Rote Linien zur EU-DSGVO Was ist daraus geworden? - Deutsche ...

Die Seite wird erstellt Niels-Arne Reichel
 
WEITER LESEN
Rote Linien zur EU-DSGVO Was ist daraus geworden? - Deutsche ...
2/2016
39. Jahrgang
                            ISSN 0137-7767
                                                                        12,00 Euro
         Deutsche Vereinigung für Datenschutz e.V.

                                                                                                Rote Linien zur EU-DSGVO
                                                     www.datenschutzverein.de

                                                                                                Was ist daraus geworden?
                                                                                     ■ Die Europäische Datenschutz-Grundverordnung – ein Überblick ■
                                                                                     Entscheidung des EuGH zum sog. Recht auf Vergessenwerden ■ Rote
                                                                                     Linien eingehalten? Zur Verabschiedung der Datenschutz-Grundver-
                                                                                     ordnung ■ Nachrichten ■ Rechtsprechung ■ Buchbesprechungen ■
Rote Linien zur EU-DSGVO Was ist daraus geworden? - Deutsche ...
Inhalt

   Thilo Weichert                                                 Konferenz der Datenschutzbeauftragten des
   Die Europäische Datenschutz-Grundverordnung –                  Bundes und der Länder
   ein Überblick                                            48    Stärkung des Datenschutzes in Europa –
   Sabine Leutheusser-Schnarrenberger                             nationale Spielräume                                       75
   Entscheidung des EuGH zum sog. Recht auf                       Douwe Korff
   Vergessenwerden                                          56    Privacy seals in the new EU General Data Protection
   Dr. Robert Selk                                                Regulation: Threat or facilitator?                         77
   EU-DS-GVO: Neue Anforderungen an                               Peter Schaar
   die Einwilligung?                                        59    Europäischer Datenschutz: Ende gut, alles gut?             80
   Werner Hülsmann                                                vzbv – Florian Glatzner
   Die Europäische Datenschutzgrundverordnung                     Datenschutz in Europa: Die roten Linien des vzbv
   und ihre Auswirkungen auf den betrieblichen                    zur europäischen Datenschutz-Grundverordnung – revisited   82
   Datenschutz                                              62    Werner Hülsmann
   BDfI – Andrea Voßhoff / Sven Hermerschmidt                     Gestaltungsspielräume für die Nationalstaaten und
   Rote Linien eingehalten? Zur Verabschiedung der                Planungen des Bundesministeriums des Inneren               84
   Datenschutz-Grundverordnung                              68    Digitalcourage &
   BvD – Thomas Spaeing                                           Deutsche Vereinigung für Datenschutz (DVD)
   Roten Linien des BvD zur DS-GVO – so sieht’s aus!        70    Position zur Ausgestaltung der Europäischen Datenschutz-
   digitalcourage – Friedemann Ebelt                              grundverordnung                                          86
   Was taugt die neue Datenschutzgrundverordnung?           72    Frans Jozef Valenta
   Digitale Gesellschaft – Volker Tripp                           BigBrotherAwards 2016                                      88
   Datenschutzgrundverordnung:                                    Datenschutz Nachrichten – Deutschland                       90
   Überfällige Reform mit Abstrichen                        73    Datenschutz Nachrichten – Ausland                           97
   GDD – Andreas Jaspers                                          Datenschutz Nachrichten – Technik                          105
   Der Datenschutzbeauftragte in der Datenschutz-
   Grundverordnung – Handlungsbedarf des                          Rechtsprechung                                             107
   deutschen Gesetzgebers                                   74    Buchbesprechungen                                          111

   Termine

     Sonntag, 18. September 2016                     Samstag, 22. Oktober 2016
     DVD-Vorstandssitzung                            DVD-Vorstandssitzung
     Kiel. Anmeldung in der Geschäftsstelle          Bonn. Anmeldung in der
     dvd@datenschutzverein.de                        Geschäftsstelle
                                                     dvd@datenschutzverein.de
     Montag, 19. September 2016
     ULD-Sommerakademie                              Sonntag, 23. Oktober 2016
     Kiel                                            DVD-Mitgliederversammlung
     https://www.datenschutzzentrum.de/              Bonn.
     sommerakademie/                                 dvd@datenschutzverein.de
     21. und 22. Oktober 2016
     Geheimdienste vor Gericht:
     Humboldt-Universität und
     Maxim Gorki Theater Berlin
     http://www.ausgeschnueffelt.de

Foto: Uwe Schlick / pixelio.de

                                                                                                  DANA • Datenschutz Nachrichten 2/2016

46
Rote Linien zur EU-DSGVO Was ist daraus geworden? - Deutsche ...
Editorial
               DANA
  Datenschutz Nachrichten                Liebe Leserinnen und Leser,
           ISSN 0137-7767
         39. Jahrgang, Heft 2            am 25.05.2016 ist die EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten
                                         (siehe dazu auch den einleitenden Artikel von Thilo Weichert in diesem Heft). Grund
             Herausgeber                 genug für uns, Ihnen mehrere Aspekte der neuen DSGVO genauer darzustellen.
      Deutsche Vereinigung für
       Datenschutz e.V. (DVD)
                                         Hierzu konnten wir Artikel von Sabine Leutheusser-Schnarrenberger zum Recht auf
          DVD-Geschäftstelle:            Vergessen, von Robert Selk zu den neuen Anforderungen an Einwilligungen nach
    Reuterstraße 157, 53113 Bonn         der DSGVO und von Werner Hülsmann zu den Anforderungen der DSGVO an den
           Tel. 0228-222498              betrieblichen Datenschutz gewinnen.
 IBAN: DE94 3705 0198 0019 0021 87
         Sparkasse KölnBonn              Wir haben mit dieser Ausgabe der DANA den beteiligten Organisationen, Verbän-
  E-Mail: dvd@datenschutzverein.de
     www.datenschutzverein.de            den und Einzelpersonen, die sich in der DANA 3/2015 zu den roten Linien, die im
                                         Rahmen der Trilog-Verhandlungen zwischen EU-Parlament und EU-Rat nicht über-
         Redaktion (ViSdP)               schritten werden durften, geäußert hatten, die Gelegenheit gegeben, ihre damaligen
            Frank Spaeing
     c/o Deutsche Vereinigung für        Forderungen und die nun fertige DSGVO gegenüberzustellen. Fast alle Beteiligten
        Datenschutz e.V. (DVD)           haben auch in dieser Ausgabe wieder mitgewirkt, in ihren Beiträgen ein Resümee
    Reuterstraße. 157, 53113 Bonn        gezogen und mitunter auch gleich den deutschen Gesetzgebern noch Empfehlungen
      dvd@datenschutzverein.de           für die Ausgestaltung des BDSG-Ablösegesetzes mitgegeben.
    Den Inhalt namentlich gekenn-
  zeichneter Artikel verantworten die
                                         Sich diesem Themenblock anschließend haben wir in dieser Ausgabe einen weiteren
          jeweiligen Autoren.
                                         Artikel von Werner Hülsmann, der die (in der DSGVO enthaltenen) Gestaltungs-
          Layout und Satz                spielräume für die nationalen Gesetzgeber und die dazugehörigen Planungen des
    Frans Jozef Valenta, 53119 Bonn
     valenta@datenschutzverein.de
                                         Bundesministeriums des Inneren darstellt.
                 Druck                   Neben dem gemeinsamen Positionspapier von Digitalcourage und DVD zur konkre-
          Onlineprinters GmbH
         Rudolf-Diesel-Straße 10         ten Ausgestaltung der Spielräume rundet ein Artikel von Frans Jozef Valenta zum
       91413 Neustadt a. d. Aisch        BigBrotherAward 2016 die DANA ab.
          www.diedruckerei.de
     Tel. +49 (0)91 61 / 6 20 98 00      Natürlich fehlen auch in dieser Ausgabe nicht Datenschutznachrichten aus dem In-
      Fax +49 (0) 91 61 / 66 29 20       und Ausland, Technik-Nachrichten und Meldungen zu aktueller Rechtsprechung.
             Bezugspreis
  Einzelheft 12 Euro. Jahresabonne-      Eine anregende und informative Lektüre wünscht Ihnen
  ment 42 Euro (incl. Porto) für vier
   Hefte im Kalenderjahr. Für DVD-       Frank Spaeing
  Mitglieder ist der Bezug kostenlos.
  Das Jahresabonnement kann zum
 31. Dezem­ber eines Jahres mit einer
  Kündigungsfrist von sechs Wochen       Autorinnen und Autoren dieser Ausgabe:
 gekündigt werden. Die Kündigung ist
 schriftlich an die DVD-Geschäftsstel-
          le in Bonn zu richten.         Werner Hülsmann
                                         Vorstandsmitglied in der DVD, Mitglied des Beirats des Forum InformatikerInnen für Frieden und
               Copyright                 gesellschaftliche Verantwortung (FIfF) e.V., selbständiger Datenschutzberater, externer Datenschutzbe-
  Die Urheber- und Vervielfältigungs-    auftragter und Datenschutzsachverständiger, Ismaning und Berlin, huelsmann@datenschutzverein.de
     rechte liegen bei den Autoren.
   Der Nachdruck ist nach Genehmi-       Sabine Leutheusser-Schnarrenberger
   gung durch die Redaktion bei Zu-
                                         Bundesjustizministerin a. D., Mitglied des Google Advisory Council zum Recht auf Vergessen,
  sendung von zwei Belegexemplaren       info@leutheusser-schnarrenberger.de
  nicht nur gestattet, sondern durch-
  aus erwünscht, wenn auf die DANA       Dr. Robert Selk
      als Quelle hingewiesen wird.
                                         Rechtsanwalt, Fachanwalt für IT-Recht und Datenschutzbeauftragter,Leiter des Fachausschusses
              Leserbriefe                „Datenschutz“ der Deutschen Gesellschaft für Recht und Informatik, selk@kanzlei-ssh.de
   Leserbriefe sind erwünscht. Deren
   Publikation sowie eventuelle Kür-     Frans Jozef Valenta
      zungen bleiben vorbehalten.        Grafik-Designer, Vorstandsmitglied in der DVD, valenta@datenschutzverein.de
        Abbildungen, Fotos
                                         Dr. Thilo Weichert
           Frans Jozef Valenta
                                         Ehemaliger Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein, Kiel,
                                         Vorstandsmitgied in der DVD, weichert@datenschutzexpertise.de

DANA • Datenschutz Nachrichten 2/2016

                                                                                                                                           47
Rote Linien zur EU-DSGVO Was ist daraus geworden? - Deutsche ...
Rote Linien zur EU-DSGVO – Was ist daraus geworden?

Thilo Weichert

Die Europäische Datenschutz-Grundverordnung –
ein Überblick

1 Kurzgeschichte der                      hatte am 24.02.2011 Schlussfolgerun-        - Für die Anwendbarkeit der EU-DS-
  Verordnung                              gen angenommen, in denen er das Re-           GVO soll das Marktortprinzip gelten;
                                          formvorhaben der Kommission unter-            d. h. die europäischen Verbraucher
  Am 08.04.2016 beschlossen der Rat       stützte. Mit einer Entschließung vom          und Betroffenen sollen durch das für
der Europäischen Union (EU) und am        06.07.2011 hatte das EU-Parlament ei-         sie vor Ort geltende europäische Recht
14.04.2016 das Parlament der EU ei-       nen Bericht angenommen, der das Kom-          geschützt werden, unabhängig davon,
nen neuen Rechtsrahmen zum Schutz         missionskonzept für die Reform der Da-        wo die Datenverarbeitung erfolgt und
personenbezogener Daten in der Euro-      tenschutzregelungen guthieß.                  wo der Sitz der verarbeitenden Stelle
päischen Union, auf die sich diese am                                                   liegt.
15.12.2015 mit der Kommission der EU      2 Rechtlicher Rahmen                        - Über den sog. One-Stop-Shop soll für
im sog. Trilog geeinigt hatten. Dieser                                                  ein Unternehmen vorrangig die ört-
Rechtsrahmen hat zwei Bestandteile,         Die Vorschriften der nun verabschie-        liche Datenschutzbehörde zuständig
eine Richtlinie für den Datenschutz in    deten Grundverordnung zielen auf zwei-        sein, so dass eine Kommunikation
den Bereichen Justiz und Polizei sowie    erlei ab: auf den Schutz des Grundrechts      in einer konkreten Frage zum Da-
eine Europäische Datenschutz-Grund-       auf Datenschutz und auf die Garantie          tenschutz ausschließlich mit dieser
verordnung (EU-DSGVO). Das Kern-          des freien Verkehrs personenbezogener         erfolgt. Die Abstimmung der Positi-
stück des neuen Rechtsrahmens ist die     Daten zwischen den Mitgliedstaaten.           on dieser Aufsichtsbehörde mit den
EU-DSGVO, mit der die Europäische           In Art. 16 Abs. 1 des Vertrags über die     anderen Aufsichtsbehörden, in deren
Datenschutzrichtlinie (EG-DSRl) aus       Arbeitsweise der Europäischen Union           Zuständigkeit ein Unternehmen auf
dem Jahr 1995 abgelöst wird.              (AEUV) ist der Grundsatz verankert,           dem Markt agiert, hat innerhalb des
  Der Diskussion über die EU-DSGVO        dass jede Person das Recht auf Schutz         administrativen Bereichs zu erfolgen.
lag ursprünglich ein Vorschlag der EU-    ihrer personenbezogenen Daten hat. Seit     - Die Transparenz für die Betroffenen
Kommission vom 25.01.2012 zugrunde.       dem Vertrag von Lissabon verfügt die          soll verbessert und den modernen
Das EU-Parlament beschloss dann mit       EU mit Art. 16 Abs. 2 AEUV über eine          technischen Gegebenheiten angepasst
großer Mehrheit am 12.03.2014 eine        besondere Rechtsgrundlage für den Er-         werden.
Vielzahl von Änderungsvorschlägen.        lass von Datenschutzvorschriften.           - Der technische Datenschutz soll durch
Mit Datum vom 15.06.2015 hatte sich         Der europäische Rechtsrahmen zum            neue Instrumente verbessert werden,
der EU-Rat auf seine Haltung zur EU-      Datenschutz in der EU hat zwei völker-        bei denen die Prinzipien des Privacy
DSGVO verständigt. Für die Erarbei-       rechtliche bzw. verfassungsrechtliche         by Design und Privacy by Default so-
tung und Aushandlung der EU-DSGVO         Grundlagen, nämlich Art. 8 der Euro-          wie der Datensparsamkeit schon bei
war das informelle Trilog-Verfahren ge-   päischen      Menschenrechtskonvention        der Technikgestaltung berücksichtigt
wählt worden, mit dem die Einberufung     (EMRK) sowie die Art. 7 und 8 der             werden.
eines komplexen und möglicherweise        Europäischen Grundrechtecharta (Eu-         - Über eine Risikofolgenabschätzung
zeitlich nicht überschaubaren Vermitt-    GRCh).                                        soll zwischen risikoreichen Anwen-
lungsverfahrens vermieden wurde.                                                        dungen und sonstigen Verfahren diffe-
  Bevor die Kommission ihren Vor-         3 Zielsetzungen                               renziert werden. Bei geringerem Risi-
schlag vorgelegt hatte, waren in Bezug                                                  ko soll für die Unternehmen der büro-
auf den geplanten Rechtsrahmen zwei         Zur Erreichung der Rechtsetzungszie-        kratische Aufwand reduziert werden,
Konsultationen durchgeführt wor-          le – einem hohen Datenschutzstandard          während bei komplexen Verfahren ein
den und zwar die vom 09.07.2009 bis       und dem freien Fluss personenbezoge-          adäquater Schutz angestrebt wird.
31.12.2009 „zum Rechtsrahmen für das      ner Daten im Binnenmarkt – schälten         - Nicht nur der Datenaustausch inner-
Grundrecht auf Schutz personenbezo-       sich im Laufe der Diskussionen über die       halb der EU bzw. des Binnenmarktes
gener Daten“ sowie vom 04.11.2010         EU-DSGVO folgende Zwischenziele               soll gefördert werden, sondern auch
bis 15.01.2011 „zum Gesamtkonzept         hieraus:                                      mit Staaten, in denen ein angemesse-
der Kommission für den Datenschutz        - Es werden einheitliche verbindliche         ner Datenschutz besteht. Fehlt dieser,
in der Europäischen Union“. Ihr „Ge-        Regelungen angestrebt, die europa-          so sind verbindliche und rechtssichere
samtkonzept“ hatte die EU-Kommission        weit gelten und direkt anwendbar            Instrumente für den Drittland-Daten-
am 04.11.2010 vorgestellt. Der EU-Rat       sind.                                       transfer vorgesehen.

                                                                                            DANA • Datenschutz Nachrichten 2/2016
48
Rote Linien zur EU-DSGVO Was ist daraus geworden? - Deutsche ...
Rote Linien zur EU-DSGVO – Was ist daraus geworden?

