Datenschutzgrundverordnung ohne Schonfrist

Die EU-Datenschutzgrundverordnung (EU-DSGVO) muss seit dem 25. Mai 2018 umgesetzt werden. Was sind die wichtigsten Änderungen für die Unternehmen? Worin genau bestehen die Neuerungen im Vergleich zur bereits seit 1995 geltenden EU-Datenschutzrichtlinie? Fragen, die die zuständige EU-Justizkommissarin Vera Jourová in diesem Interview beantwortet.

Welches sind die wichtigsten Neuerungen?
Die EU-DSGVO baut auf den mehr als 20 Jahre geltenden Regeln der Datenschutzrichtlinie auf. Wer sich jetzt richtlinienkonform verhält, sollte mit der Umsetzung keine allzu großen Schwierigkeiten haben. Die Grundprinzipien haben sich nicht geändert. Mit der Verordnung werden die in der Datenschutzrichtlinie verankerten Grundsätze aktualisiert und modernisiert.

Die entscheidende Neuerung ist, dass nun ein einheitliches europäisches Datenschutzrecht die verschiedenen Gesetze der Mitgliedstaaten ersetzt. Das heißt für Unternehmen, dass sie sich nicht mehr mit 28 verschiedenen Gesetzen auseinandersetzen müssen, sondern nur noch mit einem einzigen. Damit wird es einfacher und billiger für die Unternehmen, EU-weit Geschäfte zu machen. Mit dem „One-Stop-Shop“ schaffen wir außerdem eine zentrale Anlaufstelle für Unternehmen, die sich in der Regel nur mehr an eine Aufsichtsbehörde und nicht an 28 Behörden richten müssen.

Ganz wichtig für die Wirtschaft: Die neuen Datenschutzregeln gelten für alle Unternehmen, unabhängig vom Firmensitz. Das heißt, Unternehmen mit Sitz außerhalb Europas müssen dieselben Vorschriften befolgen, wenn sie Waren oder Dienstleistungen in der EU anbieten.

Eine entscheidende Neuerung ist natürlich auch, dass wir die Regeln nun besser durchsetzen können. Wenn Unternehmen gegen die neuen Datenschutzvorschriften verstoßen, müssen Sie mit Geldbußen von vier Prozent des weltweit erzielten Jahresumsatzes rechnen.

Viele kleine und mittlere Unternehmen in Deutschland fühlen sich überfordert. Wo finden sie Unterstützung?
Die Hauptverantwortung liegt hier vor Ort bei den nationalen Akteuren. In Deutschland leisten das Bundeswirtschaftsministerium, die Landesdatenschutzbehörden (…) wertvolle Arbeit. Wir sehen natürlich, dass es noch einige Fragen und Unsicherheiten gibt. Die Kommission ist deshalb unterstützend tätig. Wir haben 1,7 Millionen Euro für die Finanzierung der Datenschutzbehörden und die Schulung von Datenschutz-Fachkräften bereitgestellt. Wir geben den nationalen Behörden weitere zwei Millionen Euro für ihre Informationsarbeit mit den Unternehmen. Speziell für Unternehmen haben wir einen Leitfaden auch in deutscher Sprache im Netz veröffentlicht.

Welche Ausnahmen gibt es für kleine Unternehmen?
In der EU-DSGVO haben wir ganz bewusst für kleine Unternehmen weniger Verpflichtungen vorgesehen. Generell kommt es sehr auf die Tätigkeit des Unternehmens an. Wenn ein kleines Unternehmen nicht primär in der Verarbeitung personenbezogener Daten tätig ist, braucht es beispielsweise keinen Datenschutzbeauftragten einzusetzen und muss auch keine detaillierte Datenschutz-Folgeabschätzung erstellen. Solche Unternehmen müssen zwar in der Regel ihre Datenverarbeitung dokumentieren, wenn sie regelmäßig personenbezogene Daten verarbeiten und diese der Datenschutzbehörde auf Anfrage zur Verfügung stellen. Aber hier reicht eine einfache einseitige Aufstellung.

Es sieht so aus, dass es viele deutsche Unternehmen nicht bis zum Stichtag am 25. Mai schaffen, alle Anforderungen umzusetzen. Müssen sie Bußgelder befürchten oder gibt es eine Schonfrist?
Nein, es gibt keine Schonfrist. Die neuen Regeln wurden vor fast zwei Jahren, am 27. April 2016, beschlossen und traten am 24. Mai 2016 in Kraft. Nach einer zweijährigen Übergangsphase kommt die Verordnung nun ab dem 25. Mai 2018 zur Anwendung. Die Datenschutzbehörden sind befugt, Verstöße gegen die Datenschutzbestimmungen zu ahnden. Sie können Abhilfemaßnahmen ergreifen oder eine Geldbuße verhängen. Allerdings muss die Entscheidung über Geldbußen immer verhältnismäßig sein und alle Umstände des Einzelfalls berücksichtigen. Wenn die Datenschutzbehörden beschließen, eine Geldbuße zu verhängen, hängt die Höhe von den Umständen ab. Dazu zählt die Schwere des Verstoßes, Vorsatz oder Fahrlässigkeit, oder ob bereits früher gegen die Vorschriften verstoßen wurde.

Besteht die Gefahr, dass die Mitgliedstaaten die Regeln unterschiedlich anwenden und damit Firmen je nach Auslegungspraxis benachteiligt bzw. bevorzugt werden, Stichwort „Öffnungsklauseln“?
Das sehe ich nicht, denn wir haben den Rahmen eng gesteckt. Die Öffnungsklauseln gelten nur in bestimmten Bereichen, wie etwa im Bereich der sozialen Sicherheit und im Beschäftigungssektor. Und natürlich müssen die Mitgliedstaaten berücksichtigen, dass alle nationalen Maßnahmen, die die unmittelbare Wirkung der Verordnung behindern und ihre einheitliche Anwendung in der gesamten EU gefährden, gegen die Verträge verstoßen. Deswegen haben wir bei der Umsetzung auch eng mit den Mitgliedstaaten zusammengearbeitet, um die Gefahr einer Fragmentierung zu vermeiden. Künftig werden die nationalen Datenschutzbehörden im neuen Europäischen Datenschutzausschuss enger zusammenarbeiten und die einheitliche Anwendung überwachen.

Viele Unternehmen müssen zusätzlichen Verwaltungs- und Personalaufwand betreiben. Welche Vorteile haben sie von den neuen Datenschutzregeln?
Die EU-DSGVO ist keine Revolution, sie baut auf den bestehenden Regeln auf. Für Unternehmen und Behörden wird ein einheitliches und klares Regelwerk geschaffen, das es einfacher und billiger macht, EU-weit Geschäfte zu tätigen. Und wir sehen die Datenschutzgrundverordnung auch als internationalen Wettbewerbsvorteil: Sie schafft Vertrauen bei den Verbrauchern und sichert gleiche Wettbewerbsbedingungen für alle auf dem europäischen Markt tätigen Unternehmen. Damit setzen wir globale Standards.

Weitere Informationen finden Sie auf folgenden Internetseiten:

LDI NRW

LDA Bayern

IHK Frankfurt a.M.

IHK München