18.05.2017

Datenschutz in der Mehrebenenfalle

Portrait von Winfried Veil
Winfried Veil

Das Mehrebenensystem der EU ist kompliziert. Mit der Datenschutz-Grundverordnung (DS-GVO) erreicht diese Komplexität einen neuen Höhepunkt. Denn neben der DS-GVO sind weiterhin nationale Datenschutzgesetze der EU-Mitgliedstaaten erforderlich (hierzu bereits "One continent, one data protection law?").

Man muss die Rechtstexte immer nebeneinander legen - eine nicht nur für Laien oder gelegentliche Rechtsanwender äußerst mühsame Übung. Daher hier zur Arbeitserleichterung alle Regelungen des BDSG-neu und der DS-GVO an einem Ort auf einen Blick:

BDSG-neu und DS-GVO in einem Dokument

Hintergrund

Am 12. Mai 2017 stimmte der Bundesrat dem Datenschutz-Anpassungs- und Umsetzungsgesetz-EU (DSAnpUG-EU) zu. Damit ist der Weg frei für die Anpassung des deutschen Datenschutzrechts an die Vorgaben der Datenschutz-Grundverordnung. Deutschland ist damit der erste EU-Mitgliedstaat, der die gesetzlichen Grundvoraussetzungen für die Geltung der DS-GVO geschaffen hat.

Erste Entwürfe für das nationale Anpassungsgesetz gibt es mittlerweile auch aus Österreich und Irland.

Zur Erinnerung: Die DS-GVO ist vor knapp einem Jahr in Kraft getreten. Gelten wird sie jedoch erst ab dem 25. Mai 2018. Zwei Jahre haben die datenschutzrechtlich Verantwortlichen somit Zeit, um ihre Datenverarbeitungsprozesse an die neuen Vorgaben anzupassen. Zwei Jahre haben auch die nationalen Gesetzgeber Zeit, um ihr jeweiliges Datenschutzrecht anzupassen. Und der Anpassungsbedarf ist riesig:

  • Die DS-GVO enthält viele zwingend vom nationalen Gesetzgeber zu erfüllende Regelungsaufträge.
  • Der DS-GVO widersprechendes nationales Datenschutzrecht muss aufgehoben werden.
  • Das nationale Recht darf auch den Wortlaut der DS-GVO grundsätzlich nicht wiederholen.
  • Die DS-GVO enthält ca. 70 Öffnungsklauseln, die den Mitgliedstaaten Gestaltungsspielraum (vgl. EG 10 DS-GVO: "margin of manoeuvre") geben.
  • Die Richtlinie 2016/680 zur Datenverarbeitung durch Polizei und Justiz muss ebenfalls umgesetzt werden.

Streit zwischen der EU-Kommission und den Mitgliedstaaten über die Reichweite der Öffnungsklauseln und damit über den Gestaltungsspielraum der Mitgliedstaaten ist vorprogrammiert. Teilweise wird die Existenz von Öffnungsklauseln sogar ganz geleugnet. Allenfalls in engen Grenzen seien Spezifizierungen zulässig (vgl. z.B. Albrecht/Wybitul).

Dem wird von anderen die Lückenhaftigkeit und Ausfüllungsbedürftigkeit vieler Regelungen der DS-GVO entgegengehalten. Die DS-GVO wird daher auch als "Hybrid" (Kühling/Martini), "Zwitter" bzw. "Richtlinie im Gewand einer Verordnung" (Roßnagel) oder auch als "DiRegulation" bezeichnet.

Die Terminologie der DS-GVO selbst ist uneinheitlich. Zulässig sind im nationalen Recht zusätzlich zur DS-GVO:

  • Spezifizierungen (z.B. Art. 6 Abs. 2)
  • Rechtsgrundlagen für die Erstverarbeitung (Art. 6 Abs. 3)
  • Rechtsgrundlagen für die Weiterverarbeitung (Art. 6 Abs. 4)
  • Rechtsgrundlagen für die Verarbeitung sensibler Daten (Art. 9 Abs. 2 lit. b, g, h, i, j und Art. 10)
  • Schaffung entgegenstehender rechtlicher Verpflichtungen (z.B. Art. 17 Abs. 3 lit. b oder Art. 18 Abs. 2)
  • Rechtsgrundlagen für automatisierte Einzelentscheidungen (Art. 22 Abs. 2 lit. b)
  • Beschränkungen der Betroffenenrechte (z.B. Art. 23 Abs. 1)
  • Abweichungen (z.B. Art. 85 Abs. 2)
  • Ausnahmen (z.B. Art. 89 Abs. 2 und 3)
  • das In-Einklang-Bringen des Datenschutzrechts mit anderen Grundrechten (Art. 85 Abs. 1 und 90 Abs. 1)
  • Präzisierungen (EG 8)

Von diesen zahlreichen, rechtspolitisch notwendigen Flexibilitätsklauseln hat der deutsche Gesetzgeber im BDSG-neu nur sehr zurückhaltend Gebrauch gemacht. Mit Blick auf die zu erwartende Rechtsetzungstätigkeit der anderen Mitgliedstaaten und den sich abzeichnenden Streit über die Auslegungen der Öffnungs-, Spezifizierungs-, Verstärkungs- und Abschwächungsklauseln muss man aber mit Nikolaus Forgó wohl feststellen: "Nach dem Spiel ist vor dem Spiel."

 

Zurück