Themenreihe DSGVO: Abschlussbeitrag

28. Juli 2017

Der heutige Beitrag stellt den Abschluss der Themenreihe zur DSGVO dar.

Die DSGVO als Hybrid zwischen Richtlinie und Verordnung stellt sich der Herausforderung, ein harmonisiertes und effektives europäisches Datenschutzniveau auf den Weg zu bringen und den digitalen Rahmenbedingungen des 21. Jahrhunderts gerecht zu werden.

Wie in den letzten Wochen vorgestellt bringt die DSGVO einige Neuerungen und Änderungen mit sich, die den nationalen Gesetzgeber vor einen Anpassungsprozess stellen. Beispielsweise wird den Rechten der Betroffenen eine größere Wichtigkeit gegenüber den vorher geltenden Richtlinien eingeräumt.

In Deutschland musste das Bundesdatenschutzgesetz (BDSG) an die DSGVO angepasst werden. Es kam zu einer Novellierung des BDSG, welche aufgrund des Zeitdrucks, wegen der anstehenden Bundestagswahl, schnell durchgeführt werden musste. Kürzlich wurde das umgangssprachlich BDSG-neu genannte Gesetz verabschiedet. Wir berichteten bereits ausführlich über den Gesetzgebungsprozess und die Kritik, die auf die Verabschiedung folgte. Das BDSG ist aber nicht das einzige Gesetz das angepasst werden muss, es wird noch mit Anpassungen von beispielsweise dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) gerechnet. Bis in der europäischen Datenschutzrechtlandschaft Ruhe einkehrt wird es noch einige Jahre dauern, zumal auch Rechtsprechung das neue Datenschutzrecht prägen wird.

Die DSGVO enthält einige Öffnungsklauseln, die der nationale Gesetzgeber ausfüllen kann und unter Umständen muss. Öffnungsklauseln eröffnen den nationalen Gesetzgebern zwar einen Handlungsspielraum allerdings ist der Gesetzgeber nicht komplett frei. Grundlage für die Öffnungsklauseln ist, dass das EU-Recht nach der Rechtsprechung des EuGH Vorrang vor den jeweiligen nationalen Gesetzen hat. Das bedeutet, dass die nationalen Gesetze so angepasst werden müssen, dass sie der DSGVO nicht widersprechen. Ein Widerspruch würde gegen die Verpflichtung aus dem europäischen Primärrecht zur loyalen Zusammenarbeit des Art. 4 Abs. 2 des Vertrags über die Europäische Union (EUV) verstoßen. Allen voran ist Art. 88 DSGVO zu nennen, der dem nationalen Gesetzgeber die Möglichkeit eröffnet die Datenverarbeitung im Beschäftigungskontext zu regeln. Der Beschäftigtendatenschutz kann, mangels Gesetzgebungskompetenz, nicht von der EU geregelt werden.

Ziel der DSGVO war unter anderem eine Vollharmonisierung des Datenschutzrechts in Europa, ob dieses Ziel wirklich erreicht werden kann, ist zweifelhaft. Durch die oben angesprochenen Öffnungsklauseln haben die nationalen Gesetzgeber einen großen Entscheidungsspielraum, der einer Harmonisierung zu wider läuft und wieder zu einer, zumindest teilweisen, Zerstreuung des datenschutzrechtlichen Niveaus führen wird. Demnach wird wohl eine der gewünschten Errungenschaften der DSGVO nicht erfüllt werden können.

Neben der DSGVO wird am 25.Mai 2028 auch die neue ePrivacy-Verordnung, die momentan noch nicht verabschiedet ist, in Kraft treten. Zurzeit liegt bereits ein Entwurf der neuen Verordnung vor. Zweck der ePrivacy-Verordnung ist die Anpassung der elektronischen Kommunikation an das Schutzniveau der DSGVO. Damit einhergehen soll dass das Vertrauen der Bürger in den digitalen Binnenmarkt gestärkt wird. Die ePrivacy-Verordnung flankiert die DSGVO und ersetzt die bis dahin geltende E-Privacy-Richtlinie und die Cookie-Richtlinie. Sobald es Neuigkeiten im Gesetzgebungsprozess der ePrivacy-Verordnung gibt, werden wir selbstverständlich darüber berichten.

Die DSGVO wird am 25. Mai 2018 in Kraft treten. Der deutsche Gesetzgeber hat seine Aufgabe mit der Novellierung des BDSG getan, jetzt müssen noch die Unternehmen in Deutschland ihre Hausaufgaben bis zum Stichtag erledigen.

Wie sich die DSGVO und die Rechtsprechung zu der Verordnung entwickeln wird und ob dem Tempo der Digitalisierung und Weiterentwicklung tatsächlich standgehalten werden kann bleibt allerdings noch abzuwarten.