Neue EU-Datenschutzverordnung tritt 2018 in Kraft

EU und Datenverarbeiter reagieren auf öffentlichen Druck

Kaum war die grundlegende Einigung zur neuen EU-Datenschutzverordnung (EU-DVG) verkündet, wurde sie – wie nicht anders zu erwarten – von verschiedenen Seiten höchst kontrovers kommentiert und bewertet. Das Ziehen eines eindeutigen Fazits gestaltet sich schwierig, zu unterschiedlich sind die Sichtweisen. Deshalb baten wir den Kölner Datenschutzrechtler Michael Kamps von der Kanzlei CMS Hasche Sigle um eine Einschätzung.

  • Neue Datenschutzverordnung

    Die neue EU-Datenschutzverordnung tritt 2018 in Kraft.

  • Der Kölner Datenschutzrechtler Michael Kamps

    Der Kölner Datenschutzrechtler Michael Kamps von der Kanzlei CMS Hasche Sigle sieht den europaweit geltenden Rechtsrahmen als Vorteil für Unternehmen.

Herr Kamps, wie fällt Ihr erstes Urteil zur neuen europaweiten Datenschutzverordnung aus?
Michael Kamps: Viele Inhalte der jetzt erzielten Einigung waren aus dem bisherigen Gesetzgebungsverfahren schon bekannt. Allerdings ist die Einigung von Mitte Dezember zunächst eine politische: Und zwar zwischen der EU-Kommission als Initiator, dem Parlament und den Mitgliedsstaaten. Um juristisch verlässliche Aussagen hinsichtlich der ab 2018 geltenden Datenschutzrichtlinien treffen zu können, bräuchte es einen finalen Text, der jedoch erst in den kommenden Wochen verfügbar sein wird. Im Moment lassen aber bereits die einige wesentliche grobe Eckpunkte der neuen Verordnung kommentieren.

Und in der Zeit bis 2018 werden die Lobbyisten versuchen, die beschlossenen Inhalte der Verordnung auszuhöhlen?
Kamps: Das wohl eher nicht, denn die wesentlichen politischen Inhalte sind mit dieser Einigung festgezurrt. Derzeit erfolgt die Übersetzung der politischen Inhalte in einen finalen Text, in dem ein Komma oder ein „und“ aus juristischer Sicht zwar ganz erhebliche Unterschiede ausmachen können. Die grundsätzlichen Inhalte sind jedoch Mitte Dezember verabschiedet worden.

Bewerten Sie die Verordnung nach allem, was Sie derzeit wissen, als einen Fortschritt?
Kamps: Vor allem die Verbraucherschützer sehen die Verordnung als klaren Fortschritt. Andere, vor allem datenverarbeitende IT-Wirtschaft, sehen Risiken und in vielen Bereichen erhebliche Investitionshindernisse. Und es gibt diejenigen,  zu denen ich mich selbst zählen würde, für die sich ein sehr gemischtes Bild ergibt.

Aus Unternehmenssicht ist der einheitliche, für ganz Europa geltende Rechtsrahmen sicherlich vorteilhaft. Die Verordnung ist unmittelbar anwendbar und muss nicht erst noch durch nationale Gesetze umgesetzt werden. In Irland, wo im europäischen Vergleich derzeit noch ein eher unternehmensfreundliches Datenschutzrecht herrscht, wird dann nichts anderes gelten als in Deutschland oder Frankreich. Dies schafft Verlässlichkeit, vor allem für europaweit agierende Unternehmen. Fraglich ist aber, wie die nationalen Aufsichtsbehörden die einheitliche Verordnung dann in der Praxis anwenden.

Sicher ist auch, dass die Sanktionen für Datenschutzverstöße über alle Branchen hinweg ganz erheblich ansteigen werden. In den letzten Dokumenten ist die Rede von einem Bußgeldrahmen von 20 Mio. Euro oder – und das macht die Verordnung noch weitaus kraftvoller – bis zu vier Prozent des weltweiten Jahresumsatzes einer Unternehmensgruppe.

Dies sind dann wirklich schmerzhafte Beträge?
Kamps: Absolut. Heute liegt der maximale Bußgeldrahmen für Datenschutzverstöße in Deutschland bei 300.000 Euro pro Fall. Die höchsten Bußgelder hier verhängt wurden, beliefen sich auf ca. 1,5 Millionen Euro für mehrere Verstöße.

