Zum 25. Mai 2018 tritt die DSGVO – die Datenschutzgrundverordnung – der EU in Kraft. Das sorgt derzeit für etliche teils aufgeregte Debatten. Dabei wurde die Verordnung bereits am 27. April 2016 vom Europäischen Parlament angenommen. Es gab also ziemlich genau 2 Jahre Zeit zur Vorbereitung.

Sicher, die Verordnung enthält einige Anforderungen. Sie zwingt in einigen Punkten im Umgang mit Daten zum Umdenken und zu einem veränderten Verhalten. Das ist zunächst einmal unbequem – wie so ziemlich jede Verhaltensänderung, auf die man sich einstellen muss.

Grundsätzlich ist es aber positive zu bewerten – trotz aller Unbequemlichkeiten, die mit der DEGVO verbunden sind, dass das Bewusstsein für die Risiken und Missbrauchsmöglichkeiten elektronischer Datensammlungen durch die Verordnung geschärft und die Rechte von Bürgerinnen und Bürgern der EU bezüglich ihrer Daten gestärkt werden. Das ist etwas, das die einzelnen Mitgliedsstaaten bisher nicht zu leisten vermocht haben. 

Um die Rechte der Bürgerinnen und Bürger an ihren Daten so effizient wie möglich zu schützen, hat die EU die Rechtsform einer Verordnung gewählt. Im Unterschied zu einer Richtlinie, die mit gewissen Spielräumen in das Recht der Mitgliedsstaaten umgesetzt werden muss, gilt eine EU-Verordnung unmittelbar und einheitlich für die gesamte EU.

Im folgenden werden 10 gute Gründe für die EU-Datenschutzverordnung aufgelistet und erläutert. Dabei handelt es sich um politische Argumente, um eine politische Einordnung und Bewertung der DSGVO, nicht jedoch um eine juristische Analyse bzw. Bewertung und auch nicht um eine juristische Beratung. 

Überblick

  1. Recht auf Vergessenwerden, Widerspruch, Datenportabilität und Auskunft
  2. Klare Einwilligung als Eckpfeiler
  3. Information und Transparenz
  4. Strenge Regeln für Datentransfers in Drittstaaten
  5. Zukunftstaugliche Definitionen
  6. Harte Sanktionen von bis zu 4 Prozent des weltweiten Jahresumsatzes
  7. Datenschutzkonforme Technikgestaltung – Data Protection by Design und by Default
  8. Weniger Bürokratie
  9. Einheitliche Rechtsdurchsetzung
  10. Feste Ansprechpartner für Datenverarbeiter in ganz Europa

1. Recht auf Vergessenwerden, Widerspruch, Datenportabilität und Auskunft

Mit der Datenschutzgrundverordnung wird – als Weiterentwicklung des bereits existierenden Rechts auf Löschung – ein „Recht auf Vergessenwerden“ gesetzlich verankert. Wer möchte, dass seine persönlichen Daten gelöscht werden, kann sich dafür direkt an Google, Facebook und Co. wenden. Ist bspw. die Speicherung der Daten nicht mehr notwendig, oder widerruft man eine vormals erteilte Einwilligung zur Speicherung der Daten, sind die Unternehmen grundsätzlich verpflichtet, dem Löschungsbegehren nachzukommen. Dann darf sich das Unternehmen nur noch in engen Ausnahmefällen der Löschung verwehren – etwa im Fall von z.B. Prominenten, bei denen das Interesse der Öffentlichkeit an bestimmten Informationen das Interesse der/des Prominenten an der Löschung überwiegen kann.

Mit dem „Recht auf Vergessenwerden“ wird künftig sichergestellt, dass Unternehmen, welche die Daten öffentlich gemacht hatten, das Löschungsverlangen sogar an Dritte weiterleiten müssen, wenn diese auf die Veröffentlichung verweisen. Zusätzlich dazu muss das Unternehmen auch allen sonstigen Dritten, welchen es die Daten weitergeleitet hatte, das Löschungsbegehren mitteilen. So werden nach Möglichkeit sämtliche Kopien der Daten gelöscht werden und die betroffene Person tatsächlich „vergessen“ werden.

