Mitautor: Christian Frerix*
Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung
Im Dezember 2015 haben sich EU-Kommission, EU-Parlament und EU-Ministerrat nach vierjährigem Hin und Her auf eine Reform des Datenschutzrechts geeinigt. Das Ergebnis ist die unter dem leicht einprägsamen Namen erarbeitete „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ (kurz: EU-Datenschutzgrundverordnung, noch kürzer: DSGVO). Nachdem jüngst auch das Europäische Parlament zugestimmt hat, ist die DSGVO am 04. Mai 2016 im EU-Amtsblatt veröffentlicht worden und damit 20 Tage später am 25. Mai 2016 in Kraft getreten.
Was?! In Kraft getreten?! Himmel! Schon? Und jetzt?! Und wieso wird erst heute darüber gebloggt!? Ganz ruhig. Alles ist gut. Und zwar einfach aus dem folgenden Grund: Die DSGVO ist zwar schon seit dem 25. Mai 2016 in Kraft, jedoch entfaltet sie gemäß Artikel 99 Absatz 2 DSGVO erst zwei Jahre nach dem Inkraftreten der Verordnung ihre Wirkung.
Folglich haben Unternehmen von nun an bis Mai 2018 zwei Jahre Zeit, ihre Datenverarbeitungsprozesse an die neuen gesetzlichen Rahmenbedingungen anzupassen. Sich angesichts dieser Übergangsfrist bis zum Februar 2018 mit geschlossenen Augen zurückzulehnen, könnte sich aber als äußerst unvorteilhaft erweisen. Denn aufgrund der vielen neuen Regelungen und Anforderungen sowie der stark erhöhten Bußgeldandrohungen sollten Unternehmen besser jetzt beginnen, sich mit den kommenden Veränderungen im Umgang mit personenbezogenen Daten vertraut zu machen, um die Übergangszeit konstruktiv und ohne Hektik nutzen zu können.
Dieser Beitrag ist nur der Auftakt einer kleinen Serie, mit der wir in (unregelmäßig) regelmäßigen Abständen die DSGVO in kleinen, verdaulichen Häppchen, aufbereiten und so die Änderungen, mit denen Unternehmen konfrontiert werden, aufzeigen. Wir starten zunächst mit einem groben Überblick und gehen dann nach und nach auf Neuerungen und Änderungen im Vergleich zur jetzigen Rechtslage ein. Das Augenmerk soll dabei insbesondere auf die Änderungen im Vergleich zum Bundesdatenschutzgesetz (BDSG) und die sich daraus für Unternehmen ergebenden Folgen gelegt werden.
Für all diejenigen, die der DSGVO mit einer gewissen Skepsis entgegensehen, gibt es vorweg gute und schlechte Nachrichten: Die auch als „Datenschutzrecht der Zukunft“ (*hust *röchel) bezeichnete DSGVO ist/wird aus deutscher Datenschutzperspektive in vielerlei Hinsicht mit der bisherigen Rechtslage dem Grunde nach durchaus vergleichbar sein. Nichtsdestotrotz werden aus Unternehmenssicht etliche Prüfungen der bisherigen Datenverarbeitungen und der damit zusammengehörigen Dokumentationen vor dem Hintergrund der neuen Normen und damit auch Anpassungen notwendig sein. Aufgrund der bisherigen strengen deutschen Datenschutzgesetze werden die Anpassungen für deutsche Unternehmen aber weit geringer sein, als für viele andere europäische Unternehmen. Zumindest, wenn Sie die bisherigen Standards beachtet haben. Und das haben Sie doch, nicht wahr? (*hüstel),
Tja, was davon jetzt die guten Nachrichten sind, hängt wohl vom Auge des Betrachters ab.
Aber beginnen wir nun einmal von vorn. Mit dieser ominösen DSGVO:
Ist eine Neuregelung überhaupt nötig?
