Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Editorial 2/2016: Europäischer Datenschutz auf einen Blick: Das Zwiebelschalenmodell

Die EU-Datenschutz-Grundverordnung ist beschlossen und ihre Vereinbarung steht kurz bevor. Nicht nur Unternehmen in Europa sondern auch solche aus aller Welt sind daran gebunden, wenn sie in Europa Geschäfte unter Einsatz von Daten abschließen. Es lohnt sich also, möglichst einfach zu erklären, wie das kommende EU-Recht funktioniert. Am Ende ist es aufgebaut, wie eine Zwiebel.

Der Kern des neuen Rechts ist sein Schutzgut, nämlich die in personenbezogenen Daten digital verkörperte menschliche Persönlichkeit. Hier regelt die Grundverordnung Kernfragen der Zulässigkeit der Datenverarbeitung. Im Zentrum steht hier, wenn kein anderes Recht – sei es gesetzlich, vertraglich oder als Ergebnis einer Interessenabwägung Datenverarbeitungsvorgänge gestatten, die ohne Zwang erteilte Einwilligung.

Um diesen Kern herum normiert das neue Recht Transparenzpflichten für Datenverarbeiter. Sie dienen dazu, die von der Datenverarbeitung betroffene Person ins Bild zu setzen, über das was mit ihrer Persönlichkeit im Netz geschieht. Zugleich wird der Betroffene etwa durch Auskunftsrechte, Löschansprüche und Widerspruchsrechte mit Möglichkeiten der Intervention gegen ihm unzulässig erscheinende Datenverarbeitung ausgestattet.  

In der nächsten Schicht werden Datenverarbeiter in die Pflicht genommen, den Schutz der Persönlichkeit durch technische und organisatorische Maßnahmen abzusichern. Privatschutz durch Technik und datenschutzfreundliche Voreinstellungen gehören ebenso dazu, wie Regeln für die Auftragsdatenverarbeitung und die Implementierung von Sicherheitsmaßnahmen und der Umgang mit Sicherheitsrelevanten Vorfällen.

In der vierten Schicht wird die Wirtschaft im Rahmen der Ko-Regulierung aufgerufen Garantien für den Datenschutz in Form von Verhaltensregeln und Zertifizierungen zu geben. Das neue EU-Recht setzt auf Rechtssicherheit darauf, Standards für  rechtssichere Datenverarbeitung zu setzen. Datenschutzverbände können Verhaltensregeln entwickeln und sie für allgemeingültig erklären lassen. Zertifizierungsverfahren bestehen, wobei der Impuls für ihre rechtliche Etablierung im Rahmen eines delegierten Rechtsaktes von der Kommission ausgehen muss.

Nach diesen vier Schichten, die den Umgang mit Daten im Pflichtenkreis von betroffener Person und datenverarbeitendem Unternehmen betrifft, kommt auf der fünften Ebene der Staat ins Spiel, in dem die Rechte und Pflichten der unabhängigen staatlichen Datenschutzaufsicht, aber auch des Datenschutzbeauftragten verankert werden.  

In der nächsten Schicht wird der Datenschutz streng. Es geht um dessen Durchsetzung durch Bußgelder und weitere Sanktionen. Die Höhe der Bußgelder beträgt je nach Verstoß bis zu 4 Prozent des jährlichen Umsatzes des Unternehmens.

In der äußersten Schicht geht es um die Einbindung des Datenschutzes in den europäischen Kontext im Rahmen von Kohärenzverfahren und die Einbindung der EU-Kommission.

Das Zwiebelschichtenmodell des europäischen Datenschutzes wirkt einfach. Seine Details sind tückisch. Es gilt jetzt sie zu erforschen und in der unternehmerischen Praxis umzusetzen. 

 

Rolf Schwartmann

 Ihr Rolf Schwartmann 

>> Aktuelle Bücher und Seminare von Prof. Rolf Schwartmann