1 Rechtliche und steuerrechtliche Betrachtung Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung...

Transkript

1 1 Rechtliche und steuerrechtliche Betrachtung Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung Rechtsnatur und Anwendungsbereich der neuer EU- Datenschutz-Grundverordnung Die Wichtigsten Prinzipien des Entwurfs Einige weiteren wichtigen Bemerkungen zur Anwendung der neuen EU Datenschutz-Grundverordnung auf Cloud-Services... 6

2 1 RECHTLICHE UND STEUERRECHTLICHE BETRACHTUNG 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung Gemäß den Ausführungen der obigen Abschnitte lässt es sich feststellen, dass die Rechtsvorschriften der einzelnen europäischen Länder selbst mehrere erhebliche Unterschiede aufweisen, bzw. verschiedene länderspezifische administrative Pflichte vorsehen, die für eine grenzüberschreitende Dienstleistung im Binnenmarkt (besonders in der Online-Umgebung) oft wesentliche rechtliche und praktische Probleme bedeuten können. Laut der EU-Kommission sei deshalb die weitere und direkte Harmonisierung der Datenschutzsysteme aller Mitgliedstaaten dringend nötig, um ein hohes Maß an Datenschutz für die Einzelnen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten zu beseitigen. Als Ergebnis langer Diskussionen und Abstimmungen, hat die EU-Kommission am 25. Januar 2012 ihren Vorschlag für die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) veröffentlicht. Obwohl der Vorschlag der EU-Kommission jetzt lediglich ein Entwurf ist, und der Text sich bis zum Inkrafttreten wahrscheinlich noch viel ändern wird, kann man schon eine Einsicht haben, inwieweit das Konzept der neuen Verordnung die heutige Praxis der Unternehmen im Zusammenhang mit Verarbeitung von persönlichen Daten beeinflussen wird. Hinsichtlich Cloud-Computing sind die neuen Regelungen sowohl für Cloud-Nutzer (als Datenverarbeiter) als auch für Cloud-Anbieter (als Auftragsverarbeiter) von großer Bedeutung, da die meisten neuen Regeln beide betreffen. Dieser Abschnitt soll einen Überblick über die wichtigsten Regelungen der neuen Datenschutz-Grundverordnung geben, um die Vorbereitung der erforderlichen Umstellung bzw. Annäherung der Datenschutzpraxis gemäß der neuen Verordnung zu erleichtern Rechtsnatur und Anwendungsbereich der neuer EU-Datenschutz- Grundverordnung Das neue harmonisierte Datenschutzsystem der EU wäre also nach heutigem Stand statt der jetzt geltenden Richtlinie 1 durch eine Verordnung verwirklicht. Der Unterschied ist, dass die Verordnung auch ohne Umsetzung in die nationale 1 Zurzeit gilt die EU-Richtlinie Nr. 95/46/EG als die wichtigste Instrument der europäische Harmonisierung des Datenschutzes, die mit der neuen Verordnung ersetzt werden soll.

3 Rechtsysteme direkt an Unternehmen anzuwenden ist. Es bedeutet, dass die neuen Vorschriften der zukünftigen Datenschutz-Grundverordnung auch dann gelten werden, wenn die nationalen Gesetze selbst keine entsprechenden Voraussetzungen enthalten. Laut des Entwurfs soll die Datenschutz-Grundverordnung mit einigen Ausnahmen für jede Art von Verarbeitung personenbezogener Daten (sowohl automatisiert als auch nicht automatisiert) angewendet werden. Ein wesentlicher Unterschied zwischen dem heutigen und dem zu erwartenden neuen europäischen Datenschutz-System ist die Geltung der neuen Regelungen auch für solche Unternehmen, die Ihren Sitz zwar außerhalb der EU haben, aber persönliche Daten von in der EU ansässigen Betroffenen verarbeiten und die Datenverarbeitung dazu dient, diesen Personen in der EU Waren oder Dienstleistungen anzubieten bzw. ihr Verhalten zu beobachten. Aufgrund dieses extra-territorialen Anwendungsbereichs der neuen Verordnung sollen zum Beispiel auch solche Cloud-Anbieter sich an den Vorschriften der Verordnung halten, die ihren Sitz außerhalb der EU haben, bieten allerdings ihre Dienste auch EU-Bürgern an Die Wichtigsten Prinzipien des Entwurfs Einwilligung und Zweckbindung Die bereits in mehreren europäischen Rechtssystemen geltenden Grundsätze der vorherigen Einwilligung, Zweckbindung und Verhältnismäßigkeit als Voraussetzung der rechtsmäßigen Datenverarbeitung werden mit der neuen Datenschutz-Grundverordnung europaweit einheitlich die wichtigsten Elemente der Rechtsgrundlage zur Datenverarbeitung. Eine stillschweigende Einwilligung wird allerdings nicht mehr zulässig, die neue Verordnung sieht eine ausdrückliche, immer auf den konkreten Fall und in Kenntnis der Sachlage erfolgte eindeutige Willenserklärung vor. Praktisch soll diese Voraussetzung für Datenverarbeiter zum Beispiel im Online-Raum bedeuten, dass sie vor der Inanspruchnahme der Dienstleistung eine angemessene Form zum Ausdruck der Einwilligung sicherstellen und die wichtigsten Informationen bezüglich der Datenverarbeitung leicht zugänglich machen sollen. Wichtig ist allerdings, dass im Zweifel, der Datenverarbeiter beweisen soll, dass er über die angemessene Einwilligung verfügt. Eine Datensammlung auf Vorrat ohne einen bestimmten Zweck ist in zahlreichen europäischen Ländern (z.b. in Ungarn oder Deutschland) heute auch nicht möglich. Diese Beschränkung wird mit der neuen Verordnung auch europaweit maßgebend. Persönliche Daten dürfen nur für genau

4 festgelegte, eindeutige und rechtmäßige Zwecke verarbeitet werden, und nur dann, wenn die Zwecke der Verarbeitung nicht durch die Verarbeitung von anderen als personenbezogenen Daten erreicht werden können Privacy by design and by default, Transparenz der Datenverarbeitung Wahrscheinlich ist der Grundsatz von "Privacy by Design and by Default" ein der wichtigsten Prinzipien der neuen Verordnung für Datenverarbeiter und Auftragsverarbeiter. Das Ziel der Einführung dieser Voraussetzung ist sicherzustellen, dass Garantien für den Datenschutz bereits bei der Planung von Verfahren und Systemen berücksichtigt und implementiert werden. Daher sollten Unternehmen laut des Entwurfs sowohl zum Zeitpunkt der Bestimmung der Mittel zur Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung angemessene technische und organisatorische Maßnahmen und Verfahren einstellen und anwenden. Der Verordnungsentwurf sieht weiterhin auch weitere organisatorische Pflichte an der Seite des Datenverarbeiters und Auftragsverarbeiters vor, um der Transparenz der Datenverarbeitung gewährzuleisten. Eine solche Verpflichtung ist, dass der Datenverarbeiter bzw. Auftragsverarbeiter in Bezug auf die Verarbeitung personenbezogener Daten und die Ausübung der den betroffenen Personen zustehenden Rechte eine nachvollziehbare und für jedermann leicht zugängliche Strategie verfolgen soll, die den Vorschriften der Verordnung entspricht. Der Datenverarbeiter soll auch in der Lage sein, während der Datenverarbeitung immer nachweisen zu können, dass die persönlichen Daten in Übereinstimmung mit der Verordnung verarbeitet wurden. In bestimmten Fällen ist der Datenverarbeiter und Auftragsverarbeiter sogar verpflichtet, eine vorherige Genehmigung zur geplanten Datenverarbeitung von der zuständigen nationalen Aufsichtsbehörde einzuholen. Unternehmen, die 250 oder mehr Personen beschäftigen, sollen einen Datenschutzbeauftragten bestellen, dessen Aufgabe unter anderen die Überwachung der Umsetzung und Anwendung der Strategien des Datenverarbeiters oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen. Datenverarbeiter sollen sich auch darauf vorbereiten, dass sie im Fall einer Verletzung des Schutzes persönlicher Daten (z.b. bei einem Datenleak ) die zuständige Aufsichtsbehörde (und in bestimmten Fällen auch die

5 Betroffenen) innerhalb von 24 Stunden nach der Feststellung der Verletzung informieren sollen. Falls die Verletzung bei dem Auftragsverarbeiter entsteht, soll dieser den Datenverarbeiter unmittelbar alarmieren Recht auf Vergessenwerden Als ein weiterer neuer Grundsatz soll das "Recht vergessen zu werden" mit der Verordnung eingeführt werden. Dieses Recht der betroffenen Personen ermöglicht, dass sie die unverzügliche Löschung ihrer Daten von dem Datenverarbeiter verlangen können, zum Beispiel wenn der Betroffene seine Einwilligung widerruft oder die Datenverarbeitung zur Erreichung des ursprünglichen Zwecks nicht mehr nötig ist. Allerdings würde schon die Pflicht an der Seite des Datenverarbeiters erhebliche praktische Schwierigkeiten aufweisen, laut welcher der Datenverarbeiter im Fall von öffentlicher Zugänglichmachung der persönlichen Daten alle vertretbaren Schritte, auch technischer Art vornehmen soll, um Dritte, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihm die Löschung aller Querverweise auf diese personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt hat. Hat der Datenverarbeiter einem Dritten die Veröffentlichung personenbezogener Daten gestattet, liegt die Verantwortung dafür bei dem ersten Datenverarbeiter Datenübertragbarkeit Datenverarbeiter und Auftragsverarbeiter sollen sich auch darauf vorbereiten, dass sie gemäß der neuen Verordnung den Betroffenen einen einfachen Zugang zu ihren verarbeiteten eigenen persönlichen Daten ermöglichen. Laut des Entwurfs hat die betroffene Person das Recht, von dem Datenverarbeiter eine Kopie der verarbeiteten Daten in einem von ihr weiter verwendbaren strukturierten gängigen elektronischen Format zu verlangen und die Daten in solcher elektronischen Format in ein anderes System zu überführen One-stop-shop Die einheitlichen Regeln der Verordnung bezüglich der zuständigen Aufsichtsbehörden sind jedenfalls in Hinsicht auf Grenzüberschreitende Datenverarbeitungen zu begrüßen. Für Multinationale Unternehmen bedeutet es meistens erhebliche Schwierigkeiten und Unsicherheiten, dass ihre Datenverarbeitung in mehreren Mitgliedstaaten von verschiedenen Behörden (mit verschiedenen Verfahrensregeln) überwacht und kontrolliert wird. Gemäß dem Verordnungsentwurf soll in der Zukunft nur eine einzige nationale Datenschutzbehörde für die europaweite Datenverarbeitung eines

6 Unternehmens zuständig sein. Die Zuständigkeit wird nach Hauptregel an den Ort der Hauptniederlassung des Unternehmens angeknüpft, also die Aufsichtsbehörde des Mitgliedstaats, in dem sich die Hauptniederlassung des Datenverarbeiters oder Auftragsverarbeiters befindet, die Aufsicht über dessen Verarbeitungstätigkeit in allen Mitgliedstaaten zuständig Einige weiteren wichtigen Bemerkungen zur Anwendung der neuen EU Datenschutz-Grundverordnung auf Cloud-Services Die neue Verordnung würde auch in der Zukunft ermöglichen, dritte Personen (Auftragsverarbeiter) mit den technischen Vorgängen im Zusammenhang mit persönlichen Daten zu beauftragen. Der Entwurf enthält allerdings viele neue Vorschriften bezüglich solcher Auftragsverarbeitung bzw. des Auftragsverarbeiters, die in bestimmten Fällen sogar die direkte materielle Verantwortung des Auftragsverarbeiters vorsehen. Mehrere Pflichte, die bisher direkt nur den Datenverarbeiter gebunden haben, finden jetzt nämlich eine unmittelbare Anwendung auch auf Auftragsverarbeiter. Unterlässt also in der Zukunft ein Cloud-Anbieter als Auftragsverarbieter zum Beispiel sein Pflicht, geeignete und angemessene technische und organisatorische Maßnahmen für die Gewährleistung der Sicherheit persönlicher Daten während des Verarbeitungsprozesses zu implementieren, kann der Auftragsverarbeiter nach dem Entwurf von den Aufsichtsbehörden auch direkt bestraft werden. Die neue Verordnung enthält weiterhin mehrere neue Regeln bezüglich Datenübermittlung in Drittländer außerhalb der EU, die Cloud-Anbieter mit Servern z.b. in den USA, Indien oder China auch in Betracht nehmen sollen. Als Hauptregel soll gelten, dass eine Datenübermittlung vorgenommen werden darf, wenn die EU-Kommission festgestellt hat, dass das betreffende Drittland einen angemessenen Schutz für persönliche Daten bietet. Derartige Datenübermittlungen bedürfen keiner weiteren behördlichen Genehmigung. Sollte eine solche positive Einschätzung der EU-Kommission bezüglich eines Drittlands nicht vorliegen, darf eine Datenübermittlung nur mit zusätzlichen Garantien und Sicherheitsvorkehrungen in Form von rechtsverbindlichen Instrumenten zum geeigneten Schutz persönlicher Daten vorgenommen werden. Laut des Verordnungsentwurfs könnten solche Garantien insbesondere in Form verbindlicher unternehmensinterner Vorschriften ( binding corporate rules ) oder von der Kommission bzw. von den Aufsichtsbehörden angenommener Standarddatenschutzklauseln bestehen.

7 Der Entwurf soll mit erheblichen Sanktionen erreichen, dass Unternehmen die Wichtigkeit des Datenschutzes ernstnehmen, und sich an den strengen Vorschriften der Verordnung halten. Zum Beispiel im Fall einer vorsätzlicher oder fahrlässiger Verletzung wesentlicher Regeln der Verordnung könnten die Aufsichtsbehörden laut des Entwurfs sogar eine Strafe bis zu 1 Million Euro, oder im Fall eines Unternehmens bis in Höhe von 2 % seines weltweiten Jahresumsatzes verhängen. Die Höhe der Geldbuße würde sich nach allen Umständen der Verletzung, nämlich nach der Art, Schwere und Dauer des Verstoßes, seinem vorsätzlichen oder fahrlässigen Charakter, dem Grad der Verantwortung der gegebenen Person und früheren Verstößen dieser Person bemessen. Die oben erwähnten Vorschriften sind allerdings noch im Entwurfstand und es werden bestimmt noch mehrere Änderungen und Anpassungen zu dem Text vorgenommen, bis die Verordnung voraussichtlich irgendwann 2015 oder 2016 in Kraft tritt und verbindlich wird. Es ist jedoch davon auszugehen, dass sich die meisten Grundsätze wahrscheinlich generell nicht mehr wesentlich ändern sollen. Cloud-Nutzer und Cloud-Anbieter sollten also dem weiteren Prozess um die Gestaltung der Verordnung einhegend folgen, und sich schon jetzt vorbereiten, ihre Vorgänge bzw. ihre Verträge den zu erwartenden europäischen rechtlichen Erwartungen bezüglich der Datenverarbeitung von aller Hinsicht anzupassen, damit sie die potentiellen zukünftigen Strafen vermeiden können.