Ja. Die bisher in Europa geltenden Datenschutzgesetze gehen zurück auf die EU-Datenschutzrichtlinie aus dem Jahr 1995 (Richtlinie 95/46/EG). Da Richtlinien aber nicht unmittelbar wirken, müssen sie von jedem Mitgliedstaat umgesetzt werden. Das führte dazu, dass alle Mitgliedstaaten eigene Datenschutzgesetze erlassen haben, die mehr oder weniger an den technischen Fortschritt angepasst wurden oder werden. In Deutschland begann die Umsetzung mit der Novellierung des BDSG im Jahr 2001. Aus der individuellen Gesetzgebung und –anwendung durch die Mitgliedstaaten entwickelte sich ein uneinheitlicher Schutzstandard in Europa, der weder den Verbrauchern half noch den datenverarbeitenden Unternehmen sinnvoll verbindlich zur Seite stand. Schließlich machen Daten bekanntermaßen nicht vor den Grenzen der Mitgliedstaaten Halt. Und so müssen sich europaweit tätige Unternehmen mit 28 verschiedenen Datenschutzgesetzen auseinandersetzen. Das führte dazu, dass sich Unternehmen, die den Datenschutz ernst nahmen, in der Regel am deutschen Datenschutzrecht, dem strengsten der EU, orientierten. Die, die das nicht so eng sahen, nun ja… Lange Rede kurzer Sinn: Ein unsinniger Flickenteppich, bei dem ständig die Frage war „Was gilt denn jetzt wo und wann eigentlich?!“ Ganz zu schweigen von Unternehmen, die ihre Dienste von von außerhalb der EU anbieten. Und möchten sich Verbraucher gerichtlich gegen datenverarbeitende Unternehmen wehren, so war auch dies bislang wenig vielversprechend, erst recht, wenn das betreffende Unternehmen seinen Sitz schlicht in den Mitgliedstaat mit dem geringsten Datenschutzstandard verlegte. Diese und viele weitere Missstände sollen durch die DSGVO beseitigt werden. Der Flickenteppich soll ausdienen.
(Ob das auch wirklich immer der Fall sein wird, nun, das werden wir im Laufe der Artikelreihe sehen…)
Was ist die DSGVO?
Wie der Name schon sagt, handelt es sich hierbei um eine Verordnung. Der erste Unterschied zur noch geltenden Rechtslage liegt also bereits in dem gewählten Rechtsakt. Während die Datenschutzrichtlinie – wie jede andere Richtlinie auch – nur die wesentlichen Grundzüge regelt und die Detailregelungen per Gesetz durch die einzelnen Mitgliedstaaten erfolgen, hat die Verordnung allgemeine Geltung. Das heißt, dass sie in allen Teilen verbindlich ist und unmittelbar in jedem Mitgliedstaat gilt (Anwendungsvorrang gegenüber nationalem Recht). Anders gesagt: Das, was dort geregelt wird, gilt in dieser Form dann in jedem Mitgliedstaat. Nationale Regelungen, die den Regelungen der DSGVO entgegenstehen, dürfen dann nicht angewendet werden.
Was passiert mit bisher geltendem Recht?
Klar ist, dass die bisherige Datenschutzrichtlinie (Richtlinie 95/46/EG) mit Anwendung der DSGVO im Jahr 2018 aufgehoben wird. Klar ist weiter, dass die DSGVO zwar den Flickenteppich beseitigen soll. Dennoch räumt die DSGVO den Mitgliedstaaten über sogenannte Öffnungsklauseln eigene Umsetzungsspielräume ein.
So heißt es zum Beispiel in Art. 88 DSGVO zum Beschäftigtendatenschutz schlicht „Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, […] sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.“
Damit ist davon auszugehen, dass der „deutsche“ Beschäftigtendatenschutz sowie etliche andere datenschutzrechtliche Fragestellungen, für die Öffnungsklauseln vorgesehen sind, in irgendeiner Form erhalten bleiben. Aber ob es sich um Anpassungen der bisherigen Gesetze (beim Beschäftigtendatenschutz: § 32 BDSG) oder aber um komplette Neuregelungen mit neuen Namen drauf – etwa „Ergänzungsgesetz zur Datenschutzgrundverordnung“ oder ähnlich Schönes – handeln wird, das weiß zum jetzigen Zeitpunkt noch niemand.
Weitere Öffnungsklauseln gibt es u.a. in Bezug auf das Einwilligungsalter von Jugendlichen (Art. 8 Abs. 1 DSGVO), bezüglich sensitiver Daten (Art. 9 Abs. 4 DSGVO) oder hinsichtlich der Benennung von Datenschutzbeauftragten (Art. 37. Abs. 4 DSGVO).
Fakt ist, der Datenschutz wird in diesen Fällen also weiterhin nicht ganz aus einem ganz Guß sein und der besagte Flickenteppich nicht in Gänze verschwinden. Wobei – schlimmer als zuvor kann es ja eigentlich nicht werden. (Hoffen wir jedenfalls mal.)
Was gilt zwischen dem Inkrafttreten Mitte 2016 und der Anwendung ab 2018?
Wie eingangs gesagt, gilt die jetzt (noch) bestehende Rechtslage bis Mai 2018. Wie sich aus dem vorgehenden Abschnitt hier ergibt, wird die zweijährige Übergangsphase vor allem dafür benötigt, dass die Mitgliedsstaate ihre bisherigen nationalen Datenschutzgesetze mit der DSGVO in Einklang bringen, d.h. die Gesetze auf eine Vereinbarkeit mit der DSGVO prüfen und an die neue Rechtslage anpassen müssen.
Was bedeutet die Übergangsphase für Unternehmen?
Wie ebenfalls schon gesagt, sollten Unternehmen diese Zeit sinnvoll nutzen, sich informieren und vorbereiten sowie – soweit notwendig – interne Abläufe an die neuen Standards und Verpflichtungen anpassen. Je nach Art und Umfang können die rechtlichen Veränderungen intern nämlich umfangreiche Betriebsumstellungen erfordern, zu deren Erfüllung zwei Jahre durchaus knapp bemessen sein könnten. Auf diese Anforderungen gehen wir insbesondere im vierten Teil dieser Serie ein.
Für welche Unternehmen gilt die DSGVO?
Eines der erklärten Hauptziele ist, dass in allen Mitgliedstaaten der EU ein gleicher Datenschutzstandard hergestellt werden soll. Das schlägt sich auch in Art. 3 Abs. 1 DSGVO nieder, wonach die DSGVO Anwendung findet auf alle datenverarbeitenden Unternehmen, die ihren Sitz in der EU haben. Das gilt unabhängig davon, ob die Daten auch in der EU verarbeitet werden. Die Vergangenheit hat gezeigt, dass das allein jedoch nicht ausreichen würde. Deshalb regelt Art. 3 Abs. 2 darüber hinaus, dass die DSGVO auch über die EU-Grenzen hinaus für Unternehmen gelten soll, die ihren Sitz nicht in einem EU-Staat haben. Voraussetzung ist aber, dass sie Daten von EU-Bürgern verarbeiten und ihre Produkte und Dienstleistungen in der EU anbieten oder das Verhalten von EU-Bürgern beobachten. Damit wird nicht mehr nur an den Niederlassungsort, sondern auch an den Ort angeknüpft, an dem sich der Betroffene aufhält. Ist dies ein EU-Land, so kommt die DSGVO zur Anwendung („Marktortprinzip“). Halten sich die Unternehmen – gleich ob EU- oder Nicht-EU-Unternehmen – nicht an die Regelungen der DSGVO, so drohen nun europaweit einheitliche Sanktionen.
Was regelt die DSGVO?
Die Datenschutzgrundverordnung regelt die Datenverarbeitung im gesamten privaten und öffentlichen Bereich. Nicht von der Regelung erfasst ist die Verarbeitung durch Polizei, Justiz und Behörden für Inneres. Dieser Bereich wird in der mit der DSGVO gleichzeitig verhandelten Richtlinie für den Datenschutz im Polizei- und Justizbereich geregelt.
Regelungsgegenstand der DSGVO ist nach Art. 2 Abs. 1 die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie […] die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Im Vergleich zur jetzigen Rechtslage ergibt sich daraus nichts Neues. Neu ist jedoch, dass in Abs. 2 Fälle geregelt werden, in denen die Verordnung nicht anwendbar ist. So gilt die DSGVO bspw. nicht, wenn die Datenverarbeitung durch natürliche Personen für ausschließlich persönliche oder familiäre Tätigkeiten erfolgt. Neu ist aber auch – und das ist für das Gesamtverständnis nützlich –, dass die DSGVO im Vergleich zum BDSG zwei Regelungszwecke enthält. Während das BDSG den Einzelnen vor einer Beeinträchtigung des Persönlichkeitsrechts schützt und jegliche Datenverarbeitung an diesem gemessen werden muss, schützt die DSGVO darüber hinaus auch den freien Datenverkehr. Neben dem persönlichkeitsrechtlichen Aspekt spielen also auch wirtschaftliche Gesichtspunkte eine entscheidende Rolle. Damit soll mit der DSGVO von vornherein ein Ausgleich zwischen dem Schutz von personenbezogenen Daten innerhalb der Europäischen Union und dem freien Datenverkehr innerhalb des Europäischen Binnenmarktes sichergestellt werden. Dieses Bestreben zeigt sich sowohl inhaltlich als auch im Aufbau der DSGVO. (Das klingt theoretisch ganz toll. Praktisch… nun ja, wir werden sehen. In den nächsten Artikeln und in diesem wahren Leben, wenn nämlich Leben in die DSGVO kommt).
