Datenschutz-Schlamassel oder: Wie eine EU-Verordnung national umgesetzt werden soll…

Einheitlicher Datenschutz für alle in der EU – das verspricht die DSGVO (Datenschutzgrundverordnung). Dass dieses Versprechen nicht eingehalten werden kann, zeigen die Öffnungsklauseln, die es den jeweiligen Ländern ermöglichen und sie teilweise verpflichten, eigene Datenschutzregelungen zu treffen. In Deutschland soll das im Datenschutz-Anpassungs- und –Umsetzungsgesetzes EU (DSAnpUG-EU) geschehen. Was heißt das für Unternehmen, wenn eine EU-Verordnung und nationale Gesetze aufeinander treffen?

Nationale Regelungen: Warum?

Ein deutsches Gesetz zum Datenschutz? Warum eigentlich? Gute Frage! Denn sollte nicht die Datenschutzgrundverordnung den Datenschutz in ganz Europa einheitlich regeln? Ja, eigentlich schon. Das große Aber dabei: Die DSGVO enthält fast 70 sogenannte Öffnungsklauseln, die Spielraum für nationale Regelungen der EU-Mitgliedstaaten geben. Manche davon müssen, andere können geregelt werden. So oder so gilt: Die nationalen Gesetzgeber haben nur noch bis zum 25. Mai 2018  –  ab diesem Zeitpunkt gilt die DSGVO – Zeit, ihr Datenschutzrecht anzupassen. Regelungen, die der DSGVO widersprechen, müssen aufgehoben werden. Viel Arbeit also – und weniger als ein Jahr Zeit. Immerhin ist Deutschland das erste Land, das die Grundvoraussetzungen geschaffen hat: Der Bundesrat stimmte dem Anpassungsgesetz bereits zu.

DSGVO + DSAnpUG-EU = Klarheit oder Chaos?  

Eines ist klar: Der Datenschutz-Flickenteppich, der bislang in der EU herrscht, wird nicht beseitigt. Denn eine einheitliche Regelung für alle wird es nicht geben. An einigen Stellen ergänzt das Anpassungsgesetz die DSGVO:

Ein deutsches „Muss“: Der Datenschutzbeauftragte

Arbeitnehmerdatenschutz

Videoüberwachung

Gemäß § 4, Absatz 2 müssen der Umstand der Beobachtung und die Kontaktdaten des Verantwortlichen frühestmöglich erkennbar sein. Nach Absatz 3 dürfen die gewonnenen Daten gespeichert oder verwendet werden, wenn sie zum Erreichen des verfolgten Zweckes erforderlich sind und schutzwürdige Interessen des Betroffenen nicht überwiegen. Wenn die Daten einer bestimmten Person zugeordnet werden, muss diese über die Verarbeitung informiert werden. Da diese Formulierungen sehr unkonkret sind, wird hier wohl in Zukunft jeder Fall einzeln überprüft werden müssen.

„Aufweichung“ einiger Pflichten aus der DSGVO

Einige Pflichten, die Unternehmen laut DSGVO gegenüber Betroffenen haben, werden durch das deutsche Anpassungsgesetz entschärft.

Informationspflicht

Gemäß DSGVO gilt: Wenn Daten direkt beim Betroffenen erhoben werden, müssen diesem bestimmte Informationen mitgeteilt werden. Einzige Ausnahme: Wenn er diese Informationen bereits hat. Im Anpassungsgesetz (§ 32) sind weitere Fälle aufgeführt, in denen diese Informationspflicht entfällt. Nämlich, wenn die Erteilung der Information

Werden Daten nicht beim Betroffenen direkt erhoben, enthält das Anpassungsgesetz weitere Gründe, in denen eine Information entfallen kann:

Auskunftspflicht

Gemäß DSGVO müssen Unternehmen den Betroffenen der Datenverarbeitung Auskunft über die gespeicherten Daten geben. § 33 des Anpassungsgesetzes schränkt diese Pflicht ein, wenn

Wenn die Auskunft verweigert wird, müssen Unternehmen die Gründe dafür dokumentieren und sie der betroffenen Person mitteilen.

Löschungspflicht

In der DSGVO steht, dass der Betroffene ein Recht darauf hat, dass seine Daten gelöscht werden. Auch dieses Recht wird im Datenschutz-Anpassungsgesetz (§ 35) eingeschränkt. Unternehmen müssen die Daten demnach nicht löschen, wenn wegen der besonderen Art der Speicherung diese nicht oder nur mit unverhältnismäßigem Aufwand möglich ist. Ist das der Fall, tritt anstelle der Löschungspflicht die Einschränkung der Verarbeitung (geregelt in Artikel 18 DSGVO).

Flickenteppich in neuem Design  

Wer bei näherer Betrachtung der neuen, alten und neu-alten Regelungen zu dem Schluss kommt, dass sich der Datenschutz-Flickenteppich nur neu zusammensetzt, könnte Recht haben… Es hilft aber nichts: Alle, die Daten verarbeiten, sollten sich dringend mit DSGVO & Co. beschäftigen. Denn ab dem 25. Mai 2018 gelten keine Ausreden mehr, bei Verstößen drohen hohe Bußgelder.

Wenn Sie sich bei DSGVO, DSAnpUG-EU und anderen Begriffen die Haare raufen: Vielleicht können unsere Berufshaftpflichtversicherungen über exali.de Sie beruhigen. Denn die bieten Ihnen optimalen Schutz, wenn Sie sich im Datenschutz-Flickenteppich verfangen.

Begriffskunde

  • DSGVO (Datenschutzgrundverordnung): Verordnung zum Datenschutz, die für alle EU-Mitgliedstaaten gilt und ab 25. Mai 2018 angewendet wird.
  • DSAnpUG-EU (Datenschutz-Anpassungs- und –Umsetzungsgesetzes EU): Gesetz, mit dem Deutschland sein Datenschutzrecht bis zum 25. Mai 2018 an das Datenschutzrecht der EU (DSGVO) anpassen muss.
  • BDSG (Bundesdatenschutzgesetz): Bisher geltendes Gesetz zum Datenschutz in Deutschland, das durch das DSAnpUG-EU abgelöst wird.

 

Weitere interessante Artikel:

© Ines Rietzler – exali AG