Im vergangenen April ist die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) durch das EU-Parlament beschlossen worden und am 25.05.2016 in Kraft getreten. Das Ziel: ein einheitlich hohes Datenschutz-Niveau in allen EU-Mitgliedstaaten.

Text Peter Schaar

Datenschutz ist ein europäisches Grundrecht. Artikel 8 der EU-Grundrechtecharta garantiert jeder Person das „Recht auf Schutz der sie betreffenden personenbezogenen Daten“. Die von den EU-Gremien mit großen Mehrheiten beschlossene Datenschutzgrundverordnung soll diese Grundsätze mit Leben füllen, indem sie für alle im Europäischen Wirtschaftsraum tätigen Akteure gleiche Bedingungen beim Umgang mit personenbezogenen Daten festlegt. Die Rechtsangleichung soll zudem den freien Datenverkehr zwischen den Mitgliedstaaten fördern und damit zur Schaffung eines digitalen, europaweiten Binnenmarkts beitragen.

WAS IST DAS ZIEL DER EU-DATENSCHUTZ-GRUNDVERORDNUNG?

Die Datenschutzreform soll gewährleisten, dass die Grundrechte der EU-Bürger effektiv geschützt werden. Zugleich soll sie verhindern, dass die europäische Digitalwirtschaft im internationalen Wettbewerb auf der Strecke bleibt, wenn sich europäische Unternehmen an strikte datenschutzrechtliche Vorgaben halten müssten, während die Konkurrenz aus Übersee weiterhin praktisch unbegrenzt persönliche Daten anhäufen dürfte. Immer deutlicher war zudem in den vergangenen Jahren geworden, dass das datenschutzrechtliche Gefälle multinationale Konzerne geradezu einlud, sich in den Mitgliedstaaten mit den geringsten Anforderungen anzusiedeln („forum shopping“). Die Harmonisierung des Datenschutzrechts und verbindliche Vorgaben auch gegenüber Unternehmen aus Drittstaaten bilden deshalb die Kernelemente der Reform. Für Google, Facebook und die Deutsche Telekom sollen dieselben Datenschutzregeln gelten, unabhängig davon, ob sich ihre Konzernzentralen in Palo Alto, Dublin oder Bonn befinden.

Ein weiteres Ziel ist die Aufwertung des Datenschutzes in den Unternehmen, denn die Nichtbefolgung der Datenschutzregeln wird zukünftig richtig teuer. Verstöße können mit Bußgeldern in Höhe von bis zu vier Prozent des jeweiligen Weltjahresumsatzes (zum Vergleich: das maximale Bußgeld nach dem Bundesdatenschutzgesetz beträgt derzeit 300.000 Euro) geahndet werden.

WAS ÄNDERT SICH DURCH DIE NEUEN REGELN AUF EU-EBENE?

An Stelle der 28 nationalen Datenschutzgesetze gilt in der gesamten EU nach Ablauf einer zweijährigen Übergangsfrist ab dem 25. Mai 2018 ein einheitliches Datenschutzgesetz. Bis dahin müssen die Mitgliedstaaten die rechtlichen und tatsächlichen Bedingungen für die Anwendung der Datenschutzgrundverordnung schaffen. In erster Linie geht es dabei um die Anpassung bzw. die Streichung nationaler Rechtsvorschriften, die im Widerspruch zur Verordnung stehen. Zudem müssen die nationalen Gesetzgeber dafür sorgen, dass die europarechtlichen Vorgaben dort konkretisiert werden, wo dies in der Verordnung ausdrücklich vorgesehen ist: Dies betrifft insbesondere die Verarbeitung personenbezogener Daten durch öffentliche Stellen, aber auch den Ausgleich zwischen Datenschutz und Meinungsfreiheit.

Zeitgleich mit der Grundverordnung haben die EU-Gremien eine Richtlinie verabschiedet, die Mindestgarantien für die Verarbeitung personenbezogener Daten durch Polizei- und Justizbehörden vorsieht. Ferner hat die Kommission einen Konsultationsprozess zum Datenschutz bei elektronischen Kommunikationsdiensten angestoßen, der die Grundlagen für die Überarbeitung der sogenannten ePrivacy-Richtlinie im Jahr 2017 liefern soll. Auch andere EU-Rechtsakte mit Datenschutzbezug müssen überprüft und an den neuen Rechtsrahmen angepasst werden.

Viele EU-Institutionen sammeln und verarbeiten Daten aus den Mitgliedstaaten und bereiten sie auf, etwa das Statistikamt (Eurostat) oder das Europäische Polizeiamt Europol. Diese EU-Organe sind zwar vom Geltungsbereich der Datenschutzgrundverordnung ausgenommen. Trotzdem besteht auch hier erheblicher Änderungsbedarf, um den Grundrechtsschutz zu gewährleisten.

WAS ÄNDERT SICH DURCH DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG IN DEUTSCHLAND?

Die Grundverordnung tritt in den Mitgliedstaaten unabhängig davon in Kraft, ob die nationalen Gesetzgeber ihre „Hausaufgaben“ gemacht haben. Gesetzgeberische Untätigkeit würde allerdings zu großen Rechtsunsicherheiten führen, die unbedingt vermieden werden müssen. Das Bundesministerium des Innern (BMI) hat deshalb eine auf zwei Phasen aufgeteilte grundlegende Überarbeitung des deutschen Datenschutzrechts angekündigt. In einem ersten Schritt sollen die unbedingt erforderlichen Gesetzesänderungen stattfinden, weitere Änderungen sollen erst in der kommenden, 2017 beginnenden Legislaturperiode erfolgen. Zur ersten Phase soll die Ausgestaltung der Befugnisse der Datenschutzaufsichtsbehörden gehören. Auch die Austarierung des Datenschutzes mit der Meinungs- und Informationsfreiheit zählt das BMI zum Pflichtprogramm, ferner die heute in Paragraf 32 Bundesdatenschutzgesetz enthaltenen Regeln zum Beschäftigtendatenschutz und die Bestimmungen zu den betrieblichen Datenschutzbeauftragten.

Das BMI ist der Auffassung, dass die bereichsspezifischen Datenschutzbestimmungen zunächst nicht geändert werden müssten. Diese Position ist risikoreich: Auch dort, wo weiterhin nationale Regelungsspielräume bestehen, muss die Einhaltung der europäischen Standards gewährleistet sein. Dies gilt etwa für das Sozialgesetzbuch, in dem die Regelungen des Bundesdatenschutzgesetzes praktisch gedoppelt sind. Es ist kaum vorstellbar, dass diese unverändert Bestand haben können, ohne bei den Rechtsanwendern unlösbare Auslegungsschwierigkeiten auszulösen.
Schließlich müssen auch die Landesgesetzgeber tätig werden, denn die europarechtlichen Vorgaben gelten ebenfalls für öffentliche Stellen der Länder. Angepasst werden müssen außerdem die Bestimmungen für den Medienbereich, für den die Länder die ausschließliche Gesetzgebungskompetenz besitzen.

WELCHE REGELUNGSSPIELRÄUME VERBLEIBEN DEN MITGLIEDSSTAATEN?

Auch nach Verabschiedung der Datenschutzreform verbleiben nationale Regelungsspielräume. Dies gilt insbesondere für die Datenschutzrichtlinie für Polizei- und Justizbehörden. Hier können die Mitgliedstaaten über die europarechtlichen Anforderungen hinausgehen und strengere Regeln für die Datenverarbeitung dieser Behörden festlegen. Aber auch im Anwendungsbereich der Datenschutzgrundverordnung verbleiben den nationalen Gesetzgebern Spielräume: Sie können in verschiedenen Bereichen die Vorgaben der Verordnung konkretisieren, vor allem für den Schutz von Beschäftigten-, Sozial- und Gesundheitsdaten, bei den betrieblichen Datenschutzbeauftragten, beim Medien-Datenschutz und bei der Normierung der staatlichen Datenverarbeitung.

Auf den ersten Blick laufen nationale Sonderregeln dem mit der Reform verfolgten Ziel einer EU-weiten Vereinheitlichung des Datenschutzes entgegen. Europa kann und wird jedoch nicht erfolgreich sein, wenn es die europäischen und nationalen Rechtsordnungen für lange Zeit festbetoniert und nationale Entscheidungsspielräume auf null reduziert. Rechtsordnungen müssen sich weiterentwickeln und neuen Gegebenheiten und Erkenntnissen Rechnung tragen. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat gefordert, die von der Datenschutz-Grundverordnung eingeräumten nationalen Spielräume im Sinne eines möglichst hohen Datenschutzniveaus zu nutzen. Wem an einem zukunftsfähigen Datenschutz gelegen ist, der kann diese Position nur unterstützen.

WAS BEDEUTET DIE EU-DATENSCHUTZ-VERORDNUNG FÜR DIGITALE GESCHÄFTSMODELLE?

Der europäische Gesetzgeber hat dem Druck aus der Internetwirtschaft widerstanden, die Grundsätze der Erforderlichkeit und Zweckbindung aufzugeben. Personenbezogene Daten dürfen dementsprechend auch in Zukunft grundsätzlich nur verarbeitet werden, soweit dies zur Erfüllung eines legitimen Zwecks erforderlich ist. Dabei müssen die Interessen der für die Verarbeitung verantwortlichen Stellen gegen die Interessen der Betroffenen am Schutz ihrer Daten abgewogen werden.

Zugleich enthält die Datenschutzgrundverordnung Vorgaben zur datenschutzgerechten Technikgestaltung. Insbesondere bei sensiblen Daten und bei der Verarbeitung großer Datenbestände müssen sich die Unternehmen damit auseinandersetzen, welche Folgen die Verarbeitung für den Datenschutz hat (Datenschutz-Folgeabschätzung). Sie müssen technisch sicherstellen, dass Risiken vermieden und durch geeignete technische Verfahren minimiert werden. In diesem Zusammenhang kommt der Anonymisierung und der Verwendung von Pseudonymen an Stelle der Identifikationsdaten wichtige Bedeutung zu.

Die bei datenzentrierten Geschäftsmodellen vielfach geforderte Pauschaleinwilligung der Nutzer in alle möglichen Verwendungen ihrer Daten ist in Zukunft unwirksam. Unternehmen müssen die Zwecke, in die eingewilligt wird („opt in“), sehr viel genauer umschreiben, und sie müssen den Betroffenen eine echte Wahlmöglichkeit einräumen, ob und inwieweit sie mit der Nutzung der Daten einverstanden sind. Schließlich werden Unternehmen, die Daten „im Auftrag“ Dritter verarbeiten, etwa Cloud-Dienste, sehr viel stärker in die Pflicht genommen.

WIE KANN DIE NEUE VERORDNUNG VON DATENSCHUTZ-INSTITUTIONEN ANGEWANDT WERDEN?

Die Datenschutzbehörden können die unzulässige Datenverarbeitung untersagen und empfindliche Bußgelder verhängen. Sie sind zur gegenseitigen Information und Unterstützung verpflichtet und sie können gemeinsame grenzüberschreitende Prüfungen durchführen. Die Datenschutzbehörden jedes Mitgliedstaates entsenden einen Vertreter in den Europäischen Datenschutzausschuss, der über streitige Fragen der Auslegung der Grundverordnung entscheidet. Noch nicht geklärt ist, wie aus dem Kreis der Datenschutzbeauftragten des Bundes und der Länder der deutsche Vertreter für den Europäischen Datenschutzausschuss bestimmt wird.

Die Bürger können sich an jede Datenschutzbehörde wenden – auch wenn sich ihre Beschwerde gegen ein ausländisches Unternehmen richtet. Die Datenschutzbehörden leiten die Beschwerde an die zuständige Datenschutzbehörde weiter. So bleibt es den Bürgern erspart, ihre Rechte gegebenenfalls in fremder Sprache in einer ausländischen Rechtsordnung durchsetzen zu müssen. Die in verschiedenen Mitgliedstaaten tätigen Unternehmen sollen primär mit der federführenden Datenschutzbehörde korrespondieren, die sich gegebenenfalls mit anderen, ebenfalls zuständigen Datenschutzbehörden abstimmt („one stop shop“).

Alle Datenschutzbehörden bekommen ein Klagerecht, etwa bei schweren Datenschutzverstößen, die als Straftaten geahndet werden, und sie unterliegen selbst der gerichtlichen Überprüfung, wenn Betroffene oder Unternehmen gegen ihre Entscheidungen klagen.

IllustratioN: storm/Fotolia