Für die Großen ein Betrag aus der Portokasse!
Kamps: Ja, wobei kein Unternehmen Verstöße leichterdings in Kauf nimmt, denn mit den Formalsanktionen wie Bußgeldern geht immer auch ein ganz erheblicher Reputationsschaden einher. Wenn eine Behörde eine Sanktion verhängt informiert sie in der Regel auch die Öffentlichkeit. Das kann für Unternehmen gerade im B2C-Bereich wesentlich schlimmer sein als ein Bußgeld, das man womöglich wirklich aus der Portokasse bezahlt.

Aber es ist richtig: Der Sanktionsrahmen bewegt sich deutlich weg von der „Verkehrsordnungswidrigkeit“ oder dem Kavaliersdelikt hin in Richtung Kartellrecht – also dorthin, wo es wirklich wehtut. Dies zielt natürlich auf global agierende Unternehmen wie Google oder Facebook. Es zielt darauf, den Datenschutz, auch getrieben durch diese Sanktionen, von der Fachabteilungs- auf Vorstandsebene zu befördern.

Bislang war es so, dass Unternehmer, die Daten außer Haus geben, juristisch für die Datensicherheit verantwortlich sind. Dies ändert sich mit der neuen Verordnung, die Datenverarbeiter stehen in der Pflicht. Können sich Unternehmen wie Amazon dieser Verantwortung weiterhin entziehen?
Kamps: Die Verordnung enthält eine Verschärfung der direkten Pflichten der Auftragsdatenverarbeiter. Diese Verschärfung ist jedoch kein Quantensprung, denn bereits heute ist es gängige Praxis, dass zwecks Risikominimierung sämtliche relevanten Pflichten, denen der Auftraggeber unterliegt, vertraglich an den Auftragsdatenverarbeiter weitergegeben wurden. Die Verantwortlichkeit der Auftragsdatenverarbeiter ist damit bereits heute relevant und erheblich, zusätzlich entstehen künftig bestimmte Pflichten unmittelbar aus dem Gesetz heraus. Aus der Sicht der Verarbeiter ist es jedoch unerheblich, ob die Pflichten aus dem Gesetz kommen oder ‚lediglich’ aus einem Vertrag. Möglicherweise steigen die Sanktionsrisiken, hinsichtlich der inhaltlichen Anforderungen tut sich jedoch nicht sonderlich viel.

Wird also zu viel in die Verordnung hineininterpretiert?
Kamps: Gelegentlich werden Sachverhalte in der Öffentlichkeit verkürzt dargestellt, was zum einen der Komplexität des Themas geschuldet ist und zum anderen dem Bedürfnis, komplexe Sachverhalte einfach und verständlich darzustellen. Das Thema Datenschutz ist zugegebenermaßen sehr facettenreich, so dass eine schlagwortartige Betrachtung der Überprüfung oftmals nicht ganz standhält.

Ein Beispiel: Es heißt gemeinhin, dass vor einer Datenverarbeitung zwingend die Einwilligung des Nutzers erforderlich sei, was jedoch nicht immer stimmt. Es soll suggeriert werden, der Nutzer sei uneingeschränkt Herr über seine Daten. Aber: Im Rahmen bestimmter Verarbeitungsprozesse, wie der Abwicklung von Verträgen, hat der Nutzer keinerlei Wahlmöglichkeit. Beim Abschluss eines Arbeitsvertrages beispielsweise muss der Arbeitgeber allein zur Erfüllung seiner eigenen rechtlichen Verpflichtungen wissen, wer der Arbeitnehmer ist und auf welches Konto das Gehalt überwiesen werden soll. Dieses Erforderlichkeitsprinzip ist im Datenschutz anerkannt und wird auch in Zukunft bestehen bleiben.

Es ist aber trotzdem richtig, dass die Anforderungen an solch eine Einwilligung, dort wo es denn Wahlmöglichkeiten gibt, durchaus verschärft wurden.

Der NSA-Skandal, der Patriot Act und das sogenannte „Safe-Harbor“-Abkommen werden auch viel diskutiert. Wie betrifft die Verordnung US-Cloudanbieter?
Kamps: Dies ist ein relativ spannender Bereich. Die Diskussionen um „Safe Harbor“ fokussierten sich vor allem auf die Tätigkeiten von Geheimdiensten. Hier muss man klar feststellen, dass sich durch die EU-Datenschutzverordnung selbst nichts verändert. Es gibt zwar nach wie vor die Anforderungen an eine rechtmäßige Datenübermittlung ins nicht-europäische Ausland, die weiterhin – teils in modifizierter Form - in der Verordnung enthalten sind. Allerdings wird durch die neue Verordnung die Welt der Geheimdienste nicht plötzlich neu reguliert.

Es ist zudem Augenwischerei, so zu tun, als sei die flächenmäßige Überwachung allein eine Verfehlung der US-Dienste. Der BND wurde kürzlich durch das G10-Gremium wegen der massenhaften Überwachung von Personen in befreundeten Staaten gerügt. Auch bei den europäischen Geheimdiensten laufen also Aktionen, die zumindest diskussionswürdig sind.

