Datenschutz in Europa

Das blüht Unternehmen durch Brexit, Schrems 2.0, ePrivacy und Co.

15.10.2019
Von 

Barry Cook ist Konzern-Datenschutzbeauftragter bei VFS Global, einem international tätigen Unternehmen für Outsourcing und Technologiedienstleistungen für Regierungen und diplomatische Vertretungen (inkl. Deutschland).

Erfahren Sie, welche Veränderungen politische Entwicklungen in Europa auf Betriebsabläufe und den Umgang mit personenbezogenen Daten haben werden.

Beim Datenschutz hat sich in den letzten Jahren eine ganze Menge getan. Nachdem die Daten von zahlreichen global agierenden Konzernen kompromittiert wurden, ist die Öffentlichkeit mittlerweile stärker für Fragen rund um Datenbesitz und Privatsphäre sensibilisiert. Zudem hat die DSGVO die Auswirkungen von Datenverarbeitung und -speicherung deutlicher aufgezeigt als je zuvor.

Zahlreiche geltende und kommende Verordnungen beeinflussen den digitalen Datenschutz in Europa.
Zahlreiche geltende und kommende Verordnungen beeinflussen den digitalen Datenschutz in Europa.
Foto: mixmagic - shutterstock.com

Dabei ist Europa, was den Datenschutz betrifft, bereits gut aufgestellt. Die Bevölkerung ist engagiert, und Unternehmen verstärken ihre Maßnahmen zum Schutz dessen, was zur unentbehrlichen Handelsware wird: Informationen über die Wünsche und Gewohnheiten ihrer Kunden.

Ob es in Europa in den kommenden Jahren zu einer Verbesserung der Rechtslage kommt, ist schwer vorauszusagen. Sicher ist, dass es weitere Legislativmaßnahmen geben wird. Neue Technologien und somit auch neue Verfahren verändern den Bereich Datenschutz unentwegt. So steht als nächstes für Ende 2019 oder 2020 die sogenannte ePrivacy-Verordnung zum Datenschutz im Internet auf dem Programm.

Die ePrivacy Verordnung

Die ePrivacy-Verordnung (ePVO) ist als Ergänzung zur DSGVO zu verstehen. Sie betrifft die elektronische Kommunikation (darunter E-Mails, Faxe, elektronische Textnachrichten und Telefonate), die Verwendung von Cookies, die Sicherheit öffentlicher elektronischer Kommunikationsdienste und Verzeichnisse sowie die Datenschutzbedürfnisse der Endverbraucher. Ziel der ePVO ist es, die Regeln der DSGVO zu spezifizieren, damit Verbraucher das Recht haben, die Verarbeitung von Daten zu kontrollieren, die für Kommunikationszwecke erzeugt werden, etwa Online-Tracking und Datenzusammenführung.

Zu diesem Zweck soll sie Online-Vermarkter, Medienunternehmen und mit Cookie-Trackern geteilte Besucherdaten kontrollieren und besser regulieren.

Es handelt sich also um eine Rechtsvorschrift, die ähnlich der DSGVO erhebliche betriebliche Veränderungen in Europa nach sich ziehen wird.

Der Brexit-Faktor

Darüber hinaus geht es um die Zukunft des Vereinigten Königreichs und seine Beziehungen zur EU nach dem 31. Oktober 2019. Angesichts des neuen Austrittstermins, auf den man sich (zumindest theoretisch) einstellen muss, kommen Datenschutzbeauftragte (DSB) und Geschäftsführer in ganz Europa nicht umhin, eine Reihe von Eventualitäten im Blick zu behalten.

Sehr wahrscheinlich ist, dass das Vereinigte Königreich als derzeitiges EU-Mitglied beim Austritt nahtlos in den Status eines "sicheren Drittlandes" übergehen wird. Diesen Rang teilt es sich dann mit Kanada (nur kommerzielle Organisationen), Neuseeland, Israel, der Schweiz und den USA (wenn der Empfänger dem Privacy Shield angehört) - Ländern also, denen die Europäische Kommission ein angemessenes Datenschutzniveau bestätigt hat oder die einen gleichwertigen Rechtsrahmen im Einklang mit Artikel 45 der DSGVO vorweisen können.

Wenn sich die Verhandlungen über die Eignung jedoch - was nicht ungewöhnlich ist, wie die jüngsten Verhandlungen zwischen Japan und der Europäischen Kommission zeigen - über den anvisierten Übergang hinaus fortsetzen, könnten sich die Verhältnisse ändern. Das könnte dazu führen, dass die Datenübermittlung aus EU-Staaten ins Vereinigte Königreich und andere Länder, die das gleiche Maß an Abwägung erfordern (das heißt sichere "Drittländer"), komplizierter oder überprüfungspflichtig wird.

