Nachdem das EU-Reformpaket zum Datenschutz die letzten H\u00fcrden genommen hat, m\u00fcsste man eigentlich erleichtert aufatmen. Die Datenschutz-Grundverordnung hat den Trilog von Rat, Kommission und Parlament \u00fcberraschend gut \u00fcberstanden. Auch die \u00fcberzeugenden Voten im Europ\u00e4ischen Parlament und im Rat waren ein deutliches Signal f\u00fcr die Handlungsf\u00e4higkeit Europas beim Datenschutz – eine Handlungsf\u00e4higkeit, die man derzeit in anderen Bereichen, etwa der Fl\u00fcchtlings- und Finanzpolitik, schmerzlich vermisst.<\/p>\n
Wesentliche Elemente der von der Kommission angesto\u00dfenen Reform, die w\u00e4hrend des mehr als vierj\u00e4hrigen Verhandlungsmarathons immer wieder in Frage gestellt worden waren, blieben erhalten oder wurden sogar gegen\u00fcber dem Entwurfstext st\u00e4rker akzentuiert. Dies gilt etwa f\u00fcr die Ausdehnung des Anwendungsbereichs auf Anbieter elektronischer Dienste mit Sitz in einem Drittland (\u201eMarktortprinzip\u201c, Art. 3 Abs. 3 DS-GVO) oder die sehr deutliche Versch\u00e4rfung der Sanktionen bei Datenschutzverst\u00f6\u00dfen (Art. 83). Auch die Forderungen nach einer radikalen Aufweichung der Zweckbindung personenbezogener Daten blieben im Ergebnis erfolglos ebenso wie der Versuch, den Anwendungsbereich der europ\u00e4ischen Vorschriften drastisch einzuschr\u00e4nken.<\/p>\n
Die Europ\u00e4ische Union hat also die (rechtlichen) Herausforderungen an das Datenschutzrecht angenommen und Konflikte zun\u00e4chst durchgestanden. Die EU-weite Harmonisierung des Datenschutzrechts erfolgt auf verh\u00e4ltnism\u00e4\u00dfig hohem Level und schreibt nicht blo\u00df einen kleinsten gemeinsamen Nenner fest.<\/p>\n
Durchaus ambivalent ist es hingegen, dass der Verordnungstext den Mitgliedstaaten erhebliche Gestaltungsm\u00f6glichkeiten bel\u00e4sst. Dies er\u00f6ffnet den nationalen Gesetzgebern zum einen die Chance, in bestimmten Bereichen \u00fcber die in der Verordnung europaweit festgeschriebenen Mindeststandards hinauszugehen bzw. diese zu konkretisieren. Dies ist der Fall etwa beim Schutz von Gesundheitsdaten (Art. 9 Abs. 4 lit. a), beim Besch\u00e4ftigtendatenschutz (Art. 88) und dies gilt auch f\u00fcr die Regelungen zur obligatorischen Benennung betrieblicher Datenschutzbeauftragter (Art. 37). Andererseits ist zu bef\u00fcrchten, dass die nationalstaatlichen Regelungsspielr\u00e4ume auch dazu herhalten m\u00fcssen, bestehende Datenschutz-Schwachstellen beizubehalten\u00a0 – etwa das deutsche Meldegesetz, das eine generelle Meldepflicht mit sehr freiz\u00fcgigen \u00dcbermittlungsm\u00f6glichkeiten ohne angemessene Zweckbindung kombiniert. Auch in anderen Mitgliedstaaten gibt es solche fragw\u00fcrdigen Bestimmungen, die so eine zweite Chance bekommen haben.<\/p>\n
Die Konferenz der Datenschutzbeauftragte des Bundes und der L\u00e4nder hat j\u00fcngst gefordert, die von der Datenschutz-Grundverordnung einger\u00e4umten nationalen Spielr\u00e4ume im Sinne eines m\u00f6glichst hohen Datenschutzniveaus zu nutzen. Wem an einem starken deutschen Datenschutz gelegen ist, der kann diese Position nur unterst\u00fctzen. Manche \u00c4u\u00dferungen von Regierungsvertretern, etwa von Bundeswirtschaftsminister Gabriel und Bundesverkehrsminister Dobrint gegen die angeblich weltfremde und wirtschaftsfeindliche Maxime der \u201eDatensparsamkeit\u201c, lassen aber bef\u00fcrchten, dass in dieser Frage noch ein hartes Ringen bevorsteht.<\/p>\n
Neues deutsches Zwei-Phasen-Modell?<\/strong><\/p>\n Das Bundesinnenministerium hat inzwischen angek\u00fcndigt, die erforderlichen \u00c4nderungen des deutschen Rechts in einem Zwei-Phasen-Modell zu realisieren. In einem ersten Schritt sollen die unbedingt erforderlichen Gesetzes\u00e4nderungen erfolgen; in einem zweiten Schritt sollen dann weitere Anpassungen stattfinden. Zu der ersten Phase soll die Ausgestaltung der Befugnisse der Datenschutzaufsichtsbeh\u00f6rden und die Einpassung ihrer Sanktionsbefugnisse ins deutsche Rechtssystem geh\u00f6ren (Art. 51-59), auch im Hinblick auf den Rechtsschutz der Betroffenen und die gerichtliche \u00dcberpr\u00fcfung der Aufsichtsma\u00dfnahmen. Unbedingt erforderlich ist es auch, die Zusammenarbeit der deutschen Datenschutzbeh\u00f6rden und die Au\u00dfenvertretung des deutschen Datenschutzes im neu einzurichtenden Europ\u00e4ischen Datenschutzausschuss zu kl\u00e4ren. Die Gesetzgebungskompetenz f\u00fcr derartige Zust\u00e4ndigkeitsfragen liegt jedoch nicht ausschlie\u00dflich beim Bund. Vielmehr muss hier eine gemeinsame Rechtsvorschrift von Bund und L\u00e4ndern erlassen werden, etwa in Form eines noch auszuhandelnden Staatsvertrags. Schlie\u00dflich geh\u00f6rt noch die Ausgestaltung des Verh\u00e4ltnisses von Datenschutz einerseits und der Freiheit der Meinungs\u00e4u\u00dferung und Informationsfreiheit andererseits (Art. 85 DS-GVO) zum Pflichtprogramm.<\/p>\n Das vom Bundesinnenministerium angek\u00fcndigte Phasenmodell l\u00f6st bei mir negative Assoziationen aus, erinnert es doch an die im Jahr 2000 ebenfalls in zwei Phasen angek\u00fcndigte grundlegende Modernisierung des deutschen Datenschutzrechts: Nahezu s\u00e4mtliche angek\u00fcndigten, etwas ambitionierten \u00c4nderungen bleiben dabei auf der Strecke, denn die versprochene zweite Phase hat es nie gegeben. Auch damals sa\u00dfen die Erfinder im Bundesinnenministerium.<\/p>\n Kompetenzfragen als Machtfragen<\/strong><\/p>\n Bekanntlich geh\u00f6ren Kompetenzfragen zu den am schwierigsten zu l\u00f6senden Problemen. Anders als die bisherige Artikel-29-Gruppe wird der Europ\u00e4ische Datenschutzausschuss (Art. 60-67) im Falle eines Dissenses zwischen Datenschutzbeh\u00f6rden entscheiden. Dagegen bleibt es den Mitgliedstaaten \u00fcberlassen, die jeweiligen Zust\u00e4ndigkeiten und die Au\u00dfenvertretung der Datenschutzbeh\u00f6rden abzugrenzen, wenn \u2013 wie in Deutschland \u2013 mehr als eine Datenschutzbeh\u00f6rde eingerichtet wurde.<\/p>\n Eine Weile hatte man den Eindruck, Datenschutz sei aus Sicht der Politik ein gestriges Thema, von dem man sich am besten fern h\u00e4lt. Seit einiger Zeit hat sich der Wind aber gedreht: Niemand kann heute ernsthaft bestreiten, dass der Datenschutz eng mit der Digitalisierung der gesamten Gesellschaft verbunden ist und dass mit der datenschutzrechtlichen Kompetenzverteilung auch dar\u00fcber entschieden wird, wer die Weichen in die Informationsgesellschaft stellt.<\/p>\n Das Bundesinnenministerium scheint davon auszugehen, dass die allermeisten datenschutzrechtlichen Spezialgesetze zun\u00e4chst nicht ge\u00e4ndert werden m\u00fcssen. Ich halte diese Position f\u00fcr risikoreich: Zwar ist es richtig, dass die Grundverordnung f\u00fcr bestimmte Felder, insbesondere im Bereich der staatlichen Datenverarbeitung, weiterhin Regelungsspielr\u00e4ume enth\u00e4lt. Anderseits muss auch in diesen Bereichen die Einhaltung der europ\u00e4ischen Standards gew\u00e4hrleistet sein. Dies gilt zum Beispiel f\u00fcr das Sozialrecht: So sind im zehnten Buch des Sozialgesetzbuchs (SGB X) die derzeitigen Regelungen des Bundesdatenschutzgesetzes praktisch gedoppelt – etwa im Hinblick auf die Anforderungen an die Auftragsdatenverarbeitung. Es ist kaum vorstellbar, dass diese unver\u00e4ndert Bestand haben k\u00f6nnen, ohne bei den Rechtsanwendern zu unl\u00f6sbaren Konflikten zu f\u00fchren. Vergleichbare Konstellationen gibt es auch in vielen anderen Bereichen.<\/p>\n Betrieblichen Datenschutz und Besch\u00e4ftigtendatenschutz nicht auf lange Bank schieben<\/strong><\/p>\n Besonders intensiv waren die Diskussionen vor der Verabschiedung der Datenschutzgrundverordnung \u00fcber die betrieblichen Datenschutzbeauftragten und \u00fcber den Besch\u00e4ftigtendatenschutz. In beiden Bereichen haben die Mitgliedsstaaten weiterhin Gestaltungsspielraum.<\/p>\n Bei den betrieblichen Datenschutzbeauftragten hatte Bundesregierung in letzter Sekunde im Trilog eine nationale \u00d6ffnungsklausel (Art. 37 Abs. 4) durchgesetzt, die das derzeitige deutsche Modell gro\u00dfenteils bewahren k\u00f6nnte – vorausgesetzt, eine entsprechende deutsche Bestimmung wird rechtzeitig – vor dem Inkrafttreten der DS-GVO in zwei Jahren – beschlossen. Nimmt man die Absicht des Bundesministeriums beim Wort, zun\u00e4chst nur das „Unabweisbare“ gesetzlich neu zu regeln, dann w\u00fcrden die Regeln zum betrieblichen Datenschutzbeauftragten nicht dazu geh\u00f6ren.<\/p>\n Beim Datenschutz im Besch\u00e4ftigungsverh\u00e4ltnis (Art. 88) stellt sich nicht nur die Frage nach einem deutschen Besch\u00e4ftigten-Datenschutzgesetz. Auch die Zukunft der bisherigen Regelung des \u00a7 32 BDSG zum Umgang mit Besch\u00e4ftigtendaten steht zur Disposition. Schon sind aus der Wirtschaft Warnungen zu vernehmen, hier einen \u201edeutschen Sonderweg\u201c einzuschlagen. Es ist leider zu bef\u00fcrchten, dass derartige Meinungs\u00e4u\u00dferungen in der Politik ohne Wirkung bleiben werden. Angeblich soll es zwischen den Regierungsfraktionen der CDU\/CSU und der SPD schon verabredet zu sein, in dieser Legislaturperiode auf ein Besch\u00e4ftigtendatenschutzgesetz zu verzichten – ein klarer Bruch der Zusagen aus dem Koalitionsvertrag.<\/p>\n Anmerkung<\/strong>: Dieser Beitrag ist f\u00fcr das demn\u00e4chst erscheinende Schwerpunktheft der Datenschutz-Nachrichten (DANA) vorgesehen, das sich mit der EU-Datenschutzreform besch\u00e4ftigt.<\/p>\n","protected":false},"excerpt":{"rendered":" Nachdem das EU-Reformpaket zum Datenschutz die letzten Hürden genommen hat, müsste man eigentlich erleichtert aufatmen. Die Datenschutz-Grundverordnung hat den Trilog von Rat, Kommission und Parlament überraschend gut überstanden. Auch die überzeugenden Voten im Europäischen Parlament und im Rat waren ein deutliches Signal für die Handlungsfähigkeit Europas beim Datenschutz – eine<\/p>\n","protected":false},"author":17,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1004,1005,1006,1007,726,858,5,346,196,1008,1009,1010,1011,221,758,143,496,760,761,1012,200,1013,6,3,7,1014,201,1015,4,12,17,15,1016,16,14,8,1017],"tags":[],"class_list":["post-1314","post","type-post","status-publish","format-standard","hentry","category--32-bdsg","category-artikel-29-gruppe","category-aufsichtsbehoerde","category-auftragsdatenverarbeitung","category-beschaeftigtendatenschutz","category-betrieblicher-datenschutzbeauftragter","category-bsi","category-bundesinnenministerium","category-datenschutz-grundverordnung","category-datenschutzaufsicht","category-datenschutzgrundbverordnung","category-datensparsamkeit","category-dobrint","category-eaid-blog","category-ep","category-eu","category-eudatap","category-europaeische-union","category-europaeisches-parlament","category-gabriel","category-gesundheitsdaten","category-informationsgesellschaft","category-isms","category-isms-bsi-iso-27001","category-iso27001","category-kompetenzverteilung","category-marktortprinzip","category-meldegesetz","category-notfallmanagement","category-penetrationstest","category-penetrationstests","category-risikomanagement","category-sgb-x","category-unternehmen","category-veranstaltungen","category-zertifizierung-audit","category-zwei-phasen-modell"],"_links":{"self":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/1314","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/users\/17"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1314"}],"version-history":[{"count":3,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/1314\/revisions"}],"predecessor-version":[{"id":1508,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/1314\/revisions\/1508"}],"wp:attachment":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1314"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1314"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1314"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}