Die Trilog-Verhandlungen zur Datenschutz-Grundverordnung sind abgeschlossen

Seildas jahrelange Tauziehen um ein neues europäisches Datenschutzreglement hat ein Ende. Die Europäische Union erhält demnächst ein für alle Mitgliedsstaaten einheitliches Datenschutzrecht. Nun muss die Regelung nur noch das EU-Parlament passieren – was vermutlich im ersten Quartal 2016 der Fall sein wird – und danach ist zwei Jahre Zeit für die Anpassung der nationalen Gesetzgebung.

Seit Dienstag, 15.12.2015 am Abend ist es fix: im Trilog (den Verhandlungen der drei wichtigsten EU-Institutionen EU-Parlament, EU-Kommission und EU-Ministerrat miteinander) hat man sich auf den Text einer neuen Datenschutz-Grundverordnung (DSGVO) geeinigt. Dem Jetztstand sind – wie in diesem Blog immer wieder berichtet –  jahrelange Verhandlungen  und Lobbying-Aktivitäten vorausgegangen.

Neben einigen „alten Bekannten“ aus der EU-Richtlinie von 1995 – wie der Einschränkung von „profiling“ oder dem „Recht auf Vergessen-werden“ – finden sich in der Verordnung nun vermehrt unternehmensseitig umzusetzende Maßnahmen; zB datenschutzfreundliche Voreinstellungen (auch unter dem Schlagwort „privacy by design/default“ bekannt), unternehmensinterne Richtlinien („codes of conduct“), eine Vorabschätzung allfälliger Folgeauswirkungen von neuen Produkten und Dienstleistungen oder interne Registrierungspflichten (allerdings nur für Firmen mit über 250 Mitarbeiterinnen).

Die ursprünglich vom Arbeits- und Beschäftigungsausschuss des EU-Parlaments (EMPL) eingebrachten Änderungen sind in dem jetzigen Entwurf zwar nicht mehr zu finden, doch ist klar gestellt, dass nationalstaatliche Gesetze – wozu explizit auch Kollektivverträge und Betriebsvereinbarungen gezählt werden – für den Beschäftigten-Datenschutz erlassen werden können bzw. nicht durch die Grundverordnung außer Kraft gesetzt werden können.

Für die Betroffenen wird eine Art Verbandsklagsrecht geschaffen, indem NGOs dazu ermächtigt werden, in Vertretung von mehreren Betroffenen zu agieren.

Ein Datenschutzbeauftragter  – eine langjährige Forderung von Gewerkschaftsseite – ist nun unter bestimmten Bedingungen erforderlich: wenn ein Unternehmen sensible Daten oder eine große Anzahl an personenbezogen Daten verarbeitet – unabhängig davon mit wie vielen Beschäftigten das geschieht.

Von Unternehmen und deren Rechtsvertretern stark kritisiert wurde die Erhöhung der Sanktionen auf bis zu 4 % des weltweiten Umsatzes. Nun gut – dazu stand schon einiges in der Presse und es bleibt abzuwarten ob diese Höchststrafen jemals zur Anwendung kommen werden.

Insgesamt enthält die Grundverordnung also sowohl unternehmensfreundliche und marktliberalisiernde Elemente als auch wesentliche Grundrechte gewahrt werden konnten (zB verschärfte Zustimmungsbestimmungen, Datensparsamkeit, weitgehende Transparenz). Die europäische Datenschutz-Dachorganisation edri  fasst es zusammen: ambitionslos aber Grundrechte-sichernd.

Es wird also in weiterer Folge darum gehen, die nächsten zwei Jahre bis zum Inkrafttreten der EU-Grundverordnung nicht locker zu lassen, um die Umsetzung auf nationaler Ebene im Sinne der Arbeitnehmerinnen-Interessen mitzugestalten. (Auch die Vorhaben im Zusammenhang mit der digitalen Agenda der EU-Kommission sind genau zu hinterfragen inwieweit sie den hier getroffenen Vorgaben entsprechen oder sie nicht sogar konterkarieren.)

Zum Weiterlesen:

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

91 − = 86