Navigation path

Left navigation

Additional tools

Europäische Kommission - Factsheet

Fragen und Antworten –Datenschutz-Grundverordnung

Brüssel, 24. Januar 2018

Das im Mai 2016 in Kraft getretene und ab Mai 2018 geltende Datenschutz-Reformpaket umfasst die Datenschutz-Grundverordnung („Verordnung“) und die Datenschutzrichtlinie für die Polizei und Strafjustiz.

IP/17/386

Die Reform ist ein wichtiger Schritt, um die Grundrechte der Bürger im digitalen Zeitalter zu stärken und durch einfachere Vorschriften die Wirtschaftstätigkeit der Unternehmen im Binnenmarkt zu erleichtern.

Warum verabschiedet die Kommission heute Leitlinien?

Die Datenschutz-Grundverordnung ist die Grundlage für den freien Datenverkehr im gesamten digitalen Binnenmarkt. Die Kommission will sicherstellen, dass alle Beteiligten - Regierungen, die nationalen Datenschutzbehörden, die Unternehmen und die Bürger - bereit sind, wenn sie am 25. Mai 2018 in Kraft tritt. Die Regeln wurden im April 2016 verabschiedet. Die Verordnung hat unmittelbare Geltung, erfordert in gewissen Bereichen jedoch weitreichende Anpassungen, darunter Änderungen an bestehenden Gesetzen durch die Regierungen der Mitgliedstaaten und Einrichtung des Europäischen Datenschutzausschusses durch die Datenschutzbehörden, so dass sie in der Praxis problemlos arbeiten können.

Knapp 100 Tage vor Geltungsbeginn der neuen Bestimmungen gibt der Leitfaden einen Überblick darüber, was die Europäische Kommission, die nationalen Datenschutzbehörden und die nationalen Behörden noch tun sollten, um die Vorbereitungen erfolgreich abzuschließen.

Was unternimmt die Kommission, um die ordnungsgemäße Anwendung der Datenschutz-Grundverordnung zu gewährleisten?

Unterstützungsmaßnahmen der Kommission seit 2016:

— Einsetzung einer Expertengruppe zur Unterstützung der Mitgliedstaaten und ihrer Behörden bei ihren Anstrengungen zur Vorbereitung der Verordnung;

— Förderung einzelner Datenschutzbehörden sowie der Einrichtung des Europäischen Datenschutzausschusses im Wege ihrer Unterstützung für die Gruppe, in der die nationalen Datenschutzbehörden vereint sind (Arbeitsgruppe nach Artikel 29);

— Unterstützung der Interessenträger durch die Veranstaltung von Diskussionsrunden mit Unternehmen, einschließlich der KMU.

Daher stellt die Kommission heute ein neues, praktisches Online-Tool ins Netz, das Bürgern, Organisationen, Unternehmen und insbesondere KMU dabei helfen soll, die neuen Datenschutzbestimmungen einzuhalten und sie richtig zu nutzen. 

Die Kommission stellt 1,7 Mio. EUR für die Finanzierung der Datenschutzbehörden und auch für die Schulung von Datenschutz-Fachkräften bereit. Mit weiteren 2 Mio. EUR werden die nationalen Behörden bei ihrer auf Unternehmen und insbesondere KMU zugeschnittenen Öffentlichkeitsarbeit unterstützt.

Was ändert sich nach der Datenschutz-Grundverordnung?

Mit der Verordnung werden die in der Datenschutzrichtlinie von 1995 verankerten Grundsätze aktualisiert und modernisiert, um den Schutz der Privatsphäre sicherzustellen. Darin werden hauptsächlich folgende Themen behandelt:

  • Stärkung der Rechte des Einzelnen;
  • Ausbau des Binnenmarktes der EU;
  • Gewährleistung einer entschiedeneren Durchsetzung der Vorschriften:
  • Vereinheitlichung der internationalen Übermittlung personenbezogener Daten und
  • Festlegung internationaler Datenschutzstandards.

