Neue EU-Verordnung über den Schutz von personenbezogenen Daten der natürlichen Personen
Am 24. Mai 2016 trat die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG in Kraft. Sie wird jedoch in allen Mitgliedstaaten erst ab dem 25. Mai 2018 unmittelbar gelten.
Zweck der Verordnung ist die Gewährleistung des hohen und kohärenten Niveaus des Schutzes von natürlichen Personen in Bezug auf die Verarbeitung ihrer persönlichen Daten. Der lange erwartete Rechtsakt ist eine Antwort auf die technologische Entwicklung und neue Sozialphänomene, die neue Gefahren im Bereich des Datenschutzes verursachen. Dies soll insbesondere durch die Harmonisierung der Rechtsvorschriften aller Mitgliedstaaten in diesem Bereich erfolgen.
Die Verordnung gilt in allen Fällen der Verarbeitung von personenbezogenen Daten mit Ausnahme von der Verarbeitung von personenbezogenen Daten:
– im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, – durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen, – durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, – durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Bemerkenswert ist, dass die Verordnung findet Anwendung, soweit die Verarbeitung personenbezogenen Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. Ferner findet diese Verordnung Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten, oder das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. |
Die Verordnung legt auf die Datenschutzverwalter eine Pflicht auf, die zuständige Aufsichtsbehörde über jeden Fall der Verletzung des Schutzes von personenbezogenen Daten innerhalb von 72 Stunden von der Feststellung dieser Verletzung zu benachrichtigen. Darüber hinaus, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hätte, benachrichtigt der Verwalte die betroffene Person unverzüglich von der Verletzung.