Keine Panik: Die EU-Datenschutzgrundverordnung kommt

Wer die letz­ten Woche und Mona­te die Mel­dun­gen in den Nach­rich­ten, auf Blogs, in sozia­len Netz­wer­ken und auch per Post ver­folgt, kann es nur mit der Angst bekom­men. Da kommt die EU-Daten­schutz­grund­ver­ord­nung im Mai 2018 auf Unter­neh­men und Behör­den zu und man könn­te mei­nen, die Welt ste­he kurz vor ihrem Unter­gang. Ein­zi­ge Abhil­fe natür­lich, jetzt schnell diver­se Semi­na­re buchen oder diver­se Lite­ra­tur­zu­sam­men­stel­lun­gen kau­fen. Doch ist das wirk­lich so schlimm, was da auf Unter­neh­men und Behör­den zu kommt?

Recht­li­ches zur EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO)

Ja, es stimmt. In der Nacht vom 24.05.2018 auf den 25.05.2018 wird es ein har­tes Umschal­ten zwi­schen unse­ren bis­he­ri­gen natio­na­len Daten­schutz­ge­set­zen und der EU-DSGVO geben. Sind wir bis zu die­sem Ter­min noch an das Bun­des­da­ten­schutz­ge­setz und die Lan­des­da­ten­schutz­ge­set­ze gebun­den, so wer­den die­se zum og. Ter­min durch die EU-DSGVO ver­drängt. Hin­zu kom­men in den EU-Mit­glieds­staa­ten mög­li­che Anpas­sungs­ge­set­ze, in Deutsch­land für Bund und Län­der jeweils sepa­rat. Die­se beru­hen auf den soge­nann­ten Öff­nungs­klau­seln in der EU-DSGVO, zu denen die Mit­glieds­staa­ten eige­ne natio­na­le Regeln ergän­zen kön­nen. Der Spiel­raum ist hier jedoch begrenzt, dem Sinn der EU-DSGVO wird es schwer zu wider­spre­chen sein.

Vor die­sem Hin­ter­grund ist auch der Arbeits­ti­tel “BDSG-neu” für das deut­sche Anpas­sungs­ge­setz nicht ganz kor­rekt. Daher heißt es auch im rich­ti­gen Wort­laut “Daten­schutz­an­pas­sungs- und Umset­zungs­ge­setz (DSAn­pUG)” und wur­de gera­de nach eini­gen Dis­kus­sio­nen ver­ab­schie­det. Einer­seits sind die Daten­schutz­be­auf­trag­ten der Län­der nach wie vor nicht ganz zufrie­den, ande­rer­seits haben die ver­schie­de­nen Lob­by­grup­pen zur Auf­wei­chung des bis­he­ri­gen Daten­schutz-Niveaus eben­falls Federn las­sen müs­sen. Eine EU-wei­te Har­mo­ni­sie­rung eines sol­chen The­mas wird immer ein Kom­pro­miss sein. Die­ser ist im Fal­le der EU-DSGVO erfolgt. Ob es wirk­lich der Meil­ein­stein wur­de, der von zahl­rei­chen Betei­lig­ten aus­ge­ru­fen wird, das wird die Zukunft zeigen.

Von den Anpas­sungs­ge­set­zen in den Bun­des­län­dern ist bis­her wenig bis nichts zu sehen. Belast­ba­re Rechts­kom­men­ta­re — zumin­dest zur EU-DSGVO selbst — erschei­nen in den letz­ten Wochen ver­mehrt. Kom­me­na­ta­re zum DSAn­pUG sind noch abzu­war­ten, bis zum Erschei­nen brauch­ba­rer Kom­men­ta­re zu den Anpas­sungs­ge­set­zen der Bun­des­län­der wird noch mehr Zeit ver­strei­chen. Nicht viel anders sieht es mit brauch­ba­ren Vor­la­gen z.B. zu Ände­run­gen in der Auf­trags­da­ten­ver­ar­bei­tung oder mit Prüf- und Check­lis­ten aus, die eine geziel­te Vor­be­rei­tung und Umset­zung ermöglichen.