Mit diesen Änderungen erhalten die Bürger mehr Kontrolle über ihre personenbezogenen Daten und können leichter auf diese Daten zugreifen. Durch die neuen Vorschriften sollen personenbezogene Daten geschützt werden - unabhängig davon, wohin sie übermittelt und wo sie verarbeitet oder gespeichert werden - sei es innerhalb der EU oder auch außerhalb, was im Internet oft der Fall ist.

Welche Vorteile ergeben sich für die Bürger?

Die Reform sieht vor, dass die Bürger mehr Kontrolle über ihre personenbezogenen Daten erhalten, deren Schutz in der Europäischen Union zu den Grundrechten gehört. Durch die Datenschutzreform werden die Rechte der Bürger und ihr Vertrauen gestärkt.

Neun von zehn EU-Bürgern haben sich besorgt darüber geäußert, dass Apps für mobile Geräte ihre Daten ohne ihre Zustimmung speichern könnten, und sieben von zehn EU-Bürgern zeigen sich besorgt, dass Unternehmen die von ihnen angegebenen Daten weitergeben können. Die neuen Regelungen tragen diesen Bedenken Rechnung und sehen Folgendes vor:

  • Das „Recht auf Vergessenwerden“: Möchte ein Bürger nicht, dass seine Daten verarbeitet werden, so müssen die Daten gelöscht werden, wenn kein berechtigter Grund für deren Speicherung vorliegt. Dabei geht es ausschließlich um den Schutz der Privatsphäre; es sollen keine vergangenen Ereignisse gelöscht oder gar die Pressefreiheit eingeschränkt werden.
  • Zugang zu eigenen Daten: Die Bürger werden besser darüber informiert, wie ihre Daten verarbeitet werden. Diese Informationen müssen klar und verständlich sein. Ein Recht auf Datenübertragbarkeit macht es Bürgern leichter, personenbezogene Daten zwischen verschiedenen Anbietern zu übermitteln.
  • Das Recht zu erfahren, ob eigene Daten gehackt wurden: Unternehmen und Organisationen müssen den nationalen Aufsichtsbehörden alle Datenschutzverstöße melden, durch die ein Risiko für den betroffenen Bürger entstanden ist. Zudem muss die betroffene Person so rasch wie möglich über alle mit hohem Risiko behafteten Verstöße informiert werden, damit er entsprechend reagieren kann.
  • Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen: „Datenschutz durch Technik“ und „datenschutzfreundliche Voreinstellungen“ sind nunmehr wesentliche Elemente der EU-Datenschutzvorschriften. Datenschutzgarantien werden bereits frühzeitig in die Entwicklung von Produkten und Dienstleistungen integriert und datenschutzfreundliche Voreinstellungen werden beispielsweise in sozialen Netzwerken oder Mobilen Apps zur Norm.

„Recht auf Vergessenwerden“ Wie funktioniert das in der Praxis?

Schon die derzeitige Richtlinie ermöglicht den Bürgern, ihre Daten gerade dann löschen zu lassen, wenn sie nicht mehr notwendig sind. Wenn beispielsweise eine Person der Verarbeitung ihrer Daten für einen bestimmten Zweck (wie zur Veröffentlichung in einem sozialen Netzwerk) zugestimmt hat und aus dem Netzwerk austreten möchte, gibt es keinen Grund, diese Daten weiterhin im System zu speichern.

Insbesondere sollten Kinder, die eigene Daten zugänglich machen und die Konsequenzen vielleicht nicht ganz begreifen. Die Folgen nicht ihr ganzes Leben tragen müssen.

Das heißt jedoch nicht, dass bei jeder Anfrage eines Bürgers seine gesamten personenbezogenen Daten unverzüglich und für immer gelöscht werden müssen. Die Speicherung von Daten kann beispielsweise notwendig werden, wenn es darum geht, einen Vertrag zu erfüllen oder rechtlichen Pflichten nachzukommen. Zu diesen Zwecken dürfen die Daten so lange wie nötig gespeichert werden.

