Zeitenwende: Neues Datenschutzrecht gebietet Vorsicht, aber keine Panik

Noch herrschende Unklarheiten müssten schnell mit klaren Gesetzen beseitigt werden, fordert die LDI NRW

[datensicherheit.de, 26.05.2018] In seiner Stellungnahme zum endgültigen Inkrafttreten der DSGVO weist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) auf einen ambitionierten Anspruch hin: Zum einen sollen für über 500 Millionen EU-Bürger stärkere Datenschutzrechte durchgesetzt werden, auf der anderen Seite soll der freie Verkehr personenbezogener Daten in einer der größten Volkswirtschaft der Welt weder eingeschränkt noch verboten werden.

Bewährungsprobe für die DSGVO

Die DSGVO müsse nunmehr beweisen, ob sie in diesem Spannungsverhältnis bestehen wird. Ein reformiertes Datenschutzrecht sei gerade in Zeiten von „Big Data“ und der Digitalisierung richtig und wichtig, um der Gefährdung der Freiheit der Menschen, über ihre Daten selbst zu bestimmen, entgegenzuwirken.
Im Rahmen der Verordnung müssten aber Vereine auch weiter ihre „unverzichtbaren gesellschaftlichen Aufgaben“ erfüllen und Unternehmen „wettbewerbsfähige Geschäftsmodelle der Zukunft“ entwickeln können.

Deutsches Datenschutzrecht weitgehend ersetzt

Die DSGVO ist nun „direkt anwendbares Recht und ersetzt damit weitgehend das deutsche Datenschutzrecht“. Nationale Regelungsspielräume bestünden nur noch in einem begrenzten Umfang. Das neue Bundesdatenschutzgesetz setze einzelne Regelungsaufträge der Verordnung um und schaffe ergänzende Vorschriften dort, wo Öffnungsklauseln der Verordnung es erlauben – es sei zeitgleich in Kraft getreten.
Die Verordnung erlaube es z.B., die Pflicht zur Benennung eines Datenschutzbeauftragte in nationalen Ausführungsgesetzen auf weitere Stellen auszudehnen. Der Bundesgesetzgeber habe diesen Regelungsspielraum im neuen Bundesdatenschutzgesetz genutzt, um die Pflicht zur Benennung von betrieblichen Datenschutzbeauftragte dem in Deutschland bestehenden Status quo anzupassen.

Aufsichtsbehörden haben „Werkzeugkasten“ für Sanktionen

Im Vordergrund der Debatte stehen laut LDI NRW häufig die Befürchtungen, dass Verstöße gegen die Verordnung in Zukunft mit Geldbußen in Millionenhöhe geahndet werden können. Unerwähnt bleibe dabei oft, dass die Verordnung den Aufsichtsbehörden einen „Werkzeugkasten“ in die Hände gegeben habe, um jeden Einzelfall datenschutzrechtlicher Missstände angemessen zu beheben – Geldbußen seien darin nur eine von vielen Möglichkeiten. An erster Stelle steht die Beratung.
Auch von Sanktionen würden die Aufsichtsbehörden Gebrauch machen – jedoch mit Augenmaß. Für die konkrete Bestimmung der Höhe eines Bußgeldes werde eine Vielzahl von Aspekten einzubeziehen sein: „Art, Schwere und Dauer des Verstoßes, aber auch, ob und wie mit den Aufsichtsbehörden zusammengearbeitet wurde, um Verstößen abzuhelfen, und ob diese eigenständig mitgeteilt wurden.“

Europäischer Datenschutzausschuss und Datenschutzkonferenz

Die nationalen Datenschutzbehörden würden in einem neuen Format zusammenarbeiten: Der Europäische Datenschutzausschuss solle gewährleisten, dass die Rechtsauslegung europaweit vereinheitlicht wird. Im Einzelfall würden seine Entscheidungen verbindlich sein.
Die Datenschutzkonferenz werde in Deutschland auch in Zukunft schwerpunktmäßig praxisgerechte Auslegungs- und Anwendungsfragen zur Verordnung klären.

Die Vorsitzende der Datenschutzkonferenz, Helga Block (LDI NRW): „Die Forderungen an die Aufsichtsbehörden, Klarheit in strittige Auslegungs- und Anwendungsfragen der Datenschutz-Grundverordnung zu bringen, sind berechtigt. Diese Auslegungen stehen jedoch unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses.“

ePrivacy-Verordnung soll DSGVO präzisieren

Die DSGVO spreche viele Themen an, ohne sie explizit zu regeln. Insbesondere im Hinblick auf die elektronische Kommunikation solle die ePrivacy-Verordnung die Datenschutz-Grundverordnung präzisieren und ergänzen. Sie werde das deutsche Telekommunikationsgesetz und Telemediengesetz in der bisherigen Form teilweise ersetzen, bzw. werde auch hier eine Anpassung des deutschen Gesetzgebers notwendig sein.
Mit dem Inkrafttreten im Jahr 2018 sei jedoch nicht mehr zu rechnen. Die derzeit herrschenden Unklarheiten müssten schnell mit klaren Gesetzen beseitigt werden.

Weitere Informationen zum Thema:

LDI NRW
Entschließungen der Datenschutzkonferenz

LDI NRW
Kurzpapiere: EU-Datenschutzreform

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018