Jetzt wird es ernst: Das europäische Parlament hat nun am 14. April 2016 die EU-Datenschutz-Grundverordnung (DS-GVO) verabschiedet. Die DS-GVO löst die aus dem Jahr 1995 stammende Datenschutzrichtlinie (95/46/EG) ab und führt erstmals ein einheitliches, unmittelbar geltendes europäisches Datenschutzrecht ein. Die Verordnung wird nach einer Übergangsfrist von zwei Jahren ab Veröffentlichung im Amtsblatt, somit voraussichtlich Mitte 2018, anwendbar sein.

Die DS-GVO ist in allen Europäischen Mitgliedstaaten direkt anwendbar und wird daher das derzeit bestehende österreichische Datenschutzgesetz (DSG 2000) ersetzen. Die DS-GVO unterscheidet sich in folgenden wesentlichen Aspekten vom DSG 2000:

  • der Schutzbereich erfasst nur Daten natürlicher Personen;
  • der Umfang der Rechte der Betroffenen ist weiter gefasst (zB Recht auf Übertragung von Daten);
  • die Transparenz- und Informationspflichten gegenüber Betroffenen sind weiter gefasst;
  • bei bestimmten Unternehmen ist ein Datenschutzbeauftragter vorzusehen;
  • unter bestimmten Voraussetzungen ist eine sog. Datenschutz-Folgenabschätzung verpflichtend, insb. bei Verwendung neuer Technologien, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.

Fraglich ist aus heutiger Sicht insbesondere, ob die DS-GVO den in der Praxis immer wichtiger werdenden Einsatz moderner Datenverarbeitungstechnologien (wie etwa Cloud Computing) vereinfacht. Dies wird auch von den zahlreichen Öffnungsklauseln in der DS-GVO abhängen, die es den EU-Mitgliedstaaten ermöglichen, eigene nationale Regelungen zu treffen.

Besonders hervorzuheben ist schließlich, dass Verstöße gegen die DS-GVO drakonische Strafen von bis zu 20 Millionen Euro oder vier Prozent des globalen Konzernumsatzes nach sich ziehen können. Der Unionsgesetzgeber folgt hier – ausweislich der Erwägungsgründe der DS-GVO – dem Vorbild des EU-Kartellrechts, wo die Grenze mit zehn Prozent allerdings noch deutlich höher angesetzt ist. Abzuwarten bleibt, ob und wann die Gerichte von diesem Strafrahmen der DS-GVO tatsächlich Gebrauch machen werden. Die Erfahrungen im Kartellrecht sowie die zuletzt immer größere öffentliche Aufmerksamkeit bei mutmaßlichen Verstößen gegen Datenschutzrecht lassen erwarten, dass dies wohl nicht allzu lange dauern wird.

Co-Autor: Mag. Igor Matejuk