Die vorgeschlagenen Bestimmungen über das „Recht auf Vergessenwerden“ sind eindeutig: Die Freiheit der Meinungsäußerung sowie die historische und wissenschaftliche Forschung müssen gewahrt bleiben. Kein Politiker kann beispielsweise verlangen, dass seine Kommentare aus dem Internet entfernt werden. Das wird dazu beitragen, dass unter anderem auch Nachrichtenseiten im Internet weiterhin nach den gleichen Grundsätzen betrieben werden können.

Wie werden Kinder geschützt?

Die Verordnung räumt Kindern einen besonderen Schutz ihrer personenbezogenen Daten ein, da sie sich der Risiken, Konsequenzen, Garantien und ihrer Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten weniger bewusst sein dürften. Sie profitieren von den präziseren Bestimmungen zur Löschung von Daten.

In Bezug auf Dienste der Informationsgesellschaft, die Kindern direkt angeboten werden, ist in der Verordnung festgelegt, dass die Person, die die elterliche Verantwortung für ein Kind trägt, der Verarbeitung der personenbezogenen Daten eines Kindes zustimmen muss. Die Altersgrenze legen die Mitgliedstaaten im Bereich von 13 bis 16 Jahren selbst fest.

Mit dieser speziellen Bestimmung sollen Kinder davor geschützt werden, dass sie zur Weitergabe ihrer persönlichen Daten gedrängt werden, ohne sich der Konsequenzen bewusst zu sein. Das wird Teenager nicht davon abhalten, das Internet zu nutzen, um sich Informationen, Ratschläge und Wissen zu beschaffen. Darüber hinaus heißt es in der Verordnung, dass die Zustimmung der Person, die die elterliche Verantwortung trägt, nicht erforderlich ist, wenn einem Kind Präventions- oder Beratungsdienste angeboten werden.

Welche Vorteile ergeben sich für Unternehmen?

Die Reform schafft eine klare und kohärente Regelung und stellt das Vertrauen der Verbraucher wieder her, sodass Unternehmen die Chancen des digitalen Binnenmarkts uneingeschränkt nutzen können.

Daten sind heute die Währung auf dem digitalen Wirtschaftsmarkt. Da personenbezogene Daten weltweit erfasst, analysiert und übermittelt werden können, haben sie eine enorme wirtschaftliche Bedeutung. Schätzungen zufolge könnte der Wert der personenbezogenen Daten der Unionsbürger bis 2020 auf jährlich 1 Billion EUR ansteigen. Indem Gesetzgeber die hohen Datenschutzstandards in Europa stärken, schaffen sie Geschäftsmöglichkeiten.

Das Datenschutzreformpaket trägt dazu bei, dass diese Möglichkeiten auf dem digitalen Binnenmarkt ausgeschöpft werden können:

  • Ein Kontinent, ein Recht: ein einheitliches europäisches Datenschutzrecht ersetzt die verschiedenen Gesetze der Mitgliedstaaten. Unternehmen müssen sich nur noch mit einem einzigen und nicht mit 28 verschiedenen Gesetzen auseinandersetzen. Damit lassen sich jährlich schätzungsweise 2,3 Mrd. EUR einsparen.
  • Eine zentrale Anlaufstelle: ein „One-Stop-Shop“ für Unternehmen: Unternehmen müssen sich nur noch an eine einzige Aufsichtsbehörde und nicht länger an 28 Aufsichtsbehörden richten, wodurch es für sie einfacher und günstiger wird, unionsweit Geschäfte zu tätigen.
  • Gleiche Regeln für alle Unternehmen – unabhängig vom Firmensitz: Derzeit noch müssen sich Unternehmen in der EU an strengere Normen halten als Unternehmen, die außerhalb der EU ansässig und dennoch auf unserem Binnenmarkt tätig sind. Nach der Reform müssen Unternehmen mit Sitz außerhalb Europas dieselben Vorschriften befolgen, wenn sie Waren oder Dienstleistungen in der EU anbieten. Damit werden gleiche Wettbewerbsbedingungen geschaffen.
  • Technologische Neutralität: Die Bestimmungen der neuen Verordnung ermöglichen es, dass Innovationen durch die neuen Regelungen weiter gedeihen können.