Aber die meisten großen Anbieter kommen eben aus den USA ...
Kamps: Völlig richtig. Und das ist einer der großen Konflikte, die der europäische Gerichtshof in seiner „Safe-Harbor“-Entscheidung ganz deutlich aufgezeigt hat. Dort wird klargestellt, dass eine anlasslose und flächendeckende Überwachung mit europäischen Werten nicht vereinbar ist. An dieser Situation wird sich mit der neuen Verordnung nicht viel verändern. Der Konflikt jedoch, in dem sich US-Anbieter befinden, nämlich einerseits den US-Gesetzen Folge leisten zu müssen und andererseits mit einem europäischen Datenschutzrecht konfrontiert zu sein, das grundlegend andere Werte vertritt, ist immens.

Dieser Widerspruch ist weiterhin nicht gelöst, ist aber eher ein Bestandteil der noch laufenden Verhandlungen zu einem neuen „Safe-Harbor“-Abkommen. Dort wird sich herausstellen, in welchem Rahmen und in welchem Umfang die USA überhaupt kompromissbereit sind, sich den europäischen Vorgaben anzunähern.

Möglicherweise werden EU-Bürger Rechtsschutzmöglichkeiten gegen die Tätigkeit von US-Diensten haben. Ob das allerdings dazu führt, dass die US-Dienste den Umfang ihrer Tätigkeiten signifikant einschränken, um den Europäern entgegenzukommen, ist eher fragwürdig.

Es geht aber doch auch um die Haftung der Auftraggeber, beispielsweise deutscher Mittelständler, die Schwierigkeiten bekommen könnten, wenn Sie ihre Daten US-Anbietern „anvertrauen“?
Kamps: Das ist richtig – aus dem „Safe Harbor“-Urteil des Europäischen Gerichtshofs ergibt sich schon jetzt, nach geltendem Recht, Handlungsbedarf auch für den deutschen Mittelständler, der mit Dienstleistern aus den USA zusammenarbeitet. Ich habe aber aus unserer Beratungspraxis den Eindruck, dass sich hier auch die Anbieter bewegen und ihren Kunden Alternativen anbieten. Diese können in neuen vertraglichen Regelungen bestehen – oder darin, Server gar nicht mehr in den USA zu betreiben.

Es wäre jedoch trügerisch zu glauben, damit seien alle Probleme gelöst. Denn ein US-Unternehmen kann nach US-Recht unter Umständen gezwungen werden , auch solche Daten einsehbar zu machen, die unter seiner Kontrolle außerhalb der USA gespeichert werden.

Aber einige große US-Unternehmen wehren sich zumindest.
Kamps: Ja, wobei wir wissen, dass im Zuge der Diskussionen um Snowden und das EuGH-Urteil gerade die US-IT- und Cloudanbieter erhebliche Lobbyarbeit betreiben: erstaunlicherweise nicht in nur Brüssel, sondern in auch Washington. Sie befürchten, dass ihnen durch die US-Gesetzgebung gerade in Europa internationales Geschäft verbaut wird. Es wird deutlich, dass die Anbieter zwangsläufig die Interessen ihrer Kunden mitvertreten müssen, um weiterhin im Geschäft bleiben zu können.

Keine Kunden bedeuten weniger Einnahmen. Bei dieser Gleichung werden diese Unternehmen aktiv?
Kamps: Absolut. Man sieht das zum Beispiel bei Anbietern von Cloud-Lösungen, die in Europa teilweise vor verschlossenen Türen standen, bevor sie sich mit dem Thema Datenschutz befasst haben. Einige haben daraufhin Niederlassungen oder Rechenzentren in Europa eröffnet, um europäischen Kunden zumindest ein Grundmaß an Sicherheit bieten zu können.

In der Praxis sehen wir, dass das Anforderungsprofil deutscher Unternehmen ungeachtet ihrer jeweiligen Größe völlig unterschiedlich ist. Unternehmen aus regulierten Bereichen wie Telekommunikation, Gesundheit oder Energie sind in diesem Punkt viel sensibilisierter. Provider, die bestimmte Anforderungen nicht erfüllen können, werden von der Ausschreibungsliste gestrichen.

Man hört zudem allenthalben, dass US-Anwenderunternehmen ihre Daten explizit nach deutschem Datenschutzrecht in Deutschland verarbeiten lassen wollen. Sehen Sie auch eine solche Entwicklung?
Kamps: Aus unterschiedlichen Richtungen ist durchaus Vergleichbares zu vernehmen, ich sehe allerdings derzeit noch nicht, dass das EU-Datenschutzrecht auf breiter Basis zum „Exportschlager“ wird. Vielleicht bin ich in dieser Hinsicht jedoch auch zu pessimistisch und es ändert sich in Zukunft noch zum Besseren.

