Titelthema | Vorsicht vor Datendieben

Basis des Vertrauens

Datenschutzgrundverordnung

0Kommentare

Die EU-Daten­schutz­grund­ord­nung soll für einen ein­heit­lichen Um­gang mit Daten im eu­ro­pä­ischen Wirt­schafts­raum sorgen. Ab Mai 2018 wird sie auch in Deutsch­land an­ge­wendet. Kanz­leien sollten sich jetzt schon auf die Re­form des Daten­schutzes umstellen.

Es hat lange gedauert, und dann ging es doch ganz schnell: Nach fast vier Jahren verständigten sich die Verhandlungsführer der gesetzgebenden Organe in Brüssel Ende 2015 auf ein neues Datenschutzrecht in Europa. Und die Anpassung der bestehenden Richtlinie EU 95/46 EG aus dem Jahr 1995 war auch überfällig: Infolge der technischen Entwicklung, bedingt durch das Internet, Smartphones, aber auch die Verarbeitung personenbezogener Daten durch Unternehmen im außereuropäischen Ausland, war die bisherige europäische Richtlinie – durch das Bundes­da­ten­schutz­gesetz (BDSG) in deutsches Recht umgesetzt – nicht mehr zeitgemäß. Allerdings bleiben die durch die Charta der Grundrechte der Europäischen Union vorgegebenen Grundprinzipien erhalten: Weiterhin benötigen Behörden und Unternehmen eine daten­schutz­recht­liche Recht­mäßig­keitsgrundlage, um personenbezogene Daten zu erheben und zu verarbeiten. Wie seit­her unter­liegt die Verarbeitung einer Zweckbindung. Die Be­trof­fe­nen­rechte sind zu wahren. Eine unabhängige Datenschutzaufsicht wird gewährleistet.

Maßgebliche Neuerungen

Erste auffällige Änderung ist aber, dass die EU-Datenschutzgrundverordnung (EU-DSGVO) nun keine Richtlinie mehr ist, sondern eine Verordnung, die unmittelbar und ohne weiteres nationales Umsetzungsrecht in Deutschland gelten wird. Lediglich in Fällen, in denen eine sogenannte Öffnungsklausel nationale Regelungen erlaubt, wird es noch Spielraum für die Mitgliedstaaten geben. Damit erhofft sich der europäische Gesetzgeber, in einem einheitlichen Wirtschaftsraum auch einen einheitlichen Umgang mit Daten zu erreichen. Schon der Name der Verordnung („zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“) birgt den Anspruch, den einheitlichen europäischen Datenverarbeitungsraum zu entwickeln und hierbei auftretende Interessenkonflikte zu regeln. Darüber hinaus ändert sich gerade in Details sehr viel. Die Informationspflichten gegenüber den Betroffenen werden detaillierter, bei den Auskunftsrechten kann auch eine lesbare Datei verlangt werden, ein Recht auf Datenportabilität und ein Recht auf Vergessenwerden wurden eingeführt. Dazu gibt es aber Ausnahmen und Sonderfälle, die einige dieser neu eingeführten Ansprüche auf spezielle Fälle begrenzen. Auch bei weiteren Pflichten der Unternehmen ergeben sich Änderungen. Das interne Verfahrensverzeichnis wird durch ein Verzeichnis von Verarbeitungstätigkeiten ersetzt. Hier sind Erleichterungen für kleine und mittlere Unternehmen (KMU) vorgesehen. Statt einer Vor­ab­kon­trolle muss künftig eine Datenschutzfolgenabschätzung durchgeführt werden. Die Be­nach­rich­ti­gungs­pflich­ten bei Datenpannen werden ausgeweitet. Hierbei sind keine Er­leich­te­run­gen für KMU vorgesehen. Zudem sind nun durch eine Verschärfung des Sank­tions­rah­mens Buß­gelder bis vier Prozent des weltweiten Jahresumsatzes möglich. Die Da­ten­schutz­auf­sichts­be­hörden müssen sich straffer organisieren, um die neu hinzugekommenen Auf­ga­ben wie die in­ter­na­tio­na­len Abstimmungen zur europaweiten Einheitlichkeit in einem an­ge­mes­se­nen Zeit­rahmen zu ge­währ­leis­ten. Zudem unterliegen Anbieter aus dem außer­eu­ro­pä­ischen Ausland künftig noch deutlicher den gleichen rechtlichen Rah­men­be­din­gun­gen wie euro­päische Unternehmen.

Übergangsfrist

Bis zur Anwendbarkeit ist eine zweijährige Über­gangs­zeit vorgesehen.

Um sich auf alle diese Veränderungen einzustellen, ist eine zwei­jäh­rige Über­gangs­zeit bis zur An­wend­bar­keit der EU-DSGVO vor­ge­sehen. Nach Ver­öf­fent­lichung im Amts­blatt der Eu­ro­pä­ischen Union und dem In­kraft­tre­ten im April be­zie­hungs­weise Mai 2016 werden die neuen Re­ge­lungen vo­raus­sicht­lich erst im Mai 2018 zur An­wen­dung kommen. Das erscheint noch lange hin, doch müssen fast alle internen Prozesse um die Verarbeitung mit personenbezogenen Daten überprüft werden. Unternehmen sollten diesen Zeitraum daher nutzen, um sich auf die neuen Anforderungen einzustellen. Erfüllen Ein­wil­li­gungen die An­for­de­run­gen der EU-Datenschutzgrundverordnung? Sind bestehende Be­triebs­ver­ein­ba­run­gen anzupassen? Müssen die Verträge mit Dienstleistern über eine Auf­trags­ver­ar­bei­tung neu for­mu­liert werden? Wie nutzt der nationale Gesetzgeber seinen Spiel­raum bei der Öff­nungs­klausel beispielsweise beim Beschäftigtendatenschutz oder bei der Be­nen­nungs­pflicht für Daten­schutz­be­auf­tragte? Es ist durchaus sinnvoll, sich jetzt bereits sorg­fäl­tig mit den neuen Daten­schutz­regelungen auseinanderzusetzen.

Berufsgeheimnisträger

Gerade für Berufsgeheimnisträger ist das Vertrauen der Mandanten, Klienten und Patienten in die Einhaltung der Verschwiegenheitsverpflichtung Grundlage einer optimalen Beratung. Folgerichtig erkannte der europäische Gesetzgeber auch, dass hinsichtlich der Datenerhebung für Berufs­gruppen mit einer berufsrechtlichen Verschwiegenheitspflicht mit Blick auf die In­for­ma­tions­pflicht der Be­trof­fe­nen eine Ausnahmeregelung erforderlich ist, wenn die Daten nicht direkt bei ihm selbst erhoben werden: Schließlich wäre eine Benachrichtigungspflicht gegenüber dem Gatten, dass sich eine Ehefrau zu Unterhaltsregelungen vor Einreichung des Scheidungsantrags beraten lässt, ja geradezu absurd. Ebenso bleibt es den Mitgliedstaaten überlassen, die Befugnis der Aufsichtsbehörden hinsichtlich ihrer Kompetenz gegenüber Berufs­ge­heim­nis­trägern zu gestalten. Daraus folgt nun aber auch, dass verkammerte Berufs­ge­heim­nis­träger hin­sicht­lich berufsrechtlich geschützter Daten grundsätzlich auch der EU-DSGVO unterliegen.

Ausblick

Es bleiben viele Unklarheiten, die durch gesetzliche Umsetzungsmaßnahmen, wie etwa beim Beschäftigtendatenschutz oder in Abstimmung mit den Datenschutzaufsichtsbehörden, geklärt werden müssen.
DATEV wird auch hier wie bei der großen Bundesdatenschutzgesetz-Novelle in 2009 die Prozesse und Dokumente an die neue Rechtslage anpassen, um den Mitgliedern beziehungsweise Kunden der Genossenschaft auch unter der EU-DSGVO rechtskonforme Gestaltungen anzubieten. Allerdings werden auch in den Kanzleien und bei den Mandanten selbst im jeweils eigenen Verantwortungsbereich Umstellungen erforderlich sein. Das Vertrauen der Mandanten und Kunden sowie nicht zuletzt der verschärfte Bußgeldrahmen lassen es geboten erscheinen, sich auch bei diesem Thema frühzeitig um die Umsetzung zu kümmern, um nicht im Mai 2018 feststellen zu müssen, dass vier Jahre Gesetzgebungsverfahren lange erscheinen, zwei Jahre Umsetzungszeit aber nicht.

0Kommentare Neuen Kommentar verfassen

Einen neuen Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.