Datenschutzgrundverordnung verabschiedet
Am 24. Juni 2015 begannen die endgültigen Verhandlungen zwischen den EU-Mitgliedsstaaten über die Inhalte der kommenden EU-Datenschutzgrundverordnung. Die 28 EU-Innenminister, die den Rat der EU bilden, trafen sich in Brüssel, um eine gemeinsame Verhandlungsposition zu finden Die neue Datenschutzverordnung soll die Verarbeitung von personenbezogenen Daten durch Behörden und privatrechtliche Unternehmen europaweit einheitlich regeln – bisher gelten 28 unterschiedliche Systeme.
Die wichtigsten Punkte der EU-Datenschutzverordnung im Überblick:
- Berechtigtes Interesse
- Zweckbindung
- Profilbildung
- Datensparsamkeit
- Drohendes Bußgeld
Berechtigtes Interesse
Wie schon bisher, soll Unternehmen auch in Zukunft die Verarbeitung persönlicher Daten von Verbrauchern ohne deren Einwilligung möglich sein – wenn das „berechtigte Interesse“ des Unternehmens an der Datenverarbeitung höher einzustufen ist als die schutzwürdigen Interessen des Verbrauchers. Zurzeit ist die Auslegung von „berechtigtem Interesse“ in Deutschland sehr eng gefasst. Das soll sich nach den Vorschlägen des EU-Rats ändern. So soll beispielsweise in der neuen Verordnung die Verarbeitung von persönlichen Daten zu Werbezwecken als „berechtigtes Interesse“ gewertet werden – momentan muss der Verbraucher seine Einwilligung dazu erteilen.
Zweckbindung
Der EU-Rat hat vor, das Prinzip der Zweckbindung weiter zu fassen, als das in Artikel 8 der europäischen Grundrechtecharta festgeschrieben ist. (Daten dürfen nur für festgelegte Zwecke benutzt werden – beispielsweise beim Kauf im Online-Shop). Die neuen Vorschläge zielen darauf, auch im Nachhinein eine Änderung des Verarbeitungszwecks zu erlauben – zum Beispiel auf Basis eines „berechtigten Interesses“ von Unternehmen. So würde die Zweckbindung nur noch eine geringe Rolle spielen, was dem Gedanken des Datenschutzes nicht sonderlich zuträglich wäre.
Auch die Möglichkeit einer Änderung des Verarbeitungszwecks zu statistischen und wissenschaftlichen Zwecken oder aus historischen Gründen soll in Zukunft erlaubt sein. Wer dürfte dann aber was und aus welchen Gründen ändern? Darüber gibt es noch keine konkreten Äußerungen.
Profilbildung
Da der Rat für die Erstellung von Persönlichkeitsprofilen keine größeren Einschränkungen vorsieht, könnten Unternehmen nach Inkrafttreten der Verordnung nach Lust und Laune die persönlichen Daten von Verbraucherinnen und Verbrauchern in Profilen zusammenfassen. Allerdings sind Regelungen für die Nutzung dieser Profile vorgesehen, zumindest wenn sie Verbraucher in fundamentaler Weise beeinträchtigt beziehungsweise Auswirkungen auf den Datenbesitzer in rechtlicher Hinsicht zur Folge hat. Welche Fälle das umfassen soll wird nicht weiter erläutert.
Damit wäre es rechtlich möglich, die Kreditwürdigkeit von Antragstellern allein auf Grundlage der Anschrift zu beurteilen. Das war bisher durch das Bundesdatenschutzgesetz explizit verboten.
Einschränkungen für das Anlegen von Persönlichkeitsprofilen von Kindern sind nicht vorgesehen.
Datensparsamkeit
Eines der Grundprinzipien des Datenschutzes ist die Datensparsamkeit – es sollen so wenig personenbezogene Daten wie möglich verarbeitet werden. In Zukunft soll die Erhebung von Daten nicht mehr auf das absolut Nötige beschränkt werden, sie sollte nur mehr „nicht exzessiv“ sein.
Drohendes Bußgeld
Die Stellung der unabhängigen Datenschutzbehörden wird gestärkt. Unternehmen, die gegen das geltende Datenschutzrecht verstoßen, müssen künftig mit Bußgeldern von bis zur 1 Mio Euro bzw. 2 Prozent des Jahresumsatzes rechnen.