Update: Veröffentlichung der EU-Datenschutzverordnung im Amtsblatt

Nach der Annahme der Europäischen Datenschutzgrundverordnung (DSGVO) durch den Europäischen Rat (BR-News vom 14. Januar 2016) hat auch das Europäische Parlament seine Zustimmung gegeben. Die DSGVO wurde am 4. Mai 2016 im Amtsblatt der EU publiziert. Die DSGVO gilt ab 25. Mai 2018.

Inkrafttreten der DSGVO

Grundsätzlich tritt die Verordnung gemäss Art. 99 Abs. 1 DSGVO 20 Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Aufgrund der langen politischen Diskussionen rund um die Ausgestaltung der DSGVO (siehe BR-News vom 14. Januar 2016) verzögert sich der Zeitpunkt des Inkrafttreten jedoch um zwei Jahre (Art. 99 Abs. 2 DSGVO). Die Verordnung tritt somit erst am 25. Mai 2018 effektiv in Kraft. Erst in diesem Zeitpunkt wird die bisher massgebende Richtlinie 95/46/EG definitiv aufgehoben.

Alle betroffenen Unternehmen (nicht nur Unternehmen mit Sitz in der EU (siehe BR-News vom 14. Januar 2016 und dort der Abschnitt: Die DSGVO gilt auch für Nicht-EU-Unternehmen) haben bis zum 25. Mai 2018 die notwendigen Anpassungen vorzunehmen.

Trotz der Frist von zwei Jahren sollten die betroffenen Unternehmen ihre Datenbearbeitungsprozesse frühzeitig überarbeiten und verordnungs-konform ausgestalten. Die DSGVO bringt im Vergleich zur heutigen Regelung doch einige neue Pflichten mit sich (z.B. ausführlichere Informationspflicht, Privacy by Design, Privacy by Default, Data Protection Impact Assessment, Bestimmung eines internen Datenschutzbeauftragten). Einzelne der erwähnten Pflichten sind nicht für alle Unternehmen anwendbar. Die betroffenen Unternehmen müssen daher zunächst bestimmen, welche der neuen Pflichten mit Blick auf die im Unternehmen durchgeführten Datenbearbeitungen relevant sind.

In Anbetracht der Vielzahl wichtiger Regelungen (ausführlich präsentiert in unseren Beitrag BR-News vom 14. Januar 2016) erscheint die zweijährige Frist für die praktische Umsetzung der Verordnung eher gering bemessen. Der EU-Gesetzgeber hat darüber hinaus die Möglichkeit, bereits während der Übergangsfrist Bestimmungen auf nationaler Ebene zu erlassen. Dies verkürzt die Umsetzungsfrist der jeweiligen Unternehmen massgebend.

Reminder: Die DSGVO gilt auch für Nicht-EU-Unternehmen

Grundsätzlich gilt die DSGVO für Datenbearbeitungen durch Unternehmen oder Niederlassungen mit Sitz in der EU. Zusätzlich findet die Verordnung aber auch Anwendung, wenn personenbezogene Daten von EU-Bürgern durch ein Unternehmen mit Sitz ausserhalb der EU bearbeitet werden, sofern folgende Voraussetzungen erfüllt sind:

  • die Verarbeitung der Daten erfolgt im Zusammenhang mit dem (auch unentgeltlichen) Angebot von Waren und Dienstleistungen oder
  • die Bearbeitung der Daten dient der Verhaltensüberwachung.

Dies kann dazu führen, dass ein Unternehmen mit Sitz in der Schweiz verpflichtet ist, die DSGVO einzuhalten. Die DSGVO statuiert damit eine extraterritoriale Wirkung (siehe BR-News vom 14. Januar 2016). Sofern die EU-Niederlassung eines Schweizer Unternehmens Daten bearbeitet, gilt die DSGVO ohnehin.

Die amtliche Fassung der DSGVO

Die definitive deutsche amtliche Fassung weist keine materiellen Veränderungen im Vergleich zu der Fassung auf, die wir in unserem Artikel BR-News vom 14. Januar 2014 ausführlich analysiert haben. Unterschiede sind vor allem redaktioneller Natur. Zusätzlich wurde die Aufteilung der Reglungen auf Artikel und Absätze an gewissen Stellen überarbeitet.

Weitere Informationen:

Ansprechpartner: Michael Reinle & Lukas Bühlmann