Datenschutz-Schlamassel oder: Wie eine EU-Verordnung national umgesetzt werden soll…

Einheitlicher Datenschutz für alle in der EU – das verspricht die DSGVO (Datenschutzgrundverordnung). Dass dieses Versprechen nicht eingehalten werden kann, zeigen die Öffnungsklauseln, die es den jeweiligen Ländern ermöglichen und sie teilweise verpflichten, eigene Datenschutzregelungen zu treffen. In Deutschland soll das im Datenschutz-Anpassungs- und –Umsetzungsgesetzes EU (DSAnpUG-EU) geschehen. Was heißt das für Unternehmen, wenn eine EU-Verordnung und nationale Gesetze aufeinander treffen?

Nationale Regelungen: Warum?

Ein deutsches Gesetz zum Datenschutz? Warum eigentlich? Gute Frage! Denn sollte nicht die Datenschutzgrundverordnung den Datenschutz in ganz Europa einheitlich regeln? Ja, eigentlich schon. Das große Aber dabei: Die DSGVO enthält fast 70 sogenannte Öffnungsklauseln, die Spielraum für nationale Regelungen der EU-Mitgliedstaaten geben. Manche davon müssen, andere können geregelt werden. So oder so gilt: Die nationalen Gesetzgeber haben nur noch bis zum 25. Mai 2018 – ab diesem Zeitpunkt gilt die DSGVO – Zeit, ihr Datenschutzrecht anzupassen. Regelungen, die der DSGVO widersprechen, müssen aufgehoben werden. Viel Arbeit also – und weniger als ein Jahr Zeit. Immerhin ist Deutschland das erste Land, das die Grundvoraussetzungen geschaffen hat: Der Bundesrat stimmte dem Anpassungsgesetz bereits zu.

DSGVO + DSAnpUG-EU = Klarheit oder Chaos?

Eines ist klar: Der Datenschutz-Flickenteppich, der bislang in der EU herrscht, wird nicht beseitigt. Denn eine einheitliche Regelung für alle wird es nicht geben. An einigen Stellen ergänzt das Anpassungsgesetz die DSGVO:

Ein deutsches „Muss“: Der Datenschutzbeauftragte

Das sagt die DSGVO: Gemäß Artikel 37 DSGVO müssen Verantwortliche einen Datenschutzbeauftragten benennen, wenn deren Kerntätigkeit in „der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.“
Das sagt das Anpassungsgesetz: Die deutsche Regelung zum Datenschutzbeauftragten bleibt weiter bestehen. Gemäß § 38 des Gesetzentwurfs müssen Verantwortliche einen Datenschutzbeauftragten ernennen, wenn sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Unabhängig muss es einen Datenschutzbeauftragten in Unternehmen geben, wenn die Datenverarbeitung der Datenschutz-Folgenabschätzung unterliegt.

Arbeitnehmerdatenschutz

Das sagt die DSGVO: Nichts
Das sagt das Anpassungsgesetz: Es bleibt im Großen und Ganzen bei der alten Regelung nach § 32 BDSG (Bundesdatenschutzgesetz). Weitere Gesetze sind (leider) nicht ausgeschlossen: Denn der Gesetzgeber behält sich ausdrücklich vor, weitere Regelungen – zum Beispiel zum Fragerecht des Arbeitgebers – in gesonderten Gesetzen zu treffen.

Videoüberwachung

Das sagt die DSGVO: Sie enthält keine eigenständige Regelung zur Videoüberwachung, sondern erwähnt sie nur nebenbei, zum Beispiel im Rahmen der Folgenabschätzung.
Das sagt das Anpassungsgesetz: Die Videoüberwachung öffentlich zugänglicher Räume wird in § 4 geregelt. Danach ist eine Videoüberwachung zulässig, wenn sie zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrnehmung des Hausrechts oder berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und die schutzwürdigen Interessen der Betroffenen nicht überwiegen.

Gemäß § 4, Absatz 2 müssen der Umstand der Beobachtung und die Kontaktdaten des Verantwortlichen frühestmöglich erkennbar sein. Nach Absatz 3 dürfen die gewonnenen Daten gespeichert oder verwendet werden, wenn sie zum Erreichen des verfolgten Zweckes erforderlich sind und schutzwürdige Interessen des Betroffenen nicht überwiegen. Wenn die Daten einer bestimmten Person zugeordnet werden, muss diese über die Verarbeitung informiert werden. Da diese Formulierungen sehr unkonkret sind, wird hier wohl in Zukunft jeder Fall einzeln überprüft werden müssen.

„Aufweichung“ einiger Pflichten aus der DSGVO

Einige Pflichten, die Unternehmen laut DSGVO gegenüber Betroffenen haben, werden durch das deutsche Anpassungsgesetz entschärft.

Informationspflicht

Gemäß DSGVO gilt: Wenn Daten direkt beim Betroffenen erhoben werden, müssen diesem bestimmte Informationen mitgeteilt werden. Einzige Ausnahme: Wenn er diese Informationen bereits hat. Im Anpassungsgesetz (§ 32) sind weitere Fälle aufgeführt, in denen diese Informationspflicht entfällt. Nämlich, wenn die Erteilung der Information

einen unverhältnismäßigen Aufwand erfordern würde und das Interesse des Betroffenen an der Informationserteilung als gering anzusehen ist,
die öffentliche Sicherheit oder Ordnung gefährden würde,
die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde,
eine vertrauliche Übermittlung von Daten an öffentliche Stellen gefährden würde.

Werden Daten nicht beim Betroffenen direkt erhoben, enthält das Anpassungsgesetz weitere Gründe, in denen eine Information entfallen kann:

Wenn die Information allgemein anerkannte Geschäftszwecke des Verantwortlichen erheblich gefährden würde.
Wenn die Information die öffentliche Sicherheit oder Ordnung gefährden würde.

Auskunftspflicht

Gemäß DSGVO müssen Unternehmen den Betroffenen der Datenverarbeitung Auskunft über die gespeicherten Daten geben. § 33 des Anpassungsgesetzes schränkt diese Pflicht ein, wenn

die Daten nur deshalb gespeichert sind, weil sie auf Grund gesetzlicher oder vertraglicher Vorschriften nicht gelöscht werden dürfen,
die Daten ausschließlich Zwecken der Datensicherung oder Datenschutzkontrolle dienen,
die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

Wenn die Auskunft verweigert wird, müssen Unternehmen die Gründe dafür dokumentieren und sie der betroffenen Person mitteilen.

Löschungspflicht

In der DSGVO steht, dass der Betroffene ein Recht darauf hat, dass seine Daten gelöscht werden. Auch dieses Recht wird im Datenschutz-Anpassungsgesetz (§ 35) eingeschränkt. Unternehmen müssen die Daten demnach nicht löschen, wenn wegen der besonderen Art der Speicherung diese nicht oder nur mit unverhältnismäßigem Aufwand möglich ist. Ist das der Fall, tritt anstelle der Löschungspflicht die Einschränkung der Verarbeitung (geregelt in Artikel 18 DSGVO).

Flickenteppich in neuem Design

Wer bei näherer Betrachtung der neuen, alten und neu-alten Regelungen zu dem Schluss kommt, dass sich der Datenschutz-Flickenteppich nur neu zusammensetzt, könnte Recht haben… Es hilft aber nichts: Alle, die Daten verarbeiten, sollten sich dringend mit DSGVO & Co. beschäftigen. Denn ab dem 25. Mai 2018 gelten keine Ausreden mehr, bei Verstößen drohen hohe Bußgelder.

Wenn Sie sich bei DSGVO, DSAnpUG-EU und anderen Begriffen die Haare raufen: Vielleicht können unsere Berufshaftpflichtversicherungen über exali.de Sie beruhigen. Denn die bieten Ihnen optimalen Schutz, wenn Sie sich im Datenschutz-Flickenteppich verfangen.

Begriffskunde

DSGVO (Datenschutzgrundverordnung): Verordnung zum Datenschutz, die für alle EU-Mitgliedstaaten gilt und ab 25. Mai 2018 angewendet wird.
DSAnpUG-EU (Datenschutz-Anpassungs- und –Umsetzungsgesetzes EU): Gesetz, mit dem Deutschland sein Datenschutzrecht bis zum 25. Mai 2018 an das Datenschutzrecht der EU (DSGVO) anpassen muss.
BDSG (Bundesdatenschutzgesetz): Bisher geltendes Gesetz zum Datenschutz in Deutschland, das durch das DSAnpUG-EU abgelöst wird.

Weitere interessante Artikel:

Datenschutzgrundverordnung: Was kommt, was bleibt?