Dies könnte eine Reihe von Problemen für globale Wirtschaftsakteure aufwerfen und zu einer Rückkehr führen zu

  • Mustervereinbarungen, die von der Europäischen Kommission oder der zuständigen Aufsichtsbehörde genehmigt werden (diese waren vor der DSGVO Standard);

  • Ad-hoc-Vertragsklauseln, die ausschließlich von nationalen Behörden genehmigt werden;

  • verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules, BCRs), die im Fall von Transfers zwischen Unternehmen innerhalb eines Konzerns Datenübertragungen von und nach Großbritannien regeln.

Diese Eventualitäten werden die Datenschutz- und Rechtsverantwortlichen multinationaler Unternehmen bereits berücksichtigt haben, ebenso wie die Standorte ihrer Rechenzentren. Denn gemäß Artikel 4 Absatz 16 der DSGVO müssen Unternehmen, die in den verbleibenden 27 EU-Staaten (EU-27) tätig sind, eine "Hauptniederlassung" in der Gerichtszuständigkeit der EU haben. Diese "Niederlassung" ist eine Bezugsbasis, die "Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten trifft" und "die die Befugnis zur Umsetzung von Entscheidungen gibt".

Um diesem Artikel der DSGVO zu entsprechen, müssen Unternehmen mit geschäftlichen Interessen im Vereinigten Königreich möglicherweise darüber nachdenken, den Standort ihrer Hauptniederlassung zu verlegen. Dies hängt jedoch vom Primärmarkt des Unternehmens ab: Wenn sich die Einkünfte und Geschäftstätigkeiten weitestgehend auf die EU-27 konzentrieren und nicht nur im Inland stattfinden oder im weiteren Sinne international sind, könnte es finanziell ratsam sein, die Hauptniederlassung zu verlagern.

Schrems 2.0

In anderen Bereichen kündigen sich ebenfalls Veränderungen an. Datenschutz hat sich als zentrales Thema verschärft und wird zweifellos die künftigen legislativen Maßnahmen der EU-Kommission bestimmen. Zudem gibt es eine Reihe von Gerichtsverfahren, deren Einfluss nachhaltig sein könnte - unter anderem den Fall "Schrems 2.0", der vor dem Europäischen Gerichtshof verhandelt wird. Er entscheidet über grenzüberschreitende Transfers in die USA und die Gültigkeit von Standardvertragsklauseln.

Er geht auf die Arbeit des österreichischen Aktivisten Max Schrems zurück und könnte unter Umständen mittels des Privacy Shield und der Standardvertragsklauseln zu einer Einschränkung der Befugnisse von Facebook Ireland führen. Das betrifft speziell das Teilen von Daten mit der US-Basis des sozialen Netzwerks. Im Erfolgsfall könnte das Verfahren Anwälte und Datenschutzteams in die Pflicht nehmen und eine Neuregelung der Praxis bei rechtmäßigen Datenübertragungen zur Folge haben.

CNIL Cookie-Richtlinien

Auch die bevorstehenden CNIL-Cookie-Richtlinien verdienen Aufmerksamkeit. Diese spezifizieren praxisbezogene Methoden, um gültige Cookie-Einwilligung von Internet-Nutzern einzuholen. Die wichtigsten Neuerungen der CNIL-Leitlinien, die im Juli 2019 von der französischen Datenschutzbehörde übernommen wurden, sind zweigleisig: Zum einen besagen sie, dass das Scrollen nach unten oder das Durchsuchen einer Website oder Anwendung nicht mehr als ein gültiger Ausdruck der Zustimmung zum Einsatz von Cookies anzusehen ist. Zum anderen verlangt sie, dass Interessenvertreter, die Tracking-Techniken einsetzen, nachweisen müssen, dass eine Zustimmung vorliegt.

Für Datenschutzbeauftragte und Führungskräfte in Europa gilt es also eine ganze Menge zu beachten. Ob es sich nun um eine Überarbeitung der DSGVO, neue Vorschriften in Form der ePVO, die Einführung überarbeiteter nationaler Richtlinien oder die Herausforderungen für das Vereinigte Königreich nach dem Brexit handelt, die Datenschutz-Evangelisten müssen auf der Hut und auf Veränderungen vorbereitet sein. (jd)