Dies merkt auch der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz auf sei­ner Web­sei­te kor­rek­ter­wei­se im Mai 2017 an:

In die­sem Zusam­men­hang ist zu beach­ten, dass die Daten­schutz-Grund­ver­ord­nung gera­de für den öffent­li­chen Bereich eine Viel­zahl von soge­nann­ten “Öff­nungs­klau­seln” vor­sieht, die der Ergän­zung bzw. Aus­fül­lung durch die mit­glied­staat­li­chen Gesetz­ge­ber bedür­fen. Bis die dies­be­züg­li­chen Gesetz­ge­bungs­ver­fah­ren — ins­be­son­de­re auf baye­ri­scher Ebe­ne — abge­schlos­sen sind, kann daher zu bestimm­ten The­men nur eine vor­läu­fi­ge Dar­stel­lung unter dem Vor­be­halt spä­te­rer natio­na­ler Rege­lung erfolgen.

Grund zur Panik?

Die Uhr tickt, das steht fest. Dies ist jedoch kein Grund zur Panik. Die Grund­sät­ze wie Ver­bots­ge­setz mit Erlaub­nis­vor­be­halt (Rechts­vor­schrift, Ver­trag, Ein­wil­li­gung) blei­ben uns erhal­ten. Grund­le­gen­de Ver­fah­rens­wei­sen blei­ben iden­tisch, bekom­men teil­wei­se nur einen ande­ren Namen (Ver­fah­rens­ver­zeich­nis wird zum Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten). Die Rege­lun­gen zur Bestell­pflicht eines (inter­nen oder exter­nen) Daten­schutz­be­auf­trag­ten wur­den in das Anpas­sungs­ge­setz über­nom­men. Für Unter­neh­men ändert sich hier nichts. In eini­gen Bun­des­län­dern wie Bay­ern war bis­her für kom­mu­na­le Ein­rich­tun­gen nur die Bestel­lung eines inter­nen Daten­schutz­be­auf­trag­ten mög­lich, in eini­gen Bun­des­län­dern wur­de die Bestel­lung auf frei­wil­li­ger Basis erwähnt (intern oder extern). Dies wird durch die EU-DSGVO har­mo­ni­siert und ab Mai 2018 müs­sen alle kom­mu­na­le Ein­rich­tun­gen einen Daten­schutz­be­auf­trag­ten bestellt haben und die­se Bestel­lung kann selbst­ver­ständ­lich auch extern erfol­gen (beach­ten Sie hier­zu auch unser Ange­bot “Exter­ner Daten­schutz­be­auf­trag­ter für baye­ri­sche Kommunen”).

 Also alles nur Panikmache?

Nein, selbst­ver­ständ­lich bringt die EU-DSGVO auch Neue­run­gen und Ände­run­gen mit sich. Statt der nur gele­gent­lich durch­zu­füh­ren­den Vor­ab­kon­trol­le wird es nun die soge­nann­te Risi­ko­fol­gen­ab­schät­zung geben. Die­se ist auch öfter durch­zu­füh­ren als bis­her. Die Rech­te der Betrof­fe­nen wer­den erwei­tert. Neben den bekann­ten Rech­ten auf Aus­kunft, Löschung und /​ oder Sper­rung kommt das Recht auf Daten­über­trag­bar­keit hin­zu. Die Ver­ein­ba­run­gen zur Auf­trags­da­ten­ver­ar­bei­tung mit bestehen­den Dienst­leis­tern sind zu aktua­li­sie­ren, sobald hier sinn­vol­le Vor­la­gen vor­lie­gen. Neu hin­zu kom­men Daten­schutz durch Tech­nik­ge­stal­tung und Daten­schutz durch Vor­ein­stel­lung (pri­va­cy by design und pri­va­cy by default). Bei­des kon­se­quen­te Fort­füh­run­gen der bis­he­ri­gen Prin­zi­pi­en Daten­ver­mei­dung und Daten­spar­sam­keit. Wei­ter­hin wur­den die Doku­men­ta­ti­ons­pflich­ten erwei­tert. Mehr Vor­gän­ge und Ent­schei­dun­gen als bis­her sind schrift­lich nach­voll­zieh­bar fest­zu­hal­ten. Hier wer­den unse­re Kun­den bereits durch die Nut­zung unse­rer voll­ver­schlüs­sel­ten Pro­jekt­platt­form bes­tens unter­stützt. Wei­te­re Ände­run­gen und Anpas­sun­gen sind abseh­bar. Doch ein Grund zur Panik ist das nicht.

Inter­es­san­ter­wei­se spielt das The­ma Infor­ma­ti­ons­si­cher­heit (end­lich) eine wich­ti­ge­re Rol­le und fin­det sich inhalt­lich auch in der EU-DSGVO wider. Orga­ni­sa­tio­nen sind gehal­ten, aus­rei­chen­de Maß­nah­men zur Infor­ma­ti­ons­si­cher­heit (nicht IT-Sicher­heit!) ein­zu­füh­ren, um den Schutz per­so­nen­be­zo­ge­ner Daten (und im eige­nen Inter­es­se gene­rell für inter­ne schüt­zens­wer­te Infor­ma­tio­nen) ein­zu­füh­ren und zu betrei­ben. Der Grad der Infor­ma­ti­ons­si­cher­heit wird sich bei Ver­stö­ßen auf die Höhe der Stra­fen aus­wir­ken. Mehr Infos zum The­ma Infor­ma­ti­ons­si­cher­heit fin­den Sie auf unse­rem Blog zur Infor­ma­ti­ons­si­cher­heit. Ger­ne unter­stüt­zen wir Sie neben den Daten­schutz-The­men auch bei Ein­füh­rung und Betrieb eines Informationssicherheitskonzepts.

Für eine kor­rek­te Umset­zung und Anpas­sung emp­fiehlt es sich, belast­ba­re Rechts­kom­men­ta­re und auch Vor­la­gen sowie Stel­lung­nah­men der für Ihre Orga­ni­sa­ti­on jeweils zustän­di­gen Daten­schutz­auf­sicht abzu­war­ten. Wer bis­her nach Bun­des­da­ten­schutz­ge­setz oder Län­der­da­ten­schutz­ge­setz kor­rekt gear­bei­tet hat, muss nicht Schlim­mes befürch­ten. Die­se Rechts­grund­la­gen fal­len zwar weg, inhalt­lich fin­den sich wei­te Tei­le davon in der EU-DSGVO und dem DSAn­pUG wider. Das wird bei den Anpas­sungs­ge­set­zen in den Bun­des­län­dern nicht viel anders sein.

Kon­zer­ne mit inter­na­tio­na­len Ver­flech­tun­gen ste­hen da vor grö­ße­ren Her­aus­for­de­run­gen als natio­nal agie­ren­de Unter­neh­men oder Kom­mu­nal­ein­rich­tun­gen. Jedoch soll­te man sich von der Panik­ma­che nicht anste­cken las­sen. Sofern Grund­la­gen des bis­he­ri­gen Daten­schutz­rechts in Ihrer Orga­ni­sa­ti­on vor­han­den sind und aktu­ell gehal­ten wer­den, wird es zwar Anpas­sungs­auf­wand geben, die­ser wird jedoch über­schau­bar blei­ben. Wer sich bis­her um das gel­ten­de Daten­schutz­recht nicht geküm­mert hat, der wird einen gro­ßen Berg Arbeit vor sich sehen. Für die­se Ein­rich­tun­gen heißt es, früh­zei­tig Gas zu geben — und wenn es zu Beginn noch auf den Vor­la­gen und Mate­ria­li­en zum BDSG oder der Lan­des­da­ten­schutz­ge­set­ze geschieht.

Tipps /​ Hin­wei­se

Die Lan­des­da­ten­schutz­be­hör­de Nie­der­sach­sen hat einen (noch) recht all­ge­mei­nen Leit­fa­den für Unter­neh­men bereit­ge­stellt. Sie fin­den die­sen hier.

Immer einen Abste­cher für Infor­ma­tio­nen wert, sind die fol­gen­den Web­sei­ten /​ Blogs:

• Die Bei­trags­se­rie “Die EU-DSGVO ist da” von Frau RAin Nina Diercks.
• Die Web­sei­te mit Tipps und Tricks samt Vor­la­gen des “Daten­schutz-Guru” RA Ste­phan Hansen-Oest.
• Unser Part­ner­blog “Daten­schutz­be­auf­trag­ter Info” mit aktu­el­len Infor­ma­tio­nen zur EU-DSGVO.

Wir wer­den in den nächs­ten Wochen und Mona­ten eben­falls suk­zes­si­ve nach Erschei­nen belast­ba­rer Vor­la­gen und Kom­men­ta­re wei­te­re Bei­trä­ge zur EU-DSGVO hier veröffentlichen.

Und jetzt … Ruhig Blut!