Das neue Datenschutzrecht

Das neue Bundesdatenschutzgesetz ist verabschiedet. Mit Wirkung zum 25.5.2018 hebt das Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) das alte Bundesdatenschutzgesetz auf und ändert das Datenschutzrecht im Sozialgesetzbuch. Die Neuregelungen werfen zahlreiche neue Anwendungsfragen insbesondere im Anwendungsbereich der Datenschutz-Grundverordnung auf. Zudem ist in Teil III des neuen Bundesdatenschutzgesetzes in Umsetzung der Richtlinie EU 2016/680 der Bereich des Datenschutzes bei Polizei, Justiz und allen Gefahrenabwehrbehörden neu geregelt.

 

Der Einführungsband zum neuen Recht informiert die Praxis frühzeitig über alle Neuregelungen. Kapitel für Kapitel werden die entscheidenden Regelungen des neuen BDSG hinsichtlich ihres Regelungsgehalts ausführlich untersucht und mit den DSGVO-Regelungen verglichen. Der Anwender erkennt auf einen Blick, welche Vorränge bestehen, nach welchen Anwendungsregeln neues Bundesdatenschutzgesetz und Datenschutz-Grundverordnung funktionieren und wie Freiräume genutzt werden können.

 

Schwerpunkte der Darstellung:

  • die Grundsätze des Datenschutzes
  • die Rechte und Rechtsbehelfe der betroffenen Personen
  • die Pflichten der Verantwortlichen
  • die Datenschutzaufsicht
  • die Datenverarbeitung im öffentlichen Bereich und
  • der Datenschutz in der Wirtschaft

Herausgeber und Autoren sind anerkannte Datenschutzrechtsexperten. 
(Auszug aus dem Werbetext des Verlags.)

Das neue Datenschutzrecht

Europäische Datenschutz-Grundverordnung und deutsche Datenschutzgesetze

Herausgegeben von Prof. Dr. Alexander Roßnagel

1. Auflage 2018, 477 S., Broschiert, 

ISBN 978-3-8487-4411-4

Preis: 58,00 Euro

Vorbemerkungen

Der Herausgeber hat sich zusammen mit den Mitgliedern der „provet“ (Projektgruppe verfassungsverträglicher Technikgestaltung“ und in Kooperation diverser Projekte die Aufgabe vorgenommen, die äußerst komplizierte Situation des kommenden Datenschutzrechts aufzuarbeiten, um das neue Recht „besser zu verstehen, mögliche Streitfälle in der Praxis zu vermeiden und die Datenschutzgesetzgebung zu unterstützen“. Er stellt bereits im Vorwort klar, dass durch die EU-DSGVO kein europaweit einheitliches, modernes Datenschutzrecht befördert wird, sondern genau das Gegenteil erreicht wird: Durch die „mehr als 70 Öffnungsklauseln“, die von nationalen Gesetzgebern ausgefüllt werden müssen, werden die Betroffenen hilflos fragend von der Verordnung und den diversen Gesetzen stehen und sich nur mühsam die Antworten für ihre jeweilige Praxis suchen müssen.

 

Mit diesem kritischen Ansatz stehen die Autor/innen dieses Buches nicht allein, sondern reihen sich in den allgemeinen Tenor der Kommentare zum neuen Datenschutzrecht ein. Ihr Weg, etwas mehr Klarheit zu schaffen, besteht in der Zusammenschau aller aktuell geltenden Rechtsnormen in acht thematisch orientierten Kapiteln des Buches. Abschließend gibt der Herausgeber einen Ausblick auf die notwendige Weiterentwicklung des europäischen Datenschutzrechts.

 

Die Kritik des Herausgebers richtet sich vorrangig auf die ungünstige Herangehensweise der Europäischen Kommission, die versucht hat, die 28 sehr spezifischen Datenschutzregelungen der Mitgliedstaaten „durch wenige abstrakte und weitgehend unbestimmte Regelungen ersetzen zu wollen“. Das Ergebnis sind „risikoneutrale“ Regelungen, die zudem die drängendsten Datenschutzprobleme unbeachtet lassen. Der von der Kommission eingebrachte Entwurf wurde durch das Europäische Parlament und den Europäischen Rat in vielen Punkten verbessert, jedoch fehlte aus Zeitdruck die stimmige Überarbeitung des Ganzen, so der Herausgeber. Dies hat seiner Ansicht nach auch sein Gutes: Auf der Grundlage des neuen Rechts kann experimentiert werden, national können risikoadäquate Regelungen entwickelt werden, eine Modernisierung des Datenschutzrechts kann auf diese Weise doch noch auf den Weg gebracht werden.

Kapitel 1 – Einleitung. Das künftige Datenschutzrecht in Europa

Der Ursprung dieser komplizierten Regelung wird nachgezeichnet, indem der politische Prozess, wie er sich in Europa abspielt, dargestellt wird. Daraus sollen die Regelungen, ihre Strukturen, Mängel und Defizite verständlich gemacht werden.

 

Deutlich wird, dass vielfach das bestehende spezifische Datenschutzrecht weiter wird gelten können. Die DSGVO hat zwar eine unmittelbare Geltung und einen Anwendungsvorrang. Doch eine spezifische deutsche Regelung, die nicht im Widerspruch zur DSGVO steht, sondern als Präzisierung, Konkretisierung oder Ergänzung angesehen werden kann, gilt unverändert weiter. Dies muss allerdings in jedem Einzelfall geprüft und geklärt werden. Zudem können von der DSGVO eröffnete explizite oder implizite Spielräume durch nationale Regelungen genutzt werden bzw. bestehende Regelungen können als solche interpretiert werden, was auch im Einzelfall zu prüfen sein wird.

 

Der Herausgeber verweist in dem Zusammenhang auf die noch fehlenden Anpassungen einiger Länderdatenschutzgesetze und sehr vieler bereichsspezifischer Datenschutzregelungen in Fachgesetzen des Bundes und der Länder und konstatiert: Dies „verursacht ein hohes Maß an Rechtsunsicherheit“.

Kapitel 2 – Grundlagen

Der deutsche Gesetzgeber hat inzwischen ein neues Bundesdatenschutzgesetz erlassen, das ebenfalls zum 25.05.2018 in Kraft treten wird, außerdem die Datenschutzregelungen in der Abgabenordnung und im Sozialgesetzbuch I und X komplett überarbeitet.

 

Die weiteren Ausführungen in diesem Grundlagen-Kapitel, insbesondere zu den Rechtswegen zur Durchsetzung individueller Ansprüche sind sehr stark juristisch geprägt und erscheinen dem „Praktiker“ derzeit nicht relevant, zumal der Autor in der Zusammenfassung darauf verweist, dass sich ein einheitliches Schutzniveau „nur sehr langsam in Europa etablieren wird“. 

Kapitel 3 – Grundsätze

Im Anwendungsbereich unterscheidet die DSGVO nicht mehr nach öffentlichen und nicht-öffentlichen Anwendern, sondern nur noch nach Verantwortlichen und Auftragsverarbeitern, wobei letztere gegenüber dem alten deutschen BDSG stärker in die Pflicht genommen werden. Die DSGVO ist auf „personenbezogene Daten“ anzuwenden.

 

Der Personenbezug ist gegeben, wenn eine Identifizierbarkeit einer Person möglich ist. Dies ist relativ zu der jeweiligen Situation zu beurteilen: Ein gegebenes Datum kann in unterschiedlichen Fällen personenbezogen sein oder auch nicht. Dies kann z. B. bei einer IP-Adresse oder einem Cookie gegeben sein, wie der Autor ausführt.

 

Neu und besser gegenüber dem alten BDSG ist das sogenannte Marktortprinzip. Das heißt, jede Person, die sich in der EU aufhält, unterliegt dem Schutz der Verordnung, unabhängig von Staatsangehörigkeit oder Aufenthaltsort. Internationale Internetkonzerne können sich nicht mehr aus der Verantwortung stehlen, wie das bisher der Fall war, da außerdem beim räumlichen Anwendungsbereich auf eine noch so kleine Niederlassung in der EU abgestellt wird.

 

Für die elektronische Kommunikation kommt noch die ePrivacy-Verordnung hinzu, die ebenfalls am 25.05.2018 in Kraft treten soll und die Grundrechte und -freiheiten der Personen in diesem Kontext, der von der DSGVO nicht geregelt ist, schützen soll. Ebenfalls zu berücksichtigen ist die sogenannte JI-Richtlinie, die den Datenschutz bei der Strafverfolgung etc. regelt.

 

Rechtmäßigkeit, Treu und Glauben, Zweckbindung, Transparenz, Richtigkeit – das sind die elementaren Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 der DSGVO. Aus der Zweckbindung leiten sich weitere Grundsätze: Datenminimierung, Speicherbegrenzung, Datenrichtigkeit und -berichtigung ab.  Sie bilden somit die Ziele des Schutzkonzepts, an denen sich alle weiteren Regelungen und Maßnahmen auszurichten haben. Rechtswidrig handelt, wer dagegen verstößt. Die Autoren halten diese allgemeinen und abstrakten Grundsätze für untypisch im Sinne einer Verordnung; erst die Konkretisierung wird sie handhabbar und letztlich auch sanktionierbar machen. Sie kritisieren auch das unterschiedliche Abstraktions- und Regelungsniveau der Grundsätze und die stark relativierenden Begriffe in deren Definitionen. 

Kapitel 4 – Rechte und Rechtsbehelfe der betroffenen Person

„Die Stärkung der Betroffenenrechte ist eines der Hauptanliegen der Verordnung“, behaupten die Autoren. Den entsprechend ausführlichen Bestimmungen der DSGVO stehen allerdings vielfältige Einschränkungen durch das BDSG-neu gegenüber. Diese Einschränkungen sind jedoch nach Ansicht der Autoren nicht in jedem Fall begründbar und kritisch zu sehen, da sie eventuell sogar ungültig sein könnten.

 

Im Bereich der Rechtsbehelfe, die in den Art. 77 bis 80 DSGVO geregelt sind, ist – so die Autoren – hingegen eine Stärkung der Rechte betroffener Personen zu erkennen, was auch durch die ergänzenden Regelungen im BDSG-neu unterstützt wird.

Kapitel 5 – Pflichten der Verantwortlichen

Verantwortliche sind zur Einhaltung der Datenschutzgrundsätze verpflichtet, sie müssen dies nachweisen können („Rechenschaftspflicht“) und mit den Aufsichtsbehörden zusammenarbeiten. Dies ist der Kern der Bestimmungen der DSGVO, die nach Ansicht der Autoren im BDSG-neu nur geringfügig konkretisierend ergänzt werden.

 

Im Folgenden gehen die Autoren auf die neuen Bestimmungen in Art. 25 DSGVO ein, die mit „Privacy by Design“ und „Privacy by Default“ bekannt sind und dem Datenschutz bereits bei der Softwareentwicklung, im Buch mit „Systemgestaltung“ umfassender bezeichnet, eine höhere Bedeutung geben sollen.  Die Anforderungen richten sich sowohl an die Technikhersteller als auch die Verantwortlichen für die Technikanwendung, allerdings ist der Normadressat nur der Verantwortliche – der Technikhersteller wird erst dann betroffen sein, wenn seine Produkte nicht mehr erworben werden. Leider, so bedauern die Autoren, enthält der Artikel „eine ganze Reihe unbestimmter Rechtsbegriffe“, die möglichst schnell zu klären sind, da anderenfalls die Verantwortlichen und die Technikhersteller ihr Verhalten nicht daran ausrichten können – und dem entsprechend nicht handeln werden, zumal die Unbestimmtheit nach Darstellung der Autoren dazu führen wird, dass die Sanktionen nicht greifen.

 

Zum Thema Datensicherheit stellen die Autoren fest, dass die aus dem alten BDSG allseits bekannten „TOM“, also die technisch-organisatorischen Maßnahmen gemäß Anhang zu § 9 BDSG ersatzlos entfallen. Der quasi als Ersatz in Art. 32 DSGVO enthaltene Katalog von Maßnahmen zur Datensicherheit wird von den Autoren als „unstrukturiert, beliebig und insbesondere nicht abschließend“ eingestuft. Sie empfehlen daher, die bekannten Kontrollmaßnahmen aus dem Anhang zu § 9 BDSG a.F. weiterhin anzuwenden, da sie auch den Zielen des Art. 32 DSGVO dienen.

