Wer die letz­ten Woche und Mona­te die Mel­dun­gen in den Nach­rich­ten, auf Blogs, in sozia­len Netz­wer­ken und auch per Post ver­folgt, kann es nur mit der Angst bekom­men. Da kommt die EU-Daten­schutz­grund­ver­ord­nung im Mai 2018 auf Unter­neh­men und Behör­den zu und man könn­te mei­nen, die Welt ste­he kurz vor ihrem Unter­gang. Ein­zi­ge Abhil­fe natür­lich, jetzt schnell diver­se Semi­na­re buchen oder diver­se Lite­ra­tur­zu­sam­men­stel­lun­gen kau­fen. Doch ist das wirk­lich so schlimm, was da auf Unter­neh­men und Behör­den zu kommt?

Recht­li­ches zur EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO)

Ja, es stimmt. In der Nacht vom 24.05.2018 auf den 25.05.2018 wird es ein har­tes Umschal­ten zwi­schen unse­ren bis­he­ri­gen natio­na­len Daten­schutz­ge­set­zen und der EU-DSGVO geben. Sind wir bis zu die­sem Ter­min noch an das Bun­des­da­ten­schutz­ge­setz und die Lan­des­da­ten­schutz­ge­set­ze gebun­den, so wer­den die­se zum og. Ter­min durch die EU-DSGVO ver­drängt. Hin­zu kom­men in den EU-Mit­glieds­staa­ten mög­li­che Anpas­sungs­ge­set­ze, in Deutsch­land für Bund und Län­der jeweils sepa­rat. Die­se beru­hen auf den soge­nann­ten Öff­nungs­klau­seln in der EU-DSGVO, zu denen die Mit­glieds­staa­ten eige­ne natio­na­le Regeln ergän­zen kön­nen. Der Spiel­raum ist hier jedoch begrenzt, dem Sinn der EU-DSGVO wird es schwer zu wider­spre­chen sein.

Vor die­sem Hin­ter­grund ist auch der Arbeits­ti­tel “BDSG-neu” für das deut­sche Anpas­sungs­ge­setz nicht ganz kor­rekt. Daher heißt es auch im rich­ti­gen Wort­laut “Daten­schutz­an­pas­sungs- und Umset­zungs­ge­setz (DSAn­pUG)” und wur­de gera­de nach eini­gen Dis­kus­sio­nen ver­ab­schie­det. Einer­seits sind die Daten­schutz­be­auf­trag­ten der Län­der nach wie vor nicht ganz zufrie­den, ande­rer­seits haben die ver­schie­de­nen Lob­by­grup­pen zur Auf­wei­chung des bis­he­ri­gen Daten­schutz-Niveaus eben­falls Federn las­sen müs­sen. Eine EU-wei­te Har­mo­ni­sie­rung eines sol­chen The­mas wird immer ein Kom­pro­miss sein. Die­ser ist im Fal­le der EU-DSGVO erfolgt. Ob es wirk­lich der Mei­lein­stein wur­de, der von zahl­rei­chen Betei­lig­ten aus­ge­ru­fen wird, das wird die Zukunft zeigen.

Von den Anpas­sungs­ge­set­zen in den Bun­des­län­dern ist bis­her wenig bis nichts zu sehen. Belast­ba­re Rechts­kom­men­ta­re — zumin­dest zur EU-DSGVO selbst — erschei­nen in den letz­ten Wochen ver­mehrt. Kom­me­na­ta­re zum DSAn­pUG sind noch abzu­war­ten, bis zum Erschei­nen brauch­ba­rer Kom­men­ta­re zu den Anpas­sungs­ge­set­zen der Bun­des­län­der wird noch mehr Zeit ver­strei­chen. Nicht viel anders sieht es mit brauch­ba­ren Vor­la­gen z.B. zu Ände­run­gen in der Auf­trags­da­ten­ver­ar­bei­tung oder mit Prüf- und Check­lis­ten aus, die eine geziel­te Vor­be­rei­tung und Umset­zung ermöglichen.

Dies merkt auch der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz auf sei­ner Web­sei­te kor­rek­ter­wei­se im Mai 2017 an:

In die­sem Zusam­men­hang ist zu beach­ten, dass die Daten­schutz-Grund­ver­ord­nung gera­de für den öffent­li­chen Bereich eine Viel­zahl von soge­nann­ten “Öff­nungs­klau­seln” vor­sieht, die der Ergän­zung bzw. Aus­fül­lung durch die mit­glied­staat­li­chen Gesetz­ge­ber bedür­fen. Bis die dies­be­züg­li­chen Gesetz­ge­bungs­ver­fah­ren — ins­be­son­de­re auf baye­ri­scher Ebe­ne — abge­schlos­sen sind, kann daher zu bestimm­ten The­men nur eine vor­läu­fi­ge Dar­stel­lung unter dem Vor­be­halt spä­te­rer natio­na­ler Rege­lung erfolgen.

Grund zur Panik?

Die Uhr tickt, das steht fest. Dies ist jedoch kein Grund zur Panik. Die Grund­sät­ze wie Ver­bots­ge­setz mit Erlaub­nis­vor­be­halt (Rechts­vor­schrift, Ver­trag, Ein­wil­li­gung) blei­ben uns erhal­ten. Grund­le­gen­de Ver­fah­rens­wei­sen blei­ben iden­tisch, bekom­men teil­wei­se nur einen ande­ren Namen (Ver­fah­rens­ver­zeich­nis wird zum Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten). Die Rege­lun­gen zur Bestell­pflicht eines (inter­nen oder exter­nen) Daten­schutz­be­auf­trag­ten wur­den in das Anpas­sungs­ge­setz über­nom­men. Für Unter­neh­men ändert sich hier nichts. In eini­gen Bun­des­län­dern wie Bay­ern war bis­her für kom­mu­na­le Ein­rich­tun­gen nur die Bestel­lung eines inter­nen Daten­schutz­be­auf­trag­ten mög­lich, in eini­gen Bun­des­län­dern wur­de die Bestel­lung auf frei­wil­li­ger Basis erwähnt (intern oder extern). Dies wird durch die EU-DSGVO har­mo­ni­siert und ab Mai 2018 müs­sen alle kom­mu­na­le Ein­rich­tun­gen einen Daten­schutz­be­auf­trag­ten bestellt haben und die­se Bestel­lung kann selbst­ver­ständ­lich auch extern erfol­gen (beach­ten Sie hier­zu auch unser Ange­bot “Exter­ner Daten­schutz­be­auf­trag­ter für baye­ri­sche Kommunen”).

 Also alles nur Panikmache?

Nein, selbst­ver­ständ­lich bringt die EU-DSGVO auch Neue­run­gen und Ände­run­gen mit sich. Statt der nur gele­gent­lich durch­zu­füh­ren­den Vor­ab­kon­trol­le wird es nun die soge­nann­te Risi­ko­fol­gen­ab­schät­zung geben. Die­se ist auch öfter durch­zu­füh­ren als bis­her. Die Rech­te der Betrof­fe­nen wer­den erwei­tert. Neben den bekann­ten Rech­ten auf Aus­kunft, Löschung und /​ oder Sper­rung kommt das Recht auf Daten­über­trag­bar­keit hin­zu. Die Ver­ein­ba­run­gen zur Auf­trags­da­ten­ver­ar­bei­tung mit bestehen­den Dienst­leis­tern sind zu aktua­li­sie­ren, sobald hier sinn­vol­le Vor­la­gen vor­lie­gen. Neu hin­zu kom­men Daten­schutz durch Tech­nik­ge­stal­tung und Daten­schutz durch Vor­ein­stel­lung (pri­va­cy by design und pri­va­cy by default). Bei­des kon­se­quen­te Fort­füh­run­gen der bis­he­ri­gen Prin­zi­pi­en Daten­ver­mei­dung und Daten­spar­sam­keit. Wei­ter­hin wur­den die Doku­men­ta­ti­ons­pflich­ten erwei­tert. Mehr Vor­gän­ge und Ent­schei­dun­gen als bis­her sind schrift­lich nach­voll­zieh­bar fest­zu­hal­ten. Hier wer­den unse­re Kun­den bereits durch die Nut­zung unse­rer voll­ver­schlüs­sel­ten Pro­jekt­platt­form bes­tens unter­stützt. Wei­te­re Ände­run­gen und Anpas­sun­gen sind abseh­bar. Doch ein Grund zur Panik ist das nicht.

Inter­es­san­ter­wei­se spielt das The­ma Infor­ma­ti­ons­si­cher­heit (end­lich) eine wich­ti­ge­re Rol­le und fin­det sich inhalt­lich auch in der EU-DSGVO wider. Orga­ni­sa­tio­nen sind gehal­ten, aus­rei­chen­de Maß­nah­men zur Infor­ma­ti­ons­si­cher­heit (nicht IT-Sicher­heit!) ein­zu­füh­ren, um den Schutz per­so­nen­be­zo­ge­ner Daten (und im eige­nen Inter­es­se gene­rell für inter­ne schüt­zens­wer­te Infor­ma­tio­nen) ein­zu­füh­ren und zu betrei­ben. Der Grad der Infor­ma­ti­ons­si­cher­heit wird sich bei Ver­stö­ßen auf die Höhe der Stra­fen aus­wir­ken. Mehr Infos zum The­ma Infor­ma­ti­ons­si­cher­heit fin­den Sie auf unse­rem Blog zur Infor­ma­ti­ons­si­cher­heit. Ger­ne unter­stüt­zen wir Sie neben den Daten­schutz-The­men auch bei Ein­füh­rung und Betrieb eines Informationssicherheitskonzepts.

Für eine kor­rek­te Umset­zung und Anpas­sung emp­fiehlt es sich, belast­ba­re Rechts­kom­men­ta­re und auch Vor­la­gen sowie Stel­lung­nah­men der für Ihre Orga­ni­sa­ti­on jeweils zustän­di­gen Daten­schutz­auf­sicht abzu­war­ten. Wer bis­her nach Bun­des­da­ten­schutz­ge­setz oder Län­der­da­ten­schutz­ge­setz kor­rekt gear­bei­tet hat, muss nicht Schlim­mes befürch­ten. Die­se Rechts­grund­la­gen fal­len zwar weg, inhalt­lich fin­den sich wei­te Tei­le davon in der EU-DSGVO und dem DSAn­pUG wider. Das wird bei den Anpas­sungs­ge­set­zen in den Bun­des­län­dern nicht viel anders sein.

Kon­zer­ne mit inter­na­tio­na­len Ver­flech­tun­gen ste­hen da vor grö­ße­ren Her­aus­for­de­run­gen als natio­nal agie­ren­de Unter­neh­men oder Kom­mu­nal­ein­rich­tun­gen. Jedoch soll­te man sich von der Panik­ma­che nicht anste­cken las­sen. Sofern Grund­la­gen des bis­he­ri­gen Daten­schutz­rechts in Ihrer Orga­ni­sa­ti­on vor­han­den sind und aktu­ell gehal­ten wer­den, wird es zwar Anpas­sungs­auf­wand geben, die­ser wird jedoch über­schau­bar blei­ben. Wer sich bis­her um das gel­ten­de Daten­schutz­recht nicht geküm­mert hat, der wird einen gro­ßen Berg Arbeit vor sich sehen. Für die­se Ein­rich­tun­gen heißt es, früh­zei­tig Gas zu geben — und wenn es zu Beginn noch auf den Vor­la­gen und Mate­ria­li­en zum BDSG oder der Lan­des­da­ten­schutz­ge­set­ze geschieht.

Tipps /​ Hin­wei­se

Die Lan­des­da­ten­schutz­be­hör­de Nie­der­sach­sen hat einen (noch) recht all­ge­mei­nen Leit­fa­den für Unter­neh­men bereit­ge­stellt. Sie fin­den die­sen hier.

Immer einen Abste­cher für Infor­ma­tio­nen wert, sind die fol­gen­den Web­sei­ten /​ Blogs:

  • Die Bei­trags­se­rie “Die EU-DSGVO ist da” von Frau RAin Nina Diercks.
  • Die Web­sei­te mit Tipps und Tricks samt Vor­la­gen des “Daten­schutz-Guru” RA Ste­phan Hansen-Oest.
  • Unser Part­ner­blog “Daten­schutz­be­auf­trag­ter Info” mit aktu­el­len Infor­ma­tio­nen zur EU-DSGVO.

Wir wer­den in den nächs­ten Wochen und Mona­ten eben­falls suk­zes­si­ve nach Erschei­nen belast­ba­rer Vor­la­gen und Kom­men­ta­re wei­te­re Bei­trä­ge zur EU-DSGVO hier veröffentlichen.

Und jetzt … Ruhig Blut!

Die Euro­päi­sche Daten­schutz-Grund­ver­ord­nung (EU DS GVO) wird nach der Ver­öf­fent­li­chung im EU Amts­blatt am 24.05.2016 inkraft­tre­ten. Die Ver­un­si­che­rung bei Unter­neh­men, aber auch Behör­den und kom­mu­na­len Ein­rich­tun­gen ist zur Zeit groß. Was kommt genau an Ände­run­gen auf uns zu? Was muss ich ab wann beach­ten? Und noch viel drin­gen­der: wie set­ze ich das Gan­ze in der Pra­xis um? In die­sem Bei­trag wol­len wir Ihnen den Fahr­plan der EU Daten­schutz-Grund­ver­ord­nung auf­zei­gen. Damit haben Sie einen zeit­li­chen Anhalts­punkt, bis wann die Umset­zung zu erfol­gen hat und wel­ches Recht zu wel­chem Zeit­punkt anzu­wen­den ist.

Datum /​ Zeit­raumSach­ver­haltRechts­an­wen­dung
Dezem­ber 2015Eini­gung im EU Tri­log auf die Inhal­te und grund­le­gen­den For­mu­lie­run­gen der Grund­ver­ord­nung (EU DS GVO)Das Bun­des­da­ten­schutz­ge­setz (BDSG) sowie die Lan­des­da­ten­schutz­ge­set­ze gel­ten wei­ter.
Beginn der Umset­zungs­frist, bedeu­tet: Daten­ver­ar­bei­tun­gen sol­len inner­halb von 2 Jah­ren nach Inkraft­tre­ten (24.05.2016) mit der Ver­ord­nung in Ein­klang gebracht, sprich ange­passt wer­den.
Lau­fen­de und neue Ver­fah­ren müs­sen jedoch den Anfor­de­run­gen und Auf­la­gen der noch gel­ten­den Daten­schutz­ge­set­ze genügen!
April 2016Annah­me durch Euro­pa-Rat und das Euro­päi­sche Parlament
04.05.2016Ver­kün­dung im Euro­päi­schen Amtsblatt
24.05.2016Inkraft­tre­ten der Euro­päi­schen Daten­schutz-Grund­ver­ord­nung (EU DS GVO) und Beginn der Umset­zungs­frist in den Mitgliedsstaaten
25.05.2018Gel­tung der EU DS GVO und Ende der UmsetzungsfristAb jetzt sind Bun­des­da­ten­schutz­ge­setz und Lan­des­da­ten­schutz­ge­set­ze in ihrer bis­he­ri­gen Form nicht mehr anwend­bar. Die EU-Daten­schutz­richt­li­nie 95/​46 ist auf­ge­ho­ben. Natio­na­le Gesetz­ge­ber müs­sen (sofern Sie dies nut­zen woll­ten) die Öff­nungs­klau­seln for­mu­liert und gemel­det haben. Natio­na­les Recht muss ent­spre­chend ange­passt sein. Kon­kur­rie­ren­de Rege­lun­gen sind unzulässig.

In wei­te­ren Bei­trä­gen wer­den wir auf die Neue­run­gen und Ände­run­gen durch die EU DS GVO näher ein­ge­hen. Blei­ben Sie dran 🙂 Am ein­fachs­ten geht das mit unse­rem News­let­ter, damit ver­pas­sen Sie kei­nen Bei­trag unse­res Blogs mehr.

Am 04.05.2016 wur­de die EU Daten­schutz-Grund­ver­ord­nung im EU Amts­blatt ver­öf­fent­licht. 20 Tage nach der Ver­öf­fent­li­chung tritt eine Ver­ord­nung in Kraft, also die EU Daten­schutz-Grund­ver­ord­nung (EU DS GVO) somit zum 25.05.2016. Wei­te­re zwei Jah­re spä­ter wird die EU DS GVO gül­tig, das ist der 25.05.2018.

Nun gilt es, sowohl für nicht-öffent­li­che (Unter­neh­men und Ver­ei­ne) und öffent­li­che (Behör­den) Stel­len, sich auf die­sen Ter­min vor­zu­be­rei­ten. Zuvor ist noch der deut­sche Gesetz­ge­ber gefor­dert, die natio­na­len Öff­nungs­klau­seln in der Ver­ord­nung zu nut­zen und ent­spre­chend aus­zu­ge­stal­ten. Um nicht unglaub­wür­dig zu erschei­nen, muss es Ziel sein, das bis­he­ri­ge Schutz­ni­veau nicht zu unter­lau­fen. Ob das beab­sich­tigt ist und am Ende auch gelingt, darf mit Span­nung erwar­tet werden.

Die offi­zi­el­le Ver­öf­fent­li­chung des mehr­spra­chi­gen (und somit auch deut­schen) Tex­tes fin­den Sie auf den Web­sei­ten der EU.