- Durch Verbesserung der Rechte der         Kap. 7 Zusammenarbeit und Kohärenz              tenschutzvorschriften“, was bisher mit
  Betroffenen und deren Möglichkeit,                (60-76/54a-72)                          dem englischen Begriff „Binding Cor-
  durch administrative und gerichtliche     Kap. 8 Rechtsbehelfe, Haftung und               porate Rules“ (BCRs) bezeichnet wor-
  Verfahren Rechtsschutz zu erlangen,               Sanktionen (77-84/73-79b)               den ist (Art. 4).
  sollen die bestehenden Vollzugsdefizi-    Kap. 9 Besondere        Datenverarbei-
  te abgebaut werden.                               tungssituationen (85-91/80-85)          6 Grundprinzipien
- Über präventiv wie auch repressiv         Kap. 10 Delegierte Rechtsakte und
  wirkende angemessen hohe Sankti-                  Durch­führungsrechtsakte (92,             Im deutschen Datenschutzrecht war
  onen soll die Bereitschaft zur Um-                93/86, 87)                              es bisher nicht üblich, Gesetzen Grund-
  setzung des Datenschutzes und zur         Kap. 11 Schlussbestimmungen        (94-         prinzipien voranzustellen, anders nun in
  Compliance bei den verantwortlichen               99/88-91)                               Europa in Art. 5. Dies ist systematisch
  Stellen gefördert werden.                                                                 zu begrüßen. Bei der Auslegung der
                                            5 Anwendungsbereich                             weiteren Regelungen sollte und kann
4 Struktur des EU-DSGVO                                                                     immer hierauf zurückgegriffen werden.
                                               Die EU-DSGVO wird die zentra-                Außerdem wird dem mit dem Daten-
   Die Grundverordnung ist in 11 Kapitel    le Datenschutzregelung in der EU, ist           schutzrecht nicht vertrauten Menschen
gegliedert, deren Struktur sich weitge-     aber nicht in allen Bereichen in der            kurz und bündig klargestellt, welche ge-
hend an den bestehenden Datenschutzge-      EU anwendbar. Dort, wo Unionsrecht              nerellen Erwägungen die EU-DSGVO
setzen und der EG-DSRl orientiert. Einen    keine Gültigkeit hat, gilt auch die EU-         prägen. Diese sind für erfahrene Anwen-
Schwerpunkt und Innovationen setzt die      DSGVO nicht. Entsprechendes gilt für            der alle keine Unbekannten:
Verordnung weniger im materiell-recht-      Tätigkeiten nach Titel V Kapitel 2 EUV,         - Rechtmäßigkeit, Verarbeitung nach
lichen Bereich als im administrativen,      also die gemeinsame Außen- und Si-                Treu und Glauben, Transparenz,
im technisch-organisatorischen sowie im     cherheitspolitik. Für Tätigkeiten zum           - Zweckbindung,
prozeduralen Bereich. Die verbindlich       Zweck der polizeilichen und justiziellen        - Richtigkeit,
geltende EU-DSGVO soll künftig an der       Verhütung und Verfolgung von Strafta-           - Erforderlichkeit, die etwas sperrig
Spitze einer hierarchischen Regelungs-      ten gilt die zeitgleich konsentierte EU-          „Speicherbegrenzung“ genannt wird,
struktur stehen, in der nationale Gesetze   Datenschutzrichtlinie für Justiz und            - Integrität und Vertraulichkeit,
oder andere nachgeordnete Normen und        Polizei. Weitere Ausnahmen sind die             - Verantwortlichkeit, die unter dem Be-
Festlegungen spezielle Präzisierungen       personenbezogene Verarbeitung von                 griff „Rechenschaftspflicht“ geführt
vornehmen können.                           Daten in ungeordneten Akten sowie,                wird.
   Die Zählweise der Artikel orientierte    wenn sich die Datenverarbeitung aus-
sich während der Diskussion in den EU-      schließlich auf den persönlichen oder             Hervorzuheben ist, dass als weiterer
Gremien an den Vorgaben der EU-Kom-         familiären Bereich bezieht (sog. Haus-          Grundsatz die „Datenminimierung“
mission. Da jedoch ganze Artikel und        haltsausnahme). Soweit Organe der EU            erwähnt wird. Wirtschaftsvertreter wie
Absätze gestrichen und andere hinzuge-      tätig werden, gilt weiterhin die Verord-        auch die deutsche Bundesregierung hat-
fügt wurden, erfolgte vor der Beschluss-    nung EG Nr. 45/2001. Unberührt bleibt           ten noch kurz vor Abschluss des Trilogs
fassung eine neue Durchnummerierung.        weiterhin die Datenschutzrichtlinie für         dafür gekämpft, das Prinzip der Daten-
Im folgenden Text werden die Artikel        den Telekommunikationsbereich, wel-             sparsamkeit aus der EU-DSGVO zu
gemäß der endgültigen Beschlussfas-         che die Verarbeitung von Bestands- und          verbannen, weil damit die Chancen der
sung nummeriert.                            Verkehrsdaten von Netzdiensteanbietern          europäischen Wirtschaft bei der Ent-
                                            regelt (Art. 2).                                wicklung zukunftsweisender und luk-
Gliederung EU-DSGVO (Ziffern vor               Es gilt das Marktortprinzip. Danach          rativer Big-Data-Konzepte beschnitten
dem Schrägstrich Beschlussfassung/da-       kommt es nicht darauf an, wo physisch           würden. Davon unbeeindruckt findet sich
hinter in der Entwurfsfassung)              die Datenverarbeitung erfolgt. Relevant         dieser Grundsatz nicht nur eingangs pro-
Kap. 1 Allgemeine Bestimmungen (1-          ist vielmehr, dass die Verarbeitung einer       minent, sondern an vielen weiteren Stel-
         4)                                 verantwortlichen Stelle oder eines Auf-         len, so insbesondere in Art. 25, wo als
Kap. 2 Grundsätze (5-11/5-10)               tragsdatenverarbeiters auf eine Person          Instrumente der Datenminimierung die
Kap. 3 Rechte der Betroffenen Person        abzielt, die sich in der EU aufhält (Art. 3).   Pseudonymisierung und „Privacy by De-
         (12-23/11-21)                         Die Begriffsbestimmungen bringen             fault“ genannt werden, im Rahmen von
Kap. 4 Für Verarbeitung Verantwort-         im Vergleich zur EG-DSRl keine we-              Zertifizierungen (Art. 25 Abs. 3), als Si-
         licher und Auftragsdatenverar-     sentlichen inhaltlichen Änderungen,             cherheitsmaßnahme (Art. 32 Abs. 1 lit. a)
         beiter (24-43/22-39a)              wohl aber Erweiterungen: Neu definiert          sowie als Kriterium für Verhaltensregeln
Kap. 5 Übermittlung personenbezoge-         werden z. B. Begriffe wie „Profiling“,          (Art. 40 Abs. 2 lit. d). In Art. 11 wird
         ner Daten an Drittländer oder      „Pseudonymisierung“, „genetische Da-            explizit klargestellt, dass aus einer pseu­
         an internationale Organisatio-     ten“, „biometrische Daten“, „Haupt-             donymen oder sonstwie datensparsamen
         nen (44-50/40-45)                  niederlassung“, „Vertreter“, „Unter-            Verarbeitung keine Pflicht besteht, allein
Kap. 6 Unabhängigkeit der Aufsichts-        nehmen“, „Unternehmensgruppe“ oder              zum Zweck der Einhaltung der Verord-
         behörden (51-59/46-54)             „verbindliche unternehmensinterne Da-           nung zusätzliche Daten einzuholen.

DANA • Datenschutz Nachrichten 2/2016
                                                                                                                                  49
Rote Linien zur EU-DSGVO Was ist daraus geworden? - Deutsche ...
Rote Linien zur EU-DSGVO – Was ist daraus geworden?