Allerdings sehen wir, dass Datenschutz insgesamt sowohl bei den Anwendern noch bei den Providern nicht mehr als Randnotiz abgetan wird. Das wird sich durch die neue Verordnung sicherlich verstärken. Gerade im B2C-Bereich wird man das Thema ganz offen und transparent angehen müssen. Nicht nur im Kleingedruckten, weil dies langfristig nicht zu Verbrauchervertrauen führt.

Wie zeigt sich diese Transparenz?
Kamps: Es gibt durchaus Ansätze von Anbieterndie das eigene Datenschutzniveau nicht nur auf das rechtlich geforderte Mindestmaß beschränken, sondern Datenschutz aktiv zu verkaufen. Hier können auch freiwillige, aber verbindliche Zertifizierungen eine Rolle spielen – in den USA ist dieser Ansatz durchaus verbreitet und akzeptiert. Dort geht auch der Gesetzgeber davon aus, dass Vorgaben, die sich eine Branche selbst gibt, im Zweifel besser sind als gesetzgeberische Maßnahmen. Ich gehe davon aus, dass derartige Konzepte – etwa als „Codes of Conduct“ – auch in Europa an Bedeutung gewinnen werden.

Dann hat die Diskussion der letzten Jahre ja doch ihren Zweck erfüllt.
Kamps: Das glaube ich schon, wobei das Gesetzgebungsverfahren ja lediglich die Reaktion auf ein gesellschaftlich enorm gestiegenes Interesse  war. Vor zehn oder zwölf Jahren war Datenschutz ein Nischenthema, heute hingegen ist das Thema extrem im öffentlichen Bewusstsein verankert – stellenweise schießen die öffentliche Diskussionen über „Datenskandale“ jedenfalls aus rechtlicher Sicht schon über das rechte Maß hinaus. Aber völlig richtig: Das Bewusstsein ist weithin gestiegen, weswegen die Gesetzgeber in Europa reagieren und weswegen nicht zuletzt auch die Unternehmen reagieren.

Wie geht es in Ihren Augen bis zum Inkrafttreten 2018 weiter? Im digitalen Zeitalter sind zwei Jahre gefühlte Jahrzehnte ...
Kamps: Im Hinblick auf die technologische Weiterentwicklung sind es gefühlte Jahrzehnte, mein Fokus ist allerdings ein anderer: Spätestens wenn der finale Text der neuen Verordnung vorliegt, werden sich datenverarbeitende Unternehmen mit den konkreten Auswirkungen für ihre Prozesse befassen müssen Die Verantwortlichen werden die zwei Jahre bis zum Inkrafttreten der Verordnung intensiv nutzen müssen, um zu eruieren, wie sie den neuen Anforderungen Rechnung tragen können.

Was konkret zu tun ist hängt auch nicht alleine vom bloßen Wortlaut der Verordnung ab, denn ein Komplexitätskriterium bleibt für Europa und europaweit tätige Unternehmen bestehen. Es existiert zwar jetzt ein einheitliches Gesetz, trotzdem gibt es nach wie vor eine Reihe unterschiedlicher nationaler Aufsichtsbehörden, die für die Durchsetzung dieses einen Gesetzes zuständig sind. Vor diesem Hintergrund wird es spannend sein, zu beobachten, was vom nationalen Datenschutzrecht über die neue Verordnung hinaus übrigbleibt und wie die nationalen Aufsichtsbehörden damit umgehen.

In einigen EU-Ländern ist nach derzeitigem Datenschutzrecht der bürokratische Aufwand – etwa für Meldungen bei der Aufsichtsbehörde – sehr hoch. Dieser Aufwand wird reduziert, so dass die neue Verordnung etwa in Frankreich oder in Polen sicherlich eine Erleichterung darstellen wird.

Für Unternehmen in Deutschland sind viele Dinge gar nicht so neu. Einen Datenschutzbeauftragten beispielsweise, der in vielen anderen Ländern bislang optional oder nicht existent war, kennt man hier schon lange. In Deutschland gibt es auch seit 2009 die Verpflichtung, bestimmte Datenschutzverstöße öffentlich zu machen.

Aus deutscher Sicht sind folglich viele der Verordnungsbestandteile nicht revolutionär, sondern eher Modifizierungen. Trotzdem wäre es vermessen zu sagen, es ändere sich überhaupt nichts.

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok