Neues Bundesdatenschutzgesetz ergänzt EU-Grundverordnung

Frisch gestärkt

Tobias Haar

Ab Mai 2018 gilt EU-weit die Datenschutz-Grundverordnung. Gleichzeitig tritt das jüngst verabschiedete neue Bundesdatenschutzgesetz in Kraft. Zusammen haben sie erhebliche Auswirkungen auf die Zulässigkeit der Verarbeitung personenbezogener Daten.

Zwar tritt die neue europäische Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft, weil sie direkt gilt und nicht erst in nationales Recht umgesetzt werden muss. Da sie aber bei bestimmten Regelungen Gestaltungsspielraum erlaubt, liegen die Details bei den Mitgliedsstaaten.

Deutschland hat sein Bundesdatenschutzgesetz überarbeitet und in verschiedenen Belangen an die DSGVO angepasst sowie einige Vorgaben präzisiert. Die Regelungen sind umfangreich und kompliziert, Hilfestellung geben diverse Veröffentlichungen oder spezialisierte Dienstleister.

Die vielen noch ungeklärten Details sowie der Interpretationsspielraum mancher Regelungen werden nach Inkrafttreten der DSGVO die Gerichte beschäftigen. Unternehmen mit grenzüberschreitenden Geschäften sollten beachten, dass in Detailfragen in anderen EU-Ländern etwas anderes gelten kann.

Im Mai des kommenden Jahres, genauer gesagt ab dem 25. Mai 2018, gilt EU-weit die Datenschutz-Grundverordnung, kurz DSGVO [1]. Sie wurde im Frühjahr 2016 nach über fünfjährigem juristischen Ringen vom EU-Parlament verabschiedet. Um den einzelnen EU-Staaten, aber auch den betroffenen Unternehmen ausreichend Zeit zu geben, sich auf die damit verbundenen Änderungen einzustellen, gibt es diese zweijährige Übergangsfrist zwischen Inkrafttreten und Wirksamkeit.

Als Verordnung gilt die DSGVO in den EU-Staaten unmittelbar – was bis zum Wirksamwerden des Brexit auch für das Vereinigte Königreich gilt. Die Mitgliedsstaaten müssen sie also nicht durch ein nationales Gesetz umsetzen. Dies war noch der Fall bei der EU-Datenschutz-Richtlinie 95/46/EG aus dem Jahr 1995, die ab Ende Mai 2018 nicht mehr gilt und durch die DSGVO abgelöst wird. Die Umsetzung dieser Richtlinie erfolgte in Deutschland durch das Bundesdatenschutzgesetz, kurz BDSG.

Im Zuge der Anpassung des deutschen Rechts an die DSGVO wurde zunächst das BDSG jüngst umfassend novelliert. Im korrekten Juristendeutsch erfolgte dies im Rahmen des „Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“, kurz „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ oder noch kürzer: „DSAnpUG-EU“. Diese „Neufassung des BDSG“ tritt ebenfalls am 25. Mai 2018 in Kraft. Dass sich angesichts des langen Zeitraums von über 20 Jahren seit Inkrafttreten der letzten großen EU-Richtlinie zum Datenschutz vieles im Umgang mit personenbezogenen Daten geändert hat, liegt auf der Hand. Dies gilt umso mehr, wenn man bedenkt, dass das Internet damals quasi noch in seinen Kinderschuhen steckte und nur die wenigsten dessen (damalige) Möglichkeiten nutzen konnten. Google beispielsweise existierte 1995 noch nicht einmal als Unternehmen.

Ein wenig Spielraum für Mitgliedsländer

Das neugefasste BDSG „ergänzt die neue europäische Datenschutz-Grundverordnung, die unmittelbar in Deutschland gilt“, heißt es auf der Webseite der Bundesregierung. Und weiter: „Mit der jetzigen Gesetzesnovelle werden Gestaltungsspielräume genutzt, die die europäische Verordnung den Mitgliedsstaaten einräumt.“ Stolz vermerkt der Text außerdem: „Frühzeitig und als erstes Land in Europa schafft Deutschland damit Rechtsklarheit. Das gibt allen Beteiligten genug Zeit, sich auf die neue Rechtslage vorzubereiten.“ Eile war für Deutschland auch geboten, denn die laufende Legislaturperiode endet im Herbst. Die Reform erst nach der anstehenden Bundestagswahl anzugehen und umzusetzen, wäre zeitlich zu knapp geworden.

Zwar gilt eine EU-Verordnung ab ihrer Wirksamkeit unmittelbar, in der DSGVO hat der europäische Gesetzgeber allerdings einige sogenannte Öffnungsklauseln vorgesehen. Damit sollen die einzelnen EU-Mitgliedsstaaten die Möglichkeit erhalten, bestimmte Bereiche abweichend von der DSGVO oder ergänzend dazu zu regeln. Diese ergänzenden Regelungen dürfen aber wiederum nicht im Widerspruch zur DSGVO (und anderen EU-Vorschriften) stehen. Über die genaue Ausgestaltung wurde lange und intensiv gestritten. Das vom deutschen Gesetzgeber nun erlassene neue BDSG ist das Ergebnis dieses Gesetzgebungsverfahrens.

Allerdings sind einige Kritiker der Ansicht, dass Teile dieser Regelungen nicht mit dem EU-Recht, also insbesondere der DSGVO, in Einklang stehen. Sie erwarten, dass sich alsbald der Europäische Gerichtshof mit der Frage beschäftigen muss, ob Deutschland hier seinen Handlungsspielraum überschritten hat. Die EU-Kommission prüft bereits, ob sie ein Vertragsverletzungsverfahren gegen Deutschland einleitet.

Insgesamt weist die DSGVO über vierzig derartige Öffnungsklauseln auf. Einige müssen, andere können nach dem Willen der EU durch die Mitgliedstaaten genutzt werden. Dabei gilt ein Wiederholungsverbot, was besagt, dass die einzelnen Staaten keine Formulierungen aus „EU-Gesetzen“ verwenden dürfen. Das BDSG darf also nicht einfach nur Regelungen der DSGVO wiederholen. Was wie eine klare Vorgabe klingt, führte dennoch im Gesetzgebungsverfahren zu Kontroversen.

Die GDD-Praxishilfe zum neuen Datenschutz zeigt übersichtlich, wie die zukünftige europäische Datenschutz-Grundverordnung und das überarbeitete Bundesdatenschutzgesetz ineinandergreifen (Abb. 1).

Auf die Adressaten des neuen Datenschutzrechts, also etwa Unternehmen und Behörden, kommt somit die Herausforderung zu, dass sich die wesentlichen Grundlagen des Datenschutzrechts zum einen aus dem EU-Recht, nämlich der DSGVO, und zum anderen aus nationalem Recht, in Deutschland dem BDSG, ergeben. Zur Erleichterung dieser Arbeit hat die Gesellschaft für Datenschutz und Datensicherheit e. V., kurz GDD, eine Praxishilfe herausgegeben (dieser und weitere Links zum Artikel sind über „Alle Links“ im blauen Kästchen zu finden). Sie ordnet den Vorschriften der DSGVO die jeweiligen ergänzenden Regelungen des BDSG in einer gut lesbaren synoptischen Darstellung zu (Abbildung 1).