Was bisher in Deutschland geschah…
Allmählich werden die kritischen Stimmen zur EU-DSGVO leiser und auch die Umsetzung in den Unternehmen kommt langsam in Fahrt. Wie bereits in unserem Rückblick „Ein aktueller Stand zur Datenschutz-Grundverordnung: Was bisher geschah…“ geschildert, hat sich die Unruhe gelegt. Deutschland scheint die Chance erkannt zu haben und setzt mit der DSGVO den EU Datenschutz in Deutschland um. Deutschland ist eines der ersten Länder in der Europäischen Union, welches den EU Datenschutz seit dem 25. Mai 2018 umsetzt.
Aber was passiert eigentlich über die Landesgrenzen hinaus? Denn die EU-DSGVO gilt seit dem 25. Mai 2018 verpflichtend in allen Mitgliedstaaten der EU. Dabei bieten zahlreiche sogenannte „Öffnungsklauseln“ (insgesamt mehr als 70) den Gesetzgebern von EU und Mitgliedstaaten die Möglichkeit, die DSGVO durch die eigene Gesetzgebung zu konkretisieren, zu ergänzen oder zu modifizieren. Es handelt sich bei der neuen Verordnung ja schließlich um Neuerungen im EU Datenschutz. In diesem Blogartikel richten wir also den Blick auf unsere Nachbarländer und schauen genau hin, wie dort das Thema EU-DSGVO angegangen wird, denn bei vielen deutschen Unternehmen besteht nun aber Unsicherheit und Unwissenheit über den derzeitigen Rechtsstand im europäischen Ausland.
Ein Blick über den Gartenzaun: Was tun unsere Nachbarn in Sachen EU-DSGVO?
Wir geben einen kurzen Überblick, auf welchem Stand der Umsetzung sich die europäischen Länder befinden. Diese Länder setzen die neue Verordnung für den EU Datenschutz bereits um:
Belgien
In Belgien wird die DSGVO in erster Linie unmittelbar, ohne Anpassungen durch Öffnungsklauseln, angewendet. Die bisherige „Kommission zum Schutz der Privatsphäre“ wurde so mittels eines Gesetzes erweitert, um die Anforderungen des EU Datenschutzes in einer Aufsichtsbehörde gerecht zu werden. Das neue Gesetzgebungsverfahren wurde bereits am 01.10.2018 abgeschlossen. Konkrete Umsetzungsmaßnahme war u.a., dass die neue Aufsichtsbehörde „the Data Protection Authority” eine Budget-Aufstockung von rund 1,7 Millionen Euro erhalten hat. Das Budget ist dabei hauptsächlich angedacht, um Personal aufzustocken.
Dänemark
Dänemark setzt die DSGVO mit einem eigenen Datenschutzgesetz um. Dieses enthält neben den Regularien der DSGVO noch weitere ergänzende Vorschriften für weitere Bereiche. Beispielsweise dürfen Arbeitnehmer unter bestimmten Voraussetzungen personenbezogene Daten im Beschäftigungskontext verarbeiten. Das Gesetz mit dem Namen „Databeskytteloven“ wurde am 17.05.2018 beschlossen und ist somit pünktlich zum 25.05.2018 anwendbar.
Frankreich
Frankreich hat am 21.06.2018 ein neues Datenschutzgesetz „CNIL“ veröffentlicht und, rückwirkend zum 25.05.2018, die Anforderungen der DSGVO im Gesetz erlassen. Die nationale Kontrollbehörde, in Bezug auf die Einhaltung des Datenschutzes, ist die Datenschutzbehörde Frankreichs.
Irland
Irland hat den Umsetzungsprozess der DSGVO bereits am 18.05.2018 erfolgreich abgeschlossen. Seit diesem Tag ist das neue Gesetz für den Datenschutz, das “Data Protection Bill 2018”, in Kraft. Ob Irland damit immer noch als Favorit für die europäische Heimat großer Tech-Konzerne, wie Facebook oder Twitter, bleibt, gilt abzuwarten.
Kroatien
Auch Kroatien hat die Regelungen der DSGVO in einem Gesetz verankert. Am 27.04.2018, pünktlich vor dem 25.05.2018, ist das Gesetz „ZAKONO PROVEDBI OPĆE UREDBE O ZAŠTITI PODATAKA – NN24/2018″ beschlossen worden.
Niederlande
Am 15.05.2018 haben die Niederlande das Verfahren abgeschlossen. Das niederländische Gesetz macht dabei Gebrauch von einer Öffnungsklausel um Ausnahmen im grundsätzlichen Verbot der Verwendung von personenbezogenen Daten zu erlauben (Art. 9 Abs. 1 DSGVO). So ist es in den Niederlanden erlaubt, biometrische Daten zur Identifizierung von Personen zu erheben, sofern dies erforderlich ist oder ein verhältnismäßiges Interesse besteht.
Österreich
In Österreich gilt die europäische Datenschutzgrundverordnung seit dem 31.07.2017. Ebenfalls nach mehreren Anpassungsgesetzen wurde dies als das nationale „Datenschutzgesetz DSG“ erlassen. Zudem hat Österreich festgelegt, dass strafrechtlich relevante Daten verarbeitet werden dürfen, sofern ein berechtigtes Interesse oder eine gesetzliche Ermächtigung besteht.