Was ist ein „One-Stop-Shop“?

In einem Binnenmarkt für Daten reicht es nicht aus, wenn einheitliche Regelungen nur auf dem Papier existieren. Die Bestimmungen müssen überall auf dieselbe Weise angewandt werden. Der „One-Stop-Shop“ als zentrale Anlaufstelle soll die Zusammenarbeit zwischen den Datenschutzbehörden in allen Angelegenheiten verbessern, die Auswirkungen auf ganz Europa haben. Unternehmen müssen sich dann nur noch an eine einzige Behörde und nicht an 28 Behörden richten. Damit wird die notwendige Rechtssicherheit für Geschäftstätigkeiten gewährleitet. Die Unternehmen profitieren von schnelleren Entscheidungen, einem zentralen Ansprechpartner (Abschaffung mehrerer Kontaktstellen) und weniger Bürokratie. Darüber hinaus können sie bei gleichen Verarbeitungstätigkeiten in mehreren Mitgliedstaaten auf einheitliche Entscheidungen vertrauen. Die Bürger bekommen mehr Kontrolle.

Wie fördert das die Wirtschaft?

Mit dem neuen Recht auf Datenmitnahme können Bürger ihre personenbezogenen Daten von einem Anbieter zu einem anderen übertragen. Start-ups und kleinere Unternehmen können auf Datenmärkte zugreifen, die fest in der Hand von großen digitalen Konzernen sind. So werden sie mit ihren datenschutzgerechten Lösungen weitaus attraktiver für Verbraucher. Auf diese Weise wird der Wettbewerb auf dem europäischen Markt gesteigert.

Beispiel: Vorteile für Bürger, Vorteile für Unternehmen

Ein neues Kleinunternehmen möchte eine Social-Media-Website auf den Markt bringen. Am Markt gibt es bereits große Namen mit einem hohen Marktanteil. Nach den derzeitigen Vorschriften muss jeder neue Kunde aufs Neue überlegen, welche personenbezogenen Daten er auf der neuen Website angeben möchte. Dies kann Kunden davon abhalten, auf den neuen Anbieter umzusteigen.

Nach der Datenschutzreform: Mit dem Recht auf Datenmitnahme wird es für die Benutzer leichter, personenbezogene Daten zwischen Dienstanbietern zu übertragen. Damit wird es Verbrauchern möglich, Kontrolle über ihre personenbezogenen Daten auszuüben und gleichzeitig werden der Wettbewerb und Unternehmensgründungen gefördert.

Welche Vorteile ergeben sich für KMU?

Die Datenschutzreform soll den europäischen Unternehmen (einschließlich KMU) geringere Kosten und weniger Verwaltungsaufwand ermöglichen und auf diese Weise das Wirtschaftswachstum fördern. Durch eine einzige Regelung (und nicht mehr 28 wie bisher) wird die Datenschutzreform der EU dazu beitragen, dass KMU von neuen Marktchancen profitieren können. In vielen Fällen sind die Pflichten der für die Datenverarbeitung Verantwortlichen und der Auftragsverarbeiter an die Größe des Unternehmens und/oder der Art der verarbeiteten Daten angepasst. Zum Beispiel:

  • KMU brauchen keinen Datenschutzbeauftragten einzusetzen, es sei denn, es gehört zu ihrer Haupttätigkeit, betroffene Personen in großem Umfang regelmäßig und systematisch zu kontrollieren, oder sie müssen besondere Kategorien personenbezogener Daten verarbeiten, aus denen Herkunft oder religiöse Überzeugung hervorgehen. Es muss jedoch dafür kein Vollzeitangestellter herangezogen werden, auch ein ad-hoc hinzugezogener Berater kann dies übernehmen, was zudem weitaus weniger kosten würde.
  • KMU müssen keine Aufzeichnungen über die Verarbeitung führen, sofern sie nur gelegentlich Daten verarbeiten oder dadurch die Rechte und Freiheiten betroffener Person nicht verletzt werden.
  • KMU sind nicht verpflichtet, alle Verletzungen des Schutzes personenbezogener Daten zu melden, sofern diese kein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen.

Wie lässt sich mit den neuen Vorschriften Geld sparen?

Mit der Verordnung treten europaweit einheitliche Rechtsvorschriften für den Datenschutz in Kraft. Die Unternehmen müssen sich also nicht länger mit 28 verschiedenen Gesetzen, sondern nur noch mit einem einzigen Gesetz befassen. Der finanzielle Nutzen der neuen Vorschriften wird mit 2,3 Mrd. EUR pro Jahr beziffert.

Beispiel: Kosteneinsparungen

Ein Franchise-Unternehmen mit Firmensitz in Frankreich unterhält Franchise-Läden in 14 anderen EU-Ländern. Jedes Geschäft erfasst Kundendaten und übermittelt sie an die Unternehmenszentrale nach Frankreich, wo die Daten weiterverarbeitet werden.

Bisherige Regelung: Für die Datenverarbeitung in der Unternehmenszentrale würden die Datenschutzgesetze Frankreichs gelten, aber die einzelnen Geschäfte sind gegenüber ihrer jeweiligen nationalen Datenschutzbehörde rechenschaftspflichtig und müssen bestätigen, dass sie die personenbezogenen Daten gemäß den Rechtsvorschriften des jeweiligen Landes, in dem sie tätig sind, verarbeitet haben. Folglich muss sich die Unternehmenszentrale für alle Franchise-Läden mit Anwälten vor Ort beraten, um sicherzustellen, dass die entsprechenden Gesetzesauflagen erfüllt werden. Die Gesamtkosten dafür könnten 12 000 EUR übersteigen.

Nach der Datenschutzreform: Die Datenschutzvorschriften werden in allen 14 EU-Ländern identisch sein (ein Gesetz für die gesamte EU). Damit erübrigen sich Rechtsanwälte vor Ort, die sicherstellen, dass Franchise-Läden die Gesetze des jeweiligen Mitgliedstaats erfüllen. Das führt zu direkten Kosteneinsparungen und mehr Rechtssicherheit.

Wie fördert die Datenschutzreform Innovation und Big Data?

Schätzungen zufolge könnte der Wert der personenbezogenen Daten der Unionsbürger bis zum Jahr 2020 auf jährlich fast 1 Billion EUR ansteigen. Die neuen EU-Vorschriften bieten den Unternehmen Flexibilität und schützen zugleich die Grundrechte der Bürger.

‘Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen' werden eine zentrale Rolle spielen. Damit werden Unternehmen ermutigt, innovativer zu werden und neue Ideen, Verfahren und Technologien zu entwickeln, um personenbezogene Daten zu schützen. Werden darüber hinaus Datenschutz-Folgeabschätzungen hinzugezogen, können Unternehmen wirksame technologische und organisatorische Lösungen verwirklichen.

Die Verordnung fördert beispielsweise die Anonymisierung (Löschen unnötiger personenbezogener Daten), Pseudonymisierung(Ersetzen personenbezogener Daten durch Zeichenkombinationen) und die Verschlüsselung (Codieren von Nachrichten, sodass sie nur von Berechtigten gelesen werden können), um personenbezogene Daten zu schützen. Dadurch wird die Auswertung von Big Data gefördert, wofür anonymisierte oder pseudonymisierte Daten genutzt werden können.

