Ab heute ist die europäische Datenschutz-Grundverordnung anzuwenden.
Der selbst gesetzte Anspruch der Verordnung ist hoch: stärkere Datenschutzrechte der etwa 500 Millionen Bürgerinnen und Bürger der Europäischen Union auf der einen Seite. Auf der anderen Seite soll der „freie Verkehr personenbezogener Daten“ – also das datengetriebene digitale Gewerbe – in einer der größten Volkswirtschaften der Welt nicht über die Maßen eingeschränkt werden.
Die Verordnung muss nunmehr beweisen, ob sie in diesem Spannungsverhältnis bestehen wird. Vom ersten Kommissionsentwurf vor über sechs Jahren, über die Veröffentlichung am 4. Mai 2016 und zuletzt verstärkt auf der Zielgeraden hin zur Anwendung wurde über die Verordnung viel diskutiert. Brauchen wir wirklich ein einheitliches Datenschutzrecht für ganz Europa? Ein reformiertes Datenschutzrecht ist aber gerade in Zeiten von Big Data und der Digitalisierung wichtig, damit unsere Freiheit, selbst über unsere persönlichen Daten zu bestimmen, nicht verloren geht.
Datenschutz-Grundverordnung und Bundesdatenschutzgesetz
Die Europäische Datenschutz-Grundverordnung wird direkt anwendbares Recht und ersetzt damit weitgehend das deutsche Datenschutzrecht. Nationale Regelungsspielräume bestehen nur noch in einem begrenzten Umfang. Das neue Bundesdatenschutzgesetz setzt einzelne Regelungsaufträge der Verordnung um und schafft ergänzende Vorschriften dort, wo Öffnungsklauseln es erlauben. Es tritt zeitgleich in Kraft.
Beispiel Datenschutzbeauftragte: Die Verordnung erlaubt es die Pflicht zur Benennung eines Datenschutzbeauftragten in nationalen Ausführungsgesetzen auf weitere Stellen auszudehnen. Der Bundesgesetzgeber hat diesen Regelungsspielraum im neuen Bundesdatenschutzgesetz genutzt, um die Pflicht zur Benennung von betrieblichen Datenschutzbeauftragten dem in Deutschland bestehenden „Status quo“ anzupassen. Deutschland setzt also auch in Zukunft auf das „Erfolgsmodell Datenschutzbeauftragter“.
Sanktionen und Beratung
Im Vordergrund der Debatte stehen häufig die Befürchtungen, dass Verstöße gegen die Verordnung in Zukunft mit Geldbußen in Millionenhöhe geahndet werden können. Unerwähnt bleibt dabei oft, dass die Verordnung den Aufsichtsbehörden einen ganzen „Werkzeugkasten“ in die Hände gegeben hat, um jeden Einzelfall datenschutzrechtlicher Missstände angemessen beheben zu können. Geldbußen sind darin nur eine von vielen Möglichkeiten. An erster Stelle steht auch in Zukunft die Beratung. Auch von Sanktionen werden die Aufsichtsbehörden Gebrauch machen – jedoch mit gehörigem Augenmaß.
Europäischer Datenschutzausschuss und Datenschutzkonferenz
Einheitliches Recht bedarf der intensiven Abstimmung, um auch eine einheitliche Anwendungspraxis in Europa sicher zu stellen. Die nationalen Datenschutzbehörden werden daher in einem neuen Format zusammenarbeiten: Der Europäische Datenschutzausschuss soll gewährleisten, dass die Rechtsauslegung europaweit vereinheitlicht wird. Im Einzelfall werden seine Entscheidungen verbindlich sein. Die Datenschutzkonferenz als gemeinsames Organ aller deutschen Datenschutz-Aufsichtsbehörden wird in Deutschland auch in Zukunft schwerpunktmäßig praxisgerechte Auslegungs- und Anwendungsfragen zur Datenschutz-Grundverordnung klären. Eine Übersicht über ihre Entschließungen und Orientierungshilfen sind hier abrufbar:
https://www.baden-wuerttemberg.datenschutz.de/dokumente-der-datenschutzkonferenz/
Als besonders hilfreich haben sich die Kurzpapiere erwiesen – Ausführungen der Datenschutzkonferenz wie nach ihrer Auffassung die Verordnung im praktischen Vollzug zu besonders praxisrelevanten Themen angewendet werden sollte. Von der Praxis besonders gefragt sind die Kurzpapiere Datenschutzbeauftragte (Nr. 12), Beschäftigtendatenschutz (Nr. 14), Videoüberwachung (Nr. 15) und insbesondere Maßnahmenplan „DS-GVO“ für Unternehmen (Nr. 8). Die Kurzpapiere sind hier abrufbar:
https://www.baden-wuerttemberg.datenschutz.de/ds-gvo/.
Weitere Informationen zum Datenschutz finden Sie im Internet unter
www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.