Datenschutzgrundverordnung

Es ist soweit: Am 14.04.2016 wurde die „Datenschutzgrundverordnung“ durch das europäische Parlament beschlossen. Der steht damit ab 2018 vor tiefgreifenden Änderungen, Betriebe und Datenschützer haben nun noch gut 1 Jahr Zeit, um sich auf die Änderungen einzustellen.

Bereits im Juni 2015 kam die bis dahin stockende „Datenschutzgrundverordnung“ einen wesentlichen Schritt voran durch den einigenden Beschluss der EU-Justizminister. Damit wurde die Datenschutzgrundverordnung auch in der Öffentlichkeit ein Stück weit bekannter. Im Dezember 2015 kam dann der „Durchbruch“ in dem man sich auf einen Verordnungstext einigen konnte, seit April 2016 stand die finalisierte und beschlossene Fassung der Datenschutzgrund hinsichtlich der verschiedenen Sprachen fest, wobei Ende Oktober 2016 einige redaktionelle Änderung publiziert wurde.

Unternehmen sollten sich auf die Datenschutzgrundverordnung einstellen und ihre Prozesse umstellen. Der vorliegende Beitrag soll als erster kleiner Stichwort-Beitrag mit einer sehr kurzen Einführung dienen.

Inhalte Anzeigen

Rechtlicher Hintergrund der DSGVO

Kurz: Das existierende Datenschutzrecht ist alt. Das mag alleine nicht tragisch sein, das in die Jahre gekommene BGB dient uns heute noch als herausragende gesetzgeberische Lösung (freilich wurde es sorgfältiger erarbeitet als man es heute vom Gesetzgeber gewohnt ist). Allerdings stammen die heutigen Datenschutzregeln aus einer Zeit noch bevor es das Internet und digitale Zeitalter in der heutigen Form gab: Das Bundesdatenschutzgesetz datiert im Kern auf das Jahr 1990, die EU- zum Datenschutz auf das Jahr 1995.

Um nun eine umfassende europaweite Reform zu erreichen, hat die EU eine „Verordnung“ erlassen, die „Datenschutzgrundverordnung“. Während eine Richtlinie erst durch Gesetze der Mitgliedsstaaten jeweils umgesetzt werden muss – und diese Gesetze damit nicht immer gleichlautend sind, sondern sich nur im Rahmen der Richtlinie bewegen – wäre eine Verordnung in allen Mitgliedsstaaten im gleichen Wortlaut unmittelbar bindend.  Diese Verordnung wurde nun durch die „Datenschutzgrundverordnung“ () Realität.

Das aktuelle rechtliche Gefüge ist dabei differenziert und kann ganz kurz so beschrieben werden: Es gibt die EU-Datenschutzrichtlinie, die durch das Bundesdatenschutzgesetz umgesetzt wird. Das gilt für Bundesbehörden und Privatunternehmen. Für Landesbehörden gelten allerdings die Datenschutzgesetze der Bundesländer, hier existiert überall ein eigenes Landesdatenschutzgesetz, häufig (etwa in NRW) mit starken Parallelen zum BDSG. Daneben gibt es einige datenschutzrechtliche Regelungen für Sonderfälle, etwa im TMG (u.a. für Webseiten) oder TKG (für Telekommunikationsleistungen).

Wortlaut der Datenschutzgrundverordnung

Der genaue Wortlaut war lange Zeit im fluss, da hier eine Vielzahl von Anregungen und Kritik zu berücksichtigen war. Am 11. Juni 2015 war hier der aktuelle Stand der Datenschutzgrundverordnung zu finden, die erheblichen Lücken in dem Text sprechen dabei für sich. beispielhaft für die Vielzahl von Streitpunkten soll diese Synopse sein, die inhaltlich aber ohnehin überholt ist. Seit Februar 2016 lag ein erster Text vor, im April 2016 erschien dann die beschlossene deutsche Fassung der Datenschutzgrundverordnung (die am Ende dieses Beitrags hinterlegt ist).

Als erster Überblick sollte das „Poster“ von Hansen-Oest zudem ausreichen sowie ein Blick in die kurze Aufbereitung bei LTO. Die wichtigste Änderungen durch die Datenschutzgrundverordnung (DSGVO) sind aus meiner Sicht insbesondere:

  • Festschreiben des Recht auf Vergessenwerden;
  • Verarbeitung der Daten nur nach ausdrücklicher Einwilligung der betroffenen Person;
  • Recht auf Datenübertragbarkeit (an einen anderen Dienstleister)
  • Recht der Betroffenen, bei Verletzung des Schutzes der eigenen Daten darüber informiert zu werden;
  • Datenschutzbestimmungen müssen in klarer und verständlicher Sprache erläutert werden, und
  • bei Verstößen wird härter durchgegriffen; im Fall eines Unternehmens werden Strafen von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt.

Keine Auswirkung der Datenschutzgrundverordnung auf bereits vorhandene Einwilligungen

Die Datenschutzrichtlinie 95/46/EG soll durch die DSGVO aufgehoben werden. Allerdings ist ausdrücklich gewollt, dass einmal zulässige Datenerhebungen auf Grund einer regelgerechten Einwilligung nicht nachträglich nochmals eine Einwilligung entsprechend der Verordnung einholen müssen; dazu aus Erwägungsgrund 171:

Beruhen die Verarbeitungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht (…)

Es ist also eine gewisse Konsistenz angepeilt. Dabei ist durchaus zu bemerken, dass die konkreten Vorgaben des deutschen BDSG mitunter strenger sind als die sehr allgemeinen Formulierungen der Datenschutzgrundverordnung, etwa bei der Einwilligung, die in Artikel 7 eher umschrieben wird, während sie im §4a BDSG konkrete „harte“ Kriterien hat.

Literatur zur Datenschutzgrundverordnung

Nach langem austesten habe ich mich für die BDSG-Kommentierung von Schaffland/Wiltfang entschieden. Es ist ein Loseblattkommentar der laufend aktualisiert wird und nicht nur den aktuellen Entwurf der DSGVO beinhaltet, sondern in jedem Kommentarabschnitt des BDSG darauf verweist, wie/wo sich der entsprechende Gedanke in der DSGVO findet. Damit konnte ich mir einen brauchbaren Zugang zur DSGVO erarbeiten, an dieser Stelle daher eine kurze Empfehlung dieses Werkes. Des Weiteren war die DSGVO von Härting meiner erste Wahl um die Unterschiede für die hiesige Praxis heraus zu arbeiten.

Welche Umstellungen sind durch die Datenschutzgrundverordnung zu erwarten

Ich arbeite aktuell an einer Übersichts-Beitragsreihe zu den Änderungen durch die Datenschutzgrundverordnung, die voraussichtlich im Dezember 2016 erscheinen und ab dann schrittweise hier verlinkt werden wird. 

Sicherlich ist jedenfalls zu erwarten, dass zukünftig mehr Kontrolle als rein passive Beratung der Datenschutzbehörden im Raum steht. Es kann also durchaus sein, dass Unternehmen zukünftig gut beraten sind, präventiv Geld in datenschutzrechtliche Beratungen zu investieren als dies bisher der Fall ist, da man bei Verstößen faktisch nicht mit Sanktionen rechnen muss. Dies ist m.E. eines der Kernanliegen der Datenschutzgrundverordnung, so dass man hier durchaus eine gewisse Prognose treffen kann. Weiterhin ergeben sich folgende Aspekte durch die Datenschutzgrundverordnung:

Wann kommt die Datenschutzgrundverordnung

Am 14.04.2016 wurde die finale Fassung beschlossen, so dass knapp 2 Jahre später, ab 01.01.2018 ihre Rechtskraft im Raum steht.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Tags: Auftragsverarbeitung , BDSG , Datenschutz , DSGVO , Richtlinie , Schätzung
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.

Termin und Kontakt