I. Hintergrund

Am 14.04.16 hat das Europäische Parlament nach mehr als vierjährigen Verhandlungen und extremer Lobbyarbeit die Datenschutzgrundverordnung (DS-GVO, Verordnung EU 2016/679 v. 27. April 2016, ABl. EU L 119/1 v. 27.4.2016) beschlossen. Nach einer zweijährigen Übergangsfrist wird sie das europäische Datenschutzrecht weitgehend vereinheitlichen und ist ab 25.05.2018 anwendbar. Bislang bestehen noch erhebliche Unterschiede zwischen dem Datenschutzrecht der einzelnen Mitgliedsstaaten, welches auf der Datenschutzrichtlinie RL 95/46/EG aus dem Jahr 1995 beruht. Da die Datenschutzgrundverordnung als Verordnung erlassen wird, und gerade nicht als Richtlinie, gilt sie unmittelbar in allen Mitgliedsstaaten und bedarf keiner weiteren Umsetzung. Nur wenn die Verordnung sogenannte „Öffnungsklauseln“ vorsieht, besteht die Möglichkeit für die Mitgliedsstaaten eigene Regelungen zu treffen.

Bereits 2012 hat die Kommission einen Entwurf für eine Vereinheitlichung des europäischen Datenschutzrechts vorgelegt. Im Anschluss folgten viele Änderungen, extreme Lobbyarbeit großer Unternehmen und weitere Entwürfe des Rates und des Parlaments, die deutliche Verwässerungen des ursprünglichen Kommissionsentwurfes zur Folge hatten. Der finale Text der Datenschutzgrundverordnung ist nun besser ausgefallen, als dies teilweise während der Verhandlungen zu befürchten war. Dennoch kritisieren Datenschützer erheblichen und teils erfolgreichen Einfluss von Lobbyisten auf die Datenschutzgrundverordnung. Die Datenschutzgrundverordnung wird nunmehr also die aus dem Jahr 1995 stammende Datenschutzrichtlinie ersetzen. Bereits in dieser Richtlinie, die noch lange vor dem extremen Internetwachstum erlassen wurde, wurden grundlegende datenschutzrechtliche Verbindlichkeiten wir Datensparsamkeit und Zweckbindung festgelegt. Die Richtlinie wurde in Deutschland in vielen Einzelgesetzen umgesetzt. So finden sich datenschutzrechtliche Regelungen in mehreren Einzelgesetzen, etwa unter anderem im Bundesdatenschutzgesetz (BDSG), im Telemediengesetz (TMG) und im Telekommunikationsgesetz (TKG). Die unmittelbar wirkende Datenschutzgrundverordnung soll nunmehr also die (veraltete) Datenschutzrichtlinie ersetzen und einheitliche Standards in allen Mitgliedstaaten schaffen. Wie der deutsche Gesetzgeber mit den datenschutzrechtlichen Regelungen des BDSG, TMG und TKG verfahren wird, ob er diese vollständig abschaffen wird, an bestehende Vorgaben anpassen kann, oder ein Durchführungsgesetz zur Umsetzung der Datenschutzgrundverordnung erlassen wird, ist zum jetzigen Zeitpunkt noch nicht absehbar.

II. Überblick

Die Datenschutzgrundverordnung bringt neben bereits bekannten Grundsätzen auch einige neue Regelungen mit sich, die kurz dargestellt werden sollen.

1. Wesentliche Grundsätze: Zweckbindung und Datensparsamkeit

Auch weiterhin sind wesentliche Grundsätze der Datenverarbeitung der Grundsatz der Zweckbindung und der Datensparsamkeit.

Eine Datenverarbeitung darf gemäß Art. 5 Abs. 1 lit. b DS-GVO nur zu einem festgelegten, eindeutigen und legitimen Zweck erfolgen. Der Zweck muss vor der Datenverarbeitung festgelegt sein. Eine Zweckänderung ist nur zulässig, wenn der ursprüngliche Zweck der Datenerhebung mit dem geänderten Zweck gemäß Art. 6 Abs. 4 DS-GVO vereinbar ist oder die betroffene Person in die Zweckänderung einwilligt. Hier bleibt abzuwarten, ob das Kriterium der „Vereinbarkeit“ in der Praxis zur Beurteilung der Zulässigkeit einer Zweckänderung nicht sehr unbestimmt ist.

Zudem darf eine Datenverarbeitung gemäß Art. 5 Abs. 1 lit. c DS-GVO nur in dem Umfang stattfinden, in welchem sie notwendig ist, um den angestrebten Zweck zu erfüllen. Durch diese Regelung bleibt der Grundsatz der Datensparsamkeit erhalten. Der Entwurf des Rates sah hier lediglich vor, dass die Datenverarbeitung „nicht exzessiv“ erfolgen dürfe, konnte sich jedoch nicht durchsetzen.

2. Anwendungsbereich der Verordnung

Eine wesentliche Änderung zum positiven hin stellt der räumliche Anwendungsbereich, das sogenannte Marktortprinzip, dar. Das europäische Datenschutzrecht gilt nunmehr für alle Unternehmen, die in der EU tätig sind, unabhängig davon, ob sie ihre Niederlassung in der EU haben oder nicht. Auch gilt das Datenschutzrecht unabhängig davon, wo die Verarbeitung der Daten dann stattfindet, wenn Daten europäischer Bürger betroffen sind. Hiervon sind insbesondere die großen US-amerikanischen Unternehmen, wie Facebook und Google, vom Anwendungsbereich der Verordnung erfasst. Auch aus diesem Grund wurde erhebliche Lobbyarbeit gegen die DS-GVO betrieben.

3. Rechtmäßigkeit einer Datenverarbeitung

Eine Datenverarbeitung ist nur rechtmäßig, wenn der Betroffene in die Verarbeitung eingewilligt hat oder andere Voraussetzungen des Art. 6 DS-GVO vorliegen. Hier soll nur auf zwei (wichtige) rechtmäßige Verarbeitungszwecke eingegangen werden: Die Einwilligung der betroffenen Person und das berechtigte Interesse des Datenverarbeiters.

a. Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DS-GVO)

Erwachsene

Eine Datenverarbeitung ist rechtmäßig, wenn die betroffene Person in diese einwilligt. Hinsichtlich der Einwilligung konnte sich die Vorschläge der Kommission und des Parlaments, welche eine „ausdrückliche“ Einwilligung in die Datenverarbeitung forderten, nicht durchsetzen. Vielmehr muss es sich nun gemäß Art. 6 Abs. 1 lit. a DS-GVO um eine klare, bestätigende Handlung handeln, die unmissverständlich und ohne Zwang erteilt wurde. Die Beweispflicht hierfür trägt der Datenverarbeiter gemäß Art. 7 Abs. 1 DS-GVO. Nur wenn sensible Daten verarbeitet werden oder bei automatisierten Einzelfallentscheidungen ist gemäß Art. 9 Abs. 2a DS-GVO eine ausdrückliche Einwilligung in die Datenverarbeitung vorgesehen. Gemäß Art. 7 Abs. 3 DS-GVO muss eine Einwilligung ebenso leicht wie sie erteilt werden kann von der betroffenen Person widerrufen werden können.

Kopplungsverbot

Außerdem darf ein Vertrag oder eine Dienstleistungsangebot nicht mehr an die Einwilligung in die Datenverarbeitung gekoppelt werden, wenn diese für die Erfüllung des Vertrages nicht erforderlich ist.

Kinder / Mindestalter

Kinder unter 16 Jahren müssen gemäß Art. 8 Abs. 1 UAbs. 1 DS-GVO die Erlaubnis der Eltern einholen, wenn sie in die Verwendung ihrer Daten bei einem Angebot von Diensten der Informationsgesellschaft einwilligen wollen. Es bleibt den Mitgliedsstaaten jedoch gemäß Art. 8 Abs. 1 UAbs. 2 DS-GVO vorbehalten, durch Rechtsvorschrift eine niedrigere Altersgrenze vorzusehen, die allerdings nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf. Hier bleibt den Mitgliedsstaaten alos noch ein gewisser Spielraum. Die Mitgliedsstaaten können entscheiden, ab wann sich Kinder und Jugendliche ohne Zustimmung der Eltern bei Webseiten rechtswirksam anmelden dürfen. Hier bleiben die Maßnahmen des deutschen Gesetzgebers abzuwarten. Es erscheint allerdings sinnvoll, die Altergrenze herabzusetzen, da zu befürchten steht, dass unter 16 jährige trotz der Vorschrift des Art. 8 Abs. 1 UAbs. 1 DS-GVO diese Regelung zu umgehen wissen.

b. Berechtigtes Interesse des Verarbeiters (Art. 6 Abs. 1 lit. f DS-GVO)

Jedoch kann auch das berechtigte Interesse des Datenverarbeiters oder eines Dritten Rechtsgrundlage für eine rechtmäßige Datenverarbeitung sein, sofern die Interessen des Betroffenen nicht überwiegen und die Verarbeitung seinen vernünftigen Erwägungen entspricht. Hier bestehen in Zukunft Unwägbarkeiten im Hinblick auf die „vernünftigen Erwartungen“ des Betroffenen, da Unternehmer hier sicherlich versuchen werden zugunsten ihrer Interessen und zugunsten von weiteren Datenverarbeitungen extensiv auszulegen. Fraglich ist etwa auch, ob das Direktmarketing ein berechtigtes Interesse im Sinne der Vorschrift sein kann und wenn ja, ob Direktmarketing den vernünftigen Erwartungen des Betroffenen entspricht. Hier besteht eine Missbrauchsgefahr. In jedem Fall steht dem Verbraucher jedoch ein Widerspruchsrecht gemäß Art. 21 Abs. 1 DS-GVO zu, wenn der Unternehmer eine Datenverarbeitung auf seine berechtigten Interessen stützt. Art. 6 Abs. 1 lit. f DS-GVO sieht zudem vor, dass die berechtigten Interessen besonders sorgfältig abgewogen werden müssen, wenn es sich bei der betroffenen Person um ein Kind handelt.

4. Stärkung der Nutzerrechte durch Informationspflichten und Betroffenenrechte

a. Informationspflichten des Datenverarbeiters

Auch die in Art. 13 DS-GVO verankerten Informationspflichten sind ausführlicher und stellen daher für den Verbraucher eine Verbesserung zur aktuellen Lage unter dem BDSG dar. Datenverarbeiter sind verpflichtet einfach, knapp und verständlichen sowie kostenlos darüber zu informieren, wer welche Daten woher und zu welchen Zwecken verarbeitet und an wen diese Daten weitergegeben werden. Wenn ein Unternehmer eine Datenverarbeitung auf sein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DS-GVO) stützen will, muss er dieses Interesse zudem benennen. Die Informationspflichten umfassen auch Informationen darüber, ob Profilbildung stattfindet, welcher Logik diese folgt und welche Folgen sie hat. Ebenso soll der Nutzer schneller und ausführlicher informiert werden, wenn seine Daten gehackt wurden. Darüberhinaus muss der Verarbeiter den Betroffenen über Berichtigungs-, Lösch-, und Widerrufsfristen informieren. Auch ob die Angabe von Daten erforderlich oder freiwillig ist, muss ersichtlich sein.

b. Rechte des Betroffenen

Im zweiten und dritten Kapitel der Datenschutzgrundverordnung werden die Rechte des Betroffenen einer Verarbeitung personenbezogener Daten gestärkt und neue Rechte der Nutzer in den Katalog aufgenommen. Nunmehr besteht ein sogenanntes Auskunftsrecht (Art. 15 DS-GVO), ein Berichtigungsrecht (Art. 16 DS-GVO) ein Recht auf Löschung (Art. 17 DS-GVO), ein Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO), und ein Recht auf Datenübertragbarkeit (Art. 20 DS-GVO).

Auskunftsrecht

Wie bisher gewährt auch das Auskunftsrecht der DS-GVO dem Nutzer einen Anspruch auf Auskunft darüber, ob seine personenbezogenen Daten verarbeitet werden und wenn dies der Fall ist, Auskunft über weitere Informationen, unter anderem zu Verarbeitungszwecken, Empfänger und Art der Daten.

Recht auf Berichtigung und Löschung

Der Betroffene kann vom Unternehmer gemäß Art. 16 DS-GVO die Berichtigung seiner Daten verlangen. Auch steht ihm nunmehr ein Löschungsrecht gemäß Art. 17 DS-GVO zu. Der Betroffene kann vom Unternehmer die unverzügliche Löschung seiner Daten fordern und der Unternehmer hat diese unverzüglich zu löschen, wenn die weiteren Voraussetzungen des Art. 17 DS-GVO vorliegen. Zudem muss der Unternehmer den Wunsch auf Löschung in vernünftigem Rahmen auch an andere Unternehmer weitergeben, die diese Daten verwenden, Art. 17 Abs. 2 DS-GVO. Hat der Unternehmer selbst die Daten weitergegeben, so hat er gemäß Art. 19 DS-GVO den Löschwunsch an die Empfänger der Daten weiterzugeben. Es sollte künftig also deutlich leichter werden, einmal veröffentlichte Informationen und ganze Konten bei Diensteanbietern löschen zu lassen.

