Wer die letzten Woche und Monate die Meldungen in den Nachrichten, auf Blogs, in sozialen Netzwerken und auch per Post verfolgt, kann es nur mit der Angst bekommen. Da kommt die EU-Datenschutzgrundverordnung im Mai 2018 auf Unternehmen und Behörden zu und man könnte meinen, die Welt stehe kurz vor ihrem Untergang. Einzige Abhilfe natürlich, jetzt schnell diverse Seminare buchen oder diverse Literaturzusammenstellungen kaufen. Doch ist das wirklich so schlimm, was da auf Unternehmen und Behörden zu kommt?
Rechtliches zur EU-Datenschutzgrundverordnung (EU-DSGVO)
Ja, es stimmt. In der Nacht vom 24.05.2018 auf den 25.05.2018 wird es ein hartes Umschalten zwischen unseren bisherigen nationalen Datenschutzgesetzen und der EU-DSGVO geben. Sind wir bis zu diesem Termin noch an das Bundesdatenschutzgesetz und die Landesdatenschutzgesetze gebunden, so werden diese zum og. Termin durch die EU-DSGVO verdrängt. Hinzu kommen in den EU-Mitgliedsstaaten mögliche Anpassungsgesetze, in Deutschland für Bund und Länder jeweils separat. Diese beruhen auf den sogenannten Öffnungsklauseln in der EU-DSGVO, zu denen die Mitgliedsstaaten eigene nationale Regeln ergänzen können. Der Spielraum ist hier jedoch begrenzt, dem Sinn der EU-DSGVO wird es schwer zu widersprechen sein.
Vor diesem Hintergrund ist auch der Arbeitstitel “BDSG-neu” für das deutsche Anpassungsgesetz nicht ganz korrekt. Daher heißt es auch im richtigen Wortlaut “Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG)” und wurde gerade nach einigen Diskussionen verabschiedet. Einerseits sind die Datenschutzbeauftragten der Länder nach wie vor nicht ganz zufrieden, andererseits haben die verschiedenen Lobbygruppen zur Aufweichung des bisherigen Datenschutz-Niveaus ebenfalls Federn lassen müssen. Eine EU-weite Harmonisierung eines solchen Themas wird immer ein Kompromiss sein. Dieser ist im Falle der EU-DSGVO erfolgt. Ob es wirklich der Meileinstein wurde, der von zahlreichen Beteiligten ausgerufen wird, das wird die Zukunft zeigen.
Von den Anpassungsgesetzen in den Bundesländern ist bisher wenig bis nichts zu sehen. Belastbare Rechtskommentare — zumindest zur EU-DSGVO selbst — erscheinen in den letzten Wochen vermehrt. Kommenatare zum DSAnpUG sind noch abzuwarten, bis zum Erscheinen brauchbarer Kommentare zu den Anpassungsgesetzen der Bundesländer wird noch mehr Zeit verstreichen. Nicht viel anders sieht es mit brauchbaren Vorlagen z.B. zu Änderungen in der Auftragsdatenverarbeitung oder mit Prüf- und Checklisten aus, die eine gezielte Vorbereitung und Umsetzung ermöglichen.
Dies merkt auch der Bayerische Landesbeauftragte für den Datenschutz auf seiner Webseite korrekterweise im Mai 2017 an:
In diesem Zusammenhang ist zu beachten, dass die Datenschutz-Grundverordnung gerade für den öffentlichen Bereich eine Vielzahl von sogenannten “Öffnungsklauseln” vorsieht, die der Ergänzung bzw. Ausfüllung durch die mitgliedstaatlichen Gesetzgeber bedürfen. Bis die diesbezüglichen Gesetzgebungsverfahren — insbesondere auf bayerischer Ebene — abgeschlossen sind, kann daher zu bestimmten Themen nur eine vorläufige Darstellung unter dem Vorbehalt späterer nationaler Regelung erfolgen.
Grund zur Panik?
Die Uhr tickt, das steht fest. Dies ist jedoch kein Grund zur Panik. Die Grundsätze wie Verbotsgesetz mit Erlaubnisvorbehalt (Rechtsvorschrift, Vertrag, Einwilligung) bleiben uns erhalten. Grundlegende Verfahrensweisen bleiben identisch, bekommen teilweise nur einen anderen Namen (Verfahrensverzeichnis wird zum Verzeichnis der Verarbeitungstätigkeiten). Die Regelungen zur Bestellpflicht eines (internen oder externen) Datenschutzbeauftragten wurden in das Anpassungsgesetz übernommen. Für Unternehmen ändert sich hier nichts. In einigen Bundesländern wie Bayern war bisher für kommunale Einrichtungen nur die Bestellung eines internen Datenschutzbeauftragten möglich, in einigen Bundesländern wurde die Bestellung auf freiwilliger Basis erwähnt (intern oder extern). Dies wird durch die EU-DSGVO harmonisiert und ab Mai 2018 müssen alle kommunale Einrichtungen einen Datenschutzbeauftragten bestellt haben und diese Bestellung kann selbstverständlich auch extern erfolgen (beachten Sie hierzu auch unser Angebot “Externer Datenschutzbeauftragter für bayerische Kommunen”).
Also alles nur Panikmache?
Nein, selbstverständlich bringt die EU-DSGVO auch Neuerungen und Änderungen mit sich. Statt der nur gelegentlich durchzuführenden Vorabkontrolle wird es nun die sogenannte Risikofolgenabschätzung geben. Diese ist auch öfter durchzuführen als bisher. Die Rechte der Betroffenen werden erweitert. Neben den bekannten Rechten auf Auskunft, Löschung und / oder Sperrung kommt das Recht auf Datenübertragbarkeit hinzu. Die Vereinbarungen zur Auftragsdatenverarbeitung mit bestehenden Dienstleistern sind zu aktualisieren, sobald hier sinnvolle Vorlagen vorliegen. Neu hinzu kommen Datenschutz durch Technikgestaltung und Datenschutz durch Voreinstellung (privacy by design und privacy by default). Beides konsequente Fortführungen der bisherigen Prinzipien Datenvermeidung und Datensparsamkeit. Weiterhin wurden die Dokumentationspflichten erweitert. Mehr Vorgänge und Entscheidungen als bisher sind schriftlich nachvollziehbar festzuhalten. Hier werden unsere Kunden bereits durch die Nutzung unserer vollverschlüsselten Projektplattform bestens unterstützt. Weitere Änderungen und Anpassungen sind absehbar. Doch ein Grund zur Panik ist das nicht.
Interessanterweise spielt das Thema Informationssicherheit (endlich) eine wichtigere Rolle und findet sich inhaltlich auch in der EU-DSGVO wider. Organisationen sind gehalten, ausreichende Maßnahmen zur Informationssicherheit (nicht IT-Sicherheit!) einzuführen, um den Schutz personenbezogener Daten (und im eigenen Interesse generell für interne schützenswerte Informationen) einzuführen und zu betreiben. Der Grad der Informationssicherheit wird sich bei Verstößen auf die Höhe der Strafen auswirken. Mehr Infos zum Thema Informationssicherheit finden Sie auf unserem Blog zur Informationssicherheit. Gerne unterstützen wir Sie neben den Datenschutz-Themen auch bei Einführung und Betrieb eines Informationssicherheitskonzepts.
Für eine korrekte Umsetzung und Anpassung empfiehlt es sich, belastbare Rechtskommentare und auch Vorlagen sowie Stellungnahmen der für Ihre Organisation jeweils zuständigen Datenschutzaufsicht abzuwarten. Wer bisher nach Bundesdatenschutzgesetz oder Länderdatenschutzgesetz korrekt gearbeitet hat, muss nicht Schlimmes befürchten. Diese Rechtsgrundlagen fallen zwar weg, inhaltlich finden sich weite Teile davon in der EU-DSGVO und dem DSAnpUG wider. Das wird bei den Anpassungsgesetzen in den Bundesländern nicht viel anders sein.
Konzerne mit internationalen Verflechtungen stehen da vor größeren Herausforderungen als national agierende Unternehmen oder Kommunaleinrichtungen. Jedoch sollte man sich von der Panikmache nicht anstecken lassen. Sofern Grundlagen des bisherigen Datenschutzrechts in Ihrer Organisation vorhanden sind und aktuell gehalten werden, wird es zwar Anpassungsaufwand geben, dieser wird jedoch überschaubar bleiben. Wer sich bisher um das geltende Datenschutzrecht nicht gekümmert hat, der wird einen großen Berg Arbeit vor sich sehen. Für diese Einrichtungen heißt es, frühzeitig Gas zu geben — und wenn es zu Beginn noch auf den Vorlagen und Materialien zum BDSG oder der Landesdatenschutzgesetze geschieht.
Tipps / Hinweise
Die Landesdatenschutzbehörde Niedersachsen hat einen (noch) recht allgemeinen Leitfaden für Unternehmen bereitgestellt. Sie finden diesen hier.
Immer einen Abstecher für Informationen wert, sind die folgenden Webseiten / Blogs:
- Die Beitragsserie “Die EU-DSGVO ist da” von Frau RAin Nina Diercks.
- Die Webseite mit Tipps und Tricks samt Vorlagen des “Datenschutz-Guru” RA Stephan Hansen-Oest.
- Unser Partnerblog “Datenschutzbeauftragter Info” mit aktuellen Informationen zur EU-DSGVO.
Wir werden in den nächsten Wochen und Monaten ebenfalls sukzessive nach Erscheinen belastbarer Vorlagen und Kommentare weitere Beiträge zur EU-DSGVO hier veröffentlichen.
Und jetzt … Ruhig Blut!
4 Responses
@RAinDiercks https://t.co/RpUWKFnnLM aus 06/2017 Kein Grund zur Panik. Mit Verweisen u.a. zu der verehrten… https://t.co/zyOcY9heF6
Vielen Dank für die sachlichen und unaufgeregten Ausführungen.
[…] Das ist übrigens nicht nur meine, sondern auch Meinung vieler anderer (siehe z.B. hier, hier oder hier). […]
Keine Panik: Die EU-Datenschutzgrundverordnung kommt https://t.co/RpUWKFnnLM https://t.co/rGAQiq5YN0