Im Mai 2018 wird die neue Datenschutz-Grundverordnung wirksam. Deutschland muss sich bis dahin von den gewohnten Regeln des Bundesdatenschutzgesetzes verabschieden, ganz verloren geht es jedoch nicht. Ulrich Wuermeling mit dem Überblick.
Der Zeitplan für die Umsetzung der europäischen Datenschutzreform ist anspruchsvoll: Unternehmen bleibt nur noch ein gutes Jahr, um die neuen Vorgaben umzusetzen. Weitere Übergangsfristen bietet die Verordnung nicht. Die Bundesregierung ist gleichzeitig gefordert, denn sie muss vor dem Ende der Frist ein Umsetzungsgesetz durch den Gesetzgebungsprozess bringen. Dazu hat sie Anfang Februar einen Gesetzentwurf vorgelegt, theoretisch könnte das Gesetz noch in dieser Legislaturperiode verabschiedet werden. Die ersten politischen Reaktionen auf den Entwurf lassen aber keinen schnellen Ablauf erwarten.
Der Gesetzentwurf besteht zum größten Teil aus Vorschriften, die Sonderregelungen für die öffentliche Verwaltung schaffen. Der Datenschutz in der Privatwirtschaft wird sich hingegen weitgehend nach der Datenschutz-Grundverordnung (DSGVO) richten. Die Bundesregierung hat aber einige interessante Modifikationen im Sinn, die den Anpassungsaufwand an die strengen und bürokratischen Anforderungen der DSGVO in Deutschland etwas abmildern würden.
Außerdem möchte die Bundesregierung ein paar liebgewordene deutsche Regelungen des Bundesdatenschutzgesetzes konservieren. Dazu gehören die Vorschriften zum betrieblichen Datenschutzbeauftragten, Beschäftigtendatenschutz und Scoring. Die EU-Verordnung lässt hierzu etwas Spielraum, den der deutsche Gesetzgeber nutzen möchte.
Nur wenige, dafür wichtige Änderungen für Unternehmen
Das noch gültige Bundesdatenschutzgesetz verpflichtet jedes Unternehmen, in dem mindestens zehn Personen ständig personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten zu bestellen. Auf europäischer Ebene ist das aber nicht vorgesehen, die DSGVO verpflichtet Unternehmen nur in Ausnahmefällen zur Bestellung von Datenschutzbeauftragten. Mit dem von der Bundesregierung beabsichtigten Erhalt dieser typisch deutschen Regelung werden auch relativ kleine Unternehmen in Deutschland weiterhin einen Datenschutzbeauftragten bestellen müssen.
Für die Verarbeitung von Beschäftigtendaten sieht die DSGVO ebenfalls einen weiten nationalen Spielraum vor. Der wird vermutlich dazu führen, dass das europäische Harmonisierungsziel der Verordnung in diesem Bereich nicht erreicht wird. Die Bundesregierung macht den Anfang, denn ihr Gesetzentwurf übernimmt weitgehend die geltende deutsche Regelung zum Beschäftigtendatenschutz. Damit wird das Thema jedoch nicht abgeschlossen sein. In der nächsten Legislaturperiode könnte ein eigenständiges Beschäftigtendatenschutzgesetz für Deutschland kommen: Es liegt seit langer Zeit in der Schublade und wartet auf eine Bundesregierung, die das Thema anpacken will.
Bonitätsauskünfte werden im Gesetzentwurf ebenfalls in Anlehnung an das bestehende Gesetz geregelt. Ob dafür tatsächlich nationaler Umsetzungsspielraum besteht, kann mit guten Gründen bezweifelt werden, die Bundesregierung will es dennoch versuchen. Im Gesetzentwurf ist es ihr aber noch nicht ganz gelungen, die alten deutschen Vorschriften in den Kontext der Verordnung einzuarbeiten.
2/2: DSGVO mit strengen Auflagen
Die DSGVO enthält sehr bürokratische Anforderungen an die Einholung von Einwilligungen. Daran lässt sich im Rahmen der nationalen Umsetzung nichts ändern. Die Bundesregierung hat aber eine Reihe von Konstellationen identifiziert, bei denen das geltende Bundesdatenschutzgesetz keine Einwilligung verlangen würde, die DSGVO hingegen schon. Im Rahmen der Umsetzung will der Gesetzgeber deshalb der der deutschen Rechtslage näher zu kommen, indem er etwa den sogenannten Zweckbindungsgrundsatz lockert. Ähnlich ist die Bundesregierung bei den Transparenzpflichten vorgegangen. Teilweise werden Ausnahmen des geltenden deutschen Rechts weiter geführt, so zum Beispiel im Fall von späteren Zweckveränderungen oder bei der Videoüberwachung.
Unzutreffend ist der laut gewordene politische Vorwurf, die Bundesregierung würde mit ihrem Entwurf eine Absenkung des Datenschutzniveaus vorschlagen. Es besteht kein Zweifel daran, dass die DSGVO das Datenschutzniveau in Deutschland im Vergleich zum geltenden Bundesdatenschutzgesetz anhebt. Die Bundesregierung schlägt nur vor, diese Anhebung an einzelnen Stellen nicht zu stark ausfallen zu lassen. Von einer Absenkung des bestehenden Datenschutzniveaus kann hingegen keine Rede sein.
Vertretung im europäischen Datenschutzausschuss umstritten
Wichtige Entscheidungen zum Datenschutz soll künftig ein europäischer Datenschutzausschuss treffen. Deutschland darf aber nur einen Platz im Ausschuss besetzen, den der Bundesdatenschutzbeauftragte einnehmen soll. In Deutschland wird die Privatwirtschaft jedoch im Wesentlichen durch Datenschutzbehörden der Länder beaufsichtigt, die ebenfalls auf europäischer Ebene Gehör finden wollen. Das könnte zu einem politischen Zankapfel im Gesetzgebungsverfahren werden, der Bundesrat wird im Zweifel eigene Vorschläge zu der Frage einbringen.
Die Bundesregierung schlägt als Entgegenkommen vor, dass die Länder einen Vertreter für die Bundesbeauftragte stellen können und vor der Entscheidung angehört werden. Das reicht den Datenschutzbehörden in den Ländern jedoch nicht, sie wollen mitentscheiden können.
Der europäische Datenschutzausschuss ist vor allem dafür zuständig, dass die DSGVO nach einheitlichen Grundsätzen ausgelegt wird. Dafür kann sie Leitlinien beschließen und in Einzelfällen Konflikte zwischen Datenschutzbehörden lösen. Nicht einmal innerhalb von Deutschland gab es bisher einen solchen formalisierten Mechanismus, weshalb es Anwendungsunterschiede sogar zwischen den Bundesländern hierzulande gibt. Der europäische Datenschutzausschuss wird deshalb nicht nur europaweit, sondern auch innerdeutsch die Aufsichtspraxis harmonisieren.
Umsetzungsprozess mit DSGVO lange nicht beendet
Für Unternehmen können die Entscheidungen des europäischen Datenschutzausschusses von großer Bedeutung sein. Die Vergangenheit zeigt, dass die Datenschutzbehörden auf europäischer Ebene zu einer strengen Auslegung des Datenschutzrechts neigen. Die Verordnung sieht keine Beteiligungsrechte von betroffenen Unternehmen an den Entscheidungsprozessen des Ausschusses vor - Streit ist damit vorprogrammiert. Hinnehmen müssen direkt betroffene Unternehmen die Entscheidungen aber nicht, sie können sogar unmittelbar vor der ersten Instanz des Europäischen Gerichtshofes (EuGH) klagen. Außerdem können nationale Gerichte dem EuGH Fragen im Rahmen eines Vorabentscheidungsgesuchs zur Auslegung der Verordnung vorlegen.
Was am Ende gilt, wird das oberste europäische Gericht entscheiden. Die Europäische Kommission war in der Zwischenzeit ebenfalls nicht tatenlos: Im Januar hat sie einen Vorschlag für eine Verordnung vorgeschlagen, der die Verarbeitung von Daten im Zusammenhang mit elektronischer Kommunikation regelt. Das europäische Umsetzungsprojekt wird deshalb noch lange nicht am 25. Mai 2018 beendet sein.
Prof. Dr. Ulrich Wuermeling ist Rechtsanwalt bei Latham & Watkins LLP und auf datenschutzrechtliche Beratung und Prozessführung spezialisiert.
Prof. Dr. Ulrich Wuermeling, Regierungsentwurf zur Umsetzung der DSGVO: Spielraum genutzt, wo es nur geht . In: Legal Tribune Online, 13.02.2017 , https://www.lto.de/persistent/a_id/22071/ (abgerufen am: 28.04.2024 )
Infos zum Zitiervorschlag