Wie ist die DSGVO aufgebaut?
Im Vergleich zum BDSG muss man sich in Zukunft sowohl sprachlich als auch hinsichtlich des Regelungsumfangs etwas umstellen. Während das BDSG seine Regelungen in „Paragraphen“ enthält, sind es in der DSGVO „Artikel“. Besonderheiten ergeben sich daraus aber nicht. Was den Regelungsumfang betrifft, hat die DSGVO ordentlich zugelegt. Mit 99 Artikeln in elf Kapiteln enthält sie mehr als doppelt so viele Vorschriften wie das BDSG. Zum Zweck der Groborientierung schadet daher ein kurzer Blick auf die Inhaltsübersicht der DSGVO nicht:
Kapitel I: Allgemeine Bestimmungen (Art. 1-4)
Kapitel II: Grundsätze (Art. 5-11)
Kapitel III: Rechte der betroffenen Person (Art. 12-23)
Kapitel IV: Verantwortlicher und Auftragsverarbeiter (Art. 24-43)
Kapitel V: Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen (Art. 44-50)
Kapitel VI: Unabhängige Aufsichtsbehörden (Art. 51-59)
Kapitel VII: Zusammenarbeit und Kohärenz (Art. 60-76)
Kapitel VIII: Rechtsbehelfe, Haftung und Sanktionen (Art. 77-84)
Kapitel IX: Vorschriften für besondere Verarbeitungssituationen (Art. 85-91)
Kapitel X: Delegierte Rechtsakte und Durchführungsrechtsakte (Art. 92-93)
Kapitel XI: Schlussbestimmungen (Art. 94-99)
Als wäre das nicht schon genug, werden den Kapiteln 173 Erwägungsgründe vorangestellt. Dabei handelt es sich jedoch nicht um weitere Vorschriften, sondern um Auslegungshilfen. Diese vermitteln die hinter den Artikeln stehenden Gedanken der Verordnungsgeber und sollen bei der Auslegung der Artikel durch Gesetzgebung und Rechtsprechung herangezogen werden – und sind damit auch für uns Anwälte und die betroffenen Unternehmen eine Hilfestellung.
Fazit
Für den Moment halten wir damit fest, dass mit der DSGVO eine erforderliche, alle EU-und u.U. auch Nicht-EU-Staaten bindende, aber aus diesem Grund auch umfangreiche Neuregelung des Datenschutzrechts erfolgt. Es ist davon auszugehen, dass durch die Öffnungsklauseln die nationalen Datenschutzregelungen nicht gänzlich untergehen werden. Ob, wie und in welchem Umfang sich nationale Regelungen mit der DSGVO vertragen werden, welche bleiben, welche gehen und welche am Ende vielleicht dennoch für unanwendbar erklärt werden, steht noch in den Sternen.
Fest steht aber schon jetzt, dass die Regelungen der DSGVO gerade für Unternehmen viele Veränderungen mit sich bringen. Es empfiehlt sich daher, bereits frühzeitig – also in der Übergangsphase – Informationen zur Anpassung der internen Betriebsabläufe an die neuen rechtlichen Gegebenheiten einzuholen und die notwendigen Schritte vorzubereiten. Welche Änderungen auf die Unternehmen im Einzelnen zukommen, das werden wir in den nachfolgenden Beiträgen der Reihe nach thematisieren.
In diesem Sinne,
bis zur nächsten Ausgabe zur „EU-Datenschutzgrundverordnung!
*Der Jurist Christian Frerix promoviert derzeit an der Universität Hamburg und war daneben bis November 2017 in der Anwaltskanzlei Diercks (vormals: im Hamburger Büro von Dirks & Diercks Rechtsanwälte) als Jurist tätig.
Bisher in der Reihe zur DSGVO außerdem erschienen:
Teil 2 – Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt.
Teil 5 – Die Pflichten der Unternehmen, genau genommen: Informationspflichten und Auskunftspflichten
Teil 6 – Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO)
Teil 8 – Der Datenschutzbeauftragte unter der DSGVO
Teil 9 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – I