Datenschutzgrundverordnung für Dummies. Christian Szidzek

Datenschutzgrundverordnung für Dummies

bis zum 25. Mai 2018 gewährt, um die neuen Datenschutzvorgaben in die Praxis umzusetzen. Und seit diesem Zeitpunkt müssen alle Adressaten, sei es mit oder ohne Sitz in der EU, die Vorschriften der DSGVO einhalten. Willkommen in der Monster AG!

Wer alles Adressat der Vorschriften der DSGVO ist, erfahren Sie übrigens gleich weiter unten unter der Überschrift Adressaten.

Rechtliche Einordnung

Wenn supranationale Einrichtungen wie die Vereinten Nationen (UNO) oder die Europäische Union (EU) Vorschriften erlassen, handelt es sich – sie ahnen es sicher schon – um supranationales Recht. Staaten übertragen bestimmte Regelungsbefugnisse auf solche supranationalen Einrichtungen, geben ihre ursprünglich eigene Verfügungsgewalt damit auf und sind dann an die Entscheidungen der supranationalen Einrichtungen gebunden. Solche Entscheidungen können in einigen Fällen durch Beschlüsse dieser Organisationen gefasst werden. Es gibt aber auch Gesetzeswerke, die von solchen Einrichtungen erlassen werden und an die sich Mitgliedstaaten dann halten müssen. So ist es auch in der EU. Die Gesetzgebung der EU findet dabei einerseits statt durch Richtlinien und andererseits durch Verordnungen.

Richtlinien

Richtlinien tragen dem Umstand Rechnung, dass es sich bei den jeweiligen Mitgliedstaaten in der EU um teils völlig unterschiedlich strukturierte Staatsgebilde handelt. Allen gemein ist, dass es allesamt Demokratien sind. Demokratien können unterschiedlich ausgestaltet sein und sind es in Europa auch. In Frankreich existiert zum Beispiel eine präsidiale Demokratie, in Deutschland eine parlamentarische Demokratie. Deshalb ist das erste Mittel der Wahl des europäischen Gesetzgebers die Richtlinie. In einer Richtlinie werden erst einmal nur bestimmte gesetzgeberische Ziele festgelegt, die die Mitgliedstaaten dann durch eigene Landesgesetze in anwendbares Recht umsetzen sollen.

Je nach Ausgestaltung der landestypischen Gesetzgebungsverfahren und Besonderheiten der Landesverfassungen sind die Mitgliedstaaten dabei entsprechend frei in der Umsetzung der gesetzten Zielvorgaben. Setzen Mitgliedstaaten die Vorgaben von Richtlinien nicht oder inhaltlich nur unzureichend um, kann die EU-Kommission ein sogenanntes Vertragsverletzungsverfahren nach Art. 258 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) einleiten. Das Verfahren ermöglicht der Kommission, den Europäischen Gerichtshof (EuGH) anzurufen, wenn sie der Meinung ist, dass ein Mitgliedstaat gegen eine Verpflichtung aus den Verträgen verstoßen hat (Art. 260 Abs. 1 AEUV). Ist das der Fall, endet das meist mit hohen Bußgeldern für die betroffenen Staaten.

Verordnungen

Da es aber immer wieder passiert, dass Mitgliedstaaten Richtlinien nur sehr zögerlich umsetzen oder listig Schlupflöcher finden, um die eigentlichen Ziele der Richtlinie zu unterwandern, sieht das europäische Datenschutzrecht auch Verordnungen vor. Verordnungen zeichnen sich dadurch aus, dass sie nicht mehr erst durch Gesetze der Mitgliedstaaten umgesetzt werden müssen, sondern nach ihrem Erlass und einer meist gewährten Übergangsfrist unmittelbar anzuwendendes Recht in jedem Mitgliedstaat der EU werden. Der Erlass von Umsetzungsgesetzen ist dann obsolet. Die Verordnung ersetzt dann entgegenstehende Gesetze vollständig. Wobei vollständig nicht ganz richtig ist. Verordnungen, wie auch die DSGVO, beinhalten oft sogenannte Öffnungsklauseln. Das sind Rechtsvorschriften, in denen es den Mitgliedstaaten erlaubt wird, bestimmte Regelungsinhalte noch zu konkretisieren durch eigene ergänzende Gesetze. Konkretisieren meint in diesem Zusammenhang, dass die Mitgliedstaaten zwar ergänzende Regelungen treffen dürfen. Sie dürfen dabei aber nur solche Regeln erlassen, die mit den Vorschriften der Verordnung harmonieren und diese nicht etwa durch die Hintertür heimlich aufweichen. Erlaubt sind nur noch schärfere Regelungen oder aber landestypische Spezifizierungen, aber keine Regelungen, mit denen Vorgaben einer Verordnung umgangen werden. Sollte das ein Mitgliedstaat trotzdem versuchen, droht auch hier ein Vertragsverletzungsverfahren.

In der DSGVO existieren 69 Öffnungsklauseln, die es Mitgliedstaaten ermöglichen, konkretisierende Gesetze zu erlassen. Deutschland hat mit dem Erlass des Bundesdatenschutzgesetzes (BDSG) als einer der ersten Mitgliedstaaten ein entsprechendes Ergänzungsgesetz erlassen. Aber wer wissen will, wie Deutschland bestimmte Datenschutzthemen ergänzend regelt, der muss zusätzlich einen Blick in das BDSG werfen. Dasselbe gilt für die meisten Mitgliedstaaten der EU, die inzwischen entsprechende ergänzende Gesetze erlassen haben. In Deutschland wird zum Beispiel der Beschäftigtendatenschutz, die Anforderungen an die Benennung von Datenschutzbeauftragten oder die Videoüberwachung zusätzlichen Regelungen unterworfen. Je nachdem in welchem Mitgliedstaat Sie sich also befinden, sollten Sie nicht versäumen, einen Blick in die vorhandenen nationalen Gesetze zum Datenschutz zu werfen.

Zu Verordnungen greift die EU also, wenn sie konsequent bestimmte Vorgaben umsetzen will, ohne dies Mitgliedstaaten überlassen zu wollen. Wir dürfen Ihnen also hier vorstellen das allseits gefürchtete Monster, die berühmt-berüchtigte VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, auch bekannt unter dem Namen:

EU-Datenschutz-Grundverordnung

(im Folgenden kurz: DSGVO).

Gründe für die Notwendigkeit einer Datenschutzreform

Monster kommen nicht von ungefähr. Meistens werden sie gerufen. Zumindest wenn es nach dem Roman von Larry Correia geht (Die Monster, die ich rief, Köln 2017). Bei Goethes Zauberlehrling waren es noch Geister, aber mit Geistern erschreckt man heutzutage niemanden mehr. Das Monster DSGVO wurde gerufen durch

die bis dato uneinheitliche Umsetzung der Europäischen Datenschutz-Richtlinie 95/46/EG in nationales Recht,

den Umstand bis dahin national unabhängiger und eigenständiger Datenschutzaufsichtsbehörden,

bis dahin nationale Sonderregelungen und ein unterschiedliches Datenschutzniveau in den Mitgliedstaaten und

die schwierige Durchsetzbarkeit des europäischen Datenschutzstandards gegenüber Unternehmen mit Sitz in Drittländern.

Uneinheitliche Umsetzung der europäischen Datenschutz-Richtlinie 95/46/EG

Das europäische Datenschutzrecht basierte bis zum Erlass der DSGVO auf der europäischen Datenschutz-Richtlinie 95/46/EG. Wie es Richtlinien der EU so eigen ist, besitzen diese keinen unmittelbaren Charakter. Das bedeutet, dass die EU zwar Ziele vorgibt, die Umsetzung allerdings den Gesetzgebern der Mitgliedstaaten überlässt, wie sie diese umsetzen. Das geschieht dann in der Regel mit mehr oder minder großem Erfolg.

Das hatte zur Folge, dass manche Mitgliedstaaten die gesamte Wirtschaft ihres Lands durch pflichtgemäße Erfüllung der Datenschutzvorgaben in einen Wettbewerbsnachteil gegenüber solchen Unternehmen in solchen Staaten geführt haben, die die Gelegenheit nutzten, durch die nur rudimentäre Umsetzung des Datenschutzes Standortvorteile zu erzielen. Während in Deutschland selbst postalische Werbeschreiben einem pingeligen Listenprivileg unterworfen waren, haben andere Staaten den dort ansässigen und dort steuerzahlenden Unternehmen gestattet, den Datenschutz nahezu vollständig zu unterwandern. Es ist also kein Wunder, dass Unternehmen wie Microsoft oder Amazon ihre europäischen Niederlassungen in Irland oder Luxemburg eingerichtet hatten. In einem Staat, der in seiner Hauptstadt am Bahnhof Listen der Passagiere für Züge für alle sichtbar aushängt unter Angabe des Reiseziels und in dem diese Personen dann bei Eintreffen des Zugs auch noch persönlich auffordert werden, einzusteigen, bei dem lässt es sich als Big-Data-Unternehmen

Скачать книгу