Das EU-Parlament hat am 14.04.2016 mit großer Mehrheit die EU-Datenschutzreform beschlossen. Während der zweijährigen Übergangsphase will die Kommission die Bürger über ihre Rechte und die Unternehmen über ihre Pflichten informieren.
Die neuen EU-Datenschutzregeln beinhalten zwei Rechtsinstrumente, die Datenschutz-Grundverordnung und die Richtlinie für den Datenschutz bei Polizei und Strafjustiz. Während der Datenschutz künftig als Grundrecht der Bürgerinnen und Bürger definiert wird, sollen moderne Vorschriften für Unternehmen für Klarheit sorgen. Die für Unternehmen relevanten Eckpunkte:
– Ein Kontinent, ein Recht: Durch die Verordnung wird ein einheitliches Regelwerk geschaffen, das Unternehmen die Geschäftstätigkeit in der EU erleichtert und Kosten spart.
– Eine einzige Anlaufstelle: Unternehmen haben nur noch mit einer einzigen Aufsichtsbehörde zu tun. Damit werden pro Jahr schätzungsweise 2,3 Mrd. Euro eingespart.
– Europäische Regeln auf europäischem Boden: Unternehmen mit Sitz außerhalb Europas müssen dieselben Regeln befolgen, wenn sie Dienstleistungen in der EU anbieten.
– Risikobasierter Ansatz: Mit den neuen Regeln wird statt einer aufwändigen allgemeingültigen Verpflichtung eine den jeweiligen Risiken angepasste Verpflichtung eingeführt.
– Innovationsfreundliche Regeln: Mit der Verordnung ist gewährleistet, dass die Datenschutzgarantien von der frühesten Entwicklungsphase an in die Produkte und Dienstleistungen eingebaut werden („Datenschutz durch Technik“). Datenschutzfreundliche Techniken wie Pseudonymisierung werden gefördert, um die Vorteile von massendatenbezogenen Innovationen bei gleichzeitigem Schutz der Privatsphäre nutzen zu können.
– Aufhebung der Meldepflicht: Mitteilungen an die Aufsichtsbehörden sind eine Formalität, die bei den Unternehmen jedes Jahr mit 130 Mio. Euro zu Buche schlägt. Die Meldepflicht wird durch die Reform vollständig beseitigt.
– Jeder Cent zählt: Wenn Anträge auf Zugang zu den Daten offensichtlich unbegründet oder unverhältnismäßig sind, können KMU in Zukunft Gebühren für die Bereitstellung des Zugangs verlangen.
– Datenschutzbeauftragte: KMU sind nicht verpflichtet, einen Datenschutzbeauftragten zu ernennen, es sei denn, die Datenverarbeitung ist ihr Kerngeschäft.
– Folgenabschätzung: KMU sind nicht verpflichtet, eine Folgenabschätzung durchzuführen, es sei denn, es besteht ein hohes Risiko.
(EU-Aktuell vom 14.04.2016/ Viola C. Didier)
