Datenschutzgrundverordnung für Dummies. Christian Szidzek

Datenschutzgrundverordnung für Dummies

Datenschutz-Niveau in der gesamten EU sichergestellt werden.

National unabhängige und eigenständige Datenschutzaufsichtsbehörden

Ein grandioses Beispiel für die bis zur Einführung der DSGVO unabgestimmte Vorgehensweise der Aufsichtsbehörden untereinander lässt sich einer gemeinsamen Veröffentlichung des Autors mit Harald Bolsinger entnehmen (Bolsinger, Harald/Szidzek, Christian: Datensouveränität und Vertrauen, 2018). Über viele Jahre hinweg hatte Harald versucht, seine über ihn gespeicherten Daten bei Amazon löschen zu lassen. Der Erfolg war mehr als bescheiden. Besonders beeindruckend war dabei aber das Auftreten der bayerischen und luxemburgischen Aufsichtsbehörden, die sich jeweils konsequent für unzuständig erklärten, und das nach damaliger Gesetzeslage noch nicht einmal zu Unrecht. Dass Unternehmen versuchen, sich bestmögliche Bedingungen zu schaffen, ist nachvollziehbar. Oft ist der Geschäftsführer oder Vorstand nicht auch zugleich der Eigentümer des Unternehmens, und Aufgabe von angestellten Geschäftsleitern ist es nun einmal, den Profit zu optimieren. Dass aber Aufsichtsbehörden in dasselbe Horn bliesen, war erstaunlich.

Wenn Sie wissen wollen, wie die Zuständigkeiten der Aufsichtsbehörden nach DSGVO geregelt sind, blättern Sie einfach schon einmal vor zu Kapitel 4 Die Protagonisten unter der Überschrift Die Aufsichtsbehörden.

Nationale Sonderregelungen – unterschiedliches Datenschutzniveau in den Mitgliedstaaten

Die Datenschutz-Richtlinie 95/46/EG hatte zur Folge, dass die Mitgliedstaaten pflichtgemäß Gesetze zu ihrer Umsetzung erließen, einige besonders pfiffige Staaten dabei aber schnell witterten, dass ein besonders abgründiges Datenschutzniveau ihnen den Zulauf internationaler Konzerne ermöglichen würde, wo die eigene Infrastruktur das ansonsten nicht hergegeben hätte. Während also einige Mitgliedstaaten der EU versuchten, die Ziele der Richtlinie bestmöglich umzusetzen, versuchten andere es damit, die Ziele bestmöglich zu unterwandern und sich dadurch einen regionalen Vorteil zu verschaffen. Das gelang auch über viele Jahre hinweg recht gut. Die Folge war, dass Unternehmen, die Geschäfte mit personenbezogenen Daten in der EU machen wollten, sich dort niederließen, wo das Datenschutzniveau am niedrigsten war. Man nennt das Forum-Shopping. Dass dies für den europäischen Datenschutz nicht gerade förderlich war, liegt auf der Hand. Und es war seit Jahren absehbar, dass die Mitgliedstaaten, die versucht hatten, die Datenschutz-Richtlinie effektiv umzusetzen, nicht mehr vorhatten, sich länger auf der Nase herumtanzen zu lassen von den schwarzen Schafen in Ihren Reihen, die ja nicht nur im Datenschutz verhaltensauffällig geworden waren, sondern auch, wenn es um Steuern ging und andere rechtliche Schlupflöcher.

Durchsetzbarkeit des europäischen Datenschutzstandards

Abgesehen vom Problem des Forum-Shoppings war es auf Basis der vormaligen Richtlinie 95/46/EG auch nicht möglich, Unternehmen datenschutzrechtlich zur Verantwortung zu ziehen, die keinen Sitz in einem Mitgliedstaat der EU hatten, aber dort trotzdem Waren und Dienstleistungen anboten. Das führte dazu, dass solche Unternehmen gegenüber den in der EU ansässigen Unternehmen einen deutlichen Wettbewerbsvorteil verzeichnen konnten, da sie sich um die europäischen Datenschutzvorschriften nicht kümmern mussten. Es galt ausschließlich das sogenannte Territorialprinzip. Demzufolge waren Unternehmen mit Sitz in Drittstaaten im Wesentlichen vom europäischen Datenschutzsystem ausgenommen. Das hat sich nun mit der DSGVO und der zusätzlichen Einführung des Marktortprinzips geändert. Dazu unten gleich mehr.

Welche Länder seit der Einführung der DSGVO als Drittstaaten gelten und unter welchen Voraussetzungen Unternehmen, die dort ihren Sitz haben, an die Vorschriften der DSGVO gebunden sind, erfahren Sie weiter unten unter der Überschrift Räumlicher Anwendungsbereich.

Ziele der Reform

Wenn es schon die Notwendigkeit gab, das europäische Datenschutzrecht zu reformieren, weshalb dann nicht aus der Not gleich eine Tugend machen? So ungefähr muss sich der europäische Gesetzgeber das gedacht haben und hat deshalb gleich ein paar weitere Ziele mit in den Blick genommen, die mit dem Inkrafttreten der DSGVO erreicht werden sollten. Diese Ziele sind

mehr Kontrolle Betroffener über ihre Daten

das Setzen globaler Standards für den Datenschutz sowie

die Festlegung einheitlicher Datenschutzregeln für den digitalen Binnenmarkt.

Mehr Kontrolle Betroffener über ihre Daten

Betroffene Personen, deren Daten Gegenstand von Verarbeitungen in Unternehmen, Behörden oder sonstigen Einrichtungen – die DSGVO spricht von Verantwortlichen (Art. 4 Nr. 7) – sind, sollen durch die DSGVO mehr Kontrolle über das Schicksal ihrer Daten erhalten, als das nach alter Rechtslage noch der Fall war. Aus diesem Grund wurde in die Artikel 12 bis 22 gleich ein ganzer Katalog an neuen Betroffenenrechten aufgenommen. Diese reichen von Auskunftsansprüchen über Berichtigungsrechte bis hin zu einem Recht auf Datenlöschung und Vergessenwerden.

Welche Rechte Betroffene im Einzelnen haben und wie Sie diesen gegebenenfalls nachkommen müssen, können Sie in Kapitel 8 Die Waffen der Betroffenen ganz ausführlich nachlesen.

Setzen globaler Standards für den Datenschutz

Durch die Einführung des jetzt zusätzlich geltenden Marktortprinzips ist es nun möglich, auch solche Unternehmen dem Regime des europäischen Datenschutzes zu unterwerfen, die ihren Sitz außerhalb der EU oder des Europäischen Wirtschaftsraums haben. Dazu gleich mehr unten unter der Überschrift Räumlicher Anwendungsbereich. Damit wird das europäische Verständnis von Datenschutz weit über die Territorialgrenzen der EU hinaus transportiert.

Einheitliche Datenschutzregeln für den digitalen Binnenmarkt

Durch die unmittelbare Anwendbarkeit der DSGVO in allen Mitgliedstaaten der EU sollten einheitliche Datenschutzregeln für den digitalen europäischen Binnenmarkt geschaffen und Wettbewerbsnachteile, die durch die unterschiedlichen nationalen Datenschutzgesetze bewusst oder unbewusst geschaffen wurden, wieder ausgeglichen werden. Die EU-Kommission schätzt, dass durch die Vereinheitlichung der unterschiedlichen Datenschutzregeln auf Dauer gesehen jährlich Einsparungen in Höhe von rund 2,3 Milliarden Euro möglich sind. Gefühlt waren es für Unternehmen zwar bislang eher zusätzliche Ausgaben als Einsparungen, aber vielleicht ist das ja auch nur zu kurzfristig gedacht. Nach den Folgen der Französischen Revolution gefragt, antwortete etwa der damalige chinesische Premierminister Tschou En-lai im Jahr 1972, es sei zu früh, dies zu beurteilen. Es kommt wahrscheinlich darauf an, in welchen Zeiträumen man denkt.

Inhalt

Die DSGVO regelt die Pflichten von Behörden, Unternehmen, sonstigen Einrichtungen, aber auch von privaten Verantwortlichen beim Umgang mit personenbezogenen Daten. Zusätzlich wird ein umfassendes und effizientes Aufsichtswesen etabliert, das einerseits einer konsequenten Umsetzung der Vorgaben der DSGVO verpflichtet ist, zugleich aber auch eine einheitliche Auslegung der Vorschriften auf der gesamten europäischen Ebene sicherstellen soll.

Erwägungsgründe

Wenn Sie die DSGVO das erste Mal aufschlagen, werden Sie überrascht sein. Bevor Sie auch nur den ersten Artikel der DSGVO zu Gesicht bekommen, stehen dort erst einmal genau 173 sogenannte Erwägungsgründe, durch die Sie

Скачать книгу