschutz-Compliance-Prüfungen werden in Zukunft insbesondere aufgrund der enormen Bußgelderhöhungen unumgänglich sein.

Wichtige Regelungen im aktuellen Entwurf der DSGVO in der vom Innenausschuss des Europäischen Parlaments beschlossenen Fassung vom 12. März 2014:

1. Die DSGVO soll auch für solche Anbieter in Drittländern gelten, die sich mit ihrem – auch unentgeltlichen – Angebot an EU-Bürger richten oder deren Verhalten überwachen.

2. Betroffene erhalten weitreichende Informationsrechte sowie ein Recht auf Löschung und Berichtigung.

3. Die DSGVO würde nach derzeitigem Entwurf eine Art Konzernprivileg einführen. Gruppeninterne Datenweitergaben zwischen verbundenen Unternehmen sollen danach unter erleichterten Voraussetzungen erfolgen können, vorausgesetzt, dass ein
angemessenes Datenschutzniveau (z.B. branchenweite Codes of Conducts) gesichert ist.

4. Es soll eine Verbandsklage eingeführt werden. Ein Verband könnte damit in Vertretung einer betroffenen Person sowohl bei den Datenschutzaufsichtsbehörden als auch vor Gericht ein Verfahren wegen der Verletzung von Datenschutzvorschriften anstrengen und durchführen.

5. Neben der datenverantwortlichen Stelle, wie bislang vom BDSG ermöglicht, soll zukünftig auch eine Inanspruchnahme des Auftragsdatenverarbeiters auf Schadensersatz möglich sein.

6. Ein betrieblicher Datenschutzbeauftragter muss regelmäßig bestellt werden, wenn die verantwortliche Stelle in 12 Monaten die Daten von mehr als 5.000 Betroffenen verarbeitet. Für manche Unternehmen schränkt diese Entwurfsregelung die Pflicht zur Bestellung eines Datenschutzbeauftragten ein, für andere Unternehmen bedeutet sie aber eine Ausweitung dieser Pflicht.

7. Auch Stellen, die besonders sensible Datenverarbeitungen betreiben, müssen einen Datenschutzbeauftragten bestellen.

8. Die Sanktionsmechanismen sollen ausgeweitet werden. Die Obergrenze für Bußgelder bei Datenschutzverstößen soll von EUR 300.000 auf EUR 100.000.000 oder 5% des weltweiten Jahresumsatzes des betroffenen Unternehmens, je nachdem, welcher Wert der höhere ist, ansteigen.

9. Betroffene erhalten das Recht, immateriellen Schadensersatz zu verlangen.

10. Um das Risiko kostenträchtiger Datenschutzverstöße zu minimieren, werden die Unternehmen quasi gezwungen, in wichtigen Datenverarbeitungsbereichen regelmäßige Compliance-Audits durchzuführen.

11. Im Vorfeld der geplanten Datenverarbeitung sollen Risikoanalysen und datenschutzrechtliche Folgenabschätzungen durchgeführt werden. Ggf. soll im Anschluss daran die zuständige Datenschutzaufsichtsbehörde kontaktiert werden, die die entsprechende Maßnahme evtl. sogar untersagen kann.

12. Unternehmen sollen ihre internen Datenschutzrichtlinien und diesbezügliche Maßnahmen erheblich ausweiten und anpassen. Darüber hinaus ist vorgeschrieben, dass diese Richtlinien alle zwei Jahre überarbeitet werden müssen.

13. Die für die Datenverarbeitung verantwortlichen Stellen sollen Datenschutzerklärungen über die von ihnen vorgenommene Datenverarbeitung erstellen und darin auch angeben, wie die betroffenen Personen ihre Rechte ausüben können. Diese Erklärung muss allgemein verständlich sein und einfach zugänglich vorgehalten werden. Die verantwortliche Stelle soll anhand einer vorgefertigten Tabelle darüber informieren, wie sie mit personenbezogenen Daten verfährt. Abbildungen, die an Verkehrsschilder erinnern, sollen den Betroffenen darüber informieren, ob personenbezogene Daten an Dritte übermittelt werden oder in unverschlüsselter Form aufbewahrt werden.

 

 

Send Print Report

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations. Attorney Advertising.

© McDermott Will & Emery

Written by:

McDermott Will & Emery
McDermott Will & Emery
Contact
more
less

PUBLISH YOUR CONTENT ON JD SUPRA NOW

  • Increased visibility
  • Actionable analytics
  • Ongoing guidance

McDermott Will & Emery on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
Sign Up Log in
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide