Der aktuelle Stand der EU-Datenschutzgrundverordnung
Einleitung
Im Januar 2012 schlug die Europäische Kommission eine Reihe legislativer Massnahmen vor zur Aktualisierung und Modernisierung der Datenschutzrichtlinie von 1995 (Richtlinie 95/46/EG) und des Rahmenbeschlusses von 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden (Rahmenbeschluss 2008/977/JI). Ziel dieser Reform ist es, EU-weit einheitliche, an das digitale Zeitalter angepasste Regeln zu schaffen, die Rechtssicherheit zu verbessern und das Vertrauen der Bürgerinnen und Bürger und Unternehmen in den digitalen Binnenmarkt zu stärken. Die Reform umfasst eine Mitteilung der Kommission, die deren Ziele darlegt, sowie zwei Rechtsakte: eine Datenschutz-Grundverordnung (DSGVO) über den Datenschutz und eine Richtlinie für den Bereich Polizei und Justiz.
Am 14. April 2016 schloss das Europäische Parlament seine mehr als vierjährige Arbeit mit der Annahme der vorgeschlagenen Texte ab. Die sich aus der Datenschutz-Grundverordnung ergebenden Vorschriften werden ab dem 25. Mai 2018 in allen Mitgliedstaaten unmittelbar anwendbar sein. Die EU-Länder haben bis zum 6. Mai 2018 Zeit, die Richtlinie in ihrem nationalen Recht umzusetzen.
Die Datenschutz-Grundverordnung (DSGVO)
Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung oder DSGVO) wurde vom Europäischen Parlament am 14. April 2016 angenommen und tritt am 25. Mai 2018 in Kraft. Ab diesem Zeitpunkt ist die DSGVO für alle Akteure, die auf dem Gebiet der Europäischen Union tätig sind, unmittelbar anwendbar. Nach EU-Recht ist eine Verordnung in ihrer Gesamtheit verbindlich, sobald sie in Kraft tritt (sie kann nicht selektiv angewendet werden). Sie ist in der gesamten EU unmittelbar anwendbar, ohne dass eine Umsetzung in den einzelnen Mitgliedstaaten erforderlich ist – dies im Gegensatz zur Richtlinie. Die neuen Bestimmungen sehen unter anderem vor, dass die Bürgerinnen und Bürger mehr Kontrolle über ihre Personendaten haben, dass die Unternehmen stärker zur Verantwortung gezogen werden, dass gleichzeitig deren Meldepflichten abgebaut werden und dass die Rolle der Datenschutzbehörden gestärkt wird. Dieses für Europa grundlegende Dokument wird auf eine Vielzahl von Schweizer Unternehmen direkte Auswirkungen haben.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, März 2018; bow