Die EU-Datenschutzgrundordnung soll für einen einheitlichen Umgang mit Daten im europäischen Wirtschaftsraum sorgen. Ab Mai 2018 wird sie auch in Deutschland angewendet. Kanzleien sollten sich jetzt schon auf die Reform des Datenschutzes umstellen.
Es hat lange gedauert, und dann ging es doch ganz schnell: Nach fast vier Jahren verständigten sich die Verhandlungsführer der gesetzgebenden Organe in Brüssel Ende 2015 auf ein neues Datenschutzrecht in Europa. Und die Anpassung der bestehenden Richtlinie EU 95/46 EG aus dem Jahr 1995 war auch überfällig: Infolge der technischen Entwicklung, bedingt durch das Internet, Smartphones, aber auch die Verarbeitung personenbezogener Daten durch Unternehmen im außereuropäischen Ausland, war die bisherige europäische Richtlinie – durch das Bundesdatenschutzgesetz (BDSG) in deutsches Recht umgesetzt – nicht mehr zeitgemäß. Allerdings bleiben die durch die Charta der Grundrechte der Europäischen Union vorgegebenen Grundprinzipien erhalten: Weiterhin benötigen Behörden und Unternehmen eine datenschutzrechtliche Rechtmäßigkeitsgrundlage, um personenbezogene Daten zu erheben und zu verarbeiten. Wie seither unterliegt die Verarbeitung einer Zweckbindung. Die Betroffenenrechte sind zu wahren. Eine unabhängige Datenschutzaufsicht wird gewährleistet.
Maßgebliche Neuerungen
Erste auffällige Änderung ist aber, dass die EU-Datenschutzgrundverordnung (EU-DSGVO) nun keine Richtlinie mehr ist, sondern eine Verordnung, die unmittelbar und ohne weiteres nationales Umsetzungsrecht in Deutschland gelten wird. Lediglich in Fällen, in denen eine sogenannte Öffnungsklausel nationale Regelungen erlaubt, wird es noch Spielraum für die Mitgliedstaaten geben. Damit erhofft sich der europäische Gesetzgeber, in einem einheitlichen Wirtschaftsraum auch einen einheitlichen Umgang mit Daten zu erreichen. Schon der Name der Verordnung („zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“) birgt den Anspruch, den einheitlichen europäischen Datenverarbeitungsraum zu entwickeln und hierbei auftretende Interessenkonflikte zu regeln. Darüber hinaus ändert sich gerade in Details sehr viel. Die Informationspflichten gegenüber den Betroffenen werden detaillierter, bei den Auskunftsrechten kann auch eine lesbare Datei verlangt werden, ein Recht auf Datenportabilität und ein Recht auf Vergessenwerden wurden eingeführt. Dazu gibt es aber Ausnahmen und Sonderfälle, die einige dieser neu eingeführten Ansprüche auf spezielle Fälle begrenzen. Auch bei weiteren Pflichten der Unternehmen ergeben sich Änderungen. Das interne Verfahrensverzeichnis wird durch ein Verzeichnis von Verarbeitungstätigkeiten ersetzt. Hier sind Erleichterungen für kleine und mittlere Unternehmen (KMU) vorgesehen. Statt einer Vorabkontrolle muss künftig eine Datenschutzfolgenabschätzung durchgeführt werden. Die Benachrichtigungspflichten bei Datenpannen werden ausgeweitet. Hierbei sind keine Erleichterungen für KMU vorgesehen. Zudem sind nun durch eine Verschärfung des Sanktionsrahmens Bußgelder bis vier Prozent des weltweiten Jahresumsatzes möglich. Die Datenschutzaufsichtsbehörden müssen sich straffer organisieren, um die neu hinzugekommenen Aufgaben wie die internationalen Abstimmungen zur europaweiten Einheitlichkeit in einem angemessenen Zeitrahmen zu gewährleisten. Zudem unterliegen Anbieter aus dem außereuropäischen Ausland künftig noch deutlicher den gleichen rechtlichen Rahmenbedingungen wie europäische Unternehmen.
Übergangsfrist
Bis zur Anwendbarkeit ist eine zweijährige Übergangszeit vorgesehen.
Um sich auf alle diese Veränderungen einzustellen, ist eine zweijährige Übergangszeit bis zur Anwendbarkeit der EU-DSGVO vorgesehen. Nach Veröffentlichung im Amtsblatt der Europäischen Union und dem Inkrafttreten im April beziehungsweise Mai 2016 werden die neuen Regelungen voraussichtlich erst im Mai 2018 zur Anwendung kommen. Das erscheint noch lange hin, doch müssen fast alle internen Prozesse um die Verarbeitung mit personenbezogenen Daten überprüft werden. Unternehmen sollten diesen Zeitraum daher nutzen, um sich auf die neuen Anforderungen einzustellen. Erfüllen Einwilligungen die Anforderungen der EU-Datenschutzgrundverordnung? Sind bestehende Betriebsvereinbarungen anzupassen? Müssen die Verträge mit Dienstleistern über eine Auftragsverarbeitung neu formuliert werden? Wie nutzt der nationale Gesetzgeber seinen Spielraum bei der Öffnungsklausel beispielsweise beim Beschäftigtendatenschutz oder bei der Benennungspflicht für Datenschutzbeauftragte? Es ist durchaus sinnvoll, sich jetzt bereits sorgfältig mit den neuen Datenschutzregelungen auseinanderzusetzen.
Berufsgeheimnisträger
Gerade für Berufsgeheimnisträger ist das Vertrauen der Mandanten, Klienten und Patienten in die Einhaltung der Verschwiegenheitsverpflichtung Grundlage einer optimalen Beratung. Folgerichtig erkannte der europäische Gesetzgeber auch, dass hinsichtlich der Datenerhebung für Berufsgruppen mit einer berufsrechtlichen Verschwiegenheitspflicht mit Blick auf die Informationspflicht der Betroffenen eine Ausnahmeregelung erforderlich ist, wenn die Daten nicht direkt bei ihm selbst erhoben werden: Schließlich wäre eine Benachrichtigungspflicht gegenüber dem Gatten, dass sich eine Ehefrau zu Unterhaltsregelungen vor Einreichung des Scheidungsantrags beraten lässt, ja geradezu absurd. Ebenso bleibt es den Mitgliedstaaten überlassen, die Befugnis der Aufsichtsbehörden hinsichtlich ihrer Kompetenz gegenüber Berufsgeheimnisträgern zu gestalten. Daraus folgt nun aber auch, dass verkammerte Berufsgeheimnisträger hinsichtlich berufsrechtlich geschützter Daten grundsätzlich auch der EU-DSGVO unterliegen.
Ausblick
Es bleiben viele Unklarheiten, die durch gesetzliche Umsetzungsmaßnahmen, wie etwa beim Beschäftigtendatenschutz oder in Abstimmung mit den Datenschutzaufsichtsbehörden, geklärt werden müssen.
DATEV wird auch hier wie bei der großen Bundesdatenschutzgesetz-Novelle in 2009 die Prozesse und Dokumente an die neue Rechtslage anpassen, um den Mitgliedern beziehungsweise Kunden der Genossenschaft auch unter der EU-DSGVO rechtskonforme Gestaltungen anzubieten. Allerdings werden auch in den Kanzleien und bei den Mandanten selbst im jeweils eigenen Verantwortungsbereich Umstellungen erforderlich sein. Das Vertrauen der Mandanten und Kunden sowie nicht zuletzt der verschärfte Bußgeldrahmen lassen es geboten erscheinen, sich auch bei diesem Thema frühzeitig um die Umsetzung zu kümmern, um nicht im Mai 2018 feststellen zu müssen, dass vier Jahre Gesetzgebungsverfahren lange erscheinen, zwei Jahre Umsetzungszeit aber nicht.
Mehr Dazu
MEHR DAZU
DATEV-Consulting unterstützt Sie rund um das Thema Datenschutz. Informationen finden Sie unter www.datev.de/ consulting
CHEF-Seminar: Datenschutz aktuell – was Sie unbedingt wissen müssen, Art.-Nr. 73105
CHEF-Seminar: Der zertifizierte Datenschutzbeauftragte in der Kanzlei (TÜV), Art.-Nr. 73070
Weiterbildungsangebote zum Datenschutz finden Sie auch unter www.datev.de/chef-seminare
Tel.: +49 911 319-7051
E-Mail: consulting@datev.de