Ein Anfang ist gemacht
Als EU-Verordnung kann die DSGVO allgemeine Geltung in der EU nach Art. 288 Abs. 2 Satz 1 AEUV beanspruchen und ist in allen Teilen verbindlich, Art. 288 Abs. 2 Satz 2 AEUV. Mittlerweile haben Liechtenstein, Norwegen und Island die DSGVO in das EWR-Abkommen aufgenommen, sodass die Verordnung auch in diesen Ländern anwendbar ist (die Schweiz ist dem EWR nicht beigetreten).
Gleichwohl: Die bestehenden oder neu erlassenen deutschen Regelungen gelten unverändert weiter. Die EU hat keine Kompetenz zur Außerkraftsetzung des nationalen Rechts. Allerdings genießt die DSGVO im Konfliktfall einen Anwendungsvorrang. Nochmal: keinen Geltungsvorrang! Die Grenze des Anwendungsvorrangs wird bei einer Veränderung der Identitätsmerkmale der deutschen Verfassung gesehen (BVerfG v. 6. Juni 2010, 2 BvR 2661/06, Ultra-vires-Kontrolle Honeywell).
Eine Anwendung nationalen Rechts ist gleichwohl nicht ausgeschlossen, etwa durch explizite Öffnungsklausel in der DSGVO (so z. B. für den „Beschäftigungskontext“: Art. 88 DSGVO i. V. m. § 26 BDSG). Daneben bestehen implizite Regelungsspielräume (z. B. Art. 22 DSGVO, MS Maßnahmen zum Profiling), die Möglichkeit der Präzisierung unbestimmter Rechtsbegriffe, der Konkretisierung von DSGVO-Vorgaben oder der Ergänzung unvollständiger Regelungen. Es kommt also zu einer „Gemengelage“ zwischen DSGVO und nationalem Datenschutzrecht. Daher muss sehr genau, und zwar Norm für Norm betrachtet werden, ob die in Frage stehende Regelung anwendbar ist.
Es bleibt noch viel zu tun
Das BDSG und die LDSG liegen bereits vor. Wenig hat sich leider im dritten Bereich getan, den sogenannten bereichspezifischen Datenschutznormen. Diese verstecken sich in den unterschiedlichsten Gesetzen und müssen mindestens an die neuen Begriffe der Verordnung, zuweilen aber auch inhaltlich an das neue Regelungsregime angepasst werden. Die meisten Gesetze werden mit dem Referentenentwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 angepasst.
Dabei darf die Bündelung nicht missverstanden werden. Für den Gesetzgeber ist die Anpassung der vielen nationalen Datenschutznormen aus unterschiedlichen Kontexten eine heikle Aufgabe. Dies zeigen schon die teilweise sehr präzisen Änderungswünsche der Verbände. Die Anpassung soll gleichwohl Rechtssicherheit schaffen und nicht etwa das Datenschutzrecht renationalisieren.
Bei alldem darf nicht verschwiegen werden, dass weder über Art. 88 DSGVO, § 26 BDSG hinausgehende Regelungen zum Beschäftigtendatenschutz vorgesehen sind, noch der nach Art. 85 DSGVO Auftrag angenommen wurde, Klarheit in der Frage der datenschutzrechtlichen Zulässigkeit von Bildaufnahmen jenseits privater und journalistischer Zwecke zu bringen.
Gerade das Fehlen konkreter Regeln zu diesem in der Praxis überragend wichtigem Thema der Zulässigkeit von Bildaufnahmen brennt den Verantwortlichen und deren Beratern förmlich unter den Nägeln. Da das persönliche Abbild ein personenbezogenes Datum ist, wäre nach allgemeiner Regelung der DSGVO schon das Filmen oder Fotografieren eine Datenerhebung, die die Informationspflichten nach Art. 13 DSGVO auslösen würde.
Daran würde sich im Übrigen auch nichts ändern, wenn man das Kunsturhebergesetz (KUG) für weiterhin voll anwendbar hielte. Die Fragestellung zeigt auch, dass Sachverhalte, die bisher nach klaren Rechtsregeln beurteilt werden konnten, plötzlich neue „Nebenwirkungen“ zeitigen, oft unpraktikable. Sinnvolle und sachkundige Klarstellungen des Gesetzgebers wären hier eine wirkliche Wohltat für alle. Der Datenschutz bleibt also spannend …
Quelle: Der Wirtschaftsführer für junge Juristen 2018/2019 S. 59 f.
