Go to Top

EU-Datenschutzgrundverordnung – wo stehen wir?

EU-Datenschutzgrundverordnung

Am 24. Juni 2015 begannen die endgültigen Verhandlungen zwischen den EU-Mitgliedsstaaten über die Inhalte der kommenden EU-Datenschutzgrundverordnung. Die 28 EU-Innenminister, die den Rat der EU bilden, trafen sich in Brüssel, um eine gemeinsame Verhandlungsposition zu finden. Zusammen mit der EU-Kommission und dem EU-Parlament starte damit eine „Trilog“ genannte Verhandlungsphase, in der die Partner versuchen wollen, ihre unterschiedlichen Vorstellungen unter einen Hut zu bringen – nach 40 Monaten der Beratung.

Die neue Datenschutzverordnung soll die Verarbeitung von personenbezogenen Daten durch Behörden und privatrechtliche Unternehmen europaweit einheitlich regeln – bisher gelten 28 unterschiedliche Systeme.

Hier die wichtigsten Punkte der EU-Datenschutzverordnung im Überblick:

  • Berechtigtes Interesse
  • Zweckbindung
  • Profilbildung
  • Datensparsamkeit

Berechtigtes Interesse

Wie schon bisher, soll Unternehmen auch in Zukunft die Verarbeitung persönlicher Daten von Verbrauchern ohne deren Einwilligung möglich sein – wenn das „berechtigte Interesse“ des Unternehmens an der Datenverarbeitung höher einzustufen ist als die schutzwürdigen Interessen des Verbrauchers. Zurzeit ist die Auslegung von „berechtigtem Interesse“ in Deutschland sehr eng gefasst. Das soll sich nach den Vorschlägen des EU-Rats ändern. So soll beispielsweise in der neuen Verordnung die Verarbeitung von persönlichen Daten zu Werbezwecken als „berechtigtes Interesse“ gewertet werden – momentan muss der Verbraucher seine Einwilligung dazu erteilen.

Zweckbindung

Der EU-Rat hat vor, das Prinzip der Zweckbindung weiter zu fassen, als das in Artikel 8 der europäischen Grundrechtecharta festgeschrieben ist. (Daten dürfen nur für festgelegte Zwecke benutzt werden – beispielsweise beim Kauf im Online-Shop). Die neuen Vorschläge zielen darauf, auch im Nachhinein eine Änderung des Verarbeitungszwecks zu erlauben – zum Beispiel auf Basis eines „berechtigten Interesses“ von Unternehmen. So würde die Zweckbindung nur noch eine geringe Rolle spielen, was dem Gedanken des Datenschutzes nicht sonderlich zuträglich wäre.

Auch die Möglichkeit einer Änderung des Verarbeitungszwecks zu statistischen und wissenschaftlichen Zwecken oder aus historischen Gründen soll in Zukunft erlaubt sein. Wer dürfte dann aber was und aus welchen Gründen ändern? Darüber gibt es noch keine konkreten Äußerungen.

Profilbildung

Da der Rat für die Erstellung von Persönlichkeitsprofilen keine größeren Einschränkungen vorsieht könnten Unternehmen nach Inkrafttreten der Verordnung nach Lust und Laune die persönlichen Daten von Verbraucherinnen und Verbrauchern in Profilen zusammenfassen. Allerdings sind Regelungen für die Nutzung dieser Profile vorgesehen, zumindest wenn sie Verbraucher in fundamentaler Weise beeinträchtigt beziehungsweise Auswirkungen auf den Datenbesitzer in rechtlicher Hinsicht zur Folge hat. Welche Fälle das umfassen soll wird nicht weiter erläutert.

Damit wäre es rechtlich möglich, die Kreditwürdigkeit von Antragstellern allein auf Grundlage der Anschrift zu beurteilen. Das war bisher durch das Bundesdatenschutzgesetz explizit verboten.

Einschränkungen für das Anlegen von Persönlichkeitsprofilen von Kindern sind nicht vorgesehen.

Datensparsamkeit

Eines der Grundprinzipien des Datenschutzes ist die Datensparsamkeit – es sollen so wenig personenbezogene Daten wie möglich verarbeitet werden. In Zukunft soll die Erhebung von Daten nicht mehr auf das absolut Nötige beschränkt werden, sie sollte nur mehr „nicht exzessiv“ sein.

Keine Änderungen beim „Recht auf Vergessen werden“

Bezüglich der Datenlöschung und dem Recht „vergessen zu werden“ haben sich laut der an den bisherigen Verhandlungen Beteiligten keine entscheidenden Änderungen ergeben (oder zumindest sind keine nach außen gedrungen). Wir haben ja bereits an anderer Stelle umfassend über die Inhalte und Auswirkungen des GDPR für den Datenschutz und die Notwendigkeit des sicheren Löschens von Daten gesprochen. An diesen Aussagen hat sich nichts Entscheidendes geändert. Mehr dazu hier

Laut Aussage eines der Verhandlungsführer der Dreier-Abstimmungsrunde, Jan-Philipp Albrecht, Mitglied des europäischen Parlamentes und Vorsitzender der Ausschusses für Bürgerrechte, Justiz und Inneres, sind die drei verschiedenen Entwürfe von EU-Rat, Kommission und Parlament in den entscheidenden Aspekten nahezu identisch. Nur bei den möglichen Strafen bei Verletzung des Gesetzes sind leichte Unterschiede bereits jetzt schon zu erkennen.

Der Rat, das Parlament und die Kommission haben sich auf eine „flexible“ Roadmap geeinigt, um ihre Verhandlungen bis Ende des Jahres abzuschließen. Bereits acht Trilog-Sitzungen wurden allein für Juli und September geplant. Dabei wird GDPR Kapitel für Kapitel durchgesprochen und gleichzeitig soll auch die sogenannte Law Enforcement Data Protection Richtlinie verhandelt werden. Gerade dieses Richtlinie (über die Strafen bei Nichtbeachtung des GDPR) muss bis spätestens zur Tagung des EU Rates am 8.Oktober vorliegen, sonst wird es schwierig das gesetzte Ziel einzuhalten, die Verhandlungen über das Paket bis zum Ende des Jahres abzuschließen.

Bildquelle: Thorben Wengert/ pixelio.de