 

Die in Art. 35 DSGVO geregelte Datenschutz-Folgenabschätzung ist neu im Datenschutzrecht. Sie ist allerdings in Teilen vergleichbar mit der im BDSG a.F. enthaltenen Vorabkontrolle, enthält jedoch umfangreichere und präzisere Vorgaben. Die Autoren kritisieren, dass sie nur bei einem „hohen Risiko“ durchgeführt werden muss und empfehlen, die bisherige Praxis der Vorabkontrollen dem Grundsatz nach beizubehalten.

 

Da die Vorschriften der DSGVO, wie die Autoren bereits mehrfach kritisierten, sehr abstrakt sind, wird durch Art. 40 und Art. 41 DSGVO die Selbstregulierung durch Verhaltensregeln gefördert. Dieses Konzept sehen die Autoren wiederum sehr kritisch, da das in den vergangenen Jahrzehnten in Europa so gut wie nie funktioniert habe, und insgesamt eher zu einer „Zersplitterung des Datenschutzrechts“ führen dürfte.

Die in Art. 42 und 43 DSGVO eingeführte Zertifizierung kann nach Meinung der Autoren sowohl als eine (statische) Produktzertifizierung als auch eine (dynamisch angelegte) Auditierung von Datenschutzmanagementsystemen befördern. Ein Europäisches Datenschutzsiegel könnte auf große Akzeptanz stoßen – so hoffen jedenfalls die Autoren dieses Buches.

 

Im letzten Abschnitt dieses Kapitels gehen die Autoren auf die erstmals auf europäischer Ebene eingeführten Datenschutzbeauftragten ein. Die Regelungen der DSGVO werden zunächst kritisch bewertet, da sie gegenüber dem alten deutschen Recht dazu führen würden, dass im nicht-öffentlichen Bereich viele Datenschutzbeauftragte arbeitslos werden würden. Erst durch die in Art. 37 Abs. 4 DSGVO eingeführte Öffnungsklausel konnte erreicht werden, dass im BDSG-neu erweiterte Bestimmungen erlassen werden, sodass der bisherige status-quo in Deutschland weiterhin erhalten bleibt. Andere europäische Staaten, die bisher keine Datenschutzbeauftragten hatten, werden allerdings auf niedrigerem Niveau verbleiben.

Kapitel 6 – Datenschutzaufsicht

Die Bestimmungen der DSGVO zur Datenschutzaufsicht in den Kapiteln VI und VII werden als „die wohl wichtigsten Kapitel der Datenschutz-Grundverordnung“ bezeichnet. Mit der Einrichtung eines Europäischen Datenschutzausschuss sowie einer stärkeren Reglementierung der nationalen Datenschutzaufsichten legt die DSGVO nach Ansicht der Autoren gute Grundlagen, doch auch hier mangele es an weiteren konkretisierenden Vorgaben, um die Datenschutzaufsicht in Europa tatsächlich stärker zu vereinheitlichen. Zudem bezweifeln die Autoren, dass der durch die DSGVO angestoßene „fundamentale Wandel der Aufsichtsbehörde“ tatsächlich stattfinden wird.

 

Ein wichtiges Kapitel in der neuen DSGVO sind die dort festgelegten Sanktionsmöglichkeiten. Die in Art. 83 und 84 DSGVO genannten Geldbußen zeigen bereits ihre Auswirkungen. Die Autoren erkennen: „Datenschutz-Compliance hat seinen Nischenplatz verlassen und rangiert – selbst in den Chefetagen – aktuell sehr weit oben auf der Prioritätenliste“. Sie geben allerdings zu bedenken, dass die Aufsichtsbehörden aufgrund einiger unklarer Rechtsbegriffe insbesondere in der Anfangszeit wohl noch sehr vorsichtig mit den Sanktionen umgehen werden. Im Übrigen wird hervorgehoben, dass aufgrund ergänzender Regelungen im BDSG-neu die Sanktionen nur für den nicht-öffentlichen Bereich angewendet werden können. 

Kapitel 7 – Datenschutz im öffentlichen Bereich

Die DSGVO ermöglicht den Mitgliedsstaaten durch die Öffnungsklausel in Art. 6 Abs. 2, die Datenverarbeitung des öffentlichen Bereiches eigenständig zu definieren. Das BDSG-neu übernimmt in diesem Sinne weitgehend die speziellen Regelungen für den öffentlichen Bereich aus dem BDSG a.F.; die Autoren kritisieren dies, da der Gesetzgeber damit versäumt hat, den Datenschutz im öffentlichen Bereich zu modernisieren und „risikoorientierte Regelungen zu erlassen“. Weitere Ausführungen dazu erspare ich mir daher an dieser Stelle.

Kapitel 8 – Datenschutz in der Wirtschaft

Zunächst beschäftigen sich die Autoren in diesem Kapitel mit dem Beschäftigtendatenschutz. Die DSGVO enthält dazu mit Art. 6 Abs. 2 und Art. 88 Abs. 1 lediglich Verweise auf nationale Regelungen, die sich dann im BDSG-neu in § 26 wiederfinden. Dieser Paragraf enthält derzeit jedoch lediglich eine Fortführung der bisherigen Regelungen aus § 32 BDSG a.F., angepasst an die Wortwahl der DSGVO. Der Gesetzgeber stellt aber in der entsprechenden Bundestagsdrucksache (BT-Drs. 18/11325, 95) konkretere Regelungen in Aussicht. Aktuell hinzugekommen sind Hinweise auf kollektivvertragliche Rechte und Pflichten der Interessenvertretungen als Erlaubnistatbestände. Die Autoren verweisen in dem Zusammenhang darauf, dass auch weiterhin durch Betriebsvereinbarungen nicht vom garantierten Schutzstandard des BDSG bzw. der DSGVO abgewichen werden darf.

 

Beim Beschäftigtendatenschutz bleibt nach Ansicht der Autoren „sehr vieles beim Alten“. Dies gilt auch für die im öffentlichen Dienst Beschäftigten, da die meisten Regelungen in Landesdatenschutzgesetzen – die noch anzupassen sind – wirksam bleiben können. Sie verweisen jedoch darauf, dass insbesondere bei den Betroffenenrechten (siehe oben, Kapitel 4) Neuigkeiten auf die Arbeitgeber zukommen werden, da der deutsche Gesetzgeber es bisher versäumt hat, speziellere Regelungen zu treffen und somit die allgemeinen Bestimmungen der DSGVO direkt anzuwenden sind.

 

Weitere Ausführungen in diesem Kapitel befassen sich mit Telekommunikation, Telemedien, Werbung, Auskunfteien, Gesundheitsdaten, Geheimhaltungspflichten, Meinungs- und Medienfreiheit sowie Informationsfreiheit. 

Fazit

Dieses Buch ist die erste mir bekannte Veröffentlichung, die konsequent die EU-DSGVO in direkten Bezug zum neuen BDSG bringt und die sich daraus ergebenden Konsequenzen für die Betroffenen darstellt. Während die bisher erschienenen neuen Datenschutz-Kommentierungen nur die DSGVO betrachteten und die teilweise weitreichenden ergänzenden Regelungen des BDSG-neu nicht in Betracht zogen und damit nicht konkret wurden, ist hiermit eine echte Hilfe für die Praktiker entstanden. Da dies aufgrund der komplizierten neuen Rechtslage, die auch der Herausgeber und die Autoren wiederholt und heftig kritisieren, kein leichtes Unterfangen war, ist es den Beteiligten besonders hoch anzurechnen!

 

Sie ergehen sich dabei oft in juristischen Details, die beispielsweise die Verantwortlichen in den deutschen Unternehmen weniger interessieren. So ist der Leser gefordert, viele Details zu überlesen und sich das für ihn Wichtige herauszupicken. Die praktische Umsetzung bleibt aufgrund des Neuen und weithin Unbekannten natürlich weiterhin nebulös.

 

Die von dem Verordnungs- und Gesetzestext abweichende Strukturierung dieses Buches kann als sehr gelungen bezeichnet werden. Auch die Darstellung, die in jedem Kapitel und Abschnitt zunächst die Fakten darstellt, dann die alte und neue deutsche Rechtslage gegenüberstellt und schließlich eine zusammenfassende Kommentierung liefert, ist lobenswert. Dass der Herausgeber und seine Autoren in vielen Punkten mit dem neuen Datenschutzrecht unzufrieden sind, wird überaus deutlich – für den Leser manchmal zu sehr, denn die Situation ist nun mal so und man muss damit leben, sofern man nicht Jurist ist, der den Anspruch hat, durch eigene Rechtsprechung daran Wesentliches verbessern zu können.