  Das schon bisher in der EG-DSRl            Enthalten die bereichsspezifischen na-      normiert: Wird für einen Vertrag oder
geltende Verbot mit Erlaubnisvorbehalt       tionalen Regelungen aber prozedurale        eine Dienstleistung eine Einwilligung
ergibt sich aus Art. 6, der die „Rechtmä-    oder organisatorische Normen, insbe-        abverlangt, „die für die Erfüllung des
ßigkeit der Verarbeitung“ regelt. Über-      sondere hinsichtlich des Datenschutz-       Vertrags nicht erforderlich ist“, so ist sie
sichtlicher und systematischer als z. B.     managements bei den Verantwortlichen,       im Zweifel nicht freiwillig. Unklar sind
in den §§ 28 ff. BDSG werden die Le-         der Selbstregulierung und der staatli-      die Rechtsfolgen einer unzulässigen
gitimationsmöglichkeiten für die Verar-      chen Aufsicht, so kann insofern doch        Koppelung. Diese dürfte die Unzuläs-
beitung aufgezählt:                          eine Anpassung an die EU-DSGVO              sigkeit der gesamten Einwilligung zur
- Einwilligung,                              erforderlich sein. Jedenfalls ist die Be-   Folge haben. In jedem Fall kann ein Wi-
- Vertragserfüllung,                         fürchtung, dass nach Inkrafttreten der      derruf der Einwilligung deren Wirkung
- Erfüllung einer rechtlichen Verpflich-     Verordnung alle bereichsspezifischen        für die Zukunft aufheben. Bei der An-
  tung                                       Gesetze in Deutschland zur Randnotiz        wendung der Regelung kann es letztlich
- Schutz lebenswichtiger Interessen,         in der Datenschutzgeschichte würden,        auch nicht darauf ankommen, ob eine
- Erfüllung einer Aufgabe im öffentli-       unbegründet.                                Einwilligung als solche oder als Ver-
  chen Interesse oder in Ausübung öf-           Äußerst umstritten war Art. 6 Abs. 4,    tragsbestandteil bezeichnet wurde.
  fentlicher Gewalt,                         der die Voraussetzungen für Zweckände-         Die Autoren der EU-DSGVO legten
- Wahrnehmung berechtigter Interes-          rungen regelt. Die Norm muss im Zu-         sich nicht auf eine Altersgrenze für die
  sen, sofern die schutzwürdigen Inter-      sammenhang mit den Absätzen 1 und           Einwilligungsfähigkeit von Kindern
  essen nicht überwiegen.                    2 gelesen werden, in denen allgemeine       bzw. Jugendlichen fest. In Deutschland
                                             Voraussetzungen für rechtmäßige Da-         wird bisher auf die Einsichtsfähigkeit
   Der letztgenannte Punkt war umstrit-      tenverarbeitungen definiert werden. Zu-     abgestellt. Da hierüber in den nationa-
ten. Während Datenschützer für eine          sätzlich werden Kriterien benannt, die      len Rechtskulturen unterschiedliche
Eingrenzung der berechtigten Interessen      bei einer Zweckänderung berücksichtigt      Vorstellungen herrschten und eine Eini-
plädierten, setzten sich vor allem der Rat   werden müssen: a) die Verbindung des        gung nicht möglich war, können die na-
und die Wirtschaftslobby für eine Aus-       neuen mit dem ursprünglichen Zweck,         tionalen Gesetzgeber künftig zwischen
weitung ein. Letztendlich kam es inso-       b) der Erhebungszusammenhang, c)            vollendetem 13. und 16. Lebensjahr
fern zu keiner Änderung des bisherigen       die Sensibilität der Daten, d) die mög-     eigene Festlegungen vornehmen. Unter
Rechtszustands, der eine offene Abwä-        lichen Folgen der Weiterverarbeitung        dieser Grenze muss bei einem Einwil-
gungsformel enthält (z. B. § 28 Abs. 1       für die Betroffenen und e) angemessene      ligungsbedarf die Zustimmung der El-
S. 1 Nr. 2 BDSG).                            Schutzmaßnahmen wie z. B. Verschlüs-        tern eingeholt werden. Es wird zudem
   Den Mitgliedstaaten wird in Art. 6        selung oder Pseudonymisierung.              klargestellt, dass die Einwilligung zur
Abs. 3 und 4 insbesondere für die Ver-                                                   Datenverarbeitung und die sonstige Ge-
arbeitung öffentlicher Stellen und zur       7 Einwilligung                              schäftsfähigkeit getrennt voneinander
Erfüllung rechtlicher Pflichten ein sehr                                                 zu beurteilen sind (Art. 8).
weitgehendes       Konkretisierungsrecht       Die Einwilligung ist und bleibt eine
zugesprochen. Dabei sind aber Regeln         zentrale Legitimation für die Daten-        8 Besondere Datenkategorien
zu beachten: So muss eine klare Zweck-       verarbeitung (Art. 7). Die Diskussion
bestimmung erkennbar sein. Eine Präzi-       über die Bedeutung, die Voraussetzun-          Hinsichtlich der Verarbeitung sensi-
sierung kann hinsichtlich der Datenar-       gen und die Rahmenbedingungen von           tiver Daten, also von Daten aus „be-
ten, der Verarbeitungsbedingungen, der       datenschutzrechtlichen Einwilligungen       sonderen Kategorien“, gibt es keine
Betroffenen, der verarbeitenden Stellen      wird seit Jahren engagiert geführt. Diese   wesentlichen Änderungen: Einen be-
und der Speicherfristen erfolgen. Zu be-     Debatte findet mit der EU-DSGVO kein        sonderen Schutz gibt es auch in Zu-
achten ist, dass immer ein im öffentli-      Ende, wohl erfolgen aber einige Kon-        kunft für Daten zur rassischen und eth-
chen Interesse liegendes Ziel in verhält-    kretisierungen. Die allgemeinen Anfor-      nischen Herkunft, zu politischen Mei-
nismäßiger Weise verfolgt wird.              derungen an die Einwilligung ändern         nungen, religiösen oder weltanschauli-
   Damit können die meisten in Deutsch-      sich jedoch nicht: inhaltliche Bestimmt-    chen Überzeugung, Gewerkschaftszu-
land geltenden bereichsspezifischen Da-      heit, Hervorhebungspflicht, Widerrufs-      gehörigkeit, Gesundheit, Sexualleben
tenschutzregelungen beibehalten wer-         möglichkeit, Freiwilligkeit.                und sexueller Ausrichtung. Eine Prä-
den. Die in der Verordnung genannten           Konkretisierungen hinsichtlich der        zisierung erfolgt dadurch, dass in den
Anforderungen an solche bereichsspezi-       Einwilligungserfordernisse      bestehen    Katalog die genetischen Daten sowie
fischen Regelungen entsprechen denen         insofern, als die Einwilligung bzw. das     biometrische Daten zur eindeutigen
des deutschen Bundesverfassungsge-           Ersuchen danach „in verständlicher und      Personenidentifizierung aufgenommen
richts (BVerfG) an die Verfassungsmä-        leicht zugänglicher Form in einer klaren    wurden (Art. 9). Trotz der zunehmen-
ßigkeit gesetzlicher Regelungen zur          und einfachen Sprache“ zu erfolgen hat.     den Schutzbedürftigkeit von Finanz-
personenbezogenen Datenverarbeitung.         Beim Widerruf dürfen keine formellen        transaktionsdaten, die sich durch die
Dies hat zur Folge, dass materiell ver-      Hürden errichtet werden. In Art. 7 Abs. 4   zunehmende Digitalisierung des Zah-
fassungswidrige Gesetze auch der EU-         wird unter dem Stichwort Freiwilligkeit     lungsverkehrs und deren Bedeutung für
DSGVO widersprechen und umgekehrt.           ein eingegrenztes Koppelungsverbot          Identitätsdiebstähle ergibt, wurde die

                                                                                                DANA • Datenschutz Nachrichten 2/2016
50
Rote Linien zur EU-DSGVO Was ist daraus geworden? - Deutsche ...
Rote Linien zur EU-DSGVO – Was ist daraus geworden?

