Deutschland wird die EU-Datenschutzgrundverordnung bei der Übernahme in die eigenen Gesetze weiter verschärfen. Dabei gehört die Verordnung schon in ihrer jetzigen Form zu den strengsten Datenschutzgesetzen weltweit. Positiv ist dennoch, dass in der EU in Zukunft weitgehend einheitliche Standards gelten werden. Das Europaparlament wird die neue Datenschutzverordnung im April beschließen. Sie muss bis 2018 in nationale Gesetze überführt werden.
Für Unternehmen bedeutet die EU-Verordnung in einigen Bereichen eine Verschärfung der bisherigen Gesetze. Zentraler Punkt der Verordnung ist das Ziel, jeder Person die Kontrolle über ihre Daten zu sichern. Daraus folgt eine strenge Gesetzgebung. So stellt die EU-Datenschutzgrundverordnung höhere Anforderungen bei der Erlaubnis der Datenerhebung als das derzeit geltende Bundesdatenschutzgesetz (BDSG). Der Datenaustausch mit anderen Unternehmen muss vereinfacht und Daten müssen auf Wunsch gelöscht werden.
Auch bei der Datensicherheit wird es für Unternehmen höhere Anforderungen geben. So müssen die Sicherheitsbemühungen dokumentiert werden und einer stetigen Verbesserung unterliegen. Die Pflicht, Datenschutz-Folgeabschätzungen (bisher Vorabkontrolle genannt) abzugeben, wird ausgeweitet. Dazu müssen die Datenschutzbehörden mit einbezogen werden.
Zudem wird die Haftung für Firmen verschärft. Wird beispielsweise die Datenverarbeitung an einen externen Auftragnehmer ausgelagert, fällt diesem eine höhere Haftung zu als bisher. Neu ist auch eine recht ausführliche Meldepflicht, sollten die Daten gehackt werden. Die Nichteinhaltung der Gesetze kann Strafen bis zu einer Million Euro oder zwei Prozent des Jahresumsatzes nach sich ziehen.
Erleichterungen aus der EU-Verordnung gegenüber dem alten Bundesdatenschutzgesetz werden aber wohl nicht in deutsches Recht übernommen. Die Bundesregierung dürfte Öffnungsklauseln der Verordnung nutzen, um das Gesetz den bisher geltenden, strengeren Regeln anzupassen. Das hören wir aus mit dem Thema befassten politischen Kreisen. So sollen laut EU-Verordnung erst Betriebe einen Datenschutzbeauftragten stellen, bei denen mehr als 250 Mitarbeiter mit der Datenverarbeitung beschäftigt sind. In Deutschland wird es voraussichtlich bei den bisher geltenden neun Mitarbeitern bleiben.
Fazit: In Deutschland wird die ab 2018 geltende EU-Datenschutzgrundverordnung zu einer Verschärfung der Datenschutzgesetze führen. Die EU-Verordnung bietet schon recht strenge Regelungen. Wo sie hinter dem derzeit geltenden Bundesdatenschutzgesetz zurückbleibt, werden in vielen Fällen die alten Regeln in Kraft bleiben.