Rote Linien zur EU-DSGVO Was ist daraus geworden? - Deutsche ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
2/2016
39. Jahrgang
ISSN 0137-7767
12,00 Euro
Deutsche Vereinigung für Datenschutz e.V.
Rote Linien zur EU-DSGVO
www.datenschutzverein.de
Was ist daraus geworden?
■ Die Europäische Datenschutz-Grundverordnung – ein Überblick ■
Entscheidung des EuGH zum sog. Recht auf Vergessenwerden ■ Rote
Linien eingehalten? Zur Verabschiedung der Datenschutz-Grundver-
ordnung ■ Nachrichten ■ Rechtsprechung ■ Buchbesprechungen ■
Inhalt
Thilo Weichert Konferenz der Datenschutzbeauftragten des
Die Europäische Datenschutz-Grundverordnung – Bundes und der Länder
ein Überblick 48 Stärkung des Datenschutzes in Europa –
Sabine Leutheusser-Schnarrenberger nationale Spielräume 75
Entscheidung des EuGH zum sog. Recht auf Douwe Korff
Vergessenwerden 56 Privacy seals in the new EU General Data Protection
Dr. Robert Selk Regulation: Threat or facilitator? 77
EU-DS-GVO: Neue Anforderungen an Peter Schaar
die Einwilligung? 59 Europäischer Datenschutz: Ende gut, alles gut? 80
Werner Hülsmann vzbv – Florian Glatzner
Die Europäische Datenschutzgrundverordnung Datenschutz in Europa: Die roten Linien des vzbv
und ihre Auswirkungen auf den betrieblichen zur europäischen Datenschutz-Grundverordnung – revisited 82
Datenschutz 62 Werner Hülsmann
BDfI – Andrea Voßhoff / Sven Hermerschmidt Gestaltungsspielräume für die Nationalstaaten und
Rote Linien eingehalten? Zur Verabschiedung der Planungen des Bundesministeriums des Inneren 84
Datenschutz-Grundverordnung 68 Digitalcourage &
BvD – Thomas Spaeing Deutsche Vereinigung für Datenschutz (DVD)
Roten Linien des BvD zur DS-GVO – so sieht’s aus! 70 Position zur Ausgestaltung der Europäischen Datenschutz-
digitalcourage – Friedemann Ebelt grundverordnung 86
Was taugt die neue Datenschutzgrundverordnung? 72 Frans Jozef Valenta
Digitale Gesellschaft – Volker Tripp BigBrotherAwards 2016 88
Datenschutzgrundverordnung: Datenschutz Nachrichten – Deutschland 90
Überfällige Reform mit Abstrichen 73 Datenschutz Nachrichten – Ausland 97
GDD – Andreas Jaspers Datenschutz Nachrichten – Technik 105
Der Datenschutzbeauftragte in der Datenschutz-
Grundverordnung – Handlungsbedarf des Rechtsprechung 107
deutschen Gesetzgebers 74 Buchbesprechungen 111
Termine
Sonntag, 18. September 2016 Samstag, 22. Oktober 2016
DVD-Vorstandssitzung DVD-Vorstandssitzung
Kiel. Anmeldung in der Geschäftsstelle Bonn. Anmeldung in der
dvd@datenschutzverein.de Geschäftsstelle
dvd@datenschutzverein.de
Montag, 19. September 2016
ULD-Sommerakademie Sonntag, 23. Oktober 2016
Kiel DVD-Mitgliederversammlung
https://www.datenschutzzentrum.de/ Bonn.
sommerakademie/ dvd@datenschutzverein.de
21. und 22. Oktober 2016
Geheimdienste vor Gericht:
Humboldt-Universität und
Maxim Gorki Theater Berlin
http://www.ausgeschnueffelt.de
Foto: Uwe Schlick / pixelio.de
DANA • Datenschutz Nachrichten 2/2016
46
Editorial
DANA
Datenschutz Nachrichten Liebe Leserinnen und Leser,
ISSN 0137-7767
39. Jahrgang, Heft 2 am 25.05.2016 ist die EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten
(siehe dazu auch den einleitenden Artikel von Thilo Weichert in diesem Heft). Grund
Herausgeber genug für uns, Ihnen mehrere Aspekte der neuen DSGVO genauer darzustellen.
Deutsche Vereinigung für
Datenschutz e.V. (DVD)
Hierzu konnten wir Artikel von Sabine Leutheusser-Schnarrenberger zum Recht auf
DVD-Geschäftstelle: Vergessen, von Robert Selk zu den neuen Anforderungen an Einwilligungen nach
Reuterstraße 157, 53113 Bonn der DSGVO und von Werner Hülsmann zu den Anforderungen der DSGVO an den
Tel. 0228-222498 betrieblichen Datenschutz gewinnen.
IBAN: DE94 3705 0198 0019 0021 87
Sparkasse KölnBonn Wir haben mit dieser Ausgabe der DANA den beteiligten Organisationen, Verbän-
E-Mail: dvd@datenschutzverein.de
www.datenschutzverein.de den und Einzelpersonen, die sich in der DANA 3/2015 zu den roten Linien, die im
Rahmen der Trilog-Verhandlungen zwischen EU-Parlament und EU-Rat nicht über-
Redaktion (ViSdP) schritten werden durften, geäußert hatten, die Gelegenheit gegeben, ihre damaligen
Frank Spaeing
c/o Deutsche Vereinigung für Forderungen und die nun fertige DSGVO gegenüberzustellen. Fast alle Beteiligten
Datenschutz e.V. (DVD) haben auch in dieser Ausgabe wieder mitgewirkt, in ihren Beiträgen ein Resümee
Reuterstraße. 157, 53113 Bonn gezogen und mitunter auch gleich den deutschen Gesetzgebern noch Empfehlungen
dvd@datenschutzverein.de für die Ausgestaltung des BDSG-Ablösegesetzes mitgegeben.
Den Inhalt namentlich gekenn-
zeichneter Artikel verantworten die
Sich diesem Themenblock anschließend haben wir in dieser Ausgabe einen weiteren
jeweiligen Autoren.
Artikel von Werner Hülsmann, der die (in der DSGVO enthaltenen) Gestaltungs-
Layout und Satz spielräume für die nationalen Gesetzgeber und die dazugehörigen Planungen des
Frans Jozef Valenta, 53119 Bonn
valenta@datenschutzverein.de
Bundesministeriums des Inneren darstellt.
Druck Neben dem gemeinsamen Positionspapier von Digitalcourage und DVD zur konkre-
Onlineprinters GmbH
Rudolf-Diesel-Straße 10 ten Ausgestaltung der Spielräume rundet ein Artikel von Frans Jozef Valenta zum
91413 Neustadt a. d. Aisch BigBrotherAward 2016 die DANA ab.
www.diedruckerei.de
Tel. +49 (0)91 61 / 6 20 98 00 Natürlich fehlen auch in dieser Ausgabe nicht Datenschutznachrichten aus dem In-
Fax +49 (0) 91 61 / 66 29 20 und Ausland, Technik-Nachrichten und Meldungen zu aktueller Rechtsprechung.
Bezugspreis
Einzelheft 12 Euro. Jahresabonne- Eine anregende und informative Lektüre wünscht Ihnen
ment 42 Euro (incl. Porto) für vier
Hefte im Kalenderjahr. Für DVD- Frank Spaeing
Mitglieder ist der Bezug kostenlos.
Das Jahresabonnement kann zum
31. Dezember eines Jahres mit einer
Kündigungsfrist von sechs Wochen Autorinnen und Autoren dieser Ausgabe:
gekündigt werden. Die Kündigung ist
schriftlich an die DVD-Geschäftsstel-
le in Bonn zu richten. Werner Hülsmann
Vorstandsmitglied in der DVD, Mitglied des Beirats des Forum InformatikerInnen für Frieden und
Copyright gesellschaftliche Verantwortung (FIfF) e.V., selbständiger Datenschutzberater, externer Datenschutzbe-
Die Urheber- und Vervielfältigungs- auftragter und Datenschutzsachverständiger, Ismaning und Berlin, huelsmann@datenschutzverein.de
rechte liegen bei den Autoren.
Der Nachdruck ist nach Genehmi- Sabine Leutheusser-Schnarrenberger
gung durch die Redaktion bei Zu-
Bundesjustizministerin a. D., Mitglied des Google Advisory Council zum Recht auf Vergessen,
sendung von zwei Belegexemplaren info@leutheusser-schnarrenberger.de
nicht nur gestattet, sondern durch-
aus erwünscht, wenn auf die DANA Dr. Robert Selk
als Quelle hingewiesen wird.
