EU-Datenschutzverordnung: Die geplante Vollharmonisierung des europäischen Datenschutzrechts

Die Europäische Kommission hat am 25. Januar 2012 ihre umfassenden Pläne zu einer EU-weiten Datenschutzreform vorgestellt. An die Stelle der EU-Datenschutzrichtlinie 95/46/EG und der nationalen Datenschutzgesetze der EU Mitgliedstaaten soll die sogenannte Datenschutz-Grundverordnung treten. Dies hätte für den Datenschutz in Europa weitreichende Konsequenzen. Eine Verordnung ist im Unterschied zu einer Richtlinie, die erst durch die Mitgliedstaaten in nationales Recht umgesetzt werden muss, in allen Mitgliedstaaten unmittelbar anwendbares Recht, führt also zu einer europäischen Vollharmonisierung. Das Bundesdatenschutzgesetz hätte ausgedient. Zwar steht das Gesetzgebungsvorhaben noch am Anfang, Unternehmen sollten sich aber schon jetzt auf gravierende Änderungen einstellen.

Nachfolgend sind die wichtigsten Regelungen des Entwurfs zusammengefasst:

Räumliche Geltung

Der Entwurf enthält eine eindeutige Regelung zum Anwendungsbereich des europäischen Datenschutzrechts auf außerhalb der EU ansässige Datenverarbeiter. Bisher ist vor allem unklar, ob (und ggf. unter welchen Voraussetzungen) deutsches Datenschutzrecht auf ausländische Unternehmen, die im Internet deutschen Kunden gegenüber ihre Dienste anbieten, aber keinerlei physische Präsenz in Deutschland haben, zur Anwendung kommt. In Zukunft soll gelten: Der Anwendungsbereich der Verordnung ist eröffnet, wenn ausländische Unternehmen Personen in Deutschland Produkte oder Dienstleistungen anbieten oder Tracking Tools einsetzen, die dazu geeignet sind, ein Nutzerprofil anzulegen.

Transparenzgrundsatz

Nach der Entwurfsbegründung soll der Datenschutz in der EU reformiert werden, um der schnellen und fortschreitenden technologischen Entwicklung des digitalen Zeitalters datenschutzrechtlich Herr zu werden. Vor diesem Hintergrund enthält der Vorschlag aus Brüssel eine neues Datenschutzprinzip, den Transparenzgrundsatz. In diesem Zusammenhang sieht der Entwurf insbesondere weitreichende Vorschriften im Hinblick auf eine bessere Zugänglichkeit zu Informationen sowie auf Auskunftsrechte der Betroffenen vor. Datenverarbeitende Unternehmen müssen rechtzeitig entsprechende Verfahren einführen.

Kontrolle über die eigenen Daten

Der raschen und unkontrollierten Datenverbreitung im Internet sind auch das Recht auf Vergessen ("Right to be forgotten") sowie das Recht auf Datenmitnahme ("Data Portability") geschuldet. Nach dem Recht auf Vergessen haben datenverarbeitende Unternehmen auf Wunsch sämtliche Daten über eine bestimmte Person nachhaltig zu löschen. Diese Pflicht wird ein Unternehmen vor allem dann vor technische und finanzielle Schwierigkeiten stellen, wenn es die Daten im Internet verbreitet oder an Dritte weitergegeben hat. Es sind alle "vertretbaren Schritte" zu unternehmen, um die Löschung der Daten einschließlich Kopien oder Replikationen zu erreichen. Nach dem Recht auf Datenmitnahme kann ein Betroffener eine e…

» Vollständiger Artikel