Weitere Artikel
  • 28.08.2017, 11:30 Uhr
  • |
  • Münster / Münsterland
Datenschutz

Die Europäische Datenschutz-Grundverordnung: Fluch oder Segen?

Im Datenschutz-Sektor steht eine Neuerung bevor, die Unternehmen in der ganzen Europäischen Union betrifft. Die Rede ist von der Datenschutz-Grundverordnung (DS-GVO). Diese Neuregelung soll die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen vereinheitlichen. Anlässlich dieser Änderung stellen sich Unternehmen und öffentliche Behörden die Frage, was für sie bei der DS-GVO zu beachten ist.

Die Entstehung der DS-GVO

Nach zähen Verhandlungen wurde die DS-GVO am 14. April 2016 vom EU-Parlament beschlossen. Die Verordnung ist zum 25. Mai 2016 in Kraft getreten und wird ab dem 25. Mai 2018 in allen Mitgliedstaaten der EU unmittelbar gelten und damit Teil der nationalen Rechtsordnung sein. Doch im Zug des Harmonisierungsprozesses sind viele aktuelle Herausforderungen des Datenschutzes auf der Strecke geblieben. So stellen sich sowohl die zur Anwendung aufgeforderten Unternehmen, als auch Rechtsexperten viele Fragen, die es noch zu beantworten gilt.

Die drei grundsätzlichen Ziele der Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung verfolgt zunächst das primäre Ziel, das unübersichtliche Datenschutzrecht der einzelnen Mitgliedstaaten zu vereinheitlichen. Da sie in allen europäischen Staaten direkte Anwendung finden wird, soll ein einheitliches Datenschutzregime im gesamten europäischen Raum entstehen. Eine weitere Umsetzung der DS-GVO durch nationale Gesetzgeber ist nicht nötig. Der generelle Harmonisierungsgedanke der EU spielt hierbei also eine tragende Rolle.
Zweitens soll durch die DS-GVO für gleiche wirtschaftliche Rahmenbedingungen in der Europäischen Union gesorgt werden. Das Ziel war, die seit 1995 geltende EU-Datenschutzrichtlinie durch eine einheitliche Verordnung abzulösen, die nunmehr nach 20 Jahren das Datenschutzrecht auf eine neue, einheitliche Basis stellt. Diese Vereinheitlichung soll auf langfristige Sicht auch zu einer Stärkung des Binnenmarktes führen.
Als drittes Ziel soll der Datenschutz in Europa auf Grund der anwachsenden Herausforderrungen durch Cloud Computing, Big Data, Soziale Medien und Suchmaschinen modernisiert werden. Dabei soll der Grundrechtsschutz des einzelnen im Vordergrund der Modernisierung stehen. Diese Umgestaltung ist angesichts der vielfältigen neuen technischen Anwendungen dringend erforderlich, da sie den Schutz natürlicher Personen und den freien Verkehr gewährleisten soll.
Diese Thesen beziehen sich auf die angestrebten, gesetzgeberischen Ziele, welche die DS-GVO verfolgt. Doch was müssen die Unternehmen und die öffentlichen Stellen selbst bei der neuen Grundverordnung beachten?

Der Anwendungsbereich der DS-GVO

Unternehmen müssen einen Datenschutzbeauftragten bestellen, soweit ihre Tätigkeit eine umfangreiche, systematische und regelmäßige Beobachtung von betroffenen Personen erfordert. Auch eine Verarbeitung zum Beispiel von besonders sensiblen Daten (etwa Gesundheitsdaten) nach Artikel 9 Abs.1 DS-GVO oder Daten über strafrechtliche Verurteilungen oder Straftaten nach Artikel 10 Abs. 1 DS-GVO bedarf eines Datenschutzbeauftragten.
Das heißt für Unternehmen in Deutschland: Es wird sich voraussichtlich nichts ändern an den bisherigen Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist. Wichtig ist aber, die neue Pflicht des Datenschutzbeauftragten über die Einhaltung der DS-GVO zu wachen. Damit entsteht auch für die Unternehmen ein spürbar höheres Haftungsrisiko. Soweit also die Grundsätze der DS-GVO, doch warum schneidet das neue Regelungswerk in den Rezensionen so schlecht ab?

Öffnungsklauseln verwässern das Ziel der Vereinheitlichung

Die 99 Artikel der europäischen DS-GVO enthalten neben Richtlinien für Unternehmen und öffentliche Behörden auch sogenannte Öffnungsklauseln. Diese ermöglichen es den Mitgliedstaaten, bestehende Datenschutzregeln beizubehalten oder neue zu erlassen. Dadurch kann es in allen europäischen Mitgliedstaaten trotz der einheitlichen Grundverordnung wieder zu sehr unterschiedlichen Regelungen kommen. Damit ist die Europäische Union von einer einheitlichen, europaweiten Rechtspraxis weit entfernt, denn die DS-GVO enthält mehr als 70 dieser Öffnungsklauseln – die allerdings nur bei einigen Themen zugelassen sind.

Konkrete Fragen, abstrakte Antworten

Ein weiterer großer Kritikpunkt ist, dass die neue Verordnung in vielen Fällen nur sehr abstrakte Antworten gibt. Hierzu zählt unter anderem, was unter dem Begriff „Belastbarkeit“ als Schutzziel in Art. 32 Abs. 1 b) zu verstehen ist und wie „Belastbarkeit“ zu definieren ist. Wie sollen sich Wirtschaft, Behörden und Gerichte konkret in Datenschutzbelangen verhalten? Während zahlreiche Richtlinien sehr genau definiert und ausformuliert sind, werden andere wiederum nur grob umrissen. So besteht in einigen, wenigen Fällen weiterhin die Gefahr, dass der Flickenteppich im Bereich Datenschutz in Europa weiterhin existiert.

Big Data, Cloud Computing, Soziale Netzwerke, Suchmaschinen? Fehlanzeige!

Doch was die Experten am meisten ärgert, ist, dass die neuen europäischen Regelungen auf die wirklichen Herausforderungen und Risiken in der Informationstechnik nicht explizit eingehen. Big Data – also die Datenflut und ihre Beherrschung – Suchmaschinen, Cloud Computing und andere moderne Technikanwendungen werden in den 99 Artikeln nicht ausdrücklich genannt. Wie bereits im Bundesdatenschutzgesetz (BDSG) müssen auch in der DS-GVO die Regelungen aus einzelnen Artikeln herausgelesen werden.

Welche Regelungen gelten?

Für Arbeitgeber ist wichtig, dass der Paragraph 32 des Bundesdatenschutzgesetzes wahrscheinlich weiter fortbestehen wird. Dieser besagt, dass personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden dürfen. Grund für das mögliche Weiterbestehen der Regelung ist Artikel 88 Absatz 1 DS-GVO. Dieser enthält eine oben beschriebene Öffnungsklausel. Somit können spezifischere Regelungen zum Datenschutz im Beschäftigungskontext durch den nationalen Gesetzgeber selbst geschaffen werden. Weiterhin wird auch die Möglichkeit der Verarbeitung personenbezogener Daten auf der Grundlage einer Kollektivvereinbarung bestehen bleiben. Das sind dann die Betriebsvereinbarungen und Tarifverträge. Der in der Personalpraxis gute Weg, die Betriebsvereinbarung als Erlaubnistatbestand zur Datenverarbeitung zu nutzen, wird also weiter bestehen bleiben können.

Es kann aber auch zu der Situation kommen, dass Betriebsvereinbarungen neu entworfen werden müssen, um den Anforderungen der DS-GVO zu entsprechen. Das heißt, dass angemessene Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte durch das Unternehmen geregelt werden müssen, um die Transparenz der Verarbeitung und die Übermittlung personenbezogener Daten konkret zu gewährleisten. Bei Verstößen gegen die Verordnung müssen Unternehmen mit sehr erheblichen Bußgeldern rechnen: Diese können sich auf bis zu 20 Millionen Euro oder im Falle eines Unternehmens auf bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs belaufen, je nachdem, welcher der Beträge höher ist.

Fazit:

Ein großer Wurf, der seine selbst gesetzten Ziele nicht ganz erreicht. Von Einheitlichkeit im gesamten europäischen Raum ist die DS-GVO zwar noch ein gutes Stück entfernt, zeigt aber die Richtung an, in die es zukünftig gehen soll. Einige abstrakte Formulierungen in der DS-GVO erlauben zwar keine hundertprozentig sichere Rechtsanwendung, schließen aber Rechtslücken aus der Vergangenheit. Das Fehlen von explizit genannten technischen Neuerungen in der DS-GVO ist leider ein Defizit, welches hätte vermieden werden müssen. Insgesamt ist die Datenschutz-Grundverordnung ein Schritt in die richtige Richtung, aber erst der Anfang auf einem weiten Weg.

(Daniel Onnebrink / HLB Dr. Schumacher)


 


 

EU-Parlament
DS-GVO
Bundesdatenschutzgesetz
DS-GVOUnternehmen
Datenschutzbeauftragten
Regelungen
Artikel
Datenschutzes
Datenverarbeitung
Mitgliedstaaten
Anforderungen
Datenschutz-Grundverordnung
Verordnung
Data
Cloud Computing
Abs
Suc

Passende Artikel suchen

Finden Sie weitere Artikel zum Thema "EU-Parlament" - jetzt Suche starten:

Entdecken Sie business-on.de: