Rechtliches

Neues EU-Datenschutzrecht überstimmt deutsches Datenschutzrecht – Teil 1

© bluedesign - Fotolia.com

Ab dem 25.5.2018 überstimmt das neue europäische Datenschutzrecht das deutsche Recht. Ziel ist eine bessere Harmonisierung im Datenschutzrecht auf EU-Ebene. Teil 1 des Artikels wirft einen Blick auf die Entwicklung des europäischen Datenschutzrechtes und arbeitet erste Details zu den maßgeblichen Änderungen heraus

Harmonisiertes europäisches Datenschutzrecht

Das umfangreiche und ausdifferenzierte deutsche Datenschutzrecht hat über den 25.5.2018 hinaus keinen Bestand mehr. Jenen, die diesem Umstand nachtrauern, möge es ein Trost sein, dass das Bundesdatenschutzgesetz (BDSG) mit etlichen Regeln, z.B. dem Datenschutzbeauftragten, Vorbild für die europaweit gültige Verordnung war und daraus die neue Datenschutz-Grundverordnung (DSGVO) entstand. Dank intensiver deutscher Beteiligung am Entstehungsprozess, wird die neue EU-Verordnung hier nicht als Fremdkörper wahrgenommen, andere Länder dürften dies durchaus so empfinden.

Für Deutschland gilt, dass sich die bisherige Datenschutzpraxis nur mäßig verändert. Es gibt jedoch neue Rechtsgrundlagen die ab dem 25.5.2018 ihre Anwendung finden. Gesetzliche Regelungen, Kommentare, Einführungen und Zusammenfassungen zum Deutschen Datenschutzrecht sind mit einem Schlag Historie. Wenn es eine Lehre aus dem Brexit gibt, dann die, dass die Bürger und Unternehmen spürbarer von der EU profitieren müssen. Die Neuregelung zielt in diese Richtung.

Was ist passiert?

1995 ist europaweit die Datenschutzrichtlinie (DSRL) in Kraft getreten. Es ist die Vorgängerin der Datenschutz-Grundverordnung. Als „Richtlinie“ hatte die DSRL keine unmittelbare Anwendbarkeit in Deutschland, sie wurde lediglich vom deutschen Gesetzgeber in der nationalen Gesetzgebung berücksichtigt. Jedes Land der europäischen Union hat diesen Prozess vollzogen, mit der Konsequenz, dass die Datenschutzregelungen in Europa stark inhomogen sind.

Am 25.5.2016 trat die neue Datenschutz-Grundverordnung in Kraft, vier Jahre wurden um die darin enthaltenen Formulierungen gerungen. Nach einer zweijährigen Frist ist sie gemäß Artikel 99 II DSGVO am 25.5.2018 unmittelbar anzuwenden. Mit dem Ziel einer besseren europäischen Harmonisierung im Datenschutzrecht wurde anstelle einer „Richtlinie“ eine „Verordnung“ gewählt, die unmittelbar in den EU-Mitgliedsstaaten gilt.

In der zweijährigen Frist hat der nationale deutsche Gesetzgeber die Aufgabe, ein BDSG-Nachfolgegesetz zu beschließen. Hierfür sind Öffnungsklauseln und auch konkrete Aufträge zur Regelung auf nationaler Ebene in die DSGVO eingearbeitet. Da die Legislaturperiode des Deutschen Bundestags nur noch bis September 2017 währt, ist dies ein sportliches Zeitfenster. Stemmt der Gesetzgeber diese Herausforderung nicht, würden die Wiedersprüche zwischen der DSGVO und der BDSG zu Rechtsunsicherheit führen und Defizite bei Umsetzung und Kontrolle im Datenschutz provozieren.

Welche Änderungen wird es geben?

Schon jetzt sind die wesentlichsten Änderungen in der DSGVO bekannt:

           · Möglichkeiten der Zweckänderung

Zweckänderungen bei der Verarbeitung personenbezogener Daten sind möglich, wenn hierfür eine Rechtsgrundlage besteht und die Zweckänderung nicht mit dem ursprünglichen Erhebungszweck unvereinbar ist. Diese Rückkopplung auf den Erhebungskontext war zwar bereits in der DSRL angelegt, wurde aber bis jetzt nicht in die deutschen Regelwerke übernommen. Ziel dieser Regelung ist, dass die personenbezogenen Daten eines Betroffenen nicht für Zwecke genutzt werden, mit denen er bei der Erhebung gar nicht rechnen musste.

· Informationspflichten

Finden eben genannte Zweckänderungen statt, besteht die Pflicht Betroffene über die Veränderung des Verarbeitungszweckes vorab zu informieren. Die neuen Informationspflichten gehen dabei inhaltlich weit über die bislang vorgesehenen Pflichten hinaus und sehen folgende Informationsinhalte vor: Name des Verantwortlichen, Kontaktdaten des/der Datenschutzbeauftragten, Zweck der Verarbeitung sowie Rechtsgrundlage, Hinweise auf Widerspruchsrecht und Absicht der Drittlandübermittlung mit Hinweis auf die Rechtsgrundlage und Zulässigkeit der Drittlandübermittlung.

· Dokumentationspflichten

Im Gegensatz zum BDSG müssen nun auch Auftragsverarbeiter ein Verfahrensverzeichnis anlegen. Die Pflicht, das Verfahrensverzeichnis Jedermann auszuhändigen, entfällt. Anstelle von Jedermann tritt die Aufsichtsbehörde, die das Verzeichnis auf Anforderung erhalten können muss. In diesem Verzeichnis sind neben dem Zweck der Verarbeitung Löschfristen, Empfänger sowie Abwägungsgründe sowie technische und organisatorische Schutzmaßnahmen aufzuführen.

Für die Erstellung dieser Verzeichnisse sind Ausnahmen definiert. Unternehmen mit weniger als 250 Mitarbeitern sind befreit, sofern die Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder die Verarbeitung nicht besonderer Datenkategorien gemäß Artikel 9 Abs. 1 DSGVO unterliegt bzw. die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikel 10 DSGVO einschließt.

 

Hinweis der Redaktion: Lesen Sie mehr in Teil 2 des Beitrages.

 

Quellen:

-VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz Grundverordnung). Verfügbar unter: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE (26.07.2016)

-Schantz, Peter. Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht. In: Neue Juristische Wochenschrift, 26/2016, Seite 1841-1847. München. Verlag C.H.Beck.

-Kühling, Jürgen; Martini, Mario. Die Datenschutz Grundverordnung. Revolution oder Evolution im europäischen und deutschen Datenschutz. In EuZW, Heft 12/2016, Seite 448-454. München. Verlag C.H.Beck.