Rechtsanwalt, Fachanwalt für IT-Recht und Datenschutzbeauftragter,Leiter des Fachausschusses
Leserbriefe „Datenschutz“ der Deutschen Gesellschaft für Recht und Informatik, selk@kanzlei-ssh.de
Leserbriefe sind erwünscht. Deren
Publikation sowie eventuelle Kür- Frans Jozef Valenta
zungen bleiben vorbehalten. Grafik-Designer, Vorstandsmitglied in der DVD, valenta@datenschutzverein.de
Abbildungen, Fotos
Dr. Thilo Weichert
Frans Jozef Valenta
Ehemaliger Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein, Kiel,
Vorstandsmitgied in der DVD, weichert@datenschutzexpertise.de
DANA • Datenschutz Nachrichten 2/2016
47
Rote Linien zur EU-DSGVO – Was ist daraus geworden?
Thilo Weichert
Die Europäische Datenschutz-Grundverordnung –
ein Überblick
1 Kurzgeschichte der hatte am 24.02.2011 Schlussfolgerun- - Für die Anwendbarkeit der EU-DS-
Verordnung gen angenommen, in denen er das Re- GVO soll das Marktortprinzip gelten;
formvorhaben der Kommission unter- d. h. die europäischen Verbraucher
Am 08.04.2016 beschlossen der Rat stützte. Mit einer Entschließung vom und Betroffenen sollen durch das für
der Europäischen Union (EU) und am 06.07.2011 hatte das EU-Parlament ei- sie vor Ort geltende europäische Recht
14.04.2016 das Parlament der EU ei- nen Bericht angenommen, der das Kom- geschützt werden, unabhängig davon,
nen neuen Rechtsrahmen zum Schutz missionskonzept für die Reform der Da- wo die Datenverarbeitung erfolgt und
personenbezogener Daten in der Euro- tenschutzregelungen guthieß. wo der Sitz der verarbeitenden Stelle
päischen Union, auf die sich diese am liegt.
15.12.2015 mit der Kommission der EU 2 Rechtlicher Rahmen - Über den sog. One-Stop-Shop soll für
im sog. Trilog geeinigt hatten. Dieser ein Unternehmen vorrangig die ört-
Rechtsrahmen hat zwei Bestandteile, Die Vorschriften der nun verabschie- liche Datenschutzbehörde zuständig
eine Richtlinie für den Datenschutz in deten Grundverordnung zielen auf zwei- sein, so dass eine Kommunikation
den Bereichen Justiz und Polizei sowie erlei ab: auf den Schutz des Grundrechts in einer konkreten Frage zum Da-
eine Europäische Datenschutz-Grund- auf Datenschutz und auf die Garantie tenschutz ausschließlich mit dieser
verordnung (EU-DSGVO). Das Kern- des freien Verkehrs personenbezogener erfolgt. Die Abstimmung der Positi-
stück des neuen Rechtsrahmens ist die Daten zwischen den Mitgliedstaaten. on dieser Aufsichtsbehörde mit den
EU-DSGVO, mit der die Europäische In Art. 16 Abs. 1 des Vertrags über die anderen Aufsichtsbehörden, in deren
Datenschutzrichtlinie (EG-DSRl) aus Arbeitsweise der Europäischen Union Zuständigkeit ein Unternehmen auf
dem Jahr 1995 abgelöst wird. (AEUV) ist der Grundsatz verankert, dem Markt agiert, hat innerhalb des
Der Diskussion über die EU-DSGVO dass jede Person das Recht auf Schutz administrativen Bereichs zu erfolgen.
lag ursprünglich ein Vorschlag der EU- ihrer personenbezogenen Daten hat. Seit - Die Transparenz für die Betroffenen
Kommission vom 25.01.2012 zugrunde. dem Vertrag von Lissabon verfügt die soll verbessert und den modernen
Das EU-Parlament beschloss dann mit EU mit Art. 16 Abs. 2 AEUV über eine technischen Gegebenheiten angepasst
großer Mehrheit am 12.03.2014 eine besondere Rechtsgrundlage für den Er- werden.
Vielzahl von Änderungsvorschlägen. lass von Datenschutzvorschriften. - Der technische Datenschutz soll durch
Mit Datum vom 15.06.2015 hatte sich Der europäische Rechtsrahmen zum neue Instrumente verbessert werden,
der EU-Rat auf seine Haltung zur EU- Datenschutz in der EU hat zwei völker- bei denen die Prinzipien des Privacy
DSGVO verständigt. Für die Erarbei- rechtliche bzw. verfassungsrechtliche by Design und Privacy by Default so-
tung und Aushandlung der EU-DSGVO Grundlagen, nämlich Art. 8 der Euro- wie der Datensparsamkeit schon bei
war das informelle Trilog-Verfahren ge- päischen Menschenrechtskonvention der Technikgestaltung berücksichtigt
wählt worden, mit dem die Einberufung (EMRK) sowie die Art. 7 und 8 der werden.
eines komplexen und möglicherweise Europäischen Grundrechtecharta (Eu- - Über eine Risikofolgenabschätzung
zeitlich nicht überschaubaren Vermitt- GRCh). soll zwischen risikoreichen Anwen-
lungsverfahrens vermieden wurde. dungen und sonstigen Verfahren diffe-
Bevor die Kommission ihren Vor- 3 Zielsetzungen renziert werden. Bei geringerem Risi-
schlag vorgelegt hatte, waren in Bezug ko soll für die Unternehmen der büro-
auf den geplanten Rechtsrahmen zwei Zur Erreichung der Rechtsetzungszie- kratische Aufwand reduziert werden,
Konsultationen durchgeführt wor- le – einem hohen Datenschutzstandard während bei komplexen Verfahren ein
den und zwar die vom 09.07.2009 bis und dem freien Fluss personenbezoge- adäquater Schutz angestrebt wird.
31.12.2009 „zum Rechtsrahmen für das ner Daten im Binnenmarkt – schälten - Nicht nur der Datenaustausch inner-
Grundrecht auf Schutz personenbezo- sich im Laufe der Diskussionen über die halb der EU bzw. des Binnenmarktes
gener Daten“ sowie vom 04.11.2010 EU-DSGVO folgende Zwischenziele soll gefördert werden, sondern auch
bis 15.01.2011 „zum Gesamtkonzept hieraus: mit Staaten, in denen ein angemesse-
der Kommission für den Datenschutz - Es werden einheitliche verbindliche ner Datenschutz besteht. Fehlt dieser,
in der Europäischen Union“. Ihr „Ge- Regelungen angestrebt, die europa- so sind verbindliche und rechtssichere
samtkonzept“ hatte die EU-Kommission weit gelten und direkt anwendbar Instrumente für den Drittland-Daten-
am 04.11.2010 vorgestellt. Der EU-Rat sind. transfer vorgesehen.
DANA • Datenschutz Nachrichten 2/2016
48
Rote Linien zur EU-DSGVO – Was ist daraus geworden?
- Durch Verbesserung der Rechte der Kap. 7 Zusammenarbeit und Kohärenz tenschutzvorschriften“, was bisher mit
Betroffenen und deren Möglichkeit, (60-76/54a-72) dem englischen Begriff „Binding Cor-
durch administrative und gerichtliche Kap. 8 Rechtsbehelfe, Haftung und porate Rules“ (BCRs) bezeichnet wor-
Verfahren Rechtsschutz zu erlangen, Sanktionen (77-84/73-79b) den ist (Art. 4).
sollen die bestehenden Vollzugsdefizi- Kap. 9 Besondere Datenverarbei-
te abgebaut werden. tungssituationen (85-91/80-85) 6 Grundprinzipien
- Über präventiv wie auch repressiv Kap. 10 Delegierte Rechtsakte und
wirkende angemessen hohe Sankti- Durchführungsrechtsakte (92, Im deutschen Datenschutzrecht war
onen soll die Bereitschaft zur Um- 93/86, 87) es bisher nicht üblich, Gesetzen Grund-
setzung des Datenschutzes und zur Kap. 11 Schlussbestimmungen (94- prinzipien voranzustellen, anders nun in
Compliance bei den verantwortlichen 99/88-91) Europa in Art. 5. Dies ist systematisch
Stellen gefördert werden. zu begrüßen. Bei der Auslegung der
5 Anwendungsbereich weiteren Regelungen sollte und kann
4 Struktur des EU-DSGVO immer hierauf zurückgegriffen werden.
Die EU-DSGVO wird die zentra- Außerdem wird dem mit dem Daten-
Die Grundverordnung ist in 11 Kapitel le Datenschutzregelung in der EU, ist schutzrecht nicht vertrauten Menschen
gegliedert, deren Struktur sich weitge- aber nicht in allen Bereichen in der kurz und bündig klargestellt, welche ge-
hend an den bestehenden Datenschutzge- EU anwendbar. Dort, wo Unionsrecht nerellen Erwägungen die EU-DSGVO
setzen und der EG-DSRl orientiert. Einen keine Gültigkeit hat, gilt auch die EU- prägen. Diese sind für erfahrene Anwen-
Schwerpunkt und Innovationen setzt die DSGVO nicht. Entsprechendes gilt für der alle keine Unbekannten:
Verordnung weniger im materiell-recht- Tätigkeiten nach Titel V Kapitel 2 EUV, - Rechtmäßigkeit, Verarbeitung nach
lichen Bereich als im administrativen, also die gemeinsame Außen- und Si- Treu und Glauben, Transparenz,
im technisch-organisatorischen sowie im cherheitspolitik. Für Tätigkeiten zum - Zweckbindung,
prozeduralen Bereich. Die verbindlich Zweck der polizeilichen und justiziellen - Richtigkeit,
geltende EU-DSGVO soll künftig an der Verhütung und Verfolgung von Strafta- - Erforderlichkeit, die etwas sperrig
Spitze einer hierarchischen Regelungs- ten gilt die zeitgleich konsentierte EU- „Speicherbegrenzung“ genannt wird,
struktur stehen, in der nationale Gesetze Datenschutzrichtlinie für Justiz und - Integrität und Vertraulichkeit,
oder andere nachgeordnete Normen und Polizei. Weitere Ausnahmen sind die - Verantwortlichkeit, die unter dem Be-
Festlegungen spezielle Präzisierungen personenbezogene Verarbeitung von griff „Rechenschaftspflicht“ geführt
vornehmen können. Daten in ungeordneten Akten sowie, wird.
Die Zählweise der Artikel orientierte wenn sich die Datenverarbeitung aus-
sich während der Diskussion in den EU- schließlich auf den persönlichen oder Hervorzuheben ist, dass als weiterer
Gremien an den Vorgaben der EU-Kom- familiären Bereich bezieht (sog. Haus- Grundsatz die „Datenminimierung“
mission. Da jedoch ganze Artikel und haltsausnahme). Soweit Organe der EU erwähnt wird. Wirtschaftsvertreter wie
Absätze gestrichen und andere hinzuge- tätig werden, gilt weiterhin die Verord- auch die deutsche Bundesregierung hat-
fügt wurden, erfolgte vor der Beschluss- nung EG Nr. 45/2001. Unberührt bleibt ten noch kurz vor Abschluss des Trilogs
fassung eine neue Durchnummerierung. weiterhin die Datenschutzrichtlinie für dafür gekämpft, das Prinzip der Daten-
Im folgenden Text werden die Artikel den Telekommunikationsbereich, wel- sparsamkeit aus der EU-DSGVO zu
gemäß der endgültigen Beschlussfas- che die Verarbeitung von Bestands- und verbannen, weil damit die Chancen der
sung nummeriert. Verkehrsdaten von Netzdiensteanbietern europäischen Wirtschaft bei der Ent-
regelt (Art. 2). wicklung zukunftsweisender und luk-
Gliederung EU-DSGVO (Ziffern vor Es gilt das Marktortprinzip. Danach rativer Big-Data-Konzepte beschnitten
dem Schrägstrich Beschlussfassung/da- kommt es nicht darauf an, wo physisch würden. Davon unbeeindruckt findet sich
hinter in der Entwurfsfassung) die Datenverarbeitung erfolgt. Relevant dieser Grundsatz nicht nur eingangs pro-
Kap. 1 Allgemeine Bestimmungen (1- ist vielmehr, dass die Verarbeitung einer minent, sondern an vielen weiteren Stel-
4) verantwortlichen Stelle oder eines Auf- len, so insbesondere in Art. 25, wo als
Kap. 2 Grundsätze (5-11/5-10) tragsdatenverarbeiters auf eine Person Instrumente der Datenminimierung die
Kap. 3 Rechte der Betroffenen Person abzielt, die sich in der EU aufhält (Art. 3). Pseudonymisierung und „Privacy by De-
(12-23/11-21) Die Begriffsbestimmungen bringen fault“ genannt werden, im Rahmen von
Kap. 4 Für Verarbeitung Verantwort- im Vergleich zur EG-DSRl keine we- Zertifizierungen (Art. 25 Abs. 3), als Si-
licher und Auftragsdatenverar- sentlichen inhaltlichen Änderungen, cherheitsmaßnahme (Art. 32 Abs. 1 lit. a)
beiter (24-43/22-39a) wohl aber Erweiterungen: Neu definiert sowie als Kriterium für Verhaltensregeln
Kap. 5 Übermittlung personenbezoge- werden z. B. Begriffe wie „Profiling“, (Art. 40 Abs. 2 lit. d). In Art. 11 wird
ner Daten an Drittländer oder „Pseudonymisierung“, „genetische Da- explizit klargestellt, dass aus einer pseu
an internationale Organisatio- ten“, „biometrische Daten“, „Haupt- donymen oder sonstwie datensparsamen
nen (44-50/40-45) niederlassung“, „Vertreter“, „Unter- Verarbeitung keine Pflicht besteht, allein
Kap. 6 Unabhängigkeit der Aufsichts- nehmen“, „Unternehmensgruppe“ oder zum Zweck der Einhaltung der Verord-
behörden (51-59/46-54) „verbindliche unternehmensinterne Da- nung zusätzliche Daten einzuholen.
DANA • Datenschutz Nachrichten 2/2016
49
Rote Linien zur EU-DSGVO – Was ist daraus geworden?
Das schon bisher in der EG-DSRl Enthalten die bereichsspezifischen na- normiert: Wird für einen Vertrag oder
geltende Verbot mit Erlaubnisvorbehalt tionalen Regelungen aber prozedurale eine Dienstleistung eine Einwilligung
ergibt sich aus Art. 6, der die „Rechtmä- oder organisatorische Normen, insbe- abverlangt, „die für die Erfüllung des
ßigkeit der Verarbeitung“ regelt. Über- sondere hinsichtlich des Datenschutz- Vertrags nicht erforderlich ist“, so ist sie
sichtlicher und systematischer als z. B. managements bei den Verantwortlichen, im Zweifel nicht freiwillig. Unklar sind
in den §§ 28 ff. BDSG werden die Le- der Selbstregulierung und der staatli- die Rechtsfolgen einer unzulässigen
gitimationsmöglichkeiten für die Verar- chen Aufsicht, so kann insofern doch Koppelung. Diese dürfte die Unzuläs-
beitung aufgezählt: eine Anpassung an die EU-DSGVO sigkeit der gesamten Einwilligung zur
- Einwilligung, erforderlich sein. Jedenfalls ist die Be- Folge haben. In jedem Fall kann ein Wi-
- Vertragserfüllung, fürchtung, dass nach Inkrafttreten der derruf der Einwilligung deren Wirkung
- Erfüllung einer rechtlichen Verpflich- Verordnung alle bereichsspezifischen für die Zukunft aufheben. Bei der An-
tung Gesetze in Deutschland zur Randnotiz wendung der Regelung kann es letztlich
- Schutz lebenswichtiger Interessen, in der Datenschutzgeschichte würden, auch nicht darauf ankommen, ob eine
- Erfüllung einer Aufgabe im öffentli- unbegründet. Einwilligung als solche oder als Ver-
chen Interesse oder in Ausübung öf- Äußerst umstritten war Art. 6 Abs. 4, tragsbestandteil bezeichnet wurde.
fentlicher Gewalt, der die Voraussetzungen für Zweckände- Die Autoren der EU-DSGVO legten
- Wahrnehmung berechtigter Interes- rungen regelt. Die Norm muss im Zu- sich nicht auf eine Altersgrenze für die
sen, sofern die schutzwürdigen Inter- sammenhang mit den Absätzen 1 und Einwilligungsfähigkeit von Kindern
essen nicht überwiegen. 2 gelesen werden, in denen allgemeine bzw. Jugendlichen fest. In Deutschland
Voraussetzungen für rechtmäßige Da- wird bisher auf die Einsichtsfähigkeit
Der letztgenannte Punkt war umstrit- tenverarbeitungen definiert werden. Zu- abgestellt. Da hierüber in den nationa-
ten. Während Datenschützer für eine sätzlich werden Kriterien benannt, die len Rechtskulturen unterschiedliche
Eingrenzung der berechtigten Interessen bei einer Zweckänderung berücksichtigt Vorstellungen herrschten und eine Eini-
plädierten, setzten sich vor allem der Rat werden müssen: a) die Verbindung des gung nicht möglich war, können die na-
und die Wirtschaftslobby für eine Aus- neuen mit dem ursprünglichen Zweck, tionalen Gesetzgeber künftig zwischen
weitung ein. Letztendlich kam es inso- b) der Erhebungszusammenhang, c) vollendetem 13. und 16. Lebensjahr
fern zu keiner Änderung des bisherigen die Sensibilität der Daten, d) die mög- eigene Festlegungen vornehmen. Unter
Rechtszustands, der eine offene Abwä- lichen Folgen der Weiterverarbeitung dieser Grenze muss bei einem Einwil-
gungsformel enthält (z. B. § 28 Abs. 1 für die Betroffenen und e) angemessene ligungsbedarf die Zustimmung der El-
S. 1 Nr. 2 BDSG). Schutzmaßnahmen wie z. B. Verschlüs- tern eingeholt werden. Es wird zudem
Den Mitgliedstaaten wird in Art. 6 selung oder Pseudonymisierung. klargestellt, dass die Einwilligung zur
Abs. 3 und 4 insbesondere für die Ver- Datenverarbeitung und die sonstige Ge-
arbeitung öffentlicher Stellen und zur 7 Einwilligung schäftsfähigkeit getrennt voneinander
Erfüllung rechtlicher Pflichten ein sehr zu beurteilen sind (Art. 8).
weitgehendes Konkretisierungsrecht Die Einwilligung ist und bleibt eine
zugesprochen. Dabei sind aber Regeln zentrale Legitimation für die Daten- 8 Besondere Datenkategorien
zu beachten: So muss eine klare Zweck- verarbeitung (Art. 7). Die Diskussion
bestimmung erkennbar sein. Eine Präzi- über die Bedeutung, die Voraussetzun- Hinsichtlich der Verarbeitung sensi-
sierung kann hinsichtlich der Datenar- gen und die Rahmenbedingungen von tiver Daten, also von Daten aus „be-
ten, der Verarbeitungsbedingungen, der datenschutzrechtlichen Einwilligungen sonderen Kategorien“, gibt es keine
Betroffenen, der verarbeitenden Stellen wird seit Jahren engagiert geführt. Diese wesentlichen Änderungen: Einen be-
und der Speicherfristen erfolgen. Zu be- Debatte findet mit der EU-DSGVO kein sonderen Schutz gibt es auch in Zu-
achten ist, dass immer ein im öffentli- Ende, wohl erfolgen aber einige Kon- kunft für Daten zur rassischen und eth-
chen Interesse liegendes Ziel in verhält- kretisierungen. Die allgemeinen Anfor- nischen Herkunft, zu politischen Mei-
nismäßiger Weise verfolgt wird. derungen an die Einwilligung ändern nungen, religiösen oder weltanschauli-
Damit können die meisten in Deutsch- sich jedoch nicht: inhaltliche Bestimmt- chen Überzeugung, Gewerkschaftszu-
land geltenden bereichsspezifischen Da- heit, Hervorhebungspflicht, Widerrufs- gehörigkeit, Gesundheit, Sexualleben
tenschutzregelungen beibehalten wer- möglichkeit, Freiwilligkeit. und sexueller Ausrichtung. Eine Prä-
den. Die in der Verordnung genannten Konkretisierungen hinsichtlich der zisierung erfolgt dadurch, dass in den
Anforderungen an solche bereichsspezi- Einwilligungserfordernisse bestehen Katalog die genetischen Daten sowie
fischen Regelungen entsprechen denen insofern, als die Einwilligung bzw. das biometrische Daten zur eindeutigen
des deutschen Bundesverfassungsge- Ersuchen danach „in verständlicher und Personenidentifizierung aufgenommen
richts (BVerfG) an die Verfassungsmä- leicht zugänglicher Form in einer klaren wurden (Art. 9). Trotz der zunehmen-
ßigkeit gesetzlicher Regelungen zur und einfachen Sprache“ zu erfolgen hat. den Schutzbedürftigkeit von Finanz-
personenbezogenen Datenverarbeitung. Beim Widerruf dürfen keine formellen transaktionsdaten, die sich durch die
Dies hat zur Folge, dass materiell ver- Hürden errichtet werden. In Art. 7 Abs. 4 zunehmende Digitalisierung des Zah-
fassungswidrige Gesetze auch der EU- wird unter dem Stichwort Freiwilligkeit lungsverkehrs und deren Bedeutung für
DSGVO widersprechen und umgekehrt. ein eingegrenztes Koppelungsverbot Identitätsdiebstähle ergibt, wurde die
DANA • Datenschutz Nachrichten 2/2016
50
Rote Linien zur EU-DSGVO – Was ist daraus geworden?
Kategorie nicht in den Schutzbereich nal, das z. B. einem besonderen Berufs- Berichtigungsanspruch auch das Recht
der sensitiven Daten aufgenommen. geheimnis unterliegt. Das vorliegende auf Vervollständigung unvollständiger
Die Ausnahmen von dem grundsätz- Regelungskonzept machte es überflüs- Daten gehört. Der Löschanspruch wird
lichen Verarbeitungsverbot erinnern an sig, nochmals gesondert die Verarbei- mit dem schillernden Marketing-Begriff
den bisherigen europäischen Regelungs- tung für Gesundheitszwecke zu normie- des „Rechts auf Vergessenwerden“ flan-
rahmen. Als Ausnahme wird zunächst ren, wie es zunächst von der Kommissi- kiert. Als Abwägungstopoi für den Lö-
die explizite Einwilligung genannt. Es on in einem Art. 81 vorgesehen war (sie- schungsanspruch werden die Rechte auf
ist erfreulich, dass in begründeten Fällen he aber Art. 90 zu Berufsgeheimnissen freie Meinungsäußerung und auf Infor-
spezialgesetzliche Einwilligungsverbote allgemein). Werden Berufsgeheimnisse mation genannt.
ausdrücklich zugelassen werden. In fol- nicht von den in Art. 9 genannten Tat- Neu ist das Recht auf Datenübertrag-
genden Fällen muss keine Einwilligung beständen erfasst, so muss im Einzelfall barkeit. Dieses Recht bezieht sich auf
eingeholt werden: bei Ausübung von geprüft werden, ob die in § 203 StGB Daten, die ein Wirtschaftsunternehmen
Rechten aus dem Arbeitsrecht, der sozi- sowie in weiteren nationalen Spezialge- vom Betroffenen auf der Basis eines
alen Sicherheit und des Sozialschutzes, setzen enthaltenen Berufsgeheimnisse Vertrages oder einer Einwilligung erhal-
zum Schutz lebenswichtiger Interessen von nationalen Ausnahmeklauseln er- ten hat. Wenn die Verarbeitung automa-
bei Einwilligungsunfähigkeit, bei der fasst werden und ob eine Kollision zur tisiert erfolgt, soll der Betroffene deren
Verarbeitung durch einen sog. Tendenz- EU-DSGVO entstanden ist. Bereitstellung in einer zu einem anderen
betrieb, bei vom Betroffenen offenkun- Für Daten über strafrechtliche Verur- Unternehmen übertragbaren Form ver-
dig veröffentlichen Daten, zur Durch- teilungen und Straftaten oder damit zu- langen können. Die Datenübertragung
setzung rechtlicher Ansprüche, zur sammenhängende Sicherungsmaßregeln kann über den Betroffenen, aber wahl-
Gesundheitsvorsorge, Arbeitsmedizin, werden in Art. 10 spezifische Verar- weise auch direkt zum neuen Dienstean-
medizinischen Diagnostik, zur Versor- beitungsvoraussetzungen benannt: Die bieter erfolgen (Art. 20). Wie dies in der
gung und Behandlung, zur Verwaltung Verarbeitung muss „unter behördlicher Praxis umgesetzt werden soll, ist sowohl
im Gesundheits- und Sozialbereich, im Aufsicht“ erfolgen; anderenfalls bedarf technisch als auch (außerhalb des An-
öffentlichen Gesundheitswesen, für Ar- es angemessener gesetzlicher Garantien. wendungsbeispiels „soziale Netzwer-
chivzwecke, zur wissenschaftlichen und ke“) vom Umfang her noch weitgehend
historischen Forschung und für statisti- 9 Betroffenenrechte unklar.
sche Belange. Die Regelung zur automatisierten
Die gegenüber den bisherigen Erlaub- Die Rechte der Betroffenen und de- Einzelentscheidung wird mit dem Zu-
nistatbeständen zur Verarbeitung sensi- ren Beschränkungen sind in den Art. satz „einschließlich Profiling“ ergänzt.
tiver Daten vorgenommenen Änderun- 12 bis 23 geregelt. Anders als bisher ist Letztlich wird versucht, damit einen
gen sollen bisherige Regelungsdefizite der Normierung der einzelnen Rechte Teilbereich so genannter Big-Data-Aus-
beseitigen. So wird nicht mehr zwischen ein allgemeiner Teil vorangestellt, in wertungen zu regulieren. Da der Verord-
öffentlicher und privater Verwaltung dem Adressatengerechtigkeit, Präzision, nungsgeber erkannt hat, dass ihm hierzu
von Systemen und Diensten im Gesund- Transparenz, Verständlichkeit, leichte sowohl Erfahrung als auch das nötige
heits- und Sozialbereich unterschieden, Zugänglichkeit und weitestgehende Un- differenzierende Instrumentarium feh-
so dass, anders als bisher, Privatversi- entgeltlichkeit eingefordert werden. Als len, behilft er sich erneut mit einer Öff-
cherungen von der Ausnahmeregelung Standard-Reaktionsfrist wird der verant- nungsregelung für die nationalen oder
mit erfasst sein können. wortlichen Stelle ein Monat vorgegeben europäischen Normgeber. Um in die-
Bzgl. der sensitiven Daten beste- (Art. 12). sem exorbitant wichtigen Feld aber die
hen weitgehend nationale gesetzliche Die meisten der normierten Betroffe- europarechtliche Kontrolle zu wahren,
Konkretisierungsmöglichkeiten, wobei nenrechte sind bekannt: Information bei werden bei der Normierung „geeignete
erhöhte Verarbeitungsvoraussetzun- der Erhebung (Art. 12) bzw. Informati- Maßnahmen zum Schutz der Rechte und
gen nötig sein können. Damit kann das on, wenn die Daten nicht beim Betroffe- Freiheiten“ gefordert. Problematisch an
hochkomplexe Regelungsgeflecht beim nen erhoben werden (Art. 14), Auskunft der Regelung bleibt, dass Big-Data-An-
Datenschutz im deutschen Sozialrecht (Art. 15), Berichtigung (Art. 16), Lö- wendungen, die nicht auf „Entscheidun-
weitgehend beibehalten werden. So sehr schung (Art. 17), Sperrung (Art. 18), gen“ hinauslaufen, ausdrücklich nicht
das von Seiten der Verantwortlichen be- was technisch präziser als „Einschrän- erfasst werden. Bisher war streitig, ob
grüßt werden dürfte, so schade ist es, kung der Verarbeitung“ bezeichnet wird, die Entscheidung, jemandem auf Basis
dass die EU-DSGVO nicht dazu zwingt, Widerspruch generell (Art. 21) bzw. bei von Profiling Werbung zuzusenden, un-
das unstrukturiert gewordene Daten- automatisierten Einzelentscheidungen ter die Regelung zu automatisierten Ent-
schutzrecht in den Sozialgesetzbüchern (Art. 22) und der zu einem Nutzungs- scheidungen fällt. Durch die Einbezie-
I bis XII einer Totalrevision und Berei- verbot für Werbezwecke führende spe- hung des Profiling kann herausgelesen
nigung zu unterwerfen. zifische Werbewiderspruch (Art. 21 werden, dass diese Streitfrage zumin-
In der Verordnung wird ein spezifisch Abs. 2 u. 3). dest beim Einsatz dieser Methode, was
(national) regelungsfähiger Aspekt ex- Gegenüber den bisherigen Regelun- auch immer genau darunter verstanden
plizit erwähnt: die Verarbeitung beson- gen gibt es einige kleine Verbesserun- wird, zugunsten der Betroffenen zu be-
ders sensibler Daten durch Fachperso- gen: So wird klargestellt, dass zum antworten ist.
DANA • Datenschutz Nachrichten 2/2016
51
Rote Linien zur EU-DSGVO – Was ist daraus geworden?
Eine ungewöhnliche, aber angesichts wenden können. Angesichts der zuneh- besondere Verarbeitungsrisiken, etwa
der anscheinend bestehenden nationalen menden Arbeitsteilung bei der Daten- durch die Verarbeitung von besonderen
Unterschiede einzig konsensfähige Re- verarbeitung, die oft nicht auf expliziten Datenkategorien oder von Daten über
gelung wurde bei der Beschränkung der textlichen Vereinbarungen basiert, kann Straftaten.
Betroffenenrechte gewählt: Während bezweifelt werden, ob mit der Regelung An die Stelle des technisch völlig
das Betroffenenrecht selbst sich direkt ein Fortschritt erreicht wird, der über die überholten § 9 BDSG mit Anlage tritt
aus der Verordnung ergibt, werden die reine Benennung des Problems hinaus- hinsichtlich der technisch-organisatori-
Einschränkungen national geregelt, wo- geht. Insofern hat der EuGH vom deut- schen Maßnahmen der Art. 30. Dieser
bei dem nationalen Gesetzgeber hierfür schen Bundesverwaltungsgericht (BVer- fordert statt bestimmter Schutzmaß-
materielle Vorgaben gemacht werden. wG) die Gelegenheit erhalten, eine dann nahmen die Einhaltung der Schutzziele
Dabei werden bekannte Abwägungs- auch für die EU-DSGVO geltende Inter- Vertraulichkeit, Integrität, Verfügbar-
muster benannt, vom „Schutz der nati- pretation vorzugeben, nachdem dieses keit und Belastbarkeit und benennt als
onalen Sicherheit“ bis zum „Schutz der dem EuGH am 25.02.2016 Fragen zur Instrumente u. a. die Pseudonymisie-
Rechte und Freiheiten anderer Perso- „Verantwortlichkeit“ von Facebook- rung und die Verschlüsselung. Warum
nen“ (Art. 23). Fanpagebetreibern vorlegte. ausgerechnet diese Maßnahmen durch
Fehlt es in der EU an einer zur Verant- explizite Nennung aus einer Vielzahl
10 Verantwortlichkeit wortung zu ziehenden Niederlassung, so möglicher Maßnahmen herausgehoben
muss gemäß Art. 27 ein in der EU ansäs- werden und was unter „Belastbarkeit“
Im Kapitel IV der Verordnung werden siger „Vertreter“ benannt werden, der zu verstehen ist, bleibt zunächst das
unter der Überschrift „Verantwortlicher im Auftrag der verantwortlichen oder Geheimnis des Gesetzgebers. Gefordert
und Auftragsdatenverarbeiter“ verschie- der auftragsdatenverarbeitenden Stelle wird vor Durchführung einer Verarbei-
dene Aspekte geregelt, unter anderem bzgl. aller Datenschutzfragen als „An- tung eine explizite Risikobewertung, ein
auch, was bisher dem Begriff „tech- laufstelle“ tätig wird. darauf abgestimmtes Schutzkonzept so-
nisch-organisatorische Maßnahmen“ Die Verarbeitung im Auftrag in Art. wie eine regelmäßige Evaluierung.
behandelt wurde. Die nun vorgelegten 28 hat einen über den heutigen § 11 An die Stelle der bisherigen Vor-
Regelungen gehen über das bisherige BDSG hinausgehenden Detaillierungs- abkontrolle tritt eine risikoorientierte
Verständnis teilweise weit hinaus. Die grad, ohne aber die darin enthaltenen „Datenschutz-Folgeabschätzung“ bei
Verantwortlichkeiten nach der EU-DS- Grundprinzipien in Frage zu stellen. spezifisch benannten Verfahren (sys-
GVO beschränken sich auch nicht auf Die gegenseitigen Hinweis- und In- tematische Personenbewertung, Verar-
dieses Kapitel, sondern erstrecken sich formationspflichten werden genauer beitung sensibler Daten, Überwachung
natürlich zudem auf die – an anderer benannt. So soll der Auftragsverarbei- öffentlicher Räume) unter Einbeziehung
Stelle geregelten – materiell-rechtlichen ter den Verantwortlichen präziser über eines möglicherweise vorhandenen
Pflichten wie z. B. die Erlaubnisrege- Unterauftragsverhältnisse informieren. Datenschutzbeauftragten (Art. 35). Es
lungen und die Umsetzung der Betrof- Unteraufträge müssen die gleiche Re- besteht die Pflicht zu einer „vorheri-
fenenrechte. gelungstiefe aufweisen wie Aufträge. Es gen Konsultation“ der Datenschutzauf-
Hinsichtlich der Datensicherheit wird, erfolgen Bezugnahmen zu genehmigten sichtsbehörde, wenn ein hohes Risiko
anders dies bisher explizit der Fall war, Zertifizierungen nach Art. 42 sowie ge- besteht, sofern der „Verantwortliche
ein risikoorientierter Ansatz verfolgt. nehmigten Standardvertragsklauseln. Es keine Maßnahmen zur Eindämmung des
Dabei werden keine Schutzmaßnahmen wird klargestellt, dass ein Auftragsver- Risikos trifft“ (Art. 36).
aufgeführt, sondern die Umsetzung von arbeiter, der auftragswidrig Zwecke und In den Art. 33 und 34 ist die Meldung
Datenschutzgrundsätzen eingefordert, Mittel der Datenverarbeitung bestimmt, bzw. Benachrichtigung von Daten-
zu denen auch die Datenminimierung als Verantwortlicher zu behandeln ist. schutzverletzungen gegenüber der Auf-
zählt (vgl. Ziffer 8). Als beschränkte Ein erklärtes Ziel der EU-DSVGO sichtsbehörde sowie den Betroffenen
Entlastung von Nachweispflichten wird ist es, den bürokratischen Aufwand des (sog. Breach Notification) geregelt.
die in Art. 42 normierte Zertifizierung Datenschutzes abzubauen. Dies soll Entgegen der Befürchtung vieler deut-
erwähnt (Art. 25 Abs. 3). aber nicht dazu führen, dass der für scher Datenschützer sind in den Art. 37
Der gemeinsamen Verantwortlichkeit einen wirksamen Datenschutz nötige bis 39 prominent die Benennung, die
mehrerer Stellen, die begründet wird Aufwand nicht erbracht wird. Und nötig Stellung und die Aufgaben der (betrieb-
durch die gemeinsame Festlegung der ist in jedem Fall der Überblick über die lichen bzw. behördlichen) Datenschutz-
Zwecke und Mittel der Datenverarbei- personenbezogene Datenverarbeitung beauftragten normiert und festgeschrie-
tung, wird ein eigenständiger Artikel 26 für den Verantwortlichen bzw. Vertreter, ben. Die Pflicht zur Bestellung besteht
gewidmet. Dabei wird, anders als bis- weshalb diese weiterhin ein Verfahrens- bei öffentlichen Stellen, bei der „syste-
her, eine „Vereinbarung in transparenter verzeichnis, genauer ein „Verzeichnis matischen Beobachtung von betroffenen
Form“ gefordert, in der die Verantwor- von Verarbeitungstätigkeiten“ führen Personen“ und bei der Verarbeitung sen-
tungsverteilung zu regeln ist. Fehlt eine muss (Art. 30). Dies gilt auch für die sibler Daten. Eine Bestellung kann nati-
Regelung, so hat dies für Betroffene Auftragsverarbeiter. Nicht verpflich- onal darüberhinausgehend verpflichtend
keine nachteiligen Rechtsfolgen, da die- tet werden Stellen mit weniger als 250 gemacht werden, so dass der bestehende
se sich an jeden der Verantwortlichen Beschäftigten, es sei denn, es bestehen deutsche Regelungsrahmen beibehalten
DANA • Datenschutz Nachrichten 2/2016
52
Rote Linien zur EU-DSGVO – Was ist daraus geworden?
werden kann. Die rechtliche Ausgestal- men. Sind die Voraussetzungen nicht Verwaltungsentscheidungen nach eu-
tung des Datenschutzbeauftragten sowie (mehr) erfüllt, können sowohl Zertifizie- ropäischem Recht nur dann umgesetzt
dessen Aufgaben orientieren sich stark rungen als auch Akkreditierungen wie- werden dürfen, wenn diese auf interna-
an den bisher geltenden deutschen Be- der entzogen werden. Die Kommission tionalen Abkommen basieren. Diese Re-
stimmungen. kann über Durchführungsakte techni- gelung steht konzeptionell und inhaltlich
sche Standards sowie Verfahrensvorga- im Konflikt mit dem Ende Februar 2016
11 Regulierte Selbstregulierung ben festlegen. vorgestellten EU-US Privacy Shield zur
Datenübermittlung von Europa in die
Das Instrument der Verhaltensregeln 12 Auslandsdatentransfer USA, das zu exekutiven und judikativen
im privaten Bereich hat bisher nicht nur Entscheidungen führen wird, die nicht
in Deutschland (§ 38a BDSG) wenig Hinsichtlich des grenzüberschreiten- auf internationalen Abkommen beruhen.
Resonanz gefunden. Das soll sich künf- den Datentransfers ergeben sich gegen- Im Einzelfall können weiterhin Über-
tig dadurch ändern, dass deren Funkti- über der Richtlinie keine grundsätzli- mittlungen ohne allgemeine Garantien
on und die Anreize hierfür erhöht wer- chen Veränderungen. Wohl aber wurden erfolgen, etwa bei ausdrücklicher Ein-
den (Art. 40, 41). So können hierüber viele Konkretisierungen vorgenommen, willigung, zur Vertragserfüllung, bei
für Kleinst- bzw. kleinere und mittlere die insbesondere auch die Rechtspre- einem Betroffeneninteresse oder einem
Unternehmen Standardisierungen und chung des EuGH aufgreifen. wichtigen öffentlichen Interesse, zur
damit Vereinfachungen vorgenommen Innerhalb der EU gibt es keine spezi- Durchsetzung von Rechtsansprüchen,
werden. Über Verhaltensregeln kön- fischen Übermittlungsbeschränkungen zum Schutz lebenswichtiger Interessen
nen „geeignete Garantien“ festgelegt (Art. 1 Abs. 3). Gleiches gilt, wenn von oder in Rahmen einer Einzelentschei-
werden, die bei Datenübermittlungen der Kommission die Angemessenheit dung, die aber geeignete Garantien vor-
in Drittländer innerhalb einer Branche des Datenschutzstandards im Empfän- sehen muss.
verpflichtend sind. Die Regeln können gerland festgestellt wurde. Für die An-
und müssen eine „obligatorische Über- gemessenheitsprüfung enthält Art. 41 13 Aufsichtsbehörden,
wachung“ durch installierte Verbands- Abs. 2 einen umfangreichen Kriterienka- Kooperation und Kohärenz
mechanismen z. B. in einer Branche talog, der an die Kriterien des Safe-Har-
vorsehen. Die Verhaltensregeln unter- bor-Urteils des EuGHs anknüpft. Darin Dass es bisher massive Vollzugs- und
liegen, wie bisher, der Genehmigungs- werden folgende Bedingungen genannt: Durchsetzungsdefizite im Datenschutz
pflicht durch die nach Art. 51 zuständige Grundrechtsgeltung, auch im Bereich der gibt, liegt u. a. daran, dass es keine ver-
Aufsichtsbehörde und können von der öffentlichen Sicherheit, der Verteidigung bindlichen Konfliktlösungsinstrumente
EU-Kommission für verbindlich erklärt und der nationalen Sicherheit, geltende zwischen den unabhängigen Daten-
werden. Die Überwachung der Verhal- Datenschutz-Rechtsvorschriften und un- schutzbehörden gab. So konnten z. B.
tensregeln kann zu diesem Zweck ak- abhängige Datenschutzkontrolle. Eine Unternehmen in einem Land von der
kreditierten Stellen übertragen werden Überprüfung ist alle 4 Jahre nötig. dortigen unzureichenden Datenschutz-
(Art. 40). Durch die verbandsinterne Liegt kein genereller Angemessen- kontrolle profitieren. Dies wird durch
Streitbeilegung können Verbände den heitsbeschluss der Kommission vor, Abstimmungszwänge in Zukunft er-
Datenschutz also selbst in die Hand so können an die Stelle staatlicher schwert. Hinsichtlich der Einrichtung,
nehmen und dadurch zugleich die Auf- Datenschutzsicherungen im Empfän- der Rechtsstellung und den Aufgaben
sichtsbehörden entlasten. gerland „geeignete Garantien“ treten, der Datenschutzbehörden selbst wur-
Völlig neu ist auf europäischer Ebene die bindend und durchsetzbar sein de wenig geändert. Es erfolgen v. a.
die Zertifizierung gemäß den Art. 42, 43. müssen. Als Beispiele werden nun Konkretisierungen zur Unabhängigkeit
Zertifizierungsverfahren, die freiwillig ausdrücklich Standardvertragsklau- (Art. 52), zur demokratischen Legiti-
sind und transparent sein müssen, kön- seln und unternehmensinterne Da- mation und fachlichen Qualifikation
nen von privaten Zertifizierungsstellen tenschutzvorschriften (sog. Binding (Art. 43), zur Verschwiegenheit (Art. 54
oder Aufsichtsbehörden durchgeführt Corporate Rules – BCRs) genannt, Abs. 2), zur Zuständigkeit (Art. 55),
werden. Unter anderem ist ein „Europä- aber auch genehmigte Verhaltensre- zu den sehr umfassenden Aufgaben
isches Datenschutzsiegel“ vorgesehen, geln oder Zertifizierungen (Art. 46). (Art. 57) und zu den ebenso äußerst um-
für das der Europäische Datenschutz- Für die Regelungen in BCRs werden in fassenden Befugnissen (Art. 58). Jeder
ausschuss (EDA) Prüfkriterien festlegt. Art. 47 präzise Anforderungen festge- Mitgliedstaat wird verpflichtet, die Auf-
Private Zertifizierungsstellen bedürfen legt, zu denen die Umsetzung der Be- sichtsbehörde bzw. -behörden mit den
einer Akkreditierung durch die Auf- troffenenrechte, die Haftungsübernah- benötigten „personellen, technischen
sichtsbehörde oder durch eine nationale me im Fall von Verstößen, Beschwerde- und finanziellen Ressourcen“ auszustat-
Akkreditierungsstelle, wobei die Vor- und Konfliktlösungsverfahren und die ten (Art. 52 Abs. 4), was angesichts der
aussetzungen präzise in der Verordnung Kooperation mit der Aufsichtsbehörde gewachsenen Aufgaben bei den Behör-
festgelegt sind. Zwecks Übersichtlich- gehören. In einem neuen Artikel 48, der den zu einer massiven Besserausstat-
keit werden alle anerkannten Zertifizie- implizit auf US-Regelungen wie den tung führen muss.
rungsverfahren und Datenschutzsiegel Patriot Act Bezug nimmt, wird klarge- Neu ist die Etablierung einer auf ein
in ein einheitliches Register aufgenom- stellt, dass Drittlands-Gerichts- oder Unternehmen bezogenen federführen-
DANA • Datenschutz Nachrichten 2/2016
53
Rote Linien zur EU-DSGVO – Was ist daraus geworden?
den Aufsichtsbehörde, welche die we- genheiten mit allgemeiner Geltung oder keiten im Datenschutzrecht sehr be-
sentliche Datenschutzkommunikation Auswirkungen eine solche Stellung- grenzt. Im Safe-Harbor-Urteil hatte der
mit einer verantwortlichen Stelle führt. nahme bewirken. Die Beschlussfassung EuGH schon Nachbesserungen einge-
Federführend ist die für die Hauptnie- erfolgt regelmäßig innerhalb von 8 Wo- fordert. In diesem Bereich erfolgen in
derlassung in Europa zuständige Behör- chen mit einer einfachen Mehrheit der der EU-DSGVO nun sehr weitgehende
de. Diese ist nur dann nicht zwingend EDA-Mitglieder. Soweit erforderlich Verbesserungen:
zuständig, wenn der konkrete Vorgang und zweckdienlich, werden Informati- So haben Betroffene nicht nur ge-
ausschließlich den Zuständigkeitsbe- onen übersetzt. Teilt eine Aufsichtsbe- genüber der Aufsichtsbehörde ein Be-
reich einer anderen Aufsichtsbehörde hörde unter Angabe der maßgeblichen schwerderecht (Art. 77). Sie erhalten
betrifft. Aber auch in diesem Fall kann Gründe dem EDA mit, dass sie der zudem eine gerichtliche Rechtsbehelfs-
die federführende Behörde den Vorgang EDA-Stellungnahme nicht folgt, so fin- möglichkeit gegen eine sie betreffende
innerhalb einer Frist von drei Wochen an det in einem weiteren Schritt eine Streit- rechtsverbindliche Entscheidung sowie
sich ziehen (Art. 56). beilegung durch den EDA statt (Art. 65). auch, wenn eine Beschwerde nicht in-
Handelt es sich um einen Vorgang, Diese erfolgt in Form eines innerhalb nerhalb von drei Monaten behandelt
der mehrere Aufsichtsbehörden betrifft von einem Monat gefällten Beschlusses, wurde; die abschließende Entscheidung
oder zieht die federführende Behörde für den eine 2/3-Mehrheit im EDA nötig darf längere Zeit in Anspruch nehmen
den Fall an sich, so kommen die Re- ist. Die EDA-Beschlüsse werden auf der (Art. 78). Ein Informationsanspruch be-
gelungen zur Zusammenarbeit zur An- EDA-Webseite allgemein veröffentlicht. steht nicht nur zu den Verfahrensergeb-
wendung (Art. 60). Dazu gehören die Abweichend vom Kohärenzverfahren nissen, sondern auch zum Bearbeitungs-
Amtshilfe für einzelne Fragestellungen kann eine betroffene Aufsichtsbehörde stand. Mit dem neuen Instrument kann
oder Sachverhaltsermittlungen, wozu ein Dringlichkeitsverfahren durchfüh- ein Betroffener eine materiell-rechtlich
der angefragten Behörde regelmä- ren, durch das einstweilige Maßnahmen korrekte Entscheidung gegenüber der
ßig nur ein Monat zur Verfügung steht mit einer Geltungsdauer von höchstens Aufsichtsbehörde einklagen, was bisher
(Art. 61), ein umfassender zweckdienli- 3 Monaten festgelegt werden (Art. 66). nicht anerkannt, geschweige denn ef-
cher Informationsaustausch und die Vor- Der Europäische Datenschutzaus- fektiv realisiert war. Eine Rechtsschutz-
lage eines Beschlussvorschlags durch schuss besteht aus den Leitern der Auf- möglichkeit besteht für den Betroffenen
die federführende Behörde. Hiergegen sichtsbehörden, je einer pro Land. In weiterhin – wie bisher – gegenüber der
kann eine andere betroffene Behörde Deutschland muss aus den föderalen verantwortlichen Stelle oder dem Auf-
innerhalb von vier Wochen Einspruch Aufsichtsbehörden nach nationalen Re- tragsverarbeiter, wobei verbraucher-
einlegen. Wird dem nicht abgeholfen, geln ein Behördenleiter benannt wer- freundlich gegen private Verantwortli-
erfolgt das Kohärenzverfahren. Wurde den (Art. 68). Hauptaufgabe des EDA, che die Klage im Mitgliedstaat des Be-
kein Einspruch eingelegt, so sind alle dem eine eigene Rechtspersönlichkeit troffenen eingelegt werden kann.
betroffenen Behörden an den Beschluss zukommt, ist die Abgabe von Stellung- Neu ist eine Art Verbandsklage, bei
gebunden, der dann gegenüber der nahmen und die Beschlussfassung im der eine Einrichtung, Organisation oder
(Haupt-)Niederlassung ergeht und dem Kohärenzverfahren. Daneben nennt Vereinigung die Rechte des einzelnen
Beschwerdeführer mitgeteilt wird. Eine Art. 70 viele weitere Aufgaben, u. a. oder von vielen Betroffenen gericht-
einheitliche Beschwerde kann in Teil- die Beratung der Kommission, die Be- lich geltend machen kann. Darüber hi-
beschlüsse aufgeteilt werden. Für die reitstellung von Leitlinien, Empfehlun- naus besteht für die Mitgliedstaaten das
Zusammenarbeit wird ein gemeinsames gen und Verfahren, die Förderung von Recht, unabhängig von Aufträgen von
elektronisches Kommunikationsverfah- Verhaltensregeln und Zertifizierungs- Betroffenen, Verbandsklagen zuzulas-
ren genutzt (Art. 67). verfahren, die Akkreditierung von Zer- sen (Art. 80). Entsprechendes erfolgte
Eine besondere Form der Zusammen- tifizierungsstellen, Stellungnahmen zum erst kürzlich in beschränktem Umfang
arbeit besteht in gemeinsamen Maßnah- „angemessenen Schutzniveau“, die För- in Deutschland.
men (Art. 62). Diese erfolgen, wenn Be- derung der Zusammenarbeit zwischen Um in Europa divergierende Ent-
schlüsse erhebliche Auswirkungen auf den Aufsichtsbehörden, einschließlich scheidungen bei parallelen Verfahren
die Zuständigkeitsbereiche von meh- Information und Schulung des Personals zu vermeiden, kann ein zuständiges
reren Behörden haben werden. Hierzu sowie die Öffentlichkeitsarbeit. Geleitet Gericht sein Verfahren aussetzen, wenn
lädt eine Aufsichtsbehörde ein; jede be- wird der EDA von einem Vorsitzenden derselbe Gegenstand vor einem anderen
troffene Behörde kann sich anschließen. und zwei Stellvertretern, die mit ein- Gericht innerhalb des Geltungsbereichs
Die teilnehmenden Behördenmitarbeiter facher Mehrheit gewählt werden. Das der Verordnung anhängig ist. Es erfolgt
erhalten dann Kompetenzen gemäß dem EDA-Sekretariat wird beim Europäi- dann eine Abstimmung zwischen den
jeweils geltenden nationalen Recht. schen Datenschutzbeauftragten einge- Gerichten oder eine Zusammenführung
Im Kohärenzverfahren, also bei unter- richtet (Art. 75). der Verfahren (Art. 81).
schiedlichen Meinungen zu einem Be- Wie schon bisher (in Deutschland nur
schlussvorschlag, wird die Stellungnah- 14 Rechtsschutz und Sanktionen im privaten Bereich), haben die Auf-
me des Europäischen Datenschutzaus- sichtsbehörden die Möglichkeit, War-
schusses (EDA) eingeholt. Außerdem Bisher waren die national geregelten nungen und Untersagungsverfügungen
kann jede Aufsichtsbehörde bei Angele- Rechtsschutz- und Sanktionsmöglich- zu erlassen (Art. 58 Abs. 2 lit. a-h, j).
DANA • Datenschutz Nachrichten 2/2016
54Rote Linien zur EU-DSGVO – Was ist daraus geworden?
Daneben sind Sanktionen in Form neben dem Datenschutzrecht weiter- Öffnungsklauseln sich nicht nur an die
von empfindlichen Geldbußen möglich, hin Anwendung finden. Dies betrifft in nationalen, sondern auch an den EU-Ge-
die „in jedem Fall wirksam, verhältnis- Deutschland beispielsweise den § 203 setzgeber wenden, besteht die Aussicht,
mäßig und abschreckend“ sein müssen StGB und bereichsspezifische Konkreti- dass die EU weitere – bereichsspezifi-
(Art. 83 Abs. 1). Dafür benennt die Ver- sierungen etwa im Anwalts-, Arzt- oder sche – Regelungen erlässt.
ordnung eine Vielzahl von Sanktions- Notarrecht (Art. 90). Das in Deutsch- Vorläufig ist es sehr wahrscheinlich,
zumessungskriterien, die es künftig er- land geltende Kirchenprivileg zur Nor- dass auslegungsbedürftige Regelungen
möglichen, über Vergleiche europaweit mierung des Datenschutzes soll weiter- in der Verordnung national oder gar
eine Angleichung bzw. Harmonisierung bestehen, soweit die Vorschriften „mit regional von Anwendern, Aufsichtsbe-
zu erreichen. Abhängig vom Verstoß dieser Verordnung in Einklang gebracht hörden und Gerichten unterschiedlich
können Geldbußen bis zu einer Höhe werden“ (Art. 91). ausgelegt werden. Durch die Vorlage-
von 10 Mio. €, in besonderen Fällen bis Im Kommissionsentwurf war noch möglichkeit beim EuGH nach Art. 267
zu 20 Mio. € bzw. „im Fall von Unter- vorgesehen, dass die EU-Kommission AEUV sowie generell durch die Recht-
nehmen von bis zu 2 % (4%) seines ge- eine Vielzahl von Befugnissen zum Er- sprechung des EuGH – etwa in Fällen
samten weltweit erzielten Jahresumsat- lass delegierter Rechtsakte erhält. Diese des Art. 263 AEUV – kommt diesem
zes des vorangegangenen Geschäftsjah- Möglichkeiten wurden weitgehend ein- Gericht auf lange Sicht eine wichtige,
res“ verhängt werden. Ob und wenn ja, geschränkt, sind aber in einem gewissen rechtsvereinheitlichende Funktion zu.
wie und in welchem Umfang Geldbußen Rahmen weiterhin vorgesehen (Art. 92). Die deutschen Gesetzgeber in Bund
bei Datenschutzverstößen durch öffent- In Art. 97 ist eine regelmäßige Evalu- und Ländern – wie auch die der ande-
liche Stellen verhängt werden können, ation der Verordnung vorgesehen, deren ren Mitgliedsländer – sind aufgefordert,
bleibt den Mitgliedstaaten überlassen Ergebnis erstmals spätestens vier Jah- ihre bisherigen Datenschutzregelungen
(Art. 83 Abs. 7). Sieht die Verordnung re nach Inkrafttreten vorgelegt werden bis zum Inkrafttreten der Verordnung
für bestimmte Verstöße keine Sanktio- muss. anzupassen. Dies bedeutet, dass das
nen vor, so bleibt es den Mitgliedstaaten BDSG sowie die Landesdatenschutzge-
vorbehalten, auch diese zu sanktionieren 16 Ausblick setze zu Ausführungsgesetzen der EU-
(Art. 84). DSGVO umgestaltet werden müssen.
Die EU-DSGVO wird am 25.05.2018 Eine erste Meinungsbildung hierzu fand
15 Sonderregelungen in Kraft treten. am 24.02.2016 im Ausschuss „Digita-
le Agenda“ des Deutschen Bundestags
In einigen Bereichen überlässt der Der Anspruch der Verordnung, ein statt. So können unter Anknüpfung an
europäische Verordnungsgeber es den EU-weit einheitliches Datenschutzni- die Verordnung nationale Besonderhei-
Mitgliedstaaten, spezifische Regelungen veau festzulegen, wurde in vielen Be- ten bewahrt bleiben, wie z. B. die teil-
zu erlassen und macht hierfür Vorgaben. reichen nicht erreicht. Die EU-DSGVO weise weitergehenden Regelungen zum
Dies gilt für die Datenverarbeitung „zu enthält viele Öffnungsklauseln, durch betrieblichen Datenschutzbeauftragten
journalistischen Zwecken und zu wis- die Mitgliedstaaten voneinander ab- in Deutschland. Dieser Pluralismus in-
senschaftlichen, künstlerischen oder li- weichende Regelungen erlaubt werden. nerhalb der EU kann und sollte für einen
terarischen Zwecken“ (Art. 85), für den Dieses Regelungskonzept war ange- europäischen Föderalismus befruchtend
Zugang der Öffentlichkeit zu amtlichen sichts der bisher bestehenden, stark di- sein und den Wettbewerb um die bes-
Dokumenten (Art. 86), die Verwendung vergierenden nationalen Regelungen ten Datenschutzinstrumente befördern.
einer nationalen Kennziffer (Art. 87), unvermeidbar. Viele Mitgliedstaaten Bereichsspezifische Regelungen – vom
die Datenverarbeitung im Beschäftigten- forderten, bestimmte, aus ihrer Sicht Aufenthaltsgesetz bis zu den Statistik-
kontext (Art. 88) und die Verarbeitung bewährte Mechanismen beizubehalten. gesetzen – sind daraufhin zu überprüfen,
„zu im öffentlichen Interesse liegenden Dies gilt insbesondere auch für die Re- ob sie weiterhin mit der EU-DSGVO
Archivzwecken, zu wissenschaftlichen gierung Deutschlands, wo derzeit das vereinbar sind.
und historischen Forschungszwecken europaweit wohl am stärksten ausdiffe- Die vielfältigen Öffnungsregelungen
und zu statistischen Zwecken“ (Art. 89). renzierte Datenschutzrecht besteht. Das belassen den nationalen Gesetzgebern in
Auf zunächst geplante Sonderrege- Resultat, eine auch zukünftige begrenz- den Mitgliedstaaten einen teilweise noch
lungen zur Verarbeitung im öffentlichen te Heterogenität, war auch deshalb nicht sehr weitgehenden Regelungsspielraum.
Sektor generell, was die Bundesregie- zu vermeiden, weil differenziertere Re- Diese Öffnungsregelungen beschränken
rung lange gefordert hatte (Art. 80aa im gelungen den EU-Gesetzgeber zweifel- sich nicht darauf, die allgemeinen Rege-
Entwurf), sowie für Gesundheitszwecke los überfordert hätten. lungen der EU-DSGVO zu präzisieren.
(Art. 80b im Entwurf) wurde verzichtet, Diese Heterogenität wird aber in kei- Nationale Gesetzgeber können durch in-
weil nationale Normierungsbefugnisse ner Weise zementiert. Eine vereinheit- novative Gesetzgebung auch als Vorbild
schon in die materiellen Regelungen lichende Wirkung kann schon dadurch für andere Mitglieder der EU dienen
(Art. 6 Abs. 3, Art. 9 Abs. 2, Art. 10) erreicht werden, dass durch diverse und dadurch den digitalen Grundrechts-
aufgenommen worden sind. Europä- Meldepflichten gegenüber der Kommis- schutz voranbringen. Dies ist etwa im
isch oder national geregelte (berufli- sion ein Überblick über divergierende Bereich des Beschäftigtendatenschutzes
che) Geheimhaltungspflichten können Regelungen verschafft wird. Da viele möglich und wünschenswert. Innova-
DANA • Datenschutz Nachrichten 2/2016
55Sie können auch lesen
