Heute sind es nur noch 365 Tage bis zur unmittelbaren Geltung der Datenschutzgrundverordnung (DS-GVO) in Deutschland und der gesamten Europäischen Union (EU). Ab dem 25.05.2018 ist die DS-GVO geltendes Recht – spätestens jetzt sollten Sie GAS geben!
Die europäische Datenschutzgrundverordnung ist im Mai 2016 in Kraft getreten und gilt nach einer zweijährigen Übergangsfrist EU-weit. Mit Anwendung der europäischen Datenschutzgrundverordnung kommen allerdings mehrere Änderungen im Bereich Datenschutz auf verantwortliche Stellen, wie zum Beispiel Unternehmen, Vereine oder Behörden zu. Eine frühzeitige Umstellung der betroffenen Bereiche ist daher dringend anzuraten, um den neuen Datenschutzreglementarien zu genügen und möglichen datenschutzrechtlichen Verstößen entgegenzuwirken.
EU-Datenschutzgrundverordnung – Was ist das?
Die Datenschutzgrundverordnung der EU ist derzeit nicht nur in Fachkreisen in aller Munde. Doch was bringt die Neuregelung überhaupt mit sich und welche Bedeutungen hat sie für mein Unternehmen und mich als Betroffenen? Nachfolgend finden Sie einige wesentliche Erläuterungen zu der neuen gesetzlichen Grundlage des Datenschutzes.
Die Europäische Datenschutzgrundverordnung stellt einen Teil der EU-Datenschutzreform dar, der von der europäischen Kommission entwickelt wurde. Zu finden ist die EU-Datenschutzgrundverordnung unter verschiedenen Abkürzungen oder gar synonym verwendeten Begrifflichkeiten, wie EU-DSGVO, DSGVO, DS-GVO oder schlicht Datenschutz-Grundverordnung. Die am häufigsten und in der Fachliteratur am meisten genutzte Abkürzung ist DS-GVO, welche auch in diesem Beitrag genutzt wird. Der Hintergrund dieser unterschiedlichen Abkürzungen dürfte wohl auf die verschiedenen Entwurfsfassungen zurückzuführen sein, die bis zum Mai 2016 thematisiert wurden. Die DS-GVO gilt als Verordnung unmittelbar in allen Mitgliedstaaten der EU und löst die derzeit bestehende Richtlinie 95/46/EG ab. Anwendung finden soll die DS-GVO, welche am 25. Mai 2016 in Kraft trat, nach Art 99 Abs. 2 EU-Datenschutzgrundverordnung zwei Jahre nach Inkrafttreten der Verordnung. Zu diesem Zeitpunkt wird sie auch das bisher geltende Bundesdatenschutzgesetz (BDSG) ablösen. Allerdings ist ein Nachfolger des BDSG bereits in Sicht, mit dem Ergänzungen zur DS-GVO vorgenommen werden können.
Inhalt der Datenschutz-Grundverordnung (DS-GVO)
Die EU-Datenschutzgrundverordnung regelt die Datenverarbeitung im privaten sowie öffentlichen Bereich. Ausgenommen davon sind Polizei sowie Behörden für Inneres und Justiz, für welche die Richtlinie für Datenschutz im Polizei- und Justizdienst einschlägig sein wird.
Wie auch das aktuell in Deutschland geltende Bundesdatenschutzgesetz (BDSG) ist die DS-GVO dann anwendbar, wenn personenbezogene Daten gespeichert, verarbeitet oder übermittelt werden sollen (Art. 2 Abs. 1 DS-GVO / § 1 Abs. 2 BDSG). Im Gegensatz zum derzeit geltenden Recht werden in Art. 2 Abs. 2 der DS-GVO Fälle aufgezeigt, die nicht unter den Geltungsbereich der Verordnung fallen. Dies ist beispielsweise dann gegeben, wenn die Datenverarbeitung durch eine natürliche Person nur für persönliche oder familiäre Zwecke erfolgt.
Eine weitere Neuerung stellt die Erweiterung des Regelungszwecks durch die DS-GVO dar. Im Gegensatz zum Bundesdatenschutzgesetz weist die DS-GVO zwei Regelungszwecke auf. Das Bundesdatenschutzgesetz bezweckt den Schutz jeder natürlichen Person vor Beeinträchtigungen bzw. Eingriffen in deren Persönlichkeitsrechte, wodurch jede Datenverarbeitung darauf geprüft werden muss, ob eine Verletzung der Persönlichkeitsrechte damit einhergeht. Die Europäische Datenschutzgrundverordnung sieht einen weiteren Regelungszweck vor und schützt daneben auch den freien Datenverkehr. Demzufolge spielen bei der Überprüfung der Angemessenheit einer Datenverarbeitung mit der Einführung der DS-GVO nicht mehr allein persönlichkeitsrechtliche Aspekte, sondern auch wirtschaftliche Aspekte eine Rolle. Dies soll, nach dem Willen des Gesetzgebers, einen Ausgleich bedingen, welcher den Schutz der personenbezogenen Daten innerhalb der EU garantiert und zugleich den freien Datentransfer innerhalb des europäischen Binnenmarktes sicherstellt. Diese Bestrebungen des Gesetzgebers können unter anderem anhand des Aufbaus der EU-Datenschutzgrundverordnung nachvollzogen werden.
Aufbau der Datenschutzgrundverordnung
Während das derzeit in Deutschland geltende Bundesdatenschutzgesetz aus Paragraphen besteht, besteht die EU-Datenschutzgrundverordnung aus Artikeln, was jedoch keinerlei Auswirkungen in Bezug auf die Anwendung der Regelung haben wird. Wesentlich relevanter erscheint der Aspekt der Regelungsdichte der EU-Datenschutzgrundverordnung, welche 99 Artikel in 11 Kapiteln enthält und damit rechnerisch einen doppelt so großen Umfang, wie das Bundesdatenschutzgesetz aufweist. Um einen groben Überblick über die Regelungen der EU-Datenschutzgrundverordnung zu erhalten, sollte ein Blick in das Inhaltsverzeichnis der EU-Datenschutzgrundverordnung geworfen werden:
| Kapitel I | Allgemeine Bestimmungen (Art. 1-4 DS-GVO) |
| Kapitel II | Grundsätze (Art. 5-11 DS-GVO) |
| Kapitel III | Rechte der betroffenen Person (Art. 12-23 DS-GVO) |
| Kapitel IV | Verantwortlicher und Auftragsverarbeiter (Art. 24-43 DS-GVO) |
| Kapitel V | Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen (Art. 44-50 DS-GVO) |
| Kapitel VI | Unabhängige Aufsichtsbehörden (Art. 51-59 DS-GVO) |
| Kapitel VII | Zusammenarbeit und Kohärenz (Art. 60-76 DS-GVO) |
| Kapitel VIII | Rechtsbehelfe, Haftung und Sanktionen (Art. 77-84 DS-GVO) |
| Kapitel IX | Vorschriften für besondere Verarbeitungssituationen (Art. 85-91 DS-GVO) |
| Kapitel X | Delegierte Rechtsakte und Durchführungsrechtsakte (Art. 92-93 DS-GVO) |
| Kapitel XI | Schlussbestimmungen (Art.94-99 DS-GVO) |
Daneben sind den Artikeln 173 Erwägungsgründe vorangestellt, die als Auslegungshilfen fungieren. Diese sollen dazu dienen, die Gedanken des Verordnungsgebers nachzuvollziehen, und sind als Leitfaden sowie Hilfsmittel für die Rechtsfindung zu interpretieren.
Grund für die Harmonisierung des geltenden Rechts durch die DS-GVO
Der Grund für die Einführung der EU-Datenschutzgrundverordnung basiert auf dem Wunsch des Verordnungsgebers, eine Vereinheitlichung der bis dato existierenden unterschiedlichen nationalen Regelungen zu bewirken, die durch die Richtlinie 95/46/EG entstanden sind. Die Richtlinie 95/46/EG, die 1995 eingeführt wurde, gilt nicht unmittelbar in den Mitgliedstaaten der EU. Da eine EU-Richtlinie lediglich als Grundgerüst für oder Mindestanforderung an die Rechtsausformung dient und durch die jeweiligen Mitgliedstaaten in eigenes Recht umzusetzen ist, bestehen keine einheitlichen Rechtsstandards in den europäischen Mitgliedsstaaten. Diese Freiheit in der gesetzlichen Regelung des Datenschutzes führt beispielsweise auch dazu, dass jedes Bundesland in Deutschland sein eigenes Datenschutzgesetz für behördliche Organisationen besitzt. Zudem haben einige Mitgliedstaaten den Schutzbereich des Datenschutzes – richtlinienkonform – auf juristische Personen ausgedehnt, während andere den Schutzbereich auf natürliche Personen beschränken. Die Spielräume, die sich bei der Umsetzung der Richtlinie ergeben führen auch dazu, dass einige Mitgliedsstaaten Gesetze erlassen haben, die jeweils unterschiedlich an den technischen Fortschritt angepasst wurden.
Durch die gesetzgeberischen Freiheiten und die unterschiedlichen nationalen Auslegungen sind so in Europa voneinander abweichende datenschutzrechtliche Schutzstandards entstanden, was bislang wohl weder dem Verbraucher hilft, noch den zumeist international agierenden Unternehmen verbindliche Verhaltensweisen suggeriert. Ebenso unangemessen wie unpraktikabel, ist die derzeit vorherrschende Situation für international tätige Unternehmen, die sich, aufgrund der unterschiedlichen nationalen Gesetzgebungen, mit 28 voneinander abweichenden datenschutzrechtlichen Reglementarien auseinandersetzen müssen. Für Unternehmen, die den Datenschutz ernst nehmen, ergibt sich folglich die Notwendigkeit, nach den jeweils strengsten Datenschutzregelungen (zumeist deutsches Datenschutzrecht) innerhalb der EU zu agieren, um die Konformität ihres Handelns mit den datenschutzrechtlichen Vorgaben weitestgehend zu gewährleisten. Unternehmen, die den Datenschutz nicht so ernst nehmen, wenden sich wiederum den Mitgliedsstaaten mit dem geringsten Datenschutzstandard zu, was den möglichen Schutzansprüchen des Betroffen entgegensteht, sofern dieser gegen datenschutzrechtliche Zuwiderhandlungen durch das Unternehmen gerichtlich vorgehen will. Diese und andere Missstände sollen nun mit Geltung der EU-Datenschutz-Grundverordnung beseitigt werden, indem ein einheitlicher europäischer Datenschutzstandard realisiert werden soll.
Auswirkung der DS-GVO auf das geltende Recht
Mit dem Zeitpunkt der Anwendbarkeit der DS-GVO am 25. Mai 2018 steht die Aufhebung der Richtlinie 95/46/EG fest. Zudem verliert auch das nationale BDSG zunächst seine Geltung. Damit kommt der Wille des europäischen Gesetzgebers zum Ausdruck, einen einheitlichen Datenschutzstandard in der EU zu etablieren. Im Rahmen sogenannter Öffnungsklauseln in der DS-GVO räumt der Gesetzgeber den Mitgliedstaaten jedoch gewisse Spielräume ein.
Beispielsweise heißt es in Art. 88 DS-GVO bezüglich des Beschäftigtendatenschutzes: „Die Mitgliedsstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigungsdaten im Beschäftigungskontext, […] sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Recht und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnis vorsehen.“
Demnach besteht die Möglichkeit gewisse datenschutzrechtliche Belange, wie beim Beschäftigungsdatenschutz, durch nationales Recht zu konkretisieren und weiter auszugestalten. Es ist davon auszugehen, dass der deutsche Beschäftigtendatenschutz, neben anderen datenschutzrechtlichen Fragen, sofern eine Öffnungsklausel vorliegt, erhalten bleibt oder weiter ausgeformt wird. Dies wird in Form einer gesetzlichen Neuregelung durch das Ergänzungsgesetz zur Datenschutzgrundverordnung (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – `kurz`: DSAnpUG-EU) erfolgen, welches im Wesentlichen ein neues Bundesdatenschutzgesetz (BDSG-neu) mit Regelungen zur Umsetzung enthalten wird. Der Bundestag verabschiedete am 27.04.2017 seinen Entwurf des DSAnpUG-EU, dem der Bundesrat am 12.05.2017 zugestimmt hat, sodass die Neuregelung auf Bundesebene gemeinsam mit der DS-GVO am 25.05.2018 in Kraft treten wird. Das DSAnpUG-EU erfährt bereits jetzt einige Kritik, da es Regelungen enthält, die über die Regelungskompetenz des Bundes hinausgehen könnten. Das verabschiedete Gesetz lässt daher einige Fragen offen und wird mittelfristig konkretisiert und ergänzt werden müssen.
Für welche Unternehmen gilt die DS-GVO?
Nach Art. 3 Abs. 1 DS-GVO gilt die Verordnung für alle datenverarbeitenden Unternehmen, die ihren Sitz in der EU haben, unabhängig davon, ob eine Datenverarbeitung in der EU vorgenommen wurde. Weiterhin sind nach Art. 3 Abs. 2 DS-GVO auch Unternehmen betroffen, welche keinen Sitz in einem EU-Mitgliedstaat haben. Voraussetzung dafür ist jedoch, dass sie personenbezogene Daten von EU-Bürgern verarbeiten und die Datenverarbeitung im Zusammenhang damit steht, Produkte oder Dienstleistungen in der EU zu vertreiben oder das Verhalten von EU-Bürgern zu beobachten. Demzufolge knüpft die Regelung der DS-GVO nicht nur an den Niederlassungsort des Unternehmens an, sondern auch an den Aufenthaltsort des Betroffenen. Sofern dieser sich in einem EU-Land aufhält, ist die DS-GVO anzuwenden (sog. Marktortprinzip). Unternehmen, gleich ob diese EU-Unternehmen sind oder nicht, drohen europaweit einheitliche und wesentlich verschärfte Sanktionierungen, sofern diese gegen Vorgaben der DS-GVO verstoßen.
Übergangsphase bis zur DS-GVO – Vorbereitungsphase für Unternehmen und sonstige Organisationen
Bis zur Anwendung der DS-GVO am 25. Mai 2018 gilt weiterhin die derzeit bestehende Rechtslage. Die anfänglich zweijährige Übergangsphase ist bis heute auf ein Jahr geschrumpft. Die Mitgliedstaaten haben nun nur noch ein Jahr Zeit, ihre bestehenden Datenschutzregelungen an die Regelungen der DS-GVO anzupassen. Für Unternehmen und natürlich alle anderen Organisationen und öffentlichen Stellen bedeutet dies, die zwei Jahre bzw. jetzt nur noch 365 Tage sinnvoll zu nutzen, um sich über die neue Rechtslage zu informieren und Vorkehrungen zu treffen. Ziel muss es sein, nicht gegen die neuen Regelungen zu verstoßen sowie interne Abläufe nachhaltig so umzugestalten, dass diese den neuen Datenschutzstandards gerecht werden. Die frühzeitige Einbindung des Datenschutzbeauftragten und des IT-Sicherheitsbeauftragten ist dabei unbedingt zu empfehlen. Sofern Sie einen internen Datenschutzbeauftragten bestellt haben, kann das Hinzuziehen eines Datenschutzberaters ebenso nützlich sein, um den internen Datenschutzbeauftragten, dessen Haupttätigkeit in der Regel nicht der Datenschutz ist, zu unterstützen.
Fazit
Mit der Einführung der DS-GVO strebt der Gesetzgeber eine Vereinheitlichung des Datenschutzstandards an, der für die EU-Mitgliedstaaten und unter gewissen Umständen auch für Nicht-EU-Staaten bindend sein wird. Mit der DS-GVO werden einerseits einige gravierende datenschutzrechtliche Neuregelungen Einzug halten, andererseits werden, durch sogenannte Öffnungsklauseln, auch bewährte nationale Datenschutzregelungen in anderer Form fortbestehen.
Für Unternehmen und auch übrigen Organisationen bringt die DS-GVO viele Veränderungen mit sich, auf die sie sich einstellen müssen. Es empfiehlt sich daher für verantwortliche Stellen frühzeitig entsprechende Vorkehrungen zu treffen, um der neuen Rechtslage gerecht zu werden. Bei der Planung und Gestaltung der notwendigen Maßnahmen sollten der Datenschutzbeauftragte sowie der IT-Sicherheitsbeauftragte eingebunden werden, um einen nahtlosen und erfolgreichen Übergang zur DS-GVO zu gewährleisten.
Sollten Sie weitere Fragen bezüglich der EU-Datenschutzgrundverordnung oder zu anderen Datenschutzproblematiken haben, stehen wir Ihnen gerne mit Rat und Tat zur Seite.
