Harmonie auch im Datenschutz – Brüssel will sich dem technischen Fortschritt anpassen

(c) BBH

Die Europäische Kommission hat am 25.1.2012 einen Entwurf für die umfassende Reform der aus dem Jahr 1995 stammenden EU-Datenschutzvorschriften vorgelegt, um Online-Rechte des Einzelnen auf Wahrung der Privatsphäre zu stärken und die digitale Wirtschaft Europas anzukurbeln. Der technische Fortschritt und die Globalisierung haben die Art und Weise, wie Daten erhoben, abgerufen und verwendet werden, grundlegend verändert, und das macht es nötig, die Regelungen zu modernisieren. Das Besondere an der Neuregelung ist insbesondere ihre Form: Sie soll per Verordnung verbindliche Regularien in allen Mitgliedsstaaten festlegen, anstatt per Richtlinie jedem Land die Umsetzung selbst zu überlassen. Die Schaffung eines solchen EU-weit geltenden Gesamtregelwerkes soll dabei nicht nur eine einheitliche Rechtsdurchsetzung gewährleisten, sondern durch Minimierung des Verwaltungsaufwandes auch Kosten einsparen helfen.

Aber was konkret wird eigentlich verändert?

Die Verordnung in ihrem jetzigen Entwurfsstadium sieht gegenüber dem in Deutschland sowieso schon geltenden Datenschutz nach dem Bundesdatenschutzgesetz (BDSG) nur eine Hand voll Änderungen vor. Der deutsche Gesetzgeber war insoweit in der Vergangenheit schon derart streng, dass wir hierzulande vergleichsweise wenig von den Neuregelungen zu spüren bekommen werden. Datenschützer fürchten daher vielmehr, dass der deutsche Standard möglicherweise herabgesetzt werden könnte.

Neu für uns ist das „das Recht auf Vergessen werden“. Alle Bürger sollen mithin die Löschung ihrer Daten verlangen können, insoweit nicht legitime Gründe entgegen stehen. Darüber hinaus soll zukünftig alleiniger Ansprechpartner, auch für internationale Sachverhalte, die nationale Datenschutzbehörde sein. Beispielsweise muss man bei Problemen mit Facebook dann nicht mehr an die irische Behörde herantreten. Überdies soll die bisher bestehende Meldepflicht bezüglich sämtlicher datenschutzrelevanter Tätigkeiten auf die Meldung schwerer Verletzungshandlungen reduziert werden, dafür aber innerhalb einer kürzeren Meldefrist. Damit die Unternehmen ihre größere Eigenverantwortung bewältigen können, sieht die Verordnung die Ernennung eines Datenschutzbeauftragten bei mehr als 250 Mitarbeitern vor.

Außerdem soll künftig jedwede außerhalb der EU erfolgende Bearbeitung von personenbezogenen Daten durch auf dem EU-Markt aktiven Unternehmen auch den EU-Vorschriften unterliegen.

Auswirkungen für EVU´s?

Nach dem bisher veröffentlichten Entwurf sind die Auswirkungen für Energieversorgungsunternehmen auf dem deutschen Markt sehr übersichtlich: Zwar muss nunmehr nach der EU-Verordnung eine vorherige ausdrückliche und konkrete Einwilligung für die Datenverarbeitung vorliegen (vgl. Art. 4 Abs. 8 der VO). Diese Anforderungen bestehen nach § 4a BDSG jedoch bereits jetzt schon. Für denjenigen, der also bisher schon saubere Einwilligungs- und Abmeldeprozesse implementiert hat, stellt die neue Verordnung keinen Grund zur Beunruhigung dar.

Auch die Pflicht zur Ernennung eines Datenschutzbeauftragten ab 250 Mitarbeitern dürfte praktisch niemanden tangieren: nach § 4g BDSG ist bereits jetzt ein Datenschutzbeauftragter Pflicht, wenn mindestens 20 Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind. Anknüpfungspunkt sind hier zwar nicht per se alle Mitarbeiter, praktisch dürften bei 250 Mitarbeitern insgesamt aber immer mindestens 20 mit der Nutzung von Daten zu tun haben. An dieser Stelle könnte die Verordnung praktisch sogar Erleichterungen für kleine EVU´s bringen, wenn zwar viele Mitarbeiter mit Daten umgehen, insgesamt aber die Grenze von 250 nicht überschritten wird.

Schwierig wird unter Umständen das neue „Recht auf Vergessenwerden“: Der Verantwortliche hat danach alle vertretbaren Schritte, auch technischer Art, zu unternehmen, um die Löschpflicht umzusetzen. Dies geht soweit, dass er auch Daten, die er an Dritte weitergegeben hat, löschen (lassen) muss. Dies würde einen immensen Zeit- und Kostenaufwand bedeuten. Da derzeit aber bereits die praktische (technische) Umsetzbarkeit dieser Pflicht in Frage steht, bleibt abzuwarten, ob es tatsächlich überhaupt zu der Normierung einer derart weitreichenden Pflicht kommen wird.

Schließlich werden die EVU´s auch durch die verkürzte Meldefrist tangiert werden. Bei schweren Verletzungen des Schutzes personenbezogener Daten soll die nationale Aufsichtsbehörde binnen 24 Stunden informiert werden. Ob diese Pflicht verwaltungsintern überhaupt umgesetzt werden kann, bleibt abzuwarten.

Aussicht!

Es gibt keinen Anlass, schon jetzt die Pferde scheu zu machen. Der im Januar veröffentlichte Entwurf ist gerade einmal der erste, und selbst wenn er so angenommen wird, tritt er frühestens in zwei Jahren in Kraft. Es bleibt also noch genug Zeit, die potentiellen Probleme zu lösen. Dennoch sollte man von der Möglichkeit, von Veränderungen bereits jetzt einmal gehört haben, um später nicht aus allen Wolken zu fallen.

Ansprechpartner: Stefan Wollschläger/Alexander Bartsch

Share
Weiterlesen

17 Juni

Solarpaket I und Reform des Stromsteuergesetzes: Der neue Rechtsrahmen für Stromspeicher

In seiner Stromspeicher-Strategie hatte das Bundeswirtschaftsministerium verschiedene Maßnahmen identifiziert, die den Ausbau und die Integration von Stromspeichern optimieren würden. Das kürzlich in Kraft getretene Solarpaket I gießt nun erste Maßnahmen in Gesetzesform, dazu kommt der Regierungsentwurf zur Änderung des Stromsteuergesetzes....

11 Juni

Kleine Energiewende am eigenen Balkon: Reform zu den Balkon-PV-Anlagen

Photovoltaikanlagen für den heimischen Balkon werden immer beliebter. Die Tagesschau berichtet, dass im April 2024 mehr als 400.000 Balkon-PV-Anlagen im Marktstammdatenregister registriert waren. Der Gesetzgeber hat diesen Trend nun aufgegriffen und das sog. Solarpaket I verabschiedet. Der Gesetzgeber definiert erstmalig den...