Tobias Rothkegel - Praxishandbuch DSGVO

1

Die DSGVO wurde häufig in einem Satz dadurch charakterisiert, dass sie keine Revolution, sondern eher eine Evolution des Datenschutzrechtsmit sich gebracht habe. Das stimmt in vielen Bereichen, z.B. weil die der DSGVO zugrundeliegenden Datenschutzprinzipien1 bereits aus der DSRL bekannt waren und weil u.a. einige Zulässigkeitsvorschriften2 fast wortgleich aus der DSRL übernommen worden waren.

2

Es ist aber auch richtig, dass die DSGVO in mehreren Bereichen bedeutsame Änderungenbewirkt hat. Zwei prominente Beispiele hierfür sind die signifikant erhöhten Bußgelder3 und die starke Ausprägung der Verpflichtungen zur Implementierung eines Datenschutz-Managementsystems,4 das in dem von der DSGVO verlangten Reifegrad vorher nur in sehr wenigen Unternehmen konsequent umgesetzt war.

3

Jedes Unternehmen, das in relevantem Umfang personenbezogene Daten verarbeitet, musste und muss sich deshalb intensiv mit den Regelungen befassen und in spezifischen DSGVO-Umsetzungsprojekten oder im Rahmen laufender Kontrollen die Relevanz für die eigene Datenverarbeitung ermitteln und notwendige Anpassungsmaßnahmen ableiten und ergreifen.5 Nach unseren Erfahrungen ist es zwar so, dass die allermeisten Unternehmen ihre DSGVO-Umsetzungsprojekte mittlerweile abgeschlossen haben. Es ist aber auch nicht zu verkennen, dass bei weitem nicht alle Unternehmen bereits eine 100 %ige DSGVO-Konformität erreicht haben. Nach einer Umfrage des Branchenverbandes Bitkom aus dem September 2019 hätten zwar 67 % der Unternehmen Maßnahmen zur Umsetzung der DSGVO ergriffen; es seien eineinhalb Jahre nach Inkrafttreten der neuen Regelungen aber nur 25 % der Unternehmen vollständig DSGVO-konform.6 Darüber hinaus muss aus einem statischen Datenschutz-Managementsystem, das im Rahmen eines DSGVO-Umsetzungsprojekts entsteht, ein dynamisches System werden, das sich laufend optimiert. Anderenfalls ist eine nachhaltige DSGVO-Compliance gerade nicht gewährleistet.7 Es ist daher wichtig, sich fortwährend zu vergegenwärtigen, dass der Übergang zur DSGVO auch einen systematischen Schwenkmit sich gebracht hat, der in zeitlicher und in inhaltlicher Hinsicht ebenfalls fortwährend bewältigt werden muss.

4

In zeitlicher Hinsicht war der Übergang weniger problematisch, weil es eine klare Stichtagsregelunggibt: Bis zum 24.5.2018 war das alte Recht vollumfänglich anwendbar; erst seit dem 25.5.2018gilt die DSGVO. Dort wo die DSGVO also Erleichterungen gegenüber der ehemaligen Rechtslage bewirkt hat, z.B. durch den Verzicht auf das ehemals in § 11 Abs. 2 S. 2 BDSG a.F. normierte Schriftformerfordernis, dürfen diese erst seit dem Stichtag in rechtssicherer Weise in Anspruch genommen werden.

5

Ungeachtet dessen bedeutet dies nicht, dass das alte Recht ab sofort keine Rolle mehr spielt. Gerade in derzeit noch laufenden Gerichtsverfahren müssen Sachverhalte häufig noch nach altem Recht – und ggf. parallel auch nach der DSGVO–beurteilt werden. Ein aktuelles Beispiel bildet das Gerichtsverfahren in Sachen Planet49 : Der EuGH hat in seiner Entscheidung8 einleitend festgestellt, dass der Ausgangsrechtsstreit nach der Zurückverweisung an den vorlegenden BGH u.U. auf Grundlage der nach der letzten mündlichen Verhandlung zur Geltung gekommenen DSGVO entschieden werden müsse und die Vorlagefragen daher sowohl nach Maßgabe der DSRL als auch der DSGVO zu beantworten waren.

6

Ein ganz maßgeblicher Unterschied des „neuen Datenschutzrechts“ gegenüber den alten Regelungen ergibt sich aus dem Rechtscharakter der DSGVO als einer Verordnung: Sie gilt als Verordnung gemäß Art. 288 Abs. 2 AEUV unmittelbar in jedem Mitgliedstaat und bedarf deshalb keiner Umsetzung durch die Mitgliedstaaten. Bei den zusätzlich erlassenen nationalen Datenschutzgesetzen handelt es sich deshalb auch nicht um Umsetzungsakte, sondern um (freiwillige) Begleitgesetze, die den direkten und unmittelbaren Geltungsanspruch der DSGVO unberührt lassen. Die Adressaten der DSGVO einschließlich der mit personenbezogenen Daten umgehenden Unternehmen sind direkt an die Pflichten aus der DSGVO gebunden.

7

Die DSGVO verfolgt dabei aber keinen Vollharmonisierungsansatz in dem Sinne, dass es keinerlei Datenschutzvorschriften in anderen Regelwerken auf europäischer oder nationaler Ebene mehr geben kann und soll. Zwar wurde die DSRLgemäß Art. 94 Abs. 1 DSGVO zeitlich zum 25.5.2018 aufgehoben, damit sind aber keineswegs alle Parallelgesetze beseitigt. Im Gegenteil bettet sich die DSGVO in ein Regelungsgeflechtaus manchen neuen und manchen weitergeltenden Datenschutzregelungenein. Hieraus entsteht eine nicht zu unterschätzende Komplexität.

8

Zunächst enthält die DSGVO selbst eine Reihe sogenannter „ Öffnungsklauseln“, in denen sie den Mitgliedstaaten gestattet, spezifizierende oder abweichende Regelungen zu treffen. Beispiele hierfür sind Art. 8 Abs. 1 UAbs. 2 DSGVO, wonach die Mitgliedstaaten eine Absenkung der Altersgrenze für Einwilligungen von Minderjährigen von 16 auf bis zu 13 Jahren vorsehen dürfen; und Art. 37 Abs. 4 S. 1, 2. HS DSGVO, der es den Mitgliedstaaten gestattet, von Art. 37 Abs. 1 DSGVO abweichende Voraussetzungen für die Pflicht zur Bestellung eines Datenschutzbeauftragten vorzusehen.

9

In vielen Mitgliedstaaten sind entsprechende Gesetzgebungsverfahren bereits abgeschlossen, die der Inanspruchnahme dieser insgesamt ca. 80 Öffnungsklauseln dienen. Der deutsche Gesetzgeber war hierbei besonders schnell: Das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 ( Datenschutz-Anpassungs- und -Umsetzungsgesetz EU– DSAnpUG-EU vom 30.6.2017) war bereits am 5.7.2017 im Bundesgesetzblatt verkündet worden.9

10

Das Artikelgesetz enthält unter anderem als Art. 1 das BDSG, welches die Begleitvorschriften zur DSGVO enthält, die auf deren Öffnungsklauseln gestützt sind.10 Gemäß Art. 8 Abs. 1 DSAnpUG-EU trat das BDSG parallel zur DSGVO am 25.5.2018 in Kraft.

11

Am 29.11.2019 ist in Deutschland das Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 ( Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU– 2. DSAnpUG-EU) in Kraft getreten. Es handelt sich ebenfalls um ein Artikelgesetz, durch das – allerdings überwiegend nur terminologische – Änderungen an diversen Einzelgesetzen vorgenommen wurden, um so die Datenschutzregelungen in diesen Gesetzen mit den Begrifflichkeiten der DSGVO zu harmonisieren.

12

Explizit nicht durch die DSGVO abgelöst wurde die RL 2002/58/EG.11 In Art. 95 DSGVO wird folgerichtig das Verhältnis der Regelungswerke zueinander geregelt, und zwar in dem Sinne, dass die RL 2002/58/EG vorrangig vor der DSGVO gilt, soweit sie besondere Pflichten enthält, die dasselbe Ziel wie die DSGVO-Pflichten verfolgen. Die RL 2002/58/EG ist also in ihrem Anwendungsbereich lex specialis zur DSGVO.

13

Daraus folgt, dass auch die mitgliedstaatlichen Vorschriften zur Umsetzung der RL 2002/58/EGVorrang haben vor der DSGVO; in Deutschland sind dies einige – aber nicht alle – Datenschutzregelungen im TKG, manche Datenschutzvorschriften im TMG und die Regelung in § 7 Abs. 2 und 3 UWG. Problematisch hierbei ist, dass die Datenschutzvorschriften in TKG und TMG keine 1:1-Umsetzungen der Richtlinienvorgaben sind. Sie enthalten vielmehr auch Regeln mit datenschutzrechtlicher Natur, die in der RL 2002/58/EG nicht vorgesehen sind- oder möglicherweise gerade keine Umsetzung der entsprechenden Vorschriften in der RL 2002/58/EG sind. Soweit dies der Fall ist, partizipieren solche überschießenden Regelungen nicht am Anwendungsvorrang und werden prinzipiell von der DSGVO verdrängt.