Datenschutz-Grundverordnung seit 25. Mai 2018 geltendes Recht

Unmittelbare Wirkung auf EU-Mitgliedstaaten und damit auf über 500 Millionen Bürger

[datensicherheit.de, 26.05.2018] Anlässlich des endgültigen Inkraftretens der EU-DSGVO am 25. Mai 2018 hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) in einer Stellungnahme das zentrale Anliegen der DSGVO unterstrichen: Dieses bestehe darin, mit Hilfe eines „zeitgemäßen und europaweit einheitlichen Datenschutzregimes die Grundrechte auf Privatheit der Bürger und die Interessen der Industrie“ – insbesondere an der Nutzung personenbezogener Daten – in einen konstruktiven Ausgleich zu bringen. Ein weiteres Ziel sei es, technikneutrale Regelungen zu schaffen, um sich nicht in einen gesetzgeberischen Wettlauf mit der technischen Entwicklung zu begeben, bei der der Daten- und damit der Persönlichkeitsschutz Gefahr liefe, dauerhaft hinterher zu hinken.

Marktortprinzip, Recht auf Vergessenwerden und Datenportabilität

Wesentliche neue Regelungsaspekte der DSGVO seien das Marktortprinzip, das Recht auf Vergessenwerden und die Datenportabilität, die etwa den Wechsel zwischen Diensteanbietern erleichtern soll, weil alle eine Person betreffenden Daten auf Verlangen in einem gängigen elektronischen Format bereitgestellt und herausgegeben werden müssten.
Nach dem Marktortprinzip gelten demnach die Regelungen der DSGVO für alle Unternehmen weltweit, sofern sie ihre Waren oder Dienstleistungen auch in der EU anbieten. Um es Betroffenen zu erleichtern, ihre Rechte geltend zu machen, sei nach dem Prinzip des „one stop shop“ in der DSGVO künftig eine koordinierte Zusammenarbeit der europäischen Datenschutzaufsichtsbehörden festgelegt, damit sich die Bürger ohne administrative Hindernisse oder Sprachbarrieren an die Aufsichtsbehörde im eigenen (Bundes-)Land wenden können und diese gegebenenfalls die Kommunikation mit Unternehmen in und außerhalb Deutschlands übernimmt. Technisch-organisatorische Vorgaben der DSGVO – wie „privacy by design“ oder „privacy by default“ – schrieben verantwortlichen Unternehmen vor, bereits bei der Entwicklung eines Produkts oder eines Dienstes Anforderungen des Datenschutzes zu berücksichtigen, beispielsweise durch datenschutzfreundliche Voreinstellungen.

LfDI: Befugnisse angemessen, aber auch konsequent anwenden!

Prof. Dr. Dieter Kugelmann (LfDI) hat nach eigenen Angaben die zwei Jahre von Inkrafttreten bis zum Wirksamwerden der DSGVO „intensiv genutzt“: „Meine Behörde hat durch die DSGVO mehr Verantwortung und ein differenzierteres aufsichtliches Instrumentarium erhalten. Wir haben uns auf das Wirksamwerden der DSGVO gut vorbereitet und werden die Befugnisse angemessen, aber auch konsequent anwenden. Zudem werden wir durch die DSGVO viel stärker als bisher im europäischen Kontext arbeiten.“
Die Vorbereitungen des LfDI auf den 25. Mai 2018 und die Zeit danach „galten und gelten im weit höheren Maße denjenigen, die die neuen Datenschutzregelungen anwenden müssen“, und insbesondere deren Beratung und Unterstützung. Mit zahlreichen Informationsveranstaltungen in ganz Rheinland-Pfalz und mit einer Vielzahl von Handreichungen – etwa zum Datenschutz im Unternehmen, in der Arztpraxis, im Verein oder rund um personenbezogene Daten und Werbung – bietet der LfDI Informationen für die praktische Anwendung.

Kugelmann rät zur Gelassenheit

Hinsichtlich der in den letzten Wochen teilweise zu beobachtenden Aufregung in Bezug auf die Datenschutz-Grundverordnung rät Kugelmann zur Gelassenheit: „Uns haben unzählige Anfragen erreicht, ob nun eine Abmahnwelle drohe oder ob die Datenschutzaufsichtsbehörden künftig horrende Bußgelder verhängen würden. Wir Datenschützer können nicht in die Zukunft sehen. Unser Augenmerk liegt aber auf der Durchsetzung der datenschutzrechtlichen Standards, nicht auf der Verhängung von Sanktionen. Allerdings schrecken wir davor auch nicht zurück, wenn wir von erheblichen Verstößen erfahren. Der Schwerpunkt wird zunächst auf der Bearbeitung von Beschwerden liegen.“
Hinzu träten Abfragen bei Gruppen von Verantwortlichen nach dem Stand der Umsetzung in ihrem Verantwortungsbereich. Untersuchungen vor Ort dürften in gewissem Umfang erforderlich sein. Das vielfältige Instrumentarium, das neben der Beratung etwa Verwarnungen, Anweisungen oder Geldbußen enthält, werde man „in verhältnismäßiger und effektiver Weise nutzen“. So wolle und werde man seine Aufgaben erfüllen und den DSGVO-Bestimmungen zur Durchsetzung verhelfen.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Materialien zur Datenschutzgrundverordnung / Umsetzung der Datenschutz-Grundverordnung in Unternehmen und Verwaltungen

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018