Beispiel: fahrerlose Autos

Die Technologie für fahrerlose Autos erfordert große Datenströme und den Austausch von personenbezogenen Daten. Datenschutzvorschriften müssen mit innovativen und fortschrittlichen Lösungen einhergehen. Bei einem Unfall beispielsweise können Autos mit einem bordeigenen Notrufsystem automatisch einen Notruf an die nächstgelegene Notrufzentrale senden. Das ist nur ein Beispiel für eine praktische und effiziente Lösung, die im Einklang mit den EU-Datenschutzvorschriften steht.

Mit den neuen Regelungen wird die Notruffunktion – was den Datenschutz anbelangt – noch einfacher und effizienter. Es ist ein Grundsatz der Datenverarbeitung, dass erhobene personenbezogene Daten, die zu einem oder mehreren Zwecken weiterverarbeitet werden, nicht auf eine Art und Weise weiterverarbeitet werden dürfen, die mit dem ursprünglichen Zweck nicht vereinbar ist. Damit wird jedoch nicht verboten, Daten zu einem anderen Zweck zu verarbeiten oder Rohdaten zu analytischen Zwecken zu verwenden.

Ein wichtiger Faktor bei der Entscheidung, ob ein neuer Zweck mit dem ursprünglichen Zweck unvereinbar ist oder nicht, ist die „Fairness“. Die Prüfung der „Fairness“ betrifft Faktoren wie die Auswirkungen auf die Privatsphäre des Einzelnen (z.B. gezielte Entscheidungen zu identifizierten Personen) und die Frage, ob eine Person davon ausgehen muss, dass ihre personenbezogenen Daten auf eine andere Art und Weise genutzt werden.

So könnten im Fall des fahrerlosen Autos Rohdaten genutzt werden, um zu analysieren, wo die meisten Unfälle passieren und wie sich weitere Unfälle vermeiden lassen. Sie könnten auch genutzt werden, um Verkehrsströme zu analysieren und damit Staus zu verringern.

Unternehmen sollten Einzelpersonen bereits im Vorfeld über die mögliche Nutzung und die Vorteile von Big Data informieren – selbst wenn die genaue Art und Weise der Analyse zu diesem Zeitpunkt noch nicht klar ist. Unternehmen sollten ferner prüfen, ob sich die Daten für eine spätere derartige Verarbeitung anonymisieren lassen. So können Rohdaten für eine Big Data-Verarbeitung genutzt werden, ohne dass dabei die Rechte von Einzelpersonen verletzt werden.

Die neuen Datenschutzvorschriften ermöglichen es Unternehmen, die Bedenken auszuräumen, die die Bürger bei der innovativen Nutzung von personenbezogenen Daten haben. Erhalten die Bürger klare und konkrete Informationen, fördert das ihr Vertrauen in innovative Datenverarbeitungsverfahren. Dabei muss nicht genau angegeben werden, wie diese Daten verarbeiten werden, sondern zu welchem Zweck dies erfolgt.

Es sollte nicht an der scheinbaren Komplexität innovativer Erzeugnisse und von Big Data scheitern, dass Bürger der Verarbeitung nicht zustimmen. Die Verarbeitung muss nicht ausschließlich auf einer Zustimmung basieren.

Den Unternehmen steht es frei, sich auf einen Vertrag, ein Gesetz oder – falls es keine anderen Grundlagen gibt – auf eine „Abwägung der Interessen“ zu stützen. Diese „formalen Anforderungen“ (wie die Zustimmung) sollen dem Bürger die notwendige Kontrolle über seine personenbezogenen Daten geben und Rechtssicherheit für alle schaffen. Die neuen EU-Vorschriften ermöglichen eine flexible Umsetzung dieser Anforderungen.

Wie wird der Europäische Datenschutzausschuss arbeiten?

Derzeit kommen Vertreter aller europäischen Datenschutzbehörden als sogenannte Artikel-29-Gruppe zusammen, wie dies in Artikel 29 der Datenschutzrichtlinie (Richtlinie 95/46/EG) festgelegt ist. Diese Gruppe wird durch den Europäischen Datenschutzausschuss ersetzt, der sich aus Vertretern der nationalen Datenschutzbehörde jedes EU-Mitgliedstaates, dem Europäischen Datenschutzbeauftragten und der Kommission (ohne Stimmrecht) zusammensetzt. Der Vorsitz des Datenschutzausschusses wird unter den Mitgliedern ausgewählt. Genau wie die Artikel-29-Gruppe wird auch der Europäische Datenschutzausschuss die ordnungsgemäße Anwendung der neuen Datenschutzvorschriften kontrollieren, die Europäische Kommission zu einschlägigen Themen beraten und bei einer Vielzahl von Datenschutzfragen Beratung und Orientierung bieten. Neu an der Datenschutz-Grundverordnung ist, dass der Europäische Datenschutzausschuss bei bestimmten Streitigkeiten zwischen nationalen Datenschutzbehörden auch rechtsverbindliche Beschlüsse erlassen und so die einheitliche Anwendung der Datenschutzvorschriften in der ganzen EU fördern wird.

Mit welchen Strafen müssen Unternehmen rechnen, wenn sie gegen die neuen Datenschutzvorschriften verstoßen?

In der Datenschutz-Grundverordnung ist eine Reihe von Instrumenten festgelegt, um die neuen Vorschriften durchzusetzen – darunter auch Sanktionen und Geldbußen. Zur Festlegung einer angemessenen Geldbuße wird jeder Fall anhand einer Reihe von Faktoren sorgfältig geprüft, dazu gehören:

  • die Schwere/Dauer des Verstoßes;
  • die Zahl der betroffenen Personen und das Ausmaß des von ihnen erlittenen Schadens;
  • Die Vorsätzlichkeit des Verstoßes;
  • jegliche Maßnahmen zur Minderung des entstandenen Schadens;
  • der Umfang der Zusammenarbeit mit der Aufsichtsbehörde.

In der Verordnung sind für den Fall, dass gegen die Vorschriften verstoßen wird, zwei Obergrenzen für Geldbußen festgelegt. Die erste Obergrenze liegt bei maximal 10 Mio. EUR oder im Falle eines Unternehmens bei bis zu 2 % des weltweit erzielten Jahresumsatzes. Diese Obergrenze käme beispielsweise zur Anwendung, wenn ein Verantwortlicher trotz der Vorschriften der Verordnung keine Folgenabschätzung durchführt. Die höhere Obergrenze für eine Geldbuße liegt bei maximal 20 Mio. EUR oder 4 % des weltweit erzielten Jahresumsatzes. Ein Beispiel wäre ein Verstoß gegen die Rechte, die Betroffene gemäß der Verordnung genießen. Die Geldbußen werden an die Umstände des Einzelfalls angepasst.

Wie werden bei einem Cyber-Angriff personenbezogene Daten durch die Datenschutz-Grundverordnung geschützt?

  • In der Datenschutz-Grundverordnung ist festgeschrieben, dass personenbezogene Daten so verarbeitet werden sollen, dass ihre Sicherheit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben/erhalten und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Daher ermitteln der für die Datenverarbeitung Verantwortliche und der Auftragsverarbeiter die mit der Verarbeitung personenbezogener Daten verbundenen Risiken und treffen Maßnahmen, um diese einzudämmen. (Artikel 32 der Datenschutz-Grundverordnung)
  • Die für die Datenverarbeitung Verantwortlichen müssen betroffene Personen unverzüglich von Verletzungen des Schutzes personenbezogener Daten benachrichtigen. Diese Verpflichtung ist in dem Moment relevant, in dem diese Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen natürlichen Person führt, damit diese die erforderlichen Vorkehrungen treffen kann. (Artikel 33 der Datenschutz-Grundverordnung)
  • Die für die Datenverarbeitung Verantwortlichen müssen zudem die zuständige Aufsichtsbehörde für den Datenschutz unterrichten, es sei denn, der Verantwortliche kann nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Diese Meldungen erfolgen unverzüglich und möglichst binnen 72 Stunden, nachdem den Verantwortlichen die Verletzung bekannt wurde. (Artikel 34 der Datenschutz-Grundverordnung)
  • Die Datenschutz-Grundverordnung enthält klare Vorschriften zu den Bedingungen für die Verhängung von Geldbußen. Künftig können die Datenschutzbehörden Unternehmen, die die EU-Vorschriften nicht einhalten, mit einer Geldbuße belegen – beispielsweise, wenn die Unternehmen ihre Kunden oder die Datenschutzbehörde nicht benachrichtigen, dass der Schutz personenbezogener Daten verletzt wurde.

Wie funktionieren die neuen Vorschriften in der Praxis?

Beispiel: Ein internationales Unternehmen mit mehreren Niederlassungen in EU-Mitgliedstaaten betreibt im Internet ein europaweites Navigations- und Abbildungssystem. Im Rahmen dieses Systems werden Bilder aller privaten und öffentlichen Gebäude und möglicherweise auch von Einzelpersonen zusammengetragen.

Bisherige Regelung: Die für den Auftragsverarbeiter geltenden Datenschutzgarantien unterscheiden sich von Mitgliedstaat zu Mitgliedstaat erheblich. In einem Mitgliedstaat ging bei der Einführung dieser Dienstleistung ein großer Aufschrei durch die Öffentlichkeit und die Politik, und einige Aspekte wurden als rechtswidrig erachtet. Das Unternehmen bot den Menschen in diesem Mitgliedstaat nach Verhandlungen mit den zuständigen Datenschutzbehörden schließlich zusätzliche Garantien und weiteren Schutz an, ohne diese jedoch auch den Bürgern in anderen Mitgliedstaaten anzubieten. Derzeit müssen Auftragsverarbeiter, die grenzübergreifend tätig sind, viel Geld und Zeit (für die Rechtsberatung und die Vorbereitung der notwendigen Formulare und Unterlagen) investieren, um den unterschiedlichen und teilweise einander zuwiderlaufenden Pflichten nachzukommen.

Nach der neuen Regelung: Mit den neuen Bestimmungen wird ein einheitliches europäisches Datenschutzrecht eingeführt, das die geltenden, unterschiedlichen Gesetze der Mitgliedstaaten ersetzt. Jedes Unternehmen muss die EU-Datenschutzvorschriften anwenden, wenn es seine Dienstleistungen in der EU anbieten möchte – ganz gleich, ob es in der EU ansässig ist oder nicht.

Beispiel: Eine kleine Werbeagentur in Frankreich möchte ihre Dienste künftig auch in Deutschland anbieten.

Bisherige Regelung: Die Datenverarbeitung unterliegt den deutschen Vorschriften, und das Unternehmen muss sich mit einer fremden Regulierungsbehörde auseinandersetzen. Die damit einhergehenden Kosten für die Rechtsberatung und die Anpassung des Geschäftsmodells können die Agentur letztendlich davon abhalten, auf diesem neuen Markt tätig zu werden. Manche Mitgliedstaaten erheben beispielsweise Meldegebühren für die Datenverarbeitung.

Nach der neuen Regelung: Mit der neuen Datenschutzregelung werden alle Meldepflichten und die damit einhergehenden Gebühren abgeschafft. Zweck der neuen Datenschutzregelung ist es, Hindernisse im grenzschreitenden Handel abzubauen.

 

 

MEMO/18/387

Kontakt für die Medien:

Kontakt für die Öffentlichkeit: Europe Direct – telefonisch unter 00 800 67 89 10 11 oder per E-Mail


Side Bar