Im sogenannten Trilog haben Vertreter des Parlaments, des Rates und der Kommission der EU am 17. Dezember 2015 den Text einer „Verordnung des Rates und des europäischen Parlaments zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DSGVO)“ beschlossen. Die DSGVO ist bereits am 25. Mai 2016 in Kraft getreten, kommt jedoch erst zwei Jahre nach Inkrafttreten zur Anwendung. Das bedeutet, dass die DSGVO ab dem 25. Mai 2018 für alle gilt und deren Einhaltung durch die EU-Datenschutzaufsichtsbehörde und Gericht von diesem Zeitpunkt an überprüfbar ist. Die zweijährige Übergangsfrist ist damit bald vorüber, sodass die EU-Datenschutzbehörden ab Geltung im Mai 2018 Sanktionen verhängen können, wenn die Vorgaben der DSGVO nicht oder nicht ausreichend umgesetzt werden.

Bis dahin gilt als Grundlage für die einheitliche Gestaltung des Datenschutzrechts in der EU die EG-Datenschutzrichtlinie vom 24. Oktober 1995 fort. Eine Richtlinie ist eine von fünf in Art. 288 AEUV (Vertrag über die Arbeitsweise der europäischen Union) vorgesehenen Rechtsakten. Diese Richtlinie verfolgt das Ziel der Harmonisierung der geregelten Rechtsmaterie in den einzelnen EU-Staaten und ist ausschließlich an die Mitgliedsstaaten gerichtet. Die Mitgliedsstaaten sind verpflichtet, diese Richtlinie in nationales Recht umzusetzen. Der bedeutsame Harmonisierungseffekt unter dem Gesichtspunkt der Schaffung einheitlicher Wirtschaftsbedingungen und der Wettbewerbsgleichheit wird allerdings nur dann erreicht, wenn die Nationalstaaten die ihnen gewährten Spielräume einhalten. In der Praxis ist dies nicht hinreichend geschehen, sodass auf Grund dieser Erkenntnis der Datenschutz in der EU nunmehr in einer Verordnung geregelt werden soll. Verordnungen sind im Gegensatz zu Richtlinien allgemein und unmittelbar geltende und in allen ihren Teilen verbindliche Rechtsakte. Aufgrund der Durchgriffswirkung der Verordnung müssen sie von den EU-Mitgliedsstaaten nicht in nationales Recht umgesetzt werden. Vielmehr besteht ein „Umsetzungsverbot“ für die Mitgliedsstaaten, das auch die Modifikation der vorgegebenen Regelungen durch sie im Regelfall untersagt (Art. 288 Abs. 2 AEUV). Treten für die Gerichte diesbezüglich Auslegungsfragen auf, muss das Gericht den EuGH nach den Regeln des Vorabentscheidungsverfahrens anrufen (Art. 267 Abs. 1 lit.b) AEUV).

Durch das Inkrafttreten der DSGVO wird der Datenschutz in der EU in Zukunft grundsätzlich auf unmittelbar geltendem, einheitlichen Europäischen Recht basieren. Es werden aber sogenannte „Öffnungsklauseln“ geschaffen, welche weiterhin Regulierungen im nationalen Recht gestatten bzw. nationale Gestaltungsspielräume eröffnen. Öffnungsklauseln sind in der DSGVO zahlreich vorhanden, konkret gibt es hierfür ca. 60 Anwendungsfällt. Viele eröffnen einen in das Ermessen der Staaten gestellten Handlungsspielraum, einige andere geben den Mitgliedsstaaten einen Handlungsauftrag. Dadurch wurde der zunächst von der Kommission vorgesehene Weg, notwendige Detailregelungen europaeinheitlich in delegierten Rechtsakten vorzusehen aufgegeben und den Mitgliedsstaaten die Gestaltung wieder überlassen.

Auswirkungen der DSGVO in Deutschland

Die für Unternehmen zurzeit einschlägigen Regelungen des BDSG werden mit der DSGVO weitgehend ersetzt. Auf Grund der unmittelbaren Geltung der Verordnung in allen Mitgliedsstaaten, bedarf es keines Umsetzungsgesetztes, sondern neue vom nationalen Gesetzgeber erlassene Gesetze, um die nationalen Vorschriften, die durch die Verordnung ersetzt werden, aufzuheben. Besteht eine Öffnungsklausel, ist der nationale Gesetzgeber ermächtigt, die Regelungen der Verordnung zu konkretisieren und zu ergänzen. Ein klassisches Beispiel ist der Beschäftigtendatenschutz. Art. 88 Abs. 1 DSGVO sieht eine Öffnungsklausel vor, nach der die Mitgliedsstaaten „spezifische Vorschriften zur Gewährleistung der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigtenkontext“ vorsehen können. Allerdings sind im Rahmen der ersten Anpassung des deutschen Rechts an die DSGVO keine umfassenden neuen nationalen Regelungen zu erwarten, sondern lediglich eine dem geltenden § 32 BDSG entsprechende Regelung. Ebenfalls gem. Art. 88 DSGVO bleiben Kollektivvereinbarungen, wie die Betriebsvereinbarung zum Datenschutz, im Arbeitsverhältnis zulässig. Diese Vereinbarungen müssen jedoch zusätzlich die Vorgaben der DSGVO beachten, was ggf. eine Überarbeitung der bisherigen Betriebsvereinbarungen erforderlich macht.

