Christian Szidzek - Datenschutzgrundverordnung für Dummies

Das sollte sich aber ändern. Im Januar 2012 erfolgte offiziell die Vorstellung eines ersten Entwurfs eines neuen europäischen Datenschutzrechts durch die EU-Kommission. Der Entwurf wurde im Juni 2013 von den Innen- und Justizministern der Mitgliedstaaten der EU empört abgelehnt. Es dauerte bis zum Oktober 2013, bis im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres ( LIBE ) des Europäischen Parlaments ein Kompromiss gefunden werden konnte über den wesentlichen Inhalt einer europäischen Datenschutzreform. Bis dahin hatte sich das scheue Rehkitz allerdings bereits zu einem ausgewachsenen Reh entwickelt und wurde zunehmend weniger scheu. Eine erste Lesung des neuen zweiten Entwurfs für eine Datenschutzgrundverordnung ( DSGVO ) erfolgte dann im März 2014 im Europäischen Parlament und wurde am Folgetag durch das Europäische Parlament veröffentlicht. Nach weiteren und langwierigen Verhandlungen kam es schließlich zu einem dritten Entwurf. Dieser wurde im Juni 2015 durch den EU-Ministerrat veröffentlicht. Es wurde schnell klar, dass man es offenbar nicht mit einem Reh, sondern eher mit einem Elch zu tun bekommen würde. Gerüchte über ein Recht auf Vergessenwerden , neue Löschpflichten , umfassende Betroffenenrechte sowie drakonische Sanktionen bei Verstößen gegen die beabsichtigten neuen Vorschriften geisterten durch die Medien.

Schließlich begannen die ersten Trilog-Treffen, und im letzten davon, an einem 15. Dezember im Jahr 2015, konnte man sich auf einen finalen Stand einer DSGVO einigen. Am 25. Mai 2016 trat die DSGVO dann als Verordnung (EU) 2016/679 in Kraft. Von Rehen oder Elchen wollte aber plötzlich niemand mehr reden. Stattdessen war von einem Monster die Rede, das Einzug in Behörden und Unternehmen in den Mitgliedstaaten halten würde.

Aber nicht nur in der EU begann man zu realisieren, dass es zu einem Paradigmen-Wechsel im europäischen Datenschutz gekommen war. Auch im außereuropäischen Ausland registrierte man bestürzt, dass die EU es mit dem Datenschutz nun offenbar wirklich ernst meinen würde. Denn auch Unternehmen, die keinen Sitz in einem europäischen Mitgliedstaat hatten, wurden durch die Vorschriften der DSGVO nun erbarmungslos mit Sanktionen bedroht, sollten Sie es – wie bisher – wagen, den europäischen Datenschutz weiterhin zu unterlaufen. Gnädig wurde allen noch eine zweijährige Frist bis zum 25. Mai 2018 gewährt, um die neuen Datenschutzvorgaben in die Praxis umzusetzen. Und seit diesem Zeitpunkt müssen alle Adressaten , sei es mit oder ohne Sitz in der EU, die Vorschriften der DSGVO einhalten. Willkommen in der Monster AG !

Wer alles Adressat der Vorschriften der DSGVO ist, erfahren Sie übrigens gleich weiter unten unter der Überschrift Adressaten .

Wenn supranationale Einrichtungen wie die Vereinten Nationen ( UNO ) oder die Europäische Union ( EU ) Vorschriften erlassen, handelt es sich – sie ahnen es sicher schon – um supranationales Recht . Staaten übertragen bestimmte Regelungsbefugnisse auf solche supranationalen Einrichtungen, geben ihre ursprünglich eigene Verfügungsgewalt damit auf und sind dann an die Entscheidungen der supranationalen Einrichtungen gebunden. Solche Entscheidungen können in einigen Fällen durch Beschlüsse dieser Organisationen gefasst werden. Es gibt aber auch Gesetzeswerke, die von solchen Einrichtungen erlassen werden und an die sich Mitgliedstaaten dann halten müssen. So ist es auch in der EU. Die Gesetzgebung der EU findet dabei einerseits statt durch Richtlinien und andererseits durch Verordnungen .

Richtlinien tragen dem Umstand Rechnung, dass es sich bei den jeweiligen Mitgliedstaaten in der EU um teils völlig unterschiedlich strukturierte Staatsgebilde handelt. Allen gemein ist, dass es allesamt Demokratien sind. Demokratien können unterschiedlich ausgestaltet sein und sind es in Europa auch. In Frankreich existiert zum Beispiel eine präsidiale Demokratie , in Deutschland eine parlamentarische Demokratie . Deshalb ist das erste Mittel der Wahl des europäischen Gesetzgebers die Richtlinie. In einer Richtlinie werden erst einmal nur bestimmte gesetzgeberische Ziele festgelegt, die die Mitgliedstaaten dann durch eigene Landesgesetze in anwendbares Recht umsetzen sollen.

Je nach Ausgestaltung der landestypischen Gesetzgebungsverfahren und Besonderheiten der Landesverfassungen sind die Mitgliedstaaten dabei entsprechend frei in der Umsetzung der gesetzten Zielvorgaben. Setzen Mitgliedstaaten die Vorgaben von Richtlinien nicht oder inhaltlich nur unzureichend um, kann die EU-Kommission ein sogenanntes Vertragsverletzungsverfahren nach Art. 258 des Vertrags über die Arbeitsweise der Europäischen Union ( AEUV ) einleiten. Das Verfahren ermöglicht der Kommission, den Europäischen Gerichtshof ( EuGH ) anzurufen, wenn sie der Meinung ist, dass ein Mitgliedstaat gegen eine Verpflichtung aus den Verträgen verstoßen hat (Art. 260 Abs. 1 AEUV). Ist das der Fall, endet das meist mit hohen Bußgeldern für die betroffenen Staaten.

Da es aber immer wieder passiert, dass Mitgliedstaaten Richtlinien nur sehr zögerlich umsetzen oder listig Schlupflöcher finden, um die eigentlichen Ziele der Richtlinie zu unterwandern, sieht das europäische Datenschutzrecht auch Verordnungen vor. Verordnungen zeichnen sich dadurch aus, dass sie nicht mehr erst durch Gesetze der Mitgliedstaaten umgesetzt werden müssen, sondern nach ihrem Erlass und einer meist gewährten Übergangsfrist unmittelbar anzuwendendes Recht in jedem Mitgliedstaat der EU werden. Der Erlass von Umsetzungsgesetzen ist dann obsolet. Die Verordnung ersetzt dann entgegenstehende Gesetze vollständig. Wobei vollständig nicht ganz richtig ist. Verordnungen, wie auch die DSGVO, beinhalten oft sogenannte Öffnungsklauseln . Das sind Rechtsvorschriften, in denen es den Mitgliedstaaten erlaubt wird, bestimmte Regelungsinhalte noch zu konkretisieren durch eigene ergänzende Gesetze. Konkretisieren meint in diesem Zusammenhang, dass die Mitgliedstaaten zwar ergänzende Regelungen treffen dürfen. Sie dürfen dabei aber nur solche Regeln erlassen, die mit den Vorschriften der Verordnung harmonieren und diese nicht etwa durch die Hintertür heimlich aufweichen. Erlaubt sind nur noch schärfere Regelungen oder aber landestypische Spezifizierungen, aber keine Regelungen, mit denen Vorgaben einer Verordnung umgangen werden. Sollte das ein Mitgliedstaat trotzdem versuchen, droht auch hier ein Vertragsverletzungsverfahren .

In der DSGVO existieren 69 Öffnungsklauseln , die es Mitgliedstaaten ermöglichen, konkretisierende Gesetze zu erlassen. Deutschland hat mit dem Erlass des Bundesdatenschutzgesetzes ( BDSG ) als einer der ersten Mitgliedstaaten ein entsprechendes Ergänzungsgesetz erlassen. Aber wer wissen will, wie Deutschland bestimmte Datenschutzthemen ergänzend regelt, der muss zusätzlich einen Blick in das BDSG werfen. Dasselbe gilt für die meisten Mitgliedstaaten der EU, die inzwischen entsprechende ergänzende Gesetze erlassen haben. In Deutschland wird zum Beispiel der Beschäftigtendatenschutz , die Anforderungen an die Benennung von Datenschutzbeauftragten oder die Videoüberwachung zusätzlichen Regelungen unterworfen. Je nachdem in welchem Mitgliedstaat Sie sich also befinden, sollten Sie nicht versäumen, einen Blick in die vorhandenen nationalen Gesetze zum Datenschutz zu werfen.