Presseinformation des Vorsitzes der Datenschutzkonferenz 2018 – Zeitwende im Datenschutz – Neues Datenschutzrecht: Vorsicht, aber keine Panik!

Presseinformation des Vorsitzes der Datenschutzkonferenz, Vorsitz 2018: Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Zeitenwende im Datenschutz – Neues Datenschutzrecht: Vorsicht, aber keine Panik!

Ab heute ist die europäische Datenschutz-Grundverordnung anzuwenden. Mit ihr treten das neue Bundesdatenschutzgesetz und zahlreiche Ländergesetze in Kraft.

Der selbst gesetzte Anspruch der Verordnung ist hoch: stärkere Datenschutzrechte der etwa 510 Millionen Bürgerinnen und Bürger der Europäischen Union auf der einen Seite. Auf der anderen Seite soll der freie Verkehr personenbezogener Daten im in einer der größten Volkswirtschaft der Welt aus Gründen des Datenschutzes weder eingeschränkt noch verboten werden.

Die Verordnung muss nunmehr beweisen, ob sie in diesem Spannungsverhältnis bestehen wird. Vom ersten Kommissionsentwurf vor über sechs Jahren, über die Veröffentlichung am 4. Mai 2016 und zuletzt verstärkt auf der Zielgeraden hin zur Anwendung wurde über die Verordnung viel diskutiert.

Ein reformiertes Datenschutzrecht ist aber gerade in Zeiten von Big Data und der Digitalisierung richtig und wichtig, um der Gefährdung der Freiheit der Menschen, über ihre Daten selbst zu bestimmen, entgegenzuwirken.

Im Rahmen der Verordnung müssen Vereine jedoch auch weiter ihre unverzichtbaren gesellschaftlichen Aufgaben erfüllen und Unternehmen wettbewerbsfähige Geschäftsmodelle der Zukunft entwickeln können.

Datenschutz-Grundverordnung und Bundesdatenschutzgesetz
Die Europäische Datenschutz-Grundverordnung wird direkt anwendbares Recht und ersetzt damit weitgehend das deutsche Datenschutzrecht. Nationale Regelungsspielräume bestehen nur noch in einem begrenzten Umfang. Das neue Bundesdatenschutzgesetz setzt einzelne Regelungsaufträge der Verordnung um und schafft ergänzende Vorschriften dort, wo Öffnungsklauseln der Verordnung es erlauben. Es tritt zeitgleich in Kraft.

Beispiel Datenschutzbeauftragte: Die Verordnung erlaubt es, die Pflicht zur Benennung eines Datenschutzbeauftragte in nationalen Ausführungsgesetzen auf weitere Stellen auszudehnen. Der Bundesgesetzgeber hat diesen Regelungsspielraum im neuen Bundesdatenschutzgesetz genutzt, um die Pflicht zur Benennung von betrieblichen Datenschutzbeauftragte dem in Deutschland bestehenden „Status quo“ anzupassen.

Sanktionen und Beratung
Im Vordergrund der Debatte stehen häufig die Befürchtungen, dass Verstöße gegen die Verordnung in Zukunft mit Geldbußen in Millionenhöhe geahndet werden können. Unerwähnt bleibt dabei oft, dass die Verordnung den Aufsichtsbehörden einen „Werkzeugkasten“ in die Hände gegeben hat, um jeden Einzelfall datenschutzrechtlicher Missstände angemessen zu beheben. Geldbußen sind darin nur eine von vielen Möglichkeiten. An erster Stelle steht die Beratung. Auch von Sanktionen werden die Aufsichtsbehörden Gebrauch machen – jedoch mit Augenmaß. Für die konkrete Bestimmung der Höhe eines Bußgeldes wird eine Vielzahl von Aspekten einzubeziehen sein: Art, Schwere und Dauer des Verstoßes, aber auch, ob und wie mit den Aufsichtsbehörden zusammengearbeitet wurde, um Verstößen abzuhelfen, und ob diese eigenständig mitgeteilt wurden.

Europäischer Datenschutzausschuss und Datenschutzkonferenz
Die nationalen Datenschutzbehörden werden in einem neuen Format zusammenarbeiten: Der Europäische Datenschutzausschuss soll gewährleisten, dass die Rechtsauslegung europaweit vereinheitlicht wird. Im Einzelfall werden seine Entscheidungen verbindlich sein. Die Datenschutzkonferenz wird in Deutschland auch in Zukunft schwerpunktmäßig praxisgerechte Auslegungs- und Anwendungsfragen zur Verordnung klären. Eine Übersicht über ihre Entschließungen und Orientierungshilfen sind hier abrufbar:

https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Entschliessungen_Datenschutzkonferenz/index.php

Als besonders hilfreich haben sich die Kurzpapiere erwiesen – Ausführungen der Datenschutzkonferenz, wie nach ihrer Auffassung die Verordnung im praktischen Vollzug zu besonders praxisrelevanten Themen angewendet werden sollte. Von der Praxis besonders gefragt sind die Kurzpapiere Datenschutzbeauftragte (Nr. 12), Beschäftigtendatenschutz (Nr. 14), Videoüberwachung (Nr. 15) und insbesondere der Maßnahmenplan „DS-GVO“ für Unternehmen (Nr. 8). Die Kurzpapiere sind hier abrufbar:

https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/Kurzpapiere-der-Datenschutzkonferenz-zur-DS-GVO.html.

Helga Block, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen und Vorsitzende der Datenschutzkonferenz: „Die Forderungen an die Aufsichtsbehörden, Klarheit in strittige Auslegungs- und Anwendungsfragen der Datenschutz-Grundverordnung zu bringen, sind berechtigt. Diese Auslegungen stehen jedoch unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses.“

Datenschutzreform vollendet?
Die neue Verordnung spricht viele Themen an, ohne sie explizit zu regeln. Insbesondere im Hinblick auf die elektronische Kommunikation soll die ePrivacy-Verordnung die Datenschutz-Grundverordnung präzisieren und ergänzen. Die ePrivacy-Verordnung wird das deutsche Telekommunikationsgesetz und Telemediengesetz in der bisherigen Form teilweise ersetzen, bzw. auch hier wird eine Anpassung des deutschen Gesetzgebers notwendig sein. Mit dem Inkrafttreten im Jahr 2018 ist jedoch nicht mehr zu rechnen. Die derzeit herrschenden Unklarheiten müssen schnell mit klaren Gesetzen beseitigt werden.

Datenschutzkonferenz
Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.