Die Verordnung bewegt sich auf der materiell-rechtlichen Grundlage der geltenden EU-Richtlinie 95/46 und behält im Wesentlichen die grundsätzlichen Datenschutzprinzipien aus der Richtlinie bei.

Zusammenspiel der DSGVO und des BDSG – neu

Am 5. Juli 2017 ist zur Umsetzung und Anpassung an die DSGVO eine Neufassung des BDSG verkündet worden, die ebenfalls mit Wirkung vom 25. Mai 2018 in Kraft tritt. Das Zusammenspiel von National- und Unionsrecht macht das Datenschutzrecht komplizierter, insbesondere für den Umgang mit personenbezogenen Daten im Beschäftigungsverhältnis. Es wird wahrscheinlich eine lange Zeit dauern, bis alle Fragen durch die Rechtsprechung und Literatur geklärt werden können, allerdings steht schon fest, dass es zwar viele Änderungen geben wird, jedoch wenig neue Inhalte geschaffen wurden.

Der Erwägungsgrund 8 der DSGVO stellt klar, dass den Mitgliedsstaaten eine nationale Regelung nicht verwehrt werden soll. Zu beachten sei jedoch, dass der Vorrang der DSGVO stets berücksichtigt wird, der nach Art. 288 Abs.2 AEUV einer EU-Verordnung zukommt. Von diesem Gestaltungsspielraum hat der deutsche Gesetzgeber beispielsweise Gebrauch gemacht, indem er das „Gesetz zur Anpassung des Datenschutzrechts an die VO (EU) 2016/679 und zur Umsetzung der RL (EU) 2016/680 (DSAnpUG-EU)“ erlassen hat. Gem. Art. 8 Abs.1 S.1 des DSAnpUG-EU (im Folgenden: BDSG-Neu) tritt mit Wirkung vom 25.Mai 2018 das BDSG-Neu in Kraft. In § 26 BDSG-Neu werden besondere Regelungen für die Datenverarbeitung im Beschäftigungskontext getroffen.

Der nationale Gesetzgeber, der von seiner Ermächtigung Gebrauch macht, muss ein angemessenes Schutzniveau im Sinne des Art. 88 II DSGVO (Schutzniveau der Öffnungsklausel) sicherstellen. Diese Sicherstellung gilt insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe sowie hinsichtlich Überwachungssystemen am Arbeitsplatz.

Die auf nationaler Ebene ergehenden Rechtsvorschriften bzw. Kollektivvereinbarungen müssen „besondere“ Maßnahmen zum Beschäftigtenschutz vorsehen. Das heißt, dass pauschale Angaben oder Bezugnahmen auf Datenschutzbestimmungen – auch auf die der DSGVO – an dieser Stelle nicht ausreichen. Deshalb müssen diese Vorschriften darüber hinaus „angemessene“ Schutzmaßnahmen treffen, die einen ausgewogenen Interessenausgleich zwischen dem für die Verarbeitung Verantwortlichen und den von der Verarbeitung betroffenen Personen schaffen. § 26 BDSG-Neu führt zum einen die rudimentären Regelungen des § 32 BDSG fort, zum anderen schafft er neue Regelungen mit neuen Auslegungsproblem, die jedoch inhaltlich gesehen nicht viel Neues aufzeigen.

Noch nicht abzusehen ist, inwieweit neben diesen bereichsspezifischen Vorschriften zum Beschäftigtendatenschutz auch die allgemeinen Bestimmungen der DSGVO zur Anwendung gelangen. Ein Blick auf die in Art. 5 Abs. 2 DSGVO niedergelegte Rechenschaftspflicht des Verantwortlichen und auf den Mechanismus der Datenschutzfolgenabschätzung in Art. 35 DSGVO lässt darauf schließen, dass diese Vorschriften der DSGVO nicht ihre Bedeutung verlieren. Es muss jedoch geklärt werden, ob sie nur mittelbar bei der Bestimmung des angemessenen Schutzniveaus der Vorschriften (Art. 88 Abs. 2 DSGVO) heranzuziehen sind oder ob sie direkte Geltung beanspruchen können.

Wie dieses Beispiel zeigt, bleibt vieles so, wie es bislang auch schon gehandhabt wurde, allerdings werden neue Hintergründe gewonnen.  Es verschiebt sich vor allem der Bezugsrahmen von der nationalen auf die europäische Ebene. Deshalb wird es von entscheidender Bedeutung sein, den verantwortlichen Stellen durch Auslegungshilfen der Aufsichtsbehörden, durch klare und richtungsweisende Rechtsprechung insbesondere des EuGH sowie durch eine weiter an Qualität gewinnende wissenschaftliche Debatte Orientierung zu geben.

Holen Sie sich professionellen Rat ein. Wir beraten Sie gern.

KINAST Rechtsanwälte

www.kinast-partner.de

mail@kinast-partner.de

Jan Rübsteck

Jan Rübsteck

Jan Rübsteck ist Rechtsanwalt, zertifizierter Datenschutzbeauftragter und Teamleiter der Kinast Rechtsanwaltsgesellschaft mbH. Als extern bestellter Datenschutzbeauftragter leitet er verantwortlich das Team für die datenschutzrechtliche Betreuung von GoDaddy im nationalen und internationalen Bereich.
Jan Rübsteck

Letzte Artikel von Jan Rübsteck (Alle anzeigen)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.