Auch ein Widerspruch gegen die Verarbeitung der eigenen Daten ist möglich – und dies künftig auch automatisiert, z.B. durch Browser-Einstellungen wie „Do not Track“. Bei Aktivieren dieser mittlerweile in jedem Browser verfügbaren Einstellung sind die Webseitenbetreiber also dazu gezwungen, dies als rechtswirksamen Widerspruch zu akzeptieren und somit daran gehindert, Nutzungsdaten zu speichern und Nutzungsprofile zu erstellen.

Neu ist außerdem das Recht auf den Umzug eigener Daten, etwa beim Anbieterwechsel („Datenportabilität“). Dadurch ist es nun leichter möglich, von einem sozialen Netzwerk, E-Mail-Dienst oder Fitnessarmband-Hersteller zu einem anderen zu wechseln. Um dies zu ermöglichen, muss der Anbieter die Daten in einem gängigen interoperablen Format zur Verfügung stellen.

Darüber hinaus sollen Anbieter kostenfrei und schnell die Nutzerdaten auf Anfrage auf elektronischem Weg aushändigen, sodass sich jeder ein Bild von den über sich gespeicherten Daten machen kann.

2. Klare Einwilligung als Eckpfeiler

Der zweite wichtige Eckpfeiler der Datenschutzgrundverordnung ist die Einwilligung. Im Datenschutzrecht gilt: Nur wer eine rechtliche Grundlage vorweisen kann, darf personenbezogene Daten verarbeiten. Eine solche rechtliche Grundlage kann die Einwilligung der betroffenen Person darstellen. Hierdurch wird der Einzelne in die Lage versetzt, selbst zu entscheiden, wer welche Daten von ihm oder ihr erhalten, nutzen und speichern dürfen soll.

Neu sind die hohen Anforderungen, die an diese Einwilligung gestellt werden. Bisher war es so, dass Unternehmen gerne eine stillschweigende Einwilligung der Nutzer fingiert haben: Facebook hat beispielsweise das simple Anmelden auf der Plattform als Einwilligung in zwischenzeitlich geänderte Nutzungs- und Datenschutzerklärungen interpretiert. Auch wurden Einwilligungen durch voreingestellte Haken in Kästchen erhascht, welche die Nutzer bisher erst aufmerksam wieder entfernen mussten. Solche Praktiken sind fortan nicht mehr möglich. Die Einwilligung der betroffenen Person muss – als Ausdruck ihres Selbstbestimmungsrechts – informiert, freiwillig und eindeutig durch eine Zustimmungshandlung erklärt worden sein:

1. Informiertheit

Um eine Einwilligung zu erteilen, muss die betroffene Person wissen, worein sie überhaupt einwilligen soll. Dafür muss in klarer und verständlicher Sprache erklärt werden, wer zu welchen Zwecken die Daten verarbeitet. Darüber hinaus müssen umfangreiche Informationen etwa über die Speicherdauer der Daten und die Rechte der betroffenen Person bereitgestellt werden. Vorformulierte Einwilligungserklärungen dürfen zudem keine missbräuchlichen Klauseln enthalten.

2. Eindeutige Zustimmungshandlung

Jede Einwilligung bedarf zudem einer klaren zustimmenden Handlung. Eine stillschweigende Einwilligung eines Nutzers, die er oder sie im Zweifel also gar nicht mitbekommen hat, wie etwa im Facebook-Beispiel, ist somit nicht mehr möglich. Um eine wirksame Einwilligung in eine Datenverarbeitung zu erteilen muss die betroffene Person fortan aktiv beteiligt werden, etwa durch das eigenständige Setzen eines Hakens in einem Kästchen (sogenanntes „Opt-in“). Auch die heutige Praxis, Cookie-Banner einzublenden und bereits ohne den Klick auf „ok“ personenbezogene Daten der Website-NutzerInnen zu verarbeiten, genügt den Anforderungen an eine wirksame Zustimmungshandlung nicht.¹

¹ Demnächst wird der Bereich des Online-Trackings unter der sogenannten ePrivacy-Verordnung geregelt, welche jedoch voraussichtlich nicht vor 2019 Anwendung finden wird und momentan noch in den Verhandlungen steckt. Der Parlamentsentwurf sieht allerdings auch unter der ePrivacy-Verordnung eine Unzulässigkeit der gelebten Cookie-Banner Praxis vor. Details zur ePrivacy-Verordnung und zum aktuellen Verfahrensstand findet ihr hier.

