Header graphic for print
Datenschutz News & Trends
Rubrik: Compliance, Datenschutz Allgemein, Datenschutz International, Kundendatenschutz

EU LIBE Ausschuss verabschiedet Kompromiss zum EU Datenschutz; Reformpaket bereit zur parlamentarischen Abstimmung

Der EU Parlamentsausschuss für bürgerliche Freiheiten, Justiz und Inneres („LIBE“) hat seinen Bericht zum Entwurf der Datenschutz-Grundverordnung und der separaten  Richtlinie für den Bereich der Strafverfolgung verabschiedet. Mit dieser Abstimmung definiert das Parlament seine Position für die weiteren Verhandlungen mit Rat und Kommission (bekannt als „Trialog“-Phase). Der Ausschuss strebt an, das Reformpaket im März noch vor den Parlamentswahlen im Plenum des Parlaments zu verabschieden, wenn auch jüngste Äußerungen auf eine Verzögerung des EU Datenschutz-Reformpakets deuten.

Der Bericht enthält wesentliche Änderungen gegenüber dem ursprünglichen Entwurf der EU-Kommission vom Januar 2012. Zugleich enthält die derzeit gebilligte Fassung aber keine oder nur abgeschwächte Regelungen zu einer Reihe von sehr strengen Bestimmungen, die noch im ersten Berichtsentwurf des LIBE Berichterstatters Jan Philipp Albrecht vom Dezember 2012 enthalten waren. Die folgenden Änderungen gegenüber den bisherigen Entwürfen sind besonders hervorzuheben:

–       Der Parlamentsentwurf sieht vor, Verstöße mit Sanktionen bis zu einer Höhe von 100 Mio. € oder 5 % des jährlichen weltweiten Umsatzes zu ahnden (je nachdem, was höher ist), im Gegensatz zu dem Vorschlag der Kommission von 1 Mio. € oder 2% des jährlichen weltweiten Umsatzes.

–       Compliance-Programme und Rechenschaftspflichten finden bei der Anwendung der Sanktionen Berücksichtigung.

–       Sanktionen können die Verpflichtung enthalten, regelmäßige Audits durchzuführen.

–       Die Voraussetzungen für eine Einwilligung wurden verschärft. Insbesondere kann eine Einwilligung nicht mehr an einen Vertrag gebunden werden.

–       „Berechtigtes Interesse“ bleibt als Rechtsgrund für die meisten Arten von Datenverarbeitung in der Verordnung bestehen (außer für sensible Daten und Profiling).

–       Datenübertragbarkeit verbleibt in der Verordnung, wurde aber mit dem Artikel über das Recht auf Zugang verbunden.

–       Das „Recht auf Vergessenwerden“ wurde neu etikettiert als „Recht auf Löschen“, die Bestimmungen bleiben jedoch größtenteils unverändert.

–       Die Bestimmungen über die gerichtliche Zuständigkeit wurden im Wesentlichen unverändert aus dem Entwurf der Kommission übernommen. Eine für Datenverarbeitung verantwortliche Person außerhalb der Europäischen Union fällt unter die Verordnung, wenn sie betroffenen Personen in der EU „Waren oder Dienstleistungen anbietet“ oder betroffene Personen „überwacht“.

–       Das „one-stop shop“-Modell bleibt erhalten mit der Ausnahme, dass Verbraucher sich immer bei ihrer eigenen Datenschutzbehörde beschweren können, statt dazu verpflichtet zu sein, die Datenschutzbehörde zu kontaktieren, die für die datenverarbeitende Person zuständig ist.

–       Für alle Unternehmen, die innerhalb eines zusammenhängenden Zeitraums von 12 Monaten Daten von mehr als 5000 Betroffenen verarbeiten, besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten.

–       Datenschutzverletzungen müssen „unverzüglich“ gemeldet werden; es gilt die Vermutung, dass ein Zeitraum von 72 Stunden „unverzüglich“ ist.

–       Für alle Vorgänge, die innerhalb eines zusammenhängenden Zeitraums von 12 Monaten Daten von mehr als 5000 Betroffenen verarbeiten, oder sonstige riskante Vorgänge besteht die Pflicht einer Datenschutzrisikoanalyse.

–       Es wurden umfangreiche neue Bestimmungen für den Umgang mit Daten im Arbeitsumfeld getroffen.

–       Die Weitergabe von personenbezogenen Daten in Länder außerhalb des EWR soll erschwert werden, insbesondere wenn eine Weitergabe als Reaktion auf eine Anfrage von einem Gericht oder einer Verwaltungsbehörde eines Drittlandes erfolgt. Ein Unternehmen müsste zunächst die Erlaubnis der nationalen Datenschutzbehörde einholen. Diese Änderung ist eine Reaktion auf die Bedenken, die durch die Snowden Enthüllungen zu der NSA Überwachung ausgelöst wurden.

–       Für Datenverarbeitung verantwortliche Personen müssen standardisierte Symbole verwenden, um Verbrauchern mitzuteilen, wie mit ihren Daten umgegangen wird.

Die Abstimmung ermöglicht dem Parlament, in Trialog-Verhandlungen mit dem Rat und der Kommission zu treten, sobald der Rat sich auf eine gemeinsame Position geeinigt hat. In der Vergangenheit gab die hohe Anzahl an Änderungen (rund 4000), die von dem Parlament zu Rechtsvorschriften vorgeschlagen wurden, Sorge zu der Annahme, dass die Verordnung nicht vor den nächsten Europawahlen verabschiedet würde.

Eine inoffizielle Version des beschlossenen Dokuments kann im Internet abgerufen werden.

Eine detaillierte Analyse des aktuellen Parlamentsentwurfs wird folgen.

Diese Webseite verwendet Cookies. Wenn Sie diese Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Mehr erfahren

Ich stimme zu