Europäischer Datenschutz – eine schwere Geburt

von am 18. April 2016

Die Datenschutz-Grundverordnung kommt. Am 14. April 2016 hat das Europäische Parlament die Verordnung verabschiedet, die in erheblichem Umfang das nationale Datenschutzrecht ersetzen wird. Der neue Rahmen muss nun an einigen Stellen noch weiter ausgefüllt werden, vieles im nationalen Datenschutzrecht muss angepasst werden, und die Unternehmen müssen sich auf teilweise neue Pflichten einstellen. Dafür haben sie jetzt gut zwei Jahre Zeit bis zum Inkrafttreten der Verordnung.

Am 14. April 2016 hat das Europäische Parlament der Datenschutz-Grundverordnung (DS-GVO) zugestimmt. Angestoßen hatte die Schaffung eines europaweit einheitlichen Datenschutzrechts Anfang 2012 die damalige Justiz-Kommissarin Viviane Reding. Zwei Jahre der politischen Diskussion und des Ringens der Lobbyisten hinter den Kulissen dokumentiert der Film „Democracy – Im Rausch der Daten“.

Insgesamt hat sich das ungewöhnlich kontroverse Gesetzgebungsverfahren über vier Jahre hingezogen. Am Ende ging es dann sehr schnell: Wenige Tage nach dem Rat, der Vertretung der EU-Mitgliedstaaten, hat jetzt auch das Parlament die Verordnung verabschiedet.

Nach der Veröffentlichung im Amtsblatt und einer zweijährigen Übergangsfrist wird die Verordnung Mitte 2018 in Kraft treten. Die Datenschutz-Richtlinie aus dem Jahr 1995, die den nationalen Datenschutzgesetzen der Mitgliedstaaten eher grobe Vorgaben macht, wird dann abgelöst. Stattdessen gilt künftig in allen Mitgliedstaaten in vielen Fragen dasselbe Datenschutzgesetz, nämlich die europäische Verordnung. Das Bundesdatenschutzgesetz wird in weiten Teilen obsolet werden, weil viele Fragen durch die Verordnung abschließend geregelt sind. Die Verordnung schreibt durch Regelungen wie das „Recht auf Vergessenwerden“, neue Transparenzpflichten und anderes mehr ein hohes Datenschutzniveau fest. Das europäische Recht wird auch dann anwendbar sein, wenn Daten von EU-Bürgern außerhalb der EU verarbeitet werden.

Abgeschlossen ist die Rechtsentwicklung durch die Verabschiedung der DS-GVO noch lange nicht: An verschiedenen Stellen haben die Mitgliedstaaten Spielräume, z.B. bei der Frage, ab welchem Alter Jugendliche wirksam in die Verarbeitung ihrer Daten einwilligen können, und anderen Stellen ist die EU-Kommission ermächtigt, Ausführungsbestimmungen zu erlassen. Für den deutschen Gesetzgeber beginnt jetzt die große Arbeit, während der Übergangsfrist alle bestehenden Datenschutzvorschriften durchzumustern und erforderlichenfalls aufzuheben oder zu ändern. Unternehmen müssen sich rechtzeitig darauf vorbereiten, dass sie demnächst neue Pflichten haben.

Der Rat hat auch eine amtliche deutsche Fassung der Verordnung veröffentlicht.