Allgemeine Gedanken zur Datenschutz-Grundverordnung
Zunächst ein Hinweis an alle Leser: alle Beiträge des EUDataP-Weihnachtskalenders 2015 stelle ich hier in einem Dokument zum Download zur Verfügung.
Im heutigen letzten Beitrag des EUDataP-Weihnachtskalenders möchte ich nicht einen bestimmten Artikel besprechen, sondern vielmehr etwas allgemeiner die DS-GVO aus meinem persönlichen Blickwinkel betrachten.
Positiv ist sicherlich zu bewerten, dass zu einem Großteil (wenn auch nicht, wie häufig in der Öffentlichkeit dargestellt, in Gänze) eine europaweite Vereinheitlichung des Datenschutzrechts erfolgen wird. Der Wunsch nach Vereinheitlichung ist im Rahmen der Verhandlung im Prinzip auch von allen Beteiligten geäußert und als Ziel ausgegeben worden. Andererseits muss man feststellen, dass die DS-GVO in einigen Bereichen Öffnungsklauseln enthält und die Mitgliedstaaten teilweise verpflichtet bzw. es ihnen gestattet, nationale Regelungen vorzusehen. Dies gilt etwa für den betrieblichen Datenschutzbeauftragten, für die Altersgrenze bei der Einwilligung von Minderjährigen bei der Nutzung von Informationsdiensten, für den Schutz personenbezogener Daten von Verstorbenen oder die Datenverarbeitung von Gesundheitsdaten und anderen besonderen Arten personenbezogener Daten. In diesen Bereichen wird es in Zukunft nationale Vorgaben geben, die im Detail in den Mitgliedstaaten unterschiedlich ausfallen können. Völlig ausgeklammert aus der DS-GVO ist jedoch die Frage, wann welches nationale Recht in Zukunft gelten wird. Die DS-GVO erklärt in ihrem Art. 3 allein, wann sie selbst Anwendung findet, nicht jedoch wann nationales Datenschutzrecht anwendbar ist, welches Mitgliedstaaten im Rahmen der Öffnungsklauseln erlassen haben. Wenn diese Entscheidung den Mitgliedstaaten überlassen bleibt, kann dies in der Praxis zu unterschiedlichen Standards führen.
Ebenfalls nicht einheitlich werden in Zukunft die Regelungen zur Datenverarbeitung über Cookies sein. Dies hat