Finaler Text der Datenschutz-Grundverordnung formell veröffentlicht

Es ist vollbracht! Nach mehr als vier Jahren der Diskussion hier der beschlossene, finale und veröffentlichte Text der Datenschutz-Grundverordnung (Link)!

Die Verordnung (EU) 2016/679 vom 27. 4. 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung) wurde im Amtsblatt der EU (ABl L 119 vom 4. 5. 2016 S 1) veröffentlicht. Mit dieser Verordnung wird die RL 95/46/EG (DatenschutzRL) mit Wirkung vom 25. 5. 2018 aufgehoben.

In der Verordnung geht es um verschiedene grundlegende Themen:

Rechte der betroffenen Person

Die Verordnung listet die Rechte der betroffenen Person auf, d.h. der Person, deren Daten verarbeitet werden. Die betroffenen Personen erhalten durch die Stärkung der Datenschutzrechte mehr Kontrolle über ihre personenbezogenen Daten, unter anderem durch

  • das Erfordernis der klaren Einwilligung der betroffenen Person zur Verarbeitung personenbezogener Daten
  • den einfacheren Zugang der betroffenen Person zu ihren personenbezogenen Daten
  • die Rechte auf Berichtigung, auf Löschung und auf Vergessenwerden
  • das Widerspruchsrecht, auch in Bezug auf die Verwendung personenbezogener Daten für die Zwecke der „Profilerstellung“
  • das Recht auf Übertragbarkeit der Daten von einem Dienstleister an einen anderen.

Ferner wird durch die Verordnung festgelegt, dass die für die Verarbeitung Verantwortlichen verpflichtet sind, den betroffenen Personen transparente und leicht zugängliche Informationen über die Verarbeitung ihrer Daten bereitzustellen.

Einhaltung

Die Verordnung regelt im Einzelnen die allgemeinen Pflichten der Verantwortlichen und der Auftragsverarbeiter, d.h. derjenigen, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten. Dazu gehört die Pflicht, geeignete Sicherheitsmaßnahmen zu treffen, die dem Risiko entsprechen, das mit den Datenverarbeitungsvorgängen verbunden ist (risikobasierter Ansatz). Die Verantwortlichen müssen ferner in bestimmten Fällen Verletzungen des Schutzes personenbezogener Daten melden. Alle Behörden und Unternehmen, die bestimmte riskante Datenverarbeitungen vornehmen, müssen zudem einen Datenschutzbeauftragten benennen.

Überwachung und Schadenersatz

Die Verordnung bestätigt die bereits bestehende Pflicht der Mitgliedstaaten, eine unabhängige Aufsichtsbehörde auf nationaler Ebene einzurichten. Ferner sollen Mechanismen geschaffen werden, die eine einheitliche Anwendung der Datenschutzvorschriften in der EU gewährleisten. Insbesondere wird in bedeutenden grenzüberschreitenden Fällen, die mehrere einzelstaatliche Aufsichtsbehörden betreffen, eine einheitliche Aufsichtsentscheidung getroffen. Dieses Prinzip der sogenannten zentralen Kontaktstelle bedeutet, dass ein Unternehmen mit Tochtergesellschaften in mehreren Mitgliedstaaten nur mit den Datenschutzbehörden in dem Mitgliedstaat verkehren muss, in dem es seinen Hauptsitz hat.

Die Verordnung sieht auch die Einrichtung eines Europäischen Datenschutzausschusses vor. Dieser Ausschuss würde aus Vertretern aller 28 unabhängigen Aufsichtsbehörden bestehen und den derzeitigen Ausschuss „Artikel 29“ ersetzen.

Durch die Verordnung erhalten die betroffenen Personen ferner das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten; sie regelt zudem die Haftung und das Recht auf Schadenersatz. Um Nähe zwischen den natürlichen Personen und den sie betreffenden Entscheidungen zu schaffen, haben die betroffenen Personen künftig ein Recht darauf, dass die Entscheidung der für sie zuständigen Datenschutzbehörde von ihrem jeweiligen nationalen Gericht überprüft wird. Dies gilt unabhängig von dem Mitgliedstaat, in dem der jeweilige Verantwortliche seinen Sitz hat.

Gegen Verantwortliche oder Auftragsverarbeiter, die die Datenschutzvorschriften verletzen, sollen äußerst strenge Sanktionen verhängt werden. Verantwortliche können mit Geldstrafen von bis zu 20 Millionen Euro oder 4 % ihres gesamten Jahresumsatzes belegt werden. Diese verwaltungsrechtlichen Sanktionen werden von den nationalen Datenschutzbehörden verhängt.

Übermittlungen an ein Drittland

Die Verordnung erfasst auch die Übermittlung personenbezogener Daten in Drittländer und an internationale Organisationen. Hierzu wird die Kommission beauftragt, das Schutzniveau zu beurteilen, das ein Gebiet oder ein Sektor in einem Drittland bietet. Hat die Kommission keinen Angemessenheitsbeschluss bezüglich eines Gebiets oder eines Sektors getroffen, so kann die Übermittlung der personenbezogenen Daten trotzdem stattfinden, sofern es sich um besondere Fälle handelt oder geeignete Garantien für den Schutz bestehen (Standarddatenschutzklauseln, verbindliche unternehmensinterne Datenschutzvorschriften oder Vertragsklauseln).

Die Datenschutz-GrundVO tritt am 24. 5. 2016 in Kraft und gilt ab 25. 5. 2018. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.