3. Freiwilligkeit

Die betroffene Person muss außerdem eine echte Wahl haben, ob sie einwilligen möchte, oder nicht. Aufgrund des sogenannten „Kopplungsverbots“ darf daher auch das Erbringen einer Leistung nicht von einer Einwilligung in Datenverarbeitungen abhängig gemacht wird, die für die Abwicklung des Geschäfts überhaupt nicht benötigt werden. Dies soll verhindern, dass Betroffene oft Angebote im Internet nur dann nutzen können, wenn sie Daten von sich Preis geben, die für den Dienst überhaupt nicht erforderlich sind. Die verbreitete Praxis, bei der Installation von beispielsweise einer Taschenlampen-App eine Einwilligung die Übermittlung der Standortdaten des Smartphone-Nutzers zu erzwingen, ist deshalb fortan nicht mehr möglich.

4. Form

Die Datenschutzgrundverordnung sieht keine spezielle Form der Einwilligungserklärung vor, und stellt klar, dass die Einwilligung auch elektronisch und beispielsweise durch Anklicken eines Kästchens beim Besuch einer Internetseite oder durch die Auswahl technischer Einstellungen im Browser möglich ist.

5. Widerruflichkeit

Die Möglichkeit des Widerrufs einer einmal erteilten Einwilligungserklärung war bisher zwar allgemein anerkannt, jedoch nicht ausdrücklich geregelt. Dies ist nun anders: Die Datenschutzgrundverordnung legt eindeutig fest, dass eine Einwilligung jederzeit und ohne Einschränkungen frei widerruflich ist. Der Widerruf der Einwilligung  muss der betroffenen Person dabei genauso leicht gemacht werden, wie die vormalige Erteilung der Einwilligung. Lässt sich ein Online-Portal also beispielsweise Einwilligungen durch das Setzen eines Hakens auf ihrer Webseite erteilen, kann es für den Widerruf der Einwilligung nicht auf das Ausfüllen eines komplizierten Formulars bestehen.

Eine Einwilligung, die gegen einen der genannten Punkte verstößt, ist unwirksam und das Unternehmen, welches die Daten dennoch verarbeitet, täte dies ohne Rechtsgrundlage und würde sich somit empfindlichen Geldbußen aussetzen. (Näheres dazu unter 6.)

3. Information und Transparenz

Die Welt der Datenverarbeitung ist oft undurchsichtig und es ist schwer nachzuvollziehen, wer welche Daten von einem verarbeitet, zu welchen Zwecken dies geschieht, und wohin diese Daten vielleicht noch weitergegeben werden. Um der betroffenen Person wieder mehr Kontrolle über ihre Daten zu geben, sind diese Informationen jedoch unerlässlich. Insbesondere zu Zeiten des Internets der Dinge, in der sogar mein Kühlschrank oder Staubsauger personenbezogene Daten von mir verarbeitet, muss ich wissen, dass es überhaupt zu einer Verarbeitung kommt und an wen ich mich wenden kann, wenn ich von meinen Rechten gegenüber Datenverarbeitern Gebrauch machen will. Transparenz und Information sind somit Grundvoraussetzung des Selbstbestimmungsrechts des Einzelnen.

