DatenAbend der Stiftung Datenschutz in Berlin mit dem Thema

Die EU-Datenschutzgrundverordnung – Bleibt alles anders?

Zum Verständnishintergrund und Kontext: Das Datenschutzrecht in der EU basiert auf einer Richtlinie von 1995. Einerseits haben sich seit der Zeit zahlreiche technologische Veränderungen ergeben, die auch Auswirkungen auf den Datenschutz haben, insbesondere zahlreiche Internetangebot, Cloud-Computing und die Digitalisierung zahlreicher Lebens- und Arbeitsbereiche. Andererseits ist die Richtlinie in den verschiedenen Staaten unterschiedlich in nationales Recht umgesetzt worden. Nachdem die Grundrechtscharta der EU mit einem Grundrecht auf Datenschutz, Art. 8, verabschiede wurde und zudem in den Verträgen über die Arbeitsweise der EU dem EU-Parlament und Rat eine Gesetzgebungskompetenz für das Thema Datenschutz verliehen wurde, Art. 16, hat sich die Kommission 2010 an die Arbeit gemacht, das Datenschutzrecht zu modernisieren. Sie hat ihren Entwurf einer Datenschutzgrundverordnung 2012 vorgestellt. Verordnung statt Richtlinie deshalb weil eine Verordnung unmittelbar geltendes Recht in den EU-Mitgliedsstaaten ist und nicht wie eine Richtlinie unterschiedlich in den Nationalstaaten umgesetzt werden kann. So zumindest die schöne Theorie.

Inzwischen ist die Diskussion zur Datenschutzgrundverordnung zwischen dem Rat, der Kommission und dem Parlament der EU, Trilog genannt, in der Schlussphase – Ziel ist es die Verordnung bis Jahresende zu verabschieden, damit diese Anfang 2016 im Amtsblatt der EU veröffentlicht werden kann und 2 Jahre, 2018, später in Kraft tritt.

Synopse der DS-GVO (die drei Entwürfe von Kommission, Parlament und Rat in einer Gegenüberstellung der bay. Datenschutzaufsicht)

Die mit Mitteln des Bundes zur Förderung des Datenschutzrechts gegründete Stiftung Datenschutz hat eine Veranstaltung zur Vorstellung des Diskussionsstandes zur Verordnung organsiert. Diese fand am 5.11.2015 in Berlin statt. KA Rechtsanwälte war dort durch Rechtsanwalt David Seiler vertreten.

Die Vertreterin der EU-Kommission, Frau Kotthaus, stellt kurz die Entstehung der Verordnung und 8 wesentlichen Ziele der Kommission dar.

  1. Verordnung statt Richtlinie, um eine größeren Einheitlichkeit im Inneren und auch für internationale Verhandlungen und den globalisierten Handel zu haben.
  2. One Stop Shop – man muss sich nur an ein Recht halten, statt an 28 doch im Detail in den Mitgliedsstaaten unterschiedliche Regelungen
  3. Die Sanktionen bei Verstößen werden deutlich verschärft und spürbarer.
  4. Die Bürgerrecht, z.B. auf Vergessen-Werden, Mitnahme der Daten bei Wechsel von Internetanbietern etc. wurden gestärkt
  5. Das Marktortprinzip (EuGH-Urteil zu Google-Spanien) wurde festgelegt – das bedeutet, dass sich auch Unternehmen aus nicht EU-Staaten, die ihre Angebote an den EU-Markt richten, sich an EU-Datenschutzrecht halten müssen – fragt sich nur, wie das durchgesetzt wird.
  6. KMU – die Belastungen aus dem Datenschutzrecht für kleine und mittlere Unternehmen sollen geringer werden.
  7. Technologieoffen – Zweckbindung vs. Weiterverwendung für Forschung und Entwicklung
  8. Neben der Verordnung, die den Datenschutz im zivilen Bereich regelt, soll es eine Richtlinie für den Bereich des öffentlichen Rechts, insbesondere des Strafrechts zum Thema Datenschutz geben.

Aus der anschließenden Diskussion mit fünf Podiumsteilnehmern seinen hier nur einige mir wichtig erscheinende Punkte wiedergegeben:

Prof. Forgó, Leiter des Instituts für Rechtsinformatik in Hannover, befürchtet, dass nur die unstrittigen Eckpunkte in der Verordnung stehen werden, strittige Themen aber im Wege des Kompromisses in der Schlussphase der Verhandlungen doch wieder den Nationalstaaten zur individuellen Entscheidung zugewiesen werden, so dass doch nicht die gewünschte Einheitlichkeit und Rechtssicherheit geschaffen wird.

Weiter wirft er die in der Verordnung nicht beantwortet Grundsatzfrage auf, ob es bei dem strengen Grundsatz der engen Zweckbindung von Daten bleiben soll, oder das informationelle Selbstbestimmungsrecht, auf das sich der Zweckbindungsgrundsatz stützt, nicht doch gegen andere zumindest gleichrangige Rechtsgüter wie z.B. die Forschungsfreiheit oder auch die nationale Sicherheit oder andere Interessen von hohem Wert abwägen lassen muss. Als Beispiel führt er Gesundheitsdaten an, die teils noch undigitalisiert in Krankenhäusern und Kliniken schlummern und deren Auswertung zur medizinischen Forschung, auch mit Big Data Tools, einen Erkenntnis gewinn für alle bringen kann. Im besten Fall kann das sogar für einzelnen Patienten, wenn denn die Daten noch rückverfolgbar sind, lebensrettend sein.

Dr. Ole Schröder, Staatssekretär im Bundesinnenministerium, hält die Forderung nach Datensparsamkeit für unrealistisch und fordert, dass Big Data Projekte auch in der EU möglich sein sollen. Auch er befürchtet, dass die Verordnung zahlreiche Detailfragen in Rechtsakte delegiert, die von den Nationalstaaten zu erlassen sind, mit der Folge der Rechtsunsicherheit.

Dr. Schröder stellt zum Inkrafttreten der Verordnung das bis dahin größte Rechtsbereinigungsgesetz in Aussicht. Zahlreiche bereichsspezifische Datenschutzgesetz und Regelungen sollen ausgehoben werden.

 

Fazit: Keiner hält die Verordnung für den großen Wurf, der alle Probleme lösen wird. Einige meinen, dass er sich zu sehr an die jahrzehnte alten deutschen Datenschutzgrundsätze anlehnt – schließlich haben ja auch einige deutsche Juristen daran mitgearbeitet. Er versäumt so die Möglichkeit, alte Probleme zu lösen und die neuen Probleme adäquat anzugehen. Andererseits erwartet gerade weil die Verordnung in einigen wesentlichen Punkte doch so nahe an den bekannten und vertrauten Grundsätzen des Datenschutzrechts geblieben ist, auch keiner grundlegende negative Konsequenzen.

Spätestens nach Verabschiedung der endgültigen Fassung sollten auch Unternehmen, die personenbezogene Daten verarbeiten, sich mit der Verordnung und den möglichen Auswirkungen auf ihre Prozesse und Produkte befassen, um genügend Vorlaufzeit für eventuell erforderliche Änderungen zu haben.

 

Bei Fragen zum Datenschutzrecht berät Sie Rechtsanwalt David Seiler.