Am 24. Mai 2016 ist die europäische Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Ab dem vom 25. Mai 2018 wird sie in den europäischen Mitgliedstaaten und den Staaten des EWR unmittelbar anwendbar sein.
Unternehmen, Vereine, Verbände und andere Stellen, die bereits derzeit personenbezogene Daten verarbeiten, haben nun knapp zwei Jahre Zeit, sich auf die neuen Vorgaben einzustellen und gegebenenfalls Datenverarbeitungsprozesse, die interne Organisation, Datenschutzerklärungen, etc. auf ihre Konformität mit der DSGVO hin zu prüfen.
Diese Prüfung ist auch dringend erforderlich. Selbst für derzeit rechtmäßige Datenverarbeitungen, mögen sie auf einer Einwilligung oder auch auf einem Erlaubnistatbestand (wie zum Beispiel im Rahmen der Durchführung eines Vertrages) beruhen, wird es nach dem vom 25. Mai 2018 kein einfaches „weiter so“ allein aus dem Grund geben, weil die betreffende Datenverarbeitung derzeit zulässig ist.
Nach Art. 94 Abs. 1 DSGVO wird die noch existierende europäischen Datenschutzrichtlinie 95/46/EG mit Wirkung vom 25. Mai 2018 aufgehoben. Nationale Datenschutzgesetze, die die Vorgaben der europäischen Datenschutzrichtlinie umsetzen, sind zwar nicht per se ungültig, jedoch genießt das europäische Recht Anwendungsvorrang vor den nationalen Regelungen, soweit sich diese decken. Vorschriften wie etwa § 4a oder § 28 BDSG sind dann zum Großteil nicht mehr anwendbar.
Erwägungsgrund 171 S. 2 DSGVO bestimmt, dass Verarbeitungen, die zum Zeitpunkt der Anwendung der DSGVO (also zum 25. Mai 2018) bereits begonnen haben, innerhalb von zwei Jahren nach dem Inkrafttreten der DSGVO (also nach dem 24. Mai 2016) mit der DSGVO „in Einklang gebracht werden“ müssen. Dies bedeutet: nach dem vom 25. Mai 2018 müssen jegliche Datenverarbeitung die in den Anwendungsbereich der DSGVO fallen auch ihre Voraussetzungen erfüllen. Allein die aktuelle Rechtmäßigkeit von derzeit vorgenommen Datenverarbeitungen taugt also nicht, um sie in den Zeitraum nach dem vom 25. Mai 2018 zu übertragen.
Ganz konkret müssen für jede Datenverarbeitung die spezifischen Voraussetzungen aus der DSGVO, also etwa für die Einwilligung aus Art. 6 Abs. 1 lit. a und Art. 4 Nr. 11 DSGVO, erfüllt werden.
Die DSGVO erläutert diese Situation beispielhaft anhand der Einwilligung in Erwägungsgrund 171. Beruht danach die Verarbeitung auf einer Einwilligung gemäß der Richtlinie 95/46/EG, „so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht“. Die entscheidende Aussage verbirgt sich am Ende des Satzes. Den Bedingungen dieser Verordnung. Allein darum geht es.
Zu beachten ist, dass sich diese Prüfung nicht allein auf die Erfüllung der Voraussetzungen eines jeweiligen Erlaubnistatbestandes beschränkt. Datenverarbeitungen müssen etwa nach Art. 5 Abs. 1 DSGVO auch alle dort aufgezählten Grundsätze kumulativ erfüllen. Das ergibt sich klar aus der Vorgabe „Bedingungen dieser Verordnung“, die sich gerade nicht auf „Voraussetzungen von Art. 6“ oder „Bedingungen des Art. 6“ beschränkt.
Isoliert betrachtet werden darf die Formulierung der „Bedingungen dieser Verordnung“ dabei m.E. aber nicht. Zum einen muss „die Art“ der bereits erteilten Einwilligung den Bedingungen entsprechen, – was auch immer das heißen mag. Zum anderen wird man die „Art der … den Bedingungen“ nicht so verstehen müssen, dass tatsächlich alle, auch die neuen, Vorgaben für die Wirksamkeit von Einwilligungen auf bereits existente Einwilligungen zutreffen müssen. Wäre das der Fall, wäre der ErwGr. schlicht überflüssig. Oder?
Ich finde nicht, dass der Erwägungsgrund dann überflüssig wäre. Wenn man auf die vorherigen Fassungen schaut, so hieß es: „Where such processing is in compliance with Directive 95/46/EC, it is also not necessary for the data subject to give his or her consent again…“. Dort reichte es also schlicht aus, wenn die Verarbeitung derzeit zulässig ist. Dies wurde nicht in die finale Fassung übernommen. Vielmehr, und das wird mE jetzt klargestellt, müssen auch „alte“ Verarbeitungen die DSGVO-„Bedingungen“ erfüllen. Meines Erachtens gibt der Erwäggr speziell für die Einwilligung vor, dass die Einwilligung dann erneut erteilt werden muss, wenn sie nicht die Bedingungen erfüllt. Ja, was konkret mit der „Art“ gemeint ist, da wird man evtl. auch diskutieren könnne. Beste Grüße.
Okay. Warum aber existiert der ErwGr dann überhaupt? Und warum heißt es, sollen EW tatsächlich nur dann fortgelten, wenn sie 1:1 den Vorgaben der DS-GVO entsprechen, nicht einfach auch so? *tilt*
Das Problem des *tilt“ werden wir mit der DSGVO häufiger haben, nicht nur hinsichtlich der EW; etwa in Art. 15 Abs. 4, der auf einen Abs. 1b verweist, der nicht existiert (btw: bis zu 20 Mio EUR bei Verstoß). Teilweise sind die EW nicht mit den Artikel vereinbar. Die Existenz des EW an sich rechtfertigt sich mE daraus, dass Art. 94 Abs. 1 nichts dazu sagt, was mit den jetzigen Verarbeitungen geschieht. Also als Erläuterung bzw. Hilfe bei der Anwendung. Zumindest wird das die Idee gewesen sein.
Stimmt. So gesehen ist die DS-GVO aber ein einziger redaktioneller Fehler. Das ist mir zu einfach.