Kategorie nicht in den Schutzbereich         nal, das z. B. einem besonderen Berufs-     Berichtigungsanspruch auch das Recht
der sensitiven Daten aufgenommen.            geheimnis unterliegt. Das vorliegende       auf Vervollständigung unvollständiger
   Die Ausnahmen von dem grundsätz-          Regelungskonzept machte es überflüs-        Daten gehört. Der Löschanspruch wird
lichen Verarbeitungsverbot erinnern an       sig, nochmals gesondert die Verarbei-       mit dem schillernden Marketing-Begriff
den bisherigen europäischen Regelungs-       tung für Gesundheitszwecke zu normie-       des „Rechts auf Vergessenwerden“ flan-
rahmen. Als Ausnahme wird zunächst           ren, wie es zunächst von der Kommissi-      kiert. Als Abwägungstopoi für den Lö-
die explizite Einwilligung genannt. Es       on in einem Art. 81 vorgesehen war (sie-    schungsanspruch werden die Rechte auf
ist erfreulich, dass in begründeten Fällen   he aber Art. 90 zu Berufsgeheimnissen       freie Meinungsäußerung und auf Infor-
spezialgesetzliche Einwilligungsverbote      allgemein). Werden Berufsgeheimnisse        mation genannt.
ausdrücklich zugelassen werden. In fol-      nicht von den in Art. 9 genannten Tat-         Neu ist das Recht auf Datenübertrag-
genden Fällen muss keine Einwilligung        beständen erfasst, so muss im Einzelfall    barkeit. Dieses Recht bezieht sich auf
eingeholt werden: bei Ausübung von           geprüft werden, ob die in § 203 StGB        Daten, die ein Wirtschaftsunternehmen
Rechten aus dem Arbeitsrecht, der sozi-      sowie in weiteren nationalen Spezialge-     vom Betroffenen auf der Basis eines
alen Sicherheit und des Sozialschutzes,      setzen enthaltenen Berufsgeheimnisse        Vertrages oder einer Einwilligung erhal-
zum Schutz lebenswichtiger Interessen        von nationalen Ausnahmeklauseln er-         ten hat. Wenn die Verarbeitung automa-
bei Einwilligungsunfähigkeit, bei der        fasst werden und ob eine Kollision zur      tisiert erfolgt, soll der Betroffene deren
Verarbeitung durch einen sog. Tendenz-       EU-DSGVO entstanden ist.                    Bereitstellung in einer zu einem anderen
betrieb, bei vom Betroffenen offenkun-         Für Daten über strafrechtliche Verur-     Unternehmen übertragbaren Form ver-
dig veröffentlichen Daten, zur Durch-        teilungen und Straftaten oder damit zu-     langen können. Die Datenübertragung
setzung rechtlicher Ansprüche, zur           sammenhängende Sicherungsmaßregeln          kann über den Betroffenen, aber wahl-
Gesundheitsvorsorge, Arbeitsmedizin,         werden in Art. 10 spezifische Verar-        weise auch direkt zum neuen Dienstean-
medizinischen Diagnostik, zur Versor-        beitungsvoraussetzungen benannt: Die        bieter erfolgen (Art. 20). Wie dies in der
gung und Behandlung, zur Verwaltung          Verarbeitung muss „unter behördlicher       Praxis umgesetzt werden soll, ist sowohl
im Gesundheits- und Sozialbereich, im        Aufsicht“ erfolgen; anderenfalls bedarf     technisch als auch (außerhalb des An-
öffentlichen Gesundheitswesen, für Ar-       es angemessener gesetzlicher Garantien.     wendungsbeispiels „soziale Netzwer-
chivzwecke, zur wissenschaftlichen und                                                   ke“) vom Umfang her noch weitgehend
historischen Forschung und für statisti-     9 Betroffenenrechte                         unklar.
sche Belange.                                                                               Die Regelung zur automatisierten
   Die gegenüber den bisherigen Erlaub-        Die Rechte der Betroffenen und de-        Einzelentscheidung wird mit dem Zu-
nistatbeständen zur Verarbeitung sensi-      ren Beschränkungen sind in den Art.         satz „einschließlich Profiling“ ergänzt.
tiver Daten vorgenommenen Änderun-           12 bis 23 geregelt. Anders als bisher ist   Letztlich wird versucht, damit einen
gen sollen bisherige Regelungsdefizite       der Normierung der einzelnen Rechte         Teilbereich so genannter Big-Data-Aus-
beseitigen. So wird nicht mehr zwischen      ein allgemeiner Teil vorangestellt, in      wertungen zu regulieren. Da der Verord-
öffentlicher und privater Verwaltung         dem Adressatengerechtigkeit, Präzision,     nungsgeber erkannt hat, dass ihm hierzu
von Systemen und Diensten im Gesund-         Transparenz, Verständlichkeit, leichte      sowohl Erfahrung als auch das nötige
heits- und Sozialbereich unterschieden,      Zugänglichkeit und weitestgehende Un-       differenzierende Instrumentarium feh-
so dass, anders als bisher, Privatversi-     entgeltlichkeit eingefordert werden. Als    len, behilft er sich erneut mit einer Öff-
cherungen von der Ausnahmeregelung           Standard-Reaktionsfrist wird der verant-    nungsregelung für die nationalen oder
mit erfasst sein können.                     wortlichen Stelle ein Monat vorgegeben      europäischen Normgeber. Um in die-
   Bzgl. der sensitiven Daten beste-         (Art. 12).                                  sem exorbitant wichtigen Feld aber die
hen weitgehend nationale gesetzliche           Die meisten der normierten Betroffe-      europarechtliche Kontrolle zu wahren,
Konkretisierungsmöglichkeiten, wobei         nenrechte sind bekannt: Information bei     werden bei der Normierung „geeignete
erhöhte       Verarbeitungsvoraussetzun-     der Erhebung (Art. 12) bzw. Informati-      Maßnahmen zum Schutz der Rechte und
gen nötig sein können. Damit kann das        on, wenn die Daten nicht beim Betroffe-     Freiheiten“ gefordert. Problematisch an
hochkomplexe Regelungsgeflecht beim          nen erhoben werden (Art. 14), Auskunft      der Regelung bleibt, dass Big-Data-An-
Datenschutz im deutschen Sozialrecht         (Art. 15), Berichtigung (Art. 16), Lö-      wendungen, die nicht auf „Entscheidun-
weitgehend beibehalten werden. So sehr       schung (Art. 17), Sperrung (Art. 18),       gen“ hinauslaufen, ausdrücklich nicht
das von Seiten der Verantwortlichen be-      was technisch präziser als „Einschrän-      erfasst werden. Bisher war streitig, ob
grüßt werden dürfte, so schade ist es,       kung der Verarbeitung“ bezeichnet wird,     die Entscheidung, jemandem auf Basis
dass die EU-DSGVO nicht dazu zwingt,         Widerspruch generell (Art. 21) bzw. bei     von Profiling Werbung zuzusenden, un-
das unstrukturiert gewordene Daten-          automatisierten Einzelentscheidungen        ter die Regelung zu automatisierten Ent-
schutzrecht in den Sozialgesetzbüchern       (Art. 22) und der zu einem Nutzungs-        scheidungen fällt. Durch die Einbezie-
I bis XII einer Totalrevision und Berei-     verbot für Werbezwecke führende spe-        hung des Profiling kann herausgelesen
nigung zu unterwerfen.                       zifische Werbewiderspruch (Art. 21          werden, dass diese Streitfrage zumin-
   In der Verordnung wird ein spezifisch     Abs. 2 u. 3).                               dest beim Einsatz dieser Methode, was
(national) regelungsfähiger Aspekt ex-         Gegenüber den bisherigen Regelun-         auch immer genau darunter verstanden
plizit erwähnt: die Verarbeitung beson-      gen gibt es einige kleine Verbesserun-      wird, zugunsten der Betroffenen zu be-
ders sensibler Daten durch Fachperso-        gen: So wird klargestellt, dass zum         antworten ist.

DANA • Datenschutz Nachrichten 2/2016
                                                                                                                              51
Rote Linien zur EU-DSGVO Was ist daraus geworden? - Deutsche ...
Rote Linien zur EU-DSGVO – Was ist daraus geworden?

  Eine ungewöhnliche, aber angesichts       wenden können. Angesichts der zuneh-          besondere Verarbeitungsrisiken, etwa
der anscheinend bestehenden nationalen      menden Arbeitsteilung bei der Daten-          durch die Verarbeitung von besonderen
Unterschiede einzig konsensfähige Re-       verarbeitung, die oft nicht auf expliziten    Datenkategorien oder von Daten über
gelung wurde bei der Beschränkung der       textlichen Vereinbarungen basiert, kann       Straftaten.
Betroffenenrechte gewählt: Während          bezweifelt werden, ob mit der Regelung           An die Stelle des technisch völlig
das Betroffenenrecht selbst sich direkt     ein Fortschritt erreicht wird, der über die   überholten § 9 BDSG mit Anlage tritt
aus der Verordnung ergibt, werden die       reine Benennung des Problems hinaus-          hinsichtlich der technisch-organisatori-
Einschränkungen national geregelt, wo-      geht. Insofern hat der EuGH vom deut-         schen Maßnahmen der Art. 30. Dieser
bei dem nationalen Gesetzgeber hierfür      schen Bundesverwaltungsgericht (BVer-         fordert statt bestimmter Schutzmaß-
materielle Vorgaben gemacht werden.         wG) die Gelegenheit erhalten, eine dann       nahmen die Einhaltung der Schutzziele
Dabei werden bekannte Abwägungs-            auch für die EU-DSGVO geltende Inter-         Vertraulichkeit, Integrität, Verfügbar-
muster benannt, vom „Schutz der nati-       pretation vorzugeben, nachdem dieses          keit und Belastbarkeit und benennt als
onalen Sicherheit“ bis zum „Schutz der      dem EuGH am 25.02.2016 Fragen zur             Instrumente u. a. die Pseudonymisie-
Rechte und Freiheiten anderer Perso-        „Verantwortlichkeit“ von Facebook-            rung und die Verschlüsselung. Warum
nen“ (Art. 23).                             Fanpagebetreibern vorlegte.                   ausgerechnet diese Maßnahmen durch
                                               Fehlt es in der EU an einer zur Verant-    explizite Nennung aus einer Vielzahl
10 Verantwortlichkeit                       wortung zu ziehenden Niederlassung, so        möglicher Maßnahmen herausgehoben
                                            muss gemäß Art. 27 ein in der EU ansäs-       werden und was unter „Belastbarkeit“
  Im Kapitel IV der Verordnung werden       siger „Vertreter“ benannt werden, der         zu verstehen ist, bleibt zunächst das
unter der Überschrift „Verantwortlicher     im Auftrag der verantwortlichen oder          Geheimnis des Gesetzgebers. Gefordert
und Auftragsdatenverarbeiter“ verschie-     der auftragsdatenverarbeitenden Stelle        wird vor Durchführung einer Verarbei-
dene Aspekte geregelt, unter anderem        bzgl. aller Datenschutzfragen als „An-        tung eine explizite Risikobewertung, ein
auch, was bisher dem Begriff „tech-         laufstelle“ tätig wird.                       darauf abgestimmtes Schutzkonzept so-
nisch-organisatorische Maßnahmen“              Die Verarbeitung im Auftrag in Art.        wie eine regelmäßige Evaluierung.
behandelt wurde. Die nun vorgelegten        28 hat einen über den heutigen § 11              An die Stelle der bisherigen Vor-
Regelungen gehen über das bisherige         BDSG hinausgehenden Detaillierungs-           abkontrolle tritt eine risikoorientierte
Verständnis teilweise weit hinaus. Die      grad, ohne aber die darin enthaltenen         „Datenschutz-Folgeabschätzung“ bei
Verantwortlichkeiten nach der EU-DS-        Grundprinzipien in Frage zu stellen.          spezifisch benannten Verfahren (sys-
GVO beschränken sich auch nicht auf         Die gegenseitigen Hinweis- und In-            tematische Personenbewertung, Verar-
dieses Kapitel, sondern erstrecken sich     formationspflichten werden genauer            beitung sensibler Daten, Überwachung
natürlich zudem auf die – an anderer        benannt. So soll der Auftragsverarbei-        öffentlicher Räume) unter Einbeziehung
Stelle geregelten – materiell-rechtlichen   ter den Verantwortlichen präziser über        eines möglicherweise vorhandenen
Pflichten wie z. B. die Erlaubnisrege-      Unterauftragsverhältnisse informieren.        Datenschutzbeauftragten (Art. 35). Es
lungen und die Umsetzung der Betrof-        Unteraufträge müssen die gleiche Re-          besteht die Pflicht zu einer „vorheri-
fenenrechte.                                gelungstiefe aufweisen wie Aufträge. Es       gen Konsultation“ der Datenschutzauf-
  Hinsichtlich der Datensicherheit wird,    erfolgen Bezugnahmen zu genehmigten           sichtsbehörde, wenn ein hohes Risiko
anders dies bisher explizit der Fall war,   Zertifizierungen nach Art. 42 sowie ge-       besteht, sofern der „Verantwortliche
ein risikoorientierter Ansatz verfolgt.     nehmigten Standardvertragsklauseln. Es        keine Maßnahmen zur Eindämmung des
Dabei werden keine Schutzmaßnahmen          wird klargestellt, dass ein Auftragsver-      Risikos trifft“ (Art. 36).
aufgeführt, sondern die Umsetzung von       arbeiter, der auftragswidrig Zwecke und          In den Art. 33 und 34 ist die Meldung
Datenschutzgrundsätzen eingefordert,        Mittel der Datenverarbeitung bestimmt,        bzw. Benachrichtigung von Daten-
zu denen auch die Datenminimierung          als Verantwortlicher zu behandeln ist.        schutzverletzungen gegenüber der Auf-
zählt (vgl. Ziffer 8). Als beschränkte         Ein erklärtes Ziel der EU-DSVGO            sichtsbehörde sowie den Betroffenen
Entlastung von Nachweispflichten wird       ist es, den bürokratischen Aufwand des        (sog. Breach Notification) geregelt.
die in Art. 42 normierte Zertifizierung     Datenschutzes abzubauen. Dies soll               Entgegen der Befürchtung vieler deut-
erwähnt (Art. 25 Abs. 3).                   aber nicht dazu führen, dass der für          scher Datenschützer sind in den Art. 37
  Der gemeinsamen Verantwortlichkeit        einen wirksamen Datenschutz nötige            bis 39 prominent die Benennung, die
mehrerer Stellen, die begründet wird        Aufwand nicht erbracht wird. Und nötig        Stellung und die Aufgaben der (betrieb-
durch die gemeinsame Festlegung der         ist in jedem Fall der Überblick über die      lichen bzw. behördlichen) Datenschutz-
Zwecke und Mittel der Datenverarbei-        personenbezogene Datenverarbeitung            beauftragten normiert und festgeschrie-
tung, wird ein eigenständiger Artikel 26    für den Verantwortlichen bzw. Vertreter,      ben. Die Pflicht zur Bestellung besteht
gewidmet. Dabei wird, anders als bis-       weshalb diese weiterhin ein Verfahrens-       bei öffentlichen Stellen, bei der „syste-
her, eine „Vereinbarung in transparenter    verzeichnis, genauer ein „Verzeichnis         matischen Beobachtung von betroffenen
Form“ gefordert, in der die Verantwor-      von Verarbeitungstätigkeiten“ führen          Personen“ und bei der Verarbeitung sen-
tungsverteilung zu regeln ist. Fehlt eine   muss (Art. 30). Dies gilt auch für die        sibler Daten. Eine Bestellung kann nati-
Regelung, so hat dies für Betroffene        Auftragsverarbeiter. Nicht verpflich-         onal darüberhinausgehend verpflichtend
keine nachteiligen Rechtsfolgen, da die-    tet werden Stellen mit weniger als 250        gemacht werden, so dass der bestehende
se sich an jeden der Verantwortlichen       Beschäftigten, es sei denn, es bestehen       deutsche Regelungsrahmen beibehalten

                                                                                                DANA • Datenschutz Nachrichten 2/2016
52
Rote Linien zur EU-DSGVO Was ist daraus geworden? - Deutsche ...
Rote Linien zur EU-DSGVO – Was ist daraus geworden?

werden kann. Die rechtliche Ausgestal-      men. Sind die Voraussetzungen nicht         Verwaltungsentscheidungen nach eu-
tung des Datenschutzbeauftragten sowie      (mehr) erfüllt, können sowohl Zertifizie-   ropäischem Recht nur dann umgesetzt
dessen Aufgaben orientieren sich stark      rungen als auch Akkreditierungen wie-       werden dürfen, wenn diese auf interna-
an den bisher geltenden deutschen Be-       der entzogen werden. Die Kommission         tionalen Abkommen basieren. Diese Re-
stimmungen.                                 kann über Durchführungsakte techni-         gelung steht konzeptionell und inhaltlich
                                            sche Standards sowie Verfahrensvorga-       im Konflikt mit dem Ende Februar 2016
11 Regulierte Selbstregulierung             ben festlegen.                              vorgestellten EU-US Privacy Shield zur
                                                                                        Datenübermittlung von Europa in die
   Das Instrument der Verhaltensregeln      12 Auslandsdatentransfer                    USA, das zu exekutiven und judikativen
im privaten Bereich hat bisher nicht nur                                                Entscheidungen führen wird, die nicht
in Deutschland (§ 38a BDSG) wenig              Hinsichtlich des grenzüberschreiten-     auf internationalen Abkommen beruhen.
Resonanz gefunden. Das soll sich künf-      den Datentransfers ergeben sich gegen-         Im Einzelfall können weiterhin Über-
tig dadurch ändern, dass deren Funkti-      über der Richtlinie keine grundsätzli-      mittlungen ohne allgemeine Garantien
on und die Anreize hierfür erhöht wer-      chen Veränderungen. Wohl aber wurden        erfolgen, etwa bei ausdrücklicher Ein-
den (Art. 40, 41). So können hierüber       viele Konkretisierungen vorgenommen,        willigung, zur Vertragserfüllung, bei
für Kleinst- bzw. kleinere und mittlere     die insbesondere auch die Rechtspre-        einem Betroffeneninteresse oder einem
Unternehmen Standardisierungen und          chung des EuGH aufgreifen.                  wichtigen öffentlichen Interesse, zur
damit Vereinfachungen vorgenommen              Innerhalb der EU gibt es keine spezi-    Durchsetzung von Rechtsansprüchen,
werden. Über Verhaltensregeln kön-          fischen Übermittlungsbeschränkungen         zum Schutz lebenswichtiger Interessen
nen „geeignete Garantien“ festgelegt        (Art. 1 Abs. 3). Gleiches gilt, wenn von    oder in Rahmen einer Einzelentschei-
werden, die bei Datenübermittlungen         der Kommission die Angemessenheit           dung, die aber geeignete Garantien vor-
in Drittländer innerhalb einer Branche      des Datenschutzstandards im Empfän-         sehen muss.
verpflichtend sind. Die Regeln können       gerland festgestellt wurde. Für die An-
und müssen eine „obligatorische Über-       gemessenheitsprüfung enthält Art. 41        13 Aufsichtsbehörden,
wachung“ durch installierte Verbands-       Abs. 2 einen umfangreichen Kriterienka-        Kooperation und Kohärenz
mechanismen z. B. in einer Branche          talog, der an die Kriterien des Safe-Har-
vorsehen. Die Verhaltensregeln unter-       bor-Urteils des EuGHs anknüpft. Darin         Dass es bisher massive Vollzugs- und
liegen, wie bisher, der Genehmigungs-       werden folgende Bedingungen genannt:        Durchsetzungsdefizite im Datenschutz
pflicht durch die nach Art. 51 zuständige   Grundrechtsgeltung, auch im Bereich der     gibt, liegt u. a. daran, dass es keine ver-
Aufsichtsbehörde und können von der         öffentlichen Sicherheit, der Verteidigung   bindlichen Konfliktlösungsinstrumente
EU-Kommission für verbindlich erklärt       und der nationalen Sicherheit, geltende     zwischen den unabhängigen Daten-
werden. Die Überwachung der Verhal-         Datenschutz-Rechtsvorschriften und un-      schutzbehörden gab. So konnten z. B.
tensregeln kann zu diesem Zweck ak-         abhängige Datenschutzkontrolle. Eine        Unternehmen in einem Land von der
kreditierten Stellen übertragen werden      Überprüfung ist alle 4 Jahre nötig.         dortigen unzureichenden Datenschutz-
(Art. 40). Durch die verbandsinterne           Liegt kein genereller Angemessen-        kontrolle profitieren. Dies wird durch
Streitbeilegung können Verbände den         heitsbeschluss der Kommission vor,          Abstimmungszwänge in Zukunft er-
Datenschutz also selbst in die Hand         so können an die Stelle staatlicher         schwert. Hinsichtlich der Einrichtung,
nehmen und dadurch zugleich die Auf-        Datenschutzsicherungen im Empfän-           der Rechtsstellung und den Aufgaben
sichtsbehörden entlasten.                   gerland „geeignete Garantien“ treten,       der Datenschutzbehörden selbst wur-
   Völlig neu ist auf europäischer Ebene    die bindend und durchsetzbar sein           de wenig geändert. Es erfolgen v. a.
die Zertifizierung gemäß den Art. 42, 43.   müssen. Als Beispiele werden nun            Konkretisierungen zur Unabhängigkeit
Zertifizierungsverfahren, die freiwillig    ausdrücklich       Standardvertragsklau-    (Art. 52), zur demokratischen Legiti-
sind und transparent sein müssen, kön-      seln und unternehmensinterne Da-            mation und fachlichen Qualifikation
nen von privaten Zertifizierungsstellen     tenschutzvorschriften (sog. Binding         (Art. 43), zur Verschwiegenheit (Art. 54
oder Aufsichtsbehörden durchgeführt         Corporate Rules – BCRs) genannt,            Abs. 2), zur Zuständigkeit (Art. 55),
werden. Unter anderem ist ein „Europä-      aber auch genehmigte Verhaltensre-          zu den sehr umfassenden Aufgaben
isches Datenschutzsiegel“ vorgesehen,       geln oder Zertifizierungen (Art. 46).       (Art. 57) und zu den ebenso äußerst um-
für das der Europäische Datenschutz-        Für die Regelungen in BCRs werden in        fassenden Befugnissen (Art. 58). Jeder
ausschuss (EDA) Prüfkriterien festlegt.     Art. 47 präzise Anforderungen festge-       Mitgliedstaat wird verpflichtet, die Auf-
Private Zertifizierungsstellen bedürfen     legt, zu denen die Umsetzung der Be-        sichtsbehörde bzw. -behörden mit den
einer Akkreditierung durch die Auf-         troffenenrechte, die Haftungsübernah-       benötigten „personellen, technischen
sichtsbehörde oder durch eine nationale     me im Fall von Verstößen, Beschwerde-       und finanziellen Ressourcen“ auszustat-
Akkreditierungsstelle, wobei die Vor-       und Konfliktlösungsverfahren und die        ten (Art. 52 Abs. 4), was angesichts der
aussetzungen präzise in der Verordnung      Kooperation mit der Aufsichtsbehörde        gewachsenen Aufgaben bei den Behör-
festgelegt sind. Zwecks Übersichtlich-      gehören. In einem neuen Artikel 48, der     den zu einer massiven Besserausstat-
keit werden alle anerkannten Zertifizie-    implizit auf US-Regelungen wie den          tung führen muss.
rungsverfahren und Datenschutzsiegel        Patriot Act Bezug nimmt, wird klarge-         Neu ist die Etablierung einer auf ein
in ein einheitliches Register aufgenom-     stellt, dass Drittlands-Gerichts- oder      Unternehmen bezogenen federführen-

DANA • Datenschutz Nachrichten 2/2016
                                                                                                                              53
Rote Linien zur EU-DSGVO Was ist daraus geworden? - Deutsche ...
Rote Linien zur EU-DSGVO – Was ist daraus geworden?

den Aufsichtsbehörde, welche die we-       genheiten mit allgemeiner Geltung oder       keiten im Datenschutzrecht sehr be-
sentliche Datenschutzkommunikation         Auswirkungen eine solche Stellung-           grenzt. Im Safe-Harbor-Urteil hatte der
mit einer verantwortlichen Stelle führt.   nahme bewirken. Die Beschlussfassung         EuGH schon Nachbesserungen einge-
Federführend ist die für die Hauptnie-     erfolgt regelmäßig innerhalb von 8 Wo-       fordert. In diesem Bereich erfolgen in
derlassung in Europa zuständige Behör-     chen mit einer einfachen Mehrheit der        der EU-DSGVO nun sehr weitgehende
de. Diese ist nur dann nicht zwingend      EDA-Mitglieder. Soweit erforderlich          Verbesserungen:
zuständig, wenn der konkrete Vorgang       und zweckdienlich, werden Informati-            So haben Betroffene nicht nur ge-
ausschließlich den Zuständigkeitsbe-       onen übersetzt. Teilt eine Aufsichtsbe-      genüber der Aufsichtsbehörde ein Be-
reich einer anderen Aufsichtsbehörde       hörde unter Angabe der maßgeblichen          schwerderecht (Art. 77). Sie erhalten
betrifft. Aber auch in diesem Fall kann    Gründe dem EDA mit, dass sie der             zudem eine gerichtliche Rechtsbehelfs-
die federführende Behörde den Vorgang      EDA-Stellungnahme nicht folgt, so fin-       möglichkeit gegen eine sie betreffende
innerhalb einer Frist von drei Wochen an   det in einem weiteren Schritt eine Streit-   rechtsverbindliche Entscheidung sowie
sich ziehen (Art. 56).                     beilegung durch den EDA statt (Art. 65).     auch, wenn eine Beschwerde nicht in-
  Handelt es sich um einen Vorgang,        Diese erfolgt in Form eines innerhalb        nerhalb von drei Monaten behandelt
der mehrere Aufsichtsbehörden betrifft     von einem Monat gefällten Beschlusses,       wurde; die abschließende Entscheidung
oder zieht die federführende Behörde       für den eine 2/3-Mehrheit im EDA nötig       darf längere Zeit in Anspruch nehmen
den Fall an sich, so kommen die Re-        ist. Die EDA-Beschlüsse werden auf der       (Art. 78). Ein Informationsanspruch be-
gelungen zur Zusammenarbeit zur An-        EDA-Webseite allgemein veröffentlicht.       steht nicht nur zu den Verfahrensergeb-
wendung (Art. 60). Dazu gehören die           Abweichend vom Kohärenzverfahren          nissen, sondern auch zum Bearbeitungs-
Amtshilfe für einzelne Fragestellungen     kann eine betroffene Aufsichtsbehörde        stand. Mit dem neuen Instrument kann
oder Sachverhaltsermittlungen, wozu        ein Dringlichkeitsverfahren durchfüh-        ein Betroffener eine materiell-rechtlich
der angefragten Behörde regelmä-           ren, durch das einstweilige Maßnahmen        korrekte Entscheidung gegenüber der
ßig nur ein Monat zur Verfügung steht      mit einer Geltungsdauer von höchstens        Aufsichtsbehörde einklagen, was bisher
(Art. 61), ein umfassender zweckdienli-    3 Monaten festgelegt werden (Art. 66).       nicht anerkannt, geschweige denn ef-
cher Informationsaustausch und die Vor-       Der Europäische Datenschutzaus-           fektiv realisiert war. Eine Rechtsschutz-
lage eines Beschlussvorschlags durch       schuss besteht aus den Leitern der Auf-      möglichkeit besteht für den Betroffenen
die federführende Behörde. Hiergegen       sichtsbehörden, je einer pro Land. In        weiterhin – wie bisher – gegenüber der
kann eine andere betroffene Behörde        Deutschland muss aus den föderalen           verantwortlichen Stelle oder dem Auf-
innerhalb von vier Wochen Einspruch        Aufsichtsbehörden nach nationalen Re-        tragsverarbeiter, wobei verbraucher-
einlegen. Wird dem nicht abgeholfen,       geln ein Behördenleiter benannt wer-         freundlich gegen private Verantwortli-
erfolgt das Kohärenzverfahren. Wurde       den (Art. 68). Hauptaufgabe des EDA,         che die Klage im Mitgliedstaat des Be-
kein Einspruch eingelegt, so sind alle     dem eine eigene Rechtspersönlichkeit         troffenen eingelegt werden kann.
betroffenen Behörden an den Beschluss      zukommt, ist die Abgabe von Stellung-           Neu ist eine Art Verbandsklage, bei
gebunden, der dann gegenüber der           nahmen und die Beschlussfassung im           der eine Einrichtung, Organisation oder
(Haupt-)Niederlassung ergeht und dem       Kohärenzverfahren. Daneben nennt             Vereinigung die Rechte des einzelnen
Beschwerdeführer mitgeteilt wird. Eine     Art. 70 viele weitere Aufgaben, u. a.        oder von vielen Betroffenen gericht-
einheitliche Beschwerde kann in Teil-      die Beratung der Kommission, die Be-         lich geltend machen kann. Darüber hi-
beschlüsse aufgeteilt werden. Für die      reitstellung von Leitlinien, Empfehlun-      naus besteht für die Mitgliedstaaten das
Zusammenarbeit wird ein gemeinsames        gen und Verfahren, die Förderung von         Recht, unabhängig von Aufträgen von
elektronisches Kommunikationsverfah-       Verhaltensregeln und Zertifizierungs-        Betroffenen, Verbandsklagen zuzulas-
ren genutzt (Art. 67).                     verfahren, die Akkreditierung von Zer-       sen (Art. 80). Entsprechendes erfolgte
  Eine besondere Form der Zusammen-        tifizierungsstellen, Stellungnahmen zum      erst kürzlich in beschränktem Umfang
arbeit besteht in gemeinsamen Maßnah-      „angemessenen Schutzniveau“, die För-        in Deutschland.
men (Art. 62). Diese erfolgen, wenn Be-    derung der Zusammenarbeit zwischen              Um in Europa divergierende Ent-
schlüsse erhebliche Auswirkungen auf       den Aufsichtsbehörden, einschließlich        scheidungen bei parallelen Verfahren
die Zuständigkeitsbereiche von meh-        Information und Schulung des Personals       zu vermeiden, kann ein zuständiges
reren Behörden haben werden. Hierzu        sowie die Öffentlichkeitsarbeit. Geleitet    Gericht sein Verfahren aussetzen, wenn
lädt eine Aufsichtsbehörde ein; jede be-   wird der EDA von einem Vorsitzenden          derselbe Gegenstand vor einem anderen
troffene Behörde kann sich anschließen.    und zwei Stellvertretern, die mit ein-       Gericht innerhalb des Geltungsbereichs
Die teilnehmenden Behördenmitarbeiter      facher Mehrheit gewählt werden. Das          der Verordnung anhängig ist. Es erfolgt
erhalten dann Kompetenzen gemäß dem        EDA-Sekretariat wird beim Europäi-           dann eine Abstimmung zwischen den
jeweils geltenden nationalen Recht.        schen Datenschutzbeauftragten einge-         Gerichten oder eine Zusammenführung
  Im Kohärenzverfahren, also bei unter-    richtet (Art. 75).                           der Verfahren (Art. 81).
schiedlichen Meinungen zu einem Be-                                                        Wie schon bisher (in Deutschland nur
schlussvorschlag, wird die Stellungnah-    14 Rechtsschutz und Sanktionen               im privaten Bereich), haben die Auf-
me des Europäischen Datenschutzaus-                                                     sichtsbehörden die Möglichkeit, War-
schusses (EDA) eingeholt. Außerdem          Bisher waren die national geregelten        nungen und Untersagungsverfügungen
kann jede Aufsichtsbehörde bei Angele-     Rechtsschutz- und Sanktionsmöglich-          zu erlassen (Art. 58 Abs. 2 lit. a-h, j).

                                                                                              DANA • Datenschutz Nachrichten 2/2016
54
Rote Linien zur EU-DSGVO – Was ist daraus geworden?

   Daneben sind Sanktionen in Form          neben dem Datenschutzrecht weiter-          Öffnungsklauseln sich nicht nur an die
von empfindlichen Geldbußen möglich,        hin Anwendung finden. Dies betrifft in      nationalen, sondern auch an den EU-Ge-
die „in jedem Fall wirksam, verhältnis-     Deutschland beispielsweise den § 203        setzgeber wenden, besteht die Aussicht,
mäßig und abschreckend“ sein müssen         StGB und bereichsspezifische Konkreti-      dass die EU weitere – bereichsspezifi-
(Art. 83 Abs. 1). Dafür benennt die Ver-    sierungen etwa im Anwalts-, Arzt- oder      sche – Regelungen erlässt.
ordnung eine Vielzahl von Sanktions-        Notarrecht (Art. 90). Das in Deutsch-         Vorläufig ist es sehr wahrscheinlich,
zumessungskriterien, die es künftig er-     land geltende Kirchenprivileg zur Nor-      dass auslegungsbedürftige Regelungen
möglichen, über Vergleiche europaweit       mierung des Datenschutzes soll weiter-      in der Verordnung national oder gar
eine Angleichung bzw. Harmonisierung        bestehen, soweit die Vorschriften „mit      regional von Anwendern, Aufsichtsbe-
zu erreichen. Abhängig vom Verstoß          dieser Verordnung in Einklang gebracht      hörden und Gerichten unterschiedlich
können Geldbußen bis zu einer Höhe          werden“ (Art. 91).                          ausgelegt werden. Durch die Vorlage-
von 10 Mio. €, in besonderen Fällen bis       Im Kommissionsentwurf war noch            möglichkeit beim EuGH nach Art. 267
zu 20 Mio. € bzw. „im Fall von Unter-       vorgesehen, dass die EU-Kommission          AEUV sowie generell durch die Recht-
nehmen von bis zu 2 % (4%) seines ge-       eine Vielzahl von Befugnissen zum Er-       sprechung des EuGH – etwa in Fällen
samten weltweit erzielten Jahresumsat-      lass delegierter Rechtsakte erhält. Diese   des Art. 263 AEUV – kommt diesem
zes des vorangegangenen Geschäftsjah-       Möglichkeiten wurden weitgehend ein-        Gericht auf lange Sicht eine wichtige,
res“ verhängt werden. Ob und wenn ja,       geschränkt, sind aber in einem gewissen     rechtsvereinheitlichende Funktion zu.
wie und in welchem Umfang Geldbußen         Rahmen weiterhin vorgesehen (Art. 92).        Die deutschen Gesetzgeber in Bund
bei Datenschutzverstößen durch öffent-        In Art. 97 ist eine regelmäßige Evalu-    und Ländern – wie auch die der ande-
liche Stellen verhängt werden können,       ation der Verordnung vorgesehen, deren      ren Mitgliedsländer – sind aufgefordert,
bleibt den Mitgliedstaaten überlassen       Ergebnis erstmals spätestens vier Jah-      ihre bisherigen Datenschutzregelungen
(Art. 83 Abs. 7). Sieht die Verordnung      re nach Inkrafttreten vorgelegt werden      bis zum Inkrafttreten der Verordnung
für bestimmte Verstöße keine Sanktio-       muss.                                       anzupassen. Dies bedeutet, dass das
nen vor, so bleibt es den Mitgliedstaaten                                               BDSG sowie die Landesdatenschutzge-
vorbehalten, auch diese zu sanktionieren    16 Ausblick                                 setze zu Ausführungsgesetzen der EU-
(Art. 84).                                                                              DSGVO umgestaltet werden müssen.
                                              Die EU-DSGVO wird am 25.05.2018           Eine erste Meinungsbildung hierzu fand
15 Sonderregelungen                         in Kraft treten.                            am 24.02.2016 im Ausschuss „Digita-
                                                                                        le Agenda“ des Deutschen Bundestags
  In einigen Bereichen überlässt der           Der Anspruch der Verordnung, ein         statt. So können unter Anknüpfung an
europäische Verordnungsgeber es den         EU-weit einheitliches Datenschutzni-        die Verordnung nationale Besonderhei-
Mitgliedstaaten, spezifische Regelungen     veau festzulegen, wurde in vielen Be-       ten bewahrt bleiben, wie z. B. die teil-
zu erlassen und macht hierfür Vorgaben.     reichen nicht erreicht. Die EU-DSGVO        weise weitergehenden Regelungen zum
Dies gilt für die Datenverarbeitung „zu     enthält viele Öffnungsklauseln, durch       betrieblichen Datenschutzbeauftragten
journalistischen Zwecken und zu wis-        die Mitgliedstaaten voneinander ab-         in Deutschland. Dieser Pluralismus in-
senschaftlichen, künstlerischen oder li-    weichende Regelungen erlaubt werden.        nerhalb der EU kann und sollte für einen
terarischen Zwecken“ (Art. 85), für den     Dieses Regelungskonzept war ange-           europäischen Föderalismus befruchtend
Zugang der Öffentlichkeit zu amtlichen      sichts der bisher bestehenden, stark di-    sein und den Wettbewerb um die bes-
Dokumenten (Art. 86), die Verwendung        vergierenden nationalen Regelungen          ten Datenschutzinstrumente befördern.
einer nationalen Kennziffer (Art. 87),      unvermeidbar. Viele Mitgliedstaaten         Bereichsspezifische Regelungen – vom
die Datenverarbeitung im Beschäftigten-     forderten, bestimmte, aus ihrer Sicht       Aufenthaltsgesetz bis zu den Statistik-
kontext (Art. 88) und die Verarbeitung      bewährte Mechanismen beizubehalten.         gesetzen – sind daraufhin zu überprüfen,
„zu im öffentlichen Interesse liegenden     Dies gilt insbesondere auch für die Re-     ob sie weiterhin mit der EU-DSGVO
Archivzwecken, zu wissenschaftlichen        gierung Deutschlands, wo derzeit das        vereinbar sind.
und historischen Forschungszwecken          europaweit wohl am stärksten ausdiffe-        Die vielfältigen Öffnungsregelungen
und zu statistischen Zwecken“ (Art. 89).    renzierte Datenschutzrecht besteht. Das     belassen den nationalen Gesetzgebern in
  Auf zunächst geplante Sonderrege-         Resultat, eine auch zukünftige begrenz-     den Mitgliedstaaten einen teilweise noch
lungen zur Verarbeitung im öffentlichen     te Heterogenität, war auch deshalb nicht    sehr weitgehenden Regelungsspielraum.
Sektor generell, was die Bundesregie-       zu vermeiden, weil differenziertere Re-     Diese Öffnungsregelungen beschränken
rung lange gefordert hatte (Art. 80aa im    gelungen den EU-Gesetzgeber zweifel-        sich nicht darauf, die allgemeinen Rege-
Entwurf), sowie für Gesundheitszwecke       los überfordert hätten.                     lungen der EU-DSGVO zu präzisieren.
(Art. 80b im Entwurf) wurde verzichtet,        Diese Heterogenität wird aber in kei-    Nationale Gesetzgeber können durch in-
weil nationale Normierungsbefugnisse        ner Weise zementiert. Eine vereinheit-      novative Gesetzgebung auch als Vorbild
schon in die materiellen Regelungen         lichende Wirkung kann schon dadurch         für andere Mitglieder der EU dienen
(Art. 6 Abs. 3, Art. 9 Abs. 2, Art. 10)     erreicht werden, dass durch diverse         und dadurch den digitalen Grundrechts-
aufgenommen worden sind. Europä-            Meldepflichten gegenüber der Kommis-        schutz voranbringen. Dies ist etwa im
isch oder national geregelte (berufli-      sion ein Überblick über divergierende       Bereich des Beschäftigtendatenschutzes
che) Geheimhaltungspflichten können         Regelungen verschafft wird. Da viele        möglich und wünschenswert. Innova-

DANA • Datenschutz Nachrichten 2/2016
                                                                                                                            55
Sie können auch lesen