Bereits seit 1995 sind EU-Staaten verpflichtet, sich gesetzlich mit Datenschutz zu befassen. Die neue Grundverordnung gilt im Gegensatz zu der bisher bestehenden Richtlinie 95/46/EG unmittelbar in allen EU-Staaten und kann nur unter bestimmten Umständen durch nationale Regelungen ergänzt werden. Teile der Grundverordnung gelten bereits seit Mai 2016, weitere relevante Klauseln treten in wenigen Tagen in Kraft. Die gute Nachricht vorab: Bekanntermaßen gelten in Deutschland schon jetzt vergleichsweise strikte Datenschutz-Regeln. Die Grundverordnung ist an vielen Stellen lediglich eine Ausweitung bestehender Regeln auf den gesamteuropäischen Raum. Lediglich in wenigen Passagen ist die Grundverordnung eine Verschärfung gegenüber geltendem deutschem Recht. Im Folgenden greifen wir einige Aspekte heraus, die besonders prägnant erscheinen:

Ein großes Thema der neuen Grundverordnung ist der in Art. 8 geregelte Kinderschutz. So gilt, dass „Informationen und Hinweise [an Kinder unter 16 Jahren] in einer dergestalt klaren und einfachen Sprache erfolgen, dass ein Kind sie verstehen kann.“ (Erwägungsgrund 58). Betroffen sind beispielsweise Auswahlverfahren für Azubi-Stellen. Häufig sind die Bewerber noch 15 Jahre alt und fallen somit unter die Kinderschutzregelung. Der Gesetzgeber spricht ausdrücklich von zumutbarem Aufwand, weswegen hier eine entsprechende Abänderung der Datenschutzhinweise inklusive Opt-In-Lösung genügen wird. Regelungen wie die Übermittlung von Daten in Drittländer und –unternehmen replizieren größtenteils bisherige Gesetzestexte.

Dieser Schwerpunkt der Grundverordnung auf den Kinderschutz macht vielen internationalen Unternehmen zu schaffen. So überarbeitet Facebook unter anderem aufgrund der neuen Gesetzeslage seine Datenschutz-Richtlinien. Die kurzfristige Lösung des Unternehmens lautet jedoch, rund 1,5 Milliarden Nutzer aus dem europäischen Zuständigkeitsbereich zu entfernen, um mögliche Strafzahlungen zu vermeiden. Die Facebook-Tochter WhatsApp sieht sich womöglich gezwungen, das Mindestnutzungsalter seiner Dienste auf 16 Jahre anzuheben. Dienste und Netzwerke, die sich speziell an Erwachsene richten (beispielsweise Dating-Apps), sind hingegen von der Neuregelung nur in geringem Ausmaß betroffen.

Eine weitere Änderung durch die Grundverordnung ist die verbesserte Verantwortlichkeit innerhalb kleiner Unternehmen. Um genau auf die Einhaltung des Datenschutzes achten zu können, ist jedes Unternehmen mit mehr als zehn an der Datenverarbeitung beteiligten Mitarbeitern verpflichtet, einen Datenschutzbeauftragten zu benennen. Müssen Datenschutz-Folgenabschätzungen (DSFA) durchgeführt werden, entfällt diese Mindestgröße sogar. DSFAs sind in Art. 35 unter anderem dann gesetzlich vorgeschrieben, wenn eine „ (…) Bewertung persönlicher Aspekte natürlicher Personen (…) sich auf automatisierte Verarbeitung (…) gründet und (…) als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten (…)“.

Wer sich als Personalverantwortlicher mit der Grundverordnung beschäftigt, wird zuerst den nicht unerheblichen Aufwand sehen, den derartige Änderungen mit sich bringen. Doch stellt diese Neuregelung besonders für internationale Unternehmen womöglich sogar eine Erleichterung dar. Innerhalb der Europäischen Union ist Datenschutz ab Mai 2018 klar und einheitlich geregelt, die Konformität mit der Grundverordnung genügt somit in den meisten Fällen, um europaweit arbeiten zu können. Unzulässige politische Beeinflussung ist ausgeschlossen. Für Bewerber und Bürger generell ist dies außerdem ein verbesserter Schutz vor Diskriminierung. Verstöße gegen das Datenschutzrecht können ab sofort im Heimatland gemeldet werden unabhängig davon, wo sie geschehen sind.