Datenübertragbarkeit

Auch sieht die neue Datenschutzgrundverordnung in Art. 20 DS-GVO vor, dass der Nutzer das Recht hat seine persönlichen Daten von einem kommerziellen Anbieter im üblichen Format zu erhalten, um sie zu einem anderen Anbieter mitnehmen zu können, sofern die Datenverarbeitung auf Basis einer Einwilligung oder zur Erfüllung eines Vertrages erfolgte. Zudem soll, wo dies machbar ist, eine direkte Übertragung zu einem anderen Unternehmen ermöglich werden. Wie dieses Recht auf Datenübertragbarkeit in der Praxis umgesetzt werden kann, ist noch nicht klar.

Widerspruchsrecht

Gemäß Art. 21 Abs. 1 DS-GVO steht der betroffenen Person zudem ein Widerspruchsrecht zu, sofern die Datenverarbeitung aufgrund öffentlichen Interesses oder des berechtigten Interesses des Datenverarbeiters oder eines Dritten erfolgt. Sofern der Datenverarbeiter Direktwerbung betreiben möchte, muss er gemäß Art. 21 Abs. 4 DS-GVO auf das Widerspruchsrecht spätestens bei der ersten Kommunikation hinweisen. Der Betroffene kann jederzeit Widerspruch gegen Direktwerbung einlegen, Art. 21 Abs. 2 DS-GVO.

5. Verbandsklagerecht

Die DS-GVO sieht zudem vor, dass Verbraucher gemäß Art. 80 Abs. 1 DS-GVO das Recht haben, eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht, die im öffentlichen Interesse handelt, mit der Durchsetzung ihrer Rechte zu beauftragen. Gemäß Art. 80 Abs. 2 DS-GVO können die Mitgliedstaaten vorsehen, dass diese Organisationen auch ohne Veranlassung der betroffenen Person die Rechte der betroffenen Person durchsetzen können, wobei die Geltendmachung von Schadensersatz in diesem Fall ausgeschlossen ist.

6. Schadensersatz

Die von der Verarbeitung betroffenen Personen wird durch Art. 82 Abs. 1 DS-GVO ein Recht auf Schadensersatz bei materiellen und immateriellen Schäden gewährt. Zudem bleibt es den Mitgliedsstaaten überlassen strafrechtliche Maßnahmen beschließen, Art. 84 DS-GVO.

7. Höhere Bußgelder

Die Sanktionen wurden deutlich erhöht. Verstößt ein Unternehmer gegen seine datenschutzrechtlichen Pflichten können gemäß Art. 83 Abs. 4 DS-GVO bis zu 10 Mio. EUR oder 2% des Weltjahresumsatzes als Strafe veranschlagt werden. Liegt ein Verstoß gegen datenschutzrechtliche Grundsätze oder die Rechte des Betroffenen vor, so können gemäß Art. 83 Abs. 5 DS-GVO Strafen in Höhe von bis zu 20 Mio. EUR oder 4% des Weltjahresumsatzes ausgesprochen werden.

8. Vereinfachtes Beschwerderecht

Viele Anbieter fallen dadurch auf, dass die zuständige Stelle im Ausland sitzt (Google in USA, Facebook in Irland) und somit auch die für Beschwerden zuständige Datenschutzbehörde dort zu finden war. Dies war umständlich und schreckte viele Nutzer vor einem Vorgehen ab. Nunmehr soll es möglich sein, bei der Datenschutzbehörde des eigenen Landes eine Beschwerde gegen ein Unternehmen einzureichen, Art. 77 DS-GVO.

III. Zusammenfassung

Es bleibt festzuhalten, dass viele der ursprünglichen strengen Forderungen des Kommissionsentwurfes aus dem Jahr 2012 im Verlaufe des Gesetzgebungsprozesses und aufgrund der Einwirkung vieler Unternehmen verloren gegangen sind. Dennoch ist die Verabschiedung der Datenschutzgrundverordnung ein wichtiger Schritt hin zu einem notwendigen einheitlichen europäischen Datenschutz, den es zu begrüßen gilt. Es bleibt abzuwarten, wie der deutsche Gesetzgeber in den nächsten zwei Jahren die Umsetzung der Öffnungsklauseln vornehmen wird und welche Auswirkungen dies auf die datenschutzrechtlichen Regelungen in bestehenden Gesetzen haben wird. Auch bleibt abzuwarten, wie mit unbestimmten Rechtsbegriffen in der Rechtspraxis letztlich umgegangen wird.

Für Unternehmer sind die Vorgaben der DS-GVO jedenfalls ab 25.05.2018 zwingend bei der Ausgestaltung der Datenschutzbestimmungen, im Internetauftritt und im Umgang mit personenbezogenen Daten von Nutzern zu berücksichtigen.

(C) JB