Aus diesem Grund beinhaltet die neue Datenschutzgrundverordnung ausdrücklich einen Transparenzgrundsatz. Vor allem die neuen Auskunftsansprüche (hierzu mehr unter 1.) und Informationspflichten sollen diese Transparenz gewährleisten. Gerade die Informationspflicht des Datenverarbeiters, als Grundvoraussetzung für die Wahrnehmung meiner Betroffenenrechte wie etwa das Recht auf Vergessenwerden (ebenfalls nachzulesen unter 1.), spielt eine zentrale Rolle. Sie umfasst insbesondere folgende Information:

  • Informationen über diejenigen, die die Daten verarbeiten
  • zu welchen Zwecken die Daten verarbeitet werden
  • auf welcher Rechtsgrundlage die Daten verarbeitet werden
  • wenn die Verarbeitung auf der Einwilligung der betroffenen Person beruht die Möglichkeit zum jederzeitigen Widerruf der Einwilligung
  • die der Person zustehenden Betroffenenrechte
  • ob die Daten in ein Drittland übermittelt werden sollen
  • die Speicherdauer der Daten
  • wenn die Daten nicht bei der betroffenen Person erhoben werden, aus welcher Quelle die Daten stammen und die    Kategorien der personenbezogenen Daten, die verarbeitet werden

Die Informationen müssen der betroffenen Person in klarer und verständlicher Sprache zur Verfügung gestellt werden. Um den Nutzern das Verständnis zu erleichtern und ihnen zu ersparen, sich durch lange Datenschutzerklärungen zu wälzen (was in der Praxis ohnehin kaum geschieht), kann dies auch durch standardisierte Bildsymbole (Icons) geschehen, welche die Kommission veröffentlichen würde und den Unternehmen zur Nutzung zur Verfügung gestellt würden.

Wenn eine betroffene Person eines ihrer Betroffenenrechte geltend macht, muss das Unternehmen die Person zudem anschließend informieren, welche Schritte er unternommen hat, um dem Recht nachzukommen. All diese Informationen müssen der betroffenen Person kostenfrei zur Verfügung gestellt werden.

Verstöße gegen die Informationspflichten werden mit empfindlichen Sanktionen geahndet. Näheres dazu unter 6.

4. Strenge Regeln für Datentransfers in Drittstaaten

Die Datenschutzgrundverordnung stellt strenge Regeln für die Übermittlung personenbezogener Daten in sogenannte Drittländer – also solche, die nicht zur EU gehören – auf. Dies ist besonders wichtig, da das Grundrecht auf Privatsphäre und Datenschutz eine Besonderheit hat: Anders als beispielsweise unsere ebenfalls grundrechtlich geschützte körperliche Unversehrtheit, die untrennbar mit uns und damit unserem Aufenthaltsort verbunden ist, können unsere Daten auch getrennt von uns sein, weitergegeben werden und sich an vollkommen anderen Orten befinden, als wir es gerade sind. Daher muss unser Recht auf Privatsphäre und Datenschutz mit ihnen – auch über die Grenzen der EU hinweg – mitreisen können. So wird sichergestellt, dass auch wenn unsere Daten im Ausland verarbeitet oder gespeichert werden, wir die gleichen Rechte, wie etwa auf Auskunft oder Löschung, haben.

Dies ist in der praktischen Anwendung der DSGVO besonders relevant, da viele der Server, auf denen unsere Daten beispielsweise bei der Nutzung eines Cloud-Services wie Dropbox gespeichert werden, nicht in der EU stehen. Zudem haben die größten IT-Dienstleister wie Microsoft, Facebook oder Google ihren Hauptsitz sowie viele ihrer Rechenzentren in den USA. Wenn sie EU-Bürger zu ihren Kunden zählen, müssen sie jedoch die strengen Übermittlungsregeln der Verordnung beachten:

Nach der sogenannten 2-Stufen-Prüfung muss auf erster Stufe eine Rechtsgrundlage bestehen, aufgrund derer die Daten überhaupt verarbeitet werden dürfen. Diese erste Stufe gilt auch für Datenverarbeitungen in der EU – die Verarbeitung ist grundsätzlich verboten, außer es besteht eine gesetzlich normierte Erlaubnis.  Auf der zweiten Stufe muss bei Datentransfers ins außereuropäische Ausland darüber hinaus beim Datenempfänger ein angemessenes Datenschutzniveau sichergestellt sein.

Dies kann etwa durch allgemeingültige Angemessenheitsbeschlüsse der Europäischen Kommission geschehen, die die Datenschutzregimes anderer Staaten überprüft und für diese verbindlich feststellen kann, dass der dortige Datenschutz im wesentlichem dem unserem entspricht. Für Kanada und Argentinien zum Beispiel besteht ein solcher Angemessenheitsbeschluss. Drittstaaten haben aus wirtschaftlichen Gründen oft besonderes Interesse daran, einen solchen Angemessenheitsbeschluss zu erlangen, sodass sie versuchen, ihre Datenschutzregimes an unseres anzupassen. So arbeiten beispielsweise gerade Japan und Jamaika an der Überarbeitung ihrer Datenschutzgesetze. Die Datenschutzgrundverordnung wird somit ein Stück weit zum Weltstandard.

Weitere Möglichkeiten der Datenübermittlung in unsicherere Länder sind unternehmensspezifische Zertifizierungen durch die Datenschutzbehörden oder vertragliche Vereinbarungen mit dem Datenempfänger.

In jedem Fall müssen die Betroffenenrechte und die Schutzstandards im Empfängerland „der Sache nach gleichwertig“ sein, so der Europäische Gerichtshof  in seinem Urteil, das die „Safe Harbor“-Vereinbarung mit den USA aufhob. Die Nachfolgevereinbarung „Privacy Shield“, die derzeit Datenübermittlungen in die USA erlaubt, wird absehbar wieder vor dem Gerichtshof landen.

5. Zukunftstaugliche Definitionen

Der Schutz personenbezogener Daten ist zur Wahrung der Grundrechte auf Privatsphäre und Datenschutz unerlässlich. Dieser Schutz ist der Grundzweck der DSGVO, so dass die zukunftstaugliche Definition dessen, was personenbezogene Daten genau sind, besonders wichtig ist.

Als personenbezogene Daten werden alle Informationen definiert, die sich auf eine identifizierbare Person beziehen. Somit greift der Schutz der Verordnung bereits dann, wenn zwar nicht der Datenverarbeiter selbst die Identifizierung vornehmen kann, jedoch jemand anders. Auch ist es nicht notwendig, dass die Daten auf die bürgerliche Identität einer Person schließen lassen müssen, um geschützt zu sein. Es reicht aus, eine Person schlichtweg wiedererkennen zu können, zum Beispiel indem sie anhand von Browsermerkmalen als dieselbe Person identifiziert werden kann (sogenanntes „Browser Fingerprinting“). Dieses „Herausgreifenkönnen“ („singling out“) von Einzelnen aus einer Masse an Personen ist ebenso ein Eingriff in das Persönlichkeitsrecht, auch wenn der Datenverarbeiter weder Namen noch Geburtsdatum weiß. Es daher in die Definition von „persönlichen Daten“ aufzunehmen, war eine langjährige Forderung der Datenschutzbeauftragten gewesen, die das Europäische Parlament auf Vorschlag von Jan Philipp Albrecht übernommen und am Wende durchgesetzt hat.

Um durch diese breite Definition jedoch nicht fortschrittliche Technologien wie Big-Data-Anwendungen auszubremsen, wurde klargestellt, dass bei der Feststellung, ob jemand noch „identifizierbar“ ist, nur solche Mittel zur Identifikation berücksichtigt werden, die „angemessen“ sind und vom verantwortlichen Datenverarbeiter „wahrscheinlich genutzt“ werden.

Nichtpersonenbezogene Daten wie etwa reine Maschinendaten oder vollständig anonymisierte Daten bedürfen dem hohen Schutz der DSGVO nicht und unterliegen daher auch nicht deren strengen Regeln.

Neben den „normalen“ personenbezogenen Daten definiert die DSGVO noch besondere Kategorien personenbezogener Daten, welche aufgrund ihrer Sensibilität einen besonders hohen Schutz genießen und bei deren Verarbeitung besondere Schutzmaßnahmen ergriffen werden müssen. Solche sensiblen Daten sind beispielsweise Gesundheitsdaten, biometrische Daten, oder Daten zur politischen Überzeugung oder sexuellen Orientierung.

6. Harte Sanktionen von bis zu 4 Prozent des weltweiten Jahresumsatzes

Ein Gesetz kann Bürgern noch so viele Rechte zusprechen – sie sind nur etwas wert, wenn das Gesetz auch tatsächlich durchgesetzt wird. Damit dies geschieht und sich datenverarbeitende Unternehmen auch wirklich an die strengen Vorgaben der DSGVO halten, sind harte Sanktionen für den Fall von Verstößen vorgesehen. Im Fall von besonders schweren Verstößen können daher Bußgelder in Höhe von bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens verhängt werden. Bei einem Unternehmen wie beispielsweise Apple wären dies 7 Milliarden Euro! Für Datenverarbeiter, die keine Unternehmen sind, sind Bußgelder von bis zu 20 Millionen Euro vorgesehen.

Dies ist eine enorme Steigerung zu den Sanktionen, die Unternehmen bisher bei Datenschutzverstößen zu befürchten hatten. Bislang waren lediglich Bußgelder von maximal 300.000 Euro pro Einzelfall vorgesehen. Dass selbst dieser Rahmen ausgeschöpft wurde, war die absolute Ausnahme. So hatte beispielsweise die Verhängung eines Bußgelds in Höhe von 1,4 Millionen Euro gegen 35 Lidl Vertriebsgesellschaften wegen heimlicher Videoüberwachungen landesweit für viel Aufsehen gesorgt. Solche Bußgelder könnten nun die Regel werden, wenn es Unternehmen versäumen, ihren datenschutzrechtlichen Pflichten nachzukommen.

Durch die Androhung dieser hohen Sanktionen sollen Unternehmen von Datenschutzverstößen abgehalten und das Bewusstsein geschärft werden, dass Verstöße gegen die DSGVO zugleich Verletzungen der Grundrechtecharta der Europäischen Union und damit keine Kavaliersdelikte sind. Außerdem kann nur so sichergestellt werden, dass Unternehmen Datenschutzverstöße nicht einfach einpreisen und kalkulierend in Kauf nehmen.

Natürlich müssen Bußgelder zwar wirksam und abschreckend, aber auch immer verhältnismäßig sein. Wenn es sich um versehentliche, erstmalige oder kleinere Verstöße handelt, drohen Unternehmen selbstverständlich keine derart hohen Sanktionen, und die verhängten Geldbußen sind natürlich auch voll gerichtlich überprüfbar.

7. Datenschutzkonforme Technikgestaltung – Data Protection by Design und by Default

Eine der zukunftsweisendsten Neuerungen der DSGVO ist die Anforderung an Datenverarbeiter, ihre Dienste datensparsam zu konzipieren und mit datenschutzfreundlichen Voreinstellungen anzubieten. Hierdurch soll erreicht werden, dass von vornherein weniger personenbezogene Daten anfallen. Nur Daten, die zur Erbringung eines Dienstes wirklich benötigt werden, sollen erhoben werden. So wird beispielsweise die Taschenlampen-App auf dem Smartphone nicht auf die Kontaktdaten des Adressbuches zugreifen dürfen – wozu auch? An dieser Stelle kommt den NutzerInnen auch wieder das unter Punkt 2 erklärte „Kopplungsverbot“ zugute: Selbst eine Einwilligung der NutzerInnen würde dem Anbieter der Taschenlampen-App nicht zur Einsicht in das Adressbuch verhelfen, da eine solche – als Bedingung für das Nutzen der App – nicht wirksam wäre.

Das Erfordernis der datenschutzfreundlichen Voreinstellungen betrifft beispielsweise Online-Dienste. Sie müssen so voreingestellt sein, dass die NutzerInnen möglichst gut geschützt sind z.B. vor Tracking-Cookies von Google Analytics und anderen Diensten, die mittlerweile die Aktivitäten von Milliarden Menschen im Internet flächendeckend überwachen. Hierdurch sollen gerade weniger technikaffine NutzerInnen besser geschützt werden.

Außerdem muss es möglich sein, Dienste auch anonym oder unter einem Pseudonym zu nutzen.

Welche technischen Standards hierbei von Unternehmen zu beachten sind, wird in Zukunft der sogenannte Europäische Datenschutzausschuss mithilfe von Leitlinien und Empfehlungen präzisieren.

Während nach der DSGVO diese Auflagen für alle Datenverarbeiter gelten, soll mit der neuen ePrivacy-Verordnung erstmals auch für Softwarehersteller eine Pflicht eingeführt werden, ihre Produkte datenschutzkonform zu entwickeln. Dann wären z.B. die Cookie-Einstellungen in Browsers wie Firefox oder Chrome von vornherein die datenschutzfreundlichsten.

8. Weniger Bürokratie

Gute Nachrichten für alle Bürokratiekritiker: Die DSGVO wird die unterschiedlichen Datenschutzstandards aller 28 EU-Mitgliedsstaaten zu einem einzigen Standard vereinheitlichen. Da die meisten Unternehmen schon heute in mehr als bloß einem EU-Land ihre Produkte anbieten, wird die EU-weit einheitliche Gesetzeslage einen immensen Abbau unnötiger Bürokratie bedeuten. Zudem wurden die bürokratischen Pflichten für Datenverarbeiter auf das für die Wahrung der Betroffenenrechte absolut Notwendige reduziert und für kleine und mittelständische Unternehmen zahlreiche Erleichterungen eingeführt. Damit ist sichergestellt, dass für die meisten Unternehmen keinerlei Zusatzbelastungen durch die Datenschutzgrundverordnung entstehen.

So ist zum Beispiel lediglich dort, wo umfangreiche Datenverarbeitungen stattfinden oder etwa sensible Daten verarbeitet werden, die Ernennung einer/eines betrieblichen Datenschutzbeauftragten verpflichtend. Auch wurde klargestellt, dass der/die Datenschutzbeauftragte keine Vollzeitkraft sein muss und auch ein externer Dienstleister sein kann. In Deutschland ist dies – anders als in vielen anderen EU-Mitgliedstaaten – bereits gängige Praxis. In anderen EU-Staaten fällt dagegen die bisher noch geltende Pflicht zur Meldung aller Datenverarbeitungsprozesse bei den Aufsichtsbehörden weg. Diese müssen nur noch bei riskanten Verarbeitungsvorgängen involviert warden.

Es gibt zudem die – gerade für kleinere Unternehmen interessante – Möglichkeit, sich freiwillig verbindlichen Verhaltensregeln zu unterwerfen, welche von den Aufsichtsbehörden vorab genehmigt wurden. Durch diese vorformulierten Verhaltensregeln sollen Anwendungsfragen der Verordnung konkretisiert und damit die Umsetzung ihrer Anforderungen erleichtert werden. Die Bindung an Verhaltensregeln, genauso wie das Erlangen von Zertifizierungen, dienen den Unternehmen zudem dem Nachweis, dass sie datenschutzkonform arbeiten.

Darüber hinaus bietet die Verordnung gerade für Unternehmen aus EU-Staaten enorme Chancen, die eventuelle Anpassungskosten um einiges übersteigen. Durch die komplette Gleichbehandlung aller auf dem europäischen Markt tätigen Unternehmen durch einen einheitlichen Datenschutz-Rechtsrahmen wird die bereits seit Jahren bestehende Benachteiligung im internationalen Wettbewerb beseitigt. So können Unternehmen in Deutschland oder anderen EU-Staaten auf Grund ihrer gewachsenen und meist mittelständischen Strukturen nicht ohne weiteres in ein anderes EU-Land umziehen, um die vermeintlichen Vorteile einer „schwächeren“ Datenschutzregulierung auszunutzen. Hingegen können gerade die großen Internetkonzerne aus dem Silicon Valley, wie Google, Facebook oder Amazon, sich ihre Niederlassung in der EU relativ frei aussuchen. Sie haben ein enormes Standortargument, mit dem sie die jeweiligen Länder zusätzlich unter Druck setzen können, etwa eine laxere Gangart bei der Datenschutzkontrolle oder der Besteuerung des Unternehmen einzuschlagen. Diese Situation läuft auf eine versteckte Subvention für die großen Internetkonzerne aus den USA hinaus. Durch die nun EU-weite Vereinheitlichung des Rechtsrahmens wird also nicht nur kostenintensive Bürokratie abgebaut, sondern darüber hinaus sogar ein wichtiger Schritt zur Förderung europäischer IT-Wirtschaft getan.

9. Einheitliche Rechtsdurchsetzung

Das inhaltlich beste Gesetz ist wertlos, wenn es nicht auch wirksam durchgesetzt werden kann. Um die Durchsetzung der Datenschutzgrundverordnung so effektiv und einheitlich wie möglich zu machen, wurde mit ihrer Einführung zugleich der sogenannte Europäische Datenschutzausschuss geschaffen. Er setzt sich aus den Datenschutzaufsichtsbehörden der einzelnen EU-Staaten zusammen und kann in Fällen von europaweiter Bedeutung bindende Entscheidungen treffen – ähnlich wie im Wettbewerbsrecht oder bei der Bankenaufsicht. Damit ist ein „Race to the Bottom“ in Mitgliedsstaaten mit schwacher Rechtsdurchsetzung in Zukunft nicht mehr möglich. So war es bislang so, dass Internetgiganten wie Google, Facebook und Co ihren europäischen Hauptsitz alle gezielt nach Irland gelegt haben, wo die Aufsichtsbehörde noch bis vor kurzem als sehr zurückhaltend bekannt war. Eine Praxis, die sich fortan nicht mehr auszahlen wird.

Außerdem wird die einheitliche Rechtsdurchsetzung dadurch gewährleistet, dass der Europäische Datenschutzausschuss immer dann einschreitend eine verbindliche Regelung trifft, wenn zwischen mehreren gemeinsam zuständigen Aufsichtsbehörden keine Einigung über die Bewertung eines Falles erzielt werden kann.

Der Europäische Datenschutzausschuss veröffentlicht darüber hinaus abgestimmte Leitlinien und Empfehlungen, welche den Rechtsanwendern Orientierung über die Ausrichtung der Aufsichtsbehörden bieten.

Auch vor Gericht gibt es nun mehr Möglichkeiten zur Durchsetzung des Datenschutzes. So sind Sammelklagen von vielen Betroffenen ausdrücklich erlaubt. Die Mitgliedstaaten können zusätzlich Verbandsklagen erlauben, wie es Deutschland bereits getan hat. Damit können z.B. Verbraucherschutzverbände selbständig gegen Datenschutzverstöße vor Gericht gehen.

Die DSGVO hat für Gerichtsverfahren darüber hinaus einen Kohärenzmechanismus eingeführt, der für eine Abstimmung sorgt, wenn in mehreren Ländern ähnliche oder gleich gelagerte Fälle anhängig sind.

10. Feste Ansprechpartner für Datenverarbeiter in ganz Europa

Eine weitere wichtige Neuerung der Datenschutzgrundverordnung ist der sogenannte One-Stop-Shop-Ansatz: BürgerInnen können sich in der gesamten EU an nur noch eine Datenschutzbehörde wenden. Sie können sich fortan mit ihren Beschwerden an die Datenschutzbehörde in ihrem Mitgliedstaat als ihren festen Ansprechpartner wenden, und zwar ganz gleich, wo der Datenmissbrauch passiert ist oder wo das verantwortliche Unternehmen seinen Sitz hat. So könnte beispielsweise Max Schrems, der in der Vergangenheit mit einer Klage gegen Facebook ein EU-US-Datenübermittlungsabkommen zu Fall gebracht hat, zukünftig direkt bei sich zu Hause in Wien, statt wie vormals in Dublin gegen Facebook vorgehen.

Unternehmen müssen ebenfalls nur noch mit der Datenschutzbehörde des Mitgliedsstaats zusammenarbeiten, in dem sich ihr Hauptsitz befindet. Jeder hat somit seinen festen Ansprechpartner – die Koordinierung übernehmen die unterschiedlichen Aufsichtsbehörden unter sich.

Titelfoto: digitalcourage CC BY-SA 2.0

Die treibende Kraft hinter der DSGVO

Am engagiertesten hat sich der grüne Europaabgeordnete Jan Philippe Albrecht für die DSGVO eingesetzt. Der Brüsseler Journalist Eric Bonse hat ihn in dem Artikel “Datenschutz in der EU: Er hat’s erfunden.” für die taz vom 20.05.2018 vorgestellt.

Zur deutschsprachigen Version der EU-Richtlinie geht es hier: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR)

11212