Rumänien
Am 31.07.2018 ist in Rumänien ein DSGVO Umsetzungsgesetz in Kraft getreten. Rumänien nutzt in dem Gesetz die Öffnungsklauseln der DSGVO, was damit eine unklare Definition nach sich zieht. So ist nicht weiter konkretisiert unter welchen Voraussetzungen ein Datenschutzbeauftragter bestellt werden muss. Zudem bietet das Umsetzungsgesetz den Parteien und Behörden Privilegien. Sollten diese die DSGVO verletzen, so drohen Ihnen weniger hohe Bußgelder als Privatpersonen oder Unternehmen.
Schweden
Schweden hat das Verfahren der Umsetzung DSGVO ebenfalls abgeschlossen. Am 18.04.2018 wurde das Gesetz „Ny Dataskyddslag“ erlassen.
Slowakei
Auch die Slowakei nutzt ein neues Gesetz um die Richtlinien der Datenschutzgrundverordnung umzusetzen. Am 30.01.2018 hat die Slowakei das neue Gesetz erlassen und gehört somit auch zu den Ländern, die pünktlich zum 25.05.2018 die Anwendbarkeit der DGSVO in einem Gesetz verankert haben.
Andere Länder stecken allerdings noch mitten in der Umsetzungsphase und stimmen derzeit noch über Gesetzesentwürfe ab. In Estland, Finnland, Griechenland, Italien, Lettland, Litauen, Luxemburg, Malta, Polen, Portugal, Slowenien, Spanien, Tschechische Republik, Ungarn, Zypern und Bulgarien wurden die Verfahren noch nicht abgeschlossen.
Die Tschechische Republik beispielsweise steckt zwar aktuell noch in der Umsetzung, allerdings kommt der bereits geltende nationale Datenschutz sehr nah an den Inhalten der Datenschutzgrundverordnung ran. Dieser beinhaltet bereits viele der DSGVO-Regularien. Das kommt einer einfachen Umsetzung zu Gute.
Stichwort BREXIT: Wie sieht es in Großbritannien aus?
Besonders spannend bleibt es im Übrigen mit unseren Nachbarn auf der Insel. Seit Bekanntwerden des Brexit hat sich in Bezug auf Großbritannien so manch eine Meldung revidiert.
Zu Beginn sah eigentlich noch alles ganz einfach aus: Großbritannien wird zum Drittland ernannt und orientiert sich trotz allem weiterhin an die Datenschutzgrundverordnung der EU. Einhergehend wird dafür ein Angemessenheitsbeschluss zwischen den Mitgliedstaaten der EU und Großbritannien notwendig, welches durch Artikel 45 der DSGVO Europa festgelegt wird.
Ein Angemessenheitsbeschluss ist besonders beim Datentransfer im internationalen Handel und in dessen Zusammenarbeit wichtig. Dieser bestätigt ein angemessenes Datenschutzniveau und gewährleistet einen Schutz von personenbezogenen Daten an Drittländer oder an internationale Organisationen. Nach aktueller Datenschutzgrundverordnung gehören zu den sicheren Drittstaaten Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und die USA (wenn der Empfänger dem Privacy Shield angehört), sodass hier der Datentransfer gestattet ist.
Im November 2016 beschloss die britische Regierung jedoch eines der härtesten Überwachungsgesetze, die es in einer Demokratie je gab: Die Investigatory Powers Bill. Dieses Gesetz ermöglicht weiterreichende Überwachungsmöglichkeiten durch die Geheimdienste. Zu diesem Zeitpunkt dämmerte es, dass es jetzt deutlich schwieriger wird die EU von einer angemessenen Qualität des Datenschutzes zu überzeugen und damit den Angemessenheitsbeschluss abzuschließen. Eine ähnliche Situation herrschte nämlich bereits beim Safe Harbor Abkommen zwischen der USA und dem EuGH, welches schlussendlich aus diesem Grund scheiterte.
Anfang diesen Jahres wurde bereits durch die europäische Kommission klargestellt, dass es nicht ohne weiteres einen Angemessenheitsbeschluss für die Briten geben wird. Was jedoch sicher ist: Großbritannien wird bis zum Ausstieg am 30. März 2019 den EU Datenschutz anwenden. Was danach passiert, bleibt weiterhin unklar.
Für deutsche Unternehmen mit Niederlassungen oder Gesellschaften in Großbritannien sollte dies noch keinen Anlass zur Verzweiflung geben. Zum einem besteht aktuell noch etwas Luft zur Klärung (bis zum März 2019) und zum anderen wird die Datenübermittlung nicht vollkommen unmöglich werden. Bereits zum jetzigen Zeitpunkt enthält
Art. 46 Abs. 1 DSGVO vor, dass eine Übermittlung ohne einen Angemessenheitsbeschluss (Art. 45 DSGVO) mit geeigneten Garantien möglich ist.
Wie diese Garantien erbracht werden können, zeigt Art. 46 Abs. 2 DSGVO mit unterschiedlichen Möglichkeiten auf. Unterm Strich wird es einfach „nur“ komplizierter. Wichtig zu wissen ist dabei allerdings, dass sofern kein Angemessenheitsbeschluss oder eine entsprechende Garantie besteht, Bußgelder nach Art. 83 DSGVO drohen können. Aber auch hier sehen wir ganz klar vor einer Panikmache ab. Sofern
die Prozesse und Dokumente gemäß der DSGVO Europa aufbereitet werden, ist nichts zu befürchten.
Auswirkungen des EU Datenschutzes auf international agierende Unternehmen
Der EU Datenschutz betrifft nicht nur Europa, sondern hat Auswirkungen über dessen Grenzen hinaus. Am Trend-Thema Cloud lassen sich diese Auswirkungen gut veranschaulichen.
Cloud Services ermöglichen es,
personenbezogene Daten an völlig anderen Orten (auch außerhalb der EU) zu speichern. Die Rechte auf Privatsphäre und Datenschutz sowie Auskunftsrechte oder Löschungen müssen – auch über die EU Grenzen hinweg – Bestand haben. Das betrifft demnach alle Unternehmen, die in weltweiten Konzernstrukturen arbeiten und über die Grenzen der europäischen Union hinaus personenbezogenen Daten verarbeiten. Zur eindeutigen Regelung dieses Szenarien hilft die Betrachtung von Artikel 3 der DSGVO. Der Artikel
erfasst den räumlichen Anwendungsbereich deutlicher als die bisherige Datenschutzrichtlinie 95/46/EG.
Allerdings sind von dieser Richtlinie nicht nur Unternehmen mit einem räumlichen Bezug auf die Europäische Union betroffen. Die DSGVO Europa findet auch für international tätige Unternehmen eine Anwendung, welche personenbezogene Daten von Personen innerhalb der Europäischen Union verarbeiten. Nicht ohne Grund haben daher in der Vergangenheit US-Nachrichtendienste wie z.B. New York Daily News, Chicago Tribune, Baltimore Sun, Los Angeles Times und San Diego Union-Tribune für europäische Nutzer die Kanäle schlichtweg abgeschaltet. Man wollte diesen zusätzlichen Aufwand der entsprechenden Protokollierung der Verarbeitungstätigkeiten und die damit einhergehende Sicherstellung einer EU-DSGVO-Konformität vermeiden. Andere amerikanische Organisationen gehen mit dieser Situation anders um. Sie nutzen die neue Regelung wiederum als Vertriebsstrategie und bieten dem europäischen Kunden „neue“ Abo-Modelle an, um weiterhin Teil des Informationsprozesses zu bleiben. Beispielsweise werden den Lesern der Washington Post beim Aufruf der Webseite drei Abo-Modell Optionen angeboten, die den kostenlosen Zugriff auf eine definierte Anzahl von Artikeltexten reguliert. Leser aus der Europäischen Union müssen für diesen Dienst monatlich drei Dollar mehr als US-Leser zahlen. Mit der Begründung, dass hier kein Drittanbieter-Tracking stattfindet und On-Site Werbungen angezeigt werden. Die DSGVO wird als Salesgenerator missbraucht.
Deutsche Unternehmen sollten in Sachen Datenschutz als gutes Beispiel vorangehen
Ungeachtet dieser und weiterer Auswirkungen, hat der EU Datenschutz eine welteweite Debatte ausgelöst. Schon jetzt wird der EU Datenschutz als „Vorbild“ betitelt. Über gleichwertige Gesetzesentwürfe rund ums Thema Datenschutz wird in Nordamerika und Asien bereits nachgedacht. Nicht zuletzt aus diesem Grund sollten sich Europäische Unternehmen offen und verantwortungsbewusst zeigen.
Jetzt gilt es auch, die Chance der Prozessoptimierung im eigenen Unternehmen zu nutzen. Auch wenn der Aufwand, der im Zuge der DSGVO entstanden ist, zunächst als „nicht gerechtfertigt“ angesehen wurde, haben viele Unternehmen mittlerweile erkannt, dass die Umstellung schlussendlich eine notwendige und ebenso lohnende Aufgabe sein kann.
Wie können die nächsten Schritte für Ihr Unternehmen aussehen? Eine passende technische Unterstützung zur Umsetzung der DSGVO-Anforderungen beschleunigt den Prozess, sorgt für Transparenz und minimiert den anfallenden Arbeitsaufwand im Unternehmen. Zum Muss wird hier eine Lösung, die sich skalieren und somit auf weitere Standorte, Länder oder Abteilungen ausdehnen lässt.
Sofern Sie auf der Suche nach einer derartigen Lösung sind, lassen Sie sich gerne das multilinguale d.velop GDPR compliance center zeigen. Die Lösung bieten wir kostenlos zum Testen an. Die Software hilft dabei die Prozessanalysen und Dokumentation ganz nach Ihren Anforderungen in einem internationalen Rahmen zu steuern und zu optimieren.
Ihr Weg zur EU-DSGVO.
Auf 30 Seiten Praxistipps zur Umsetzung der EU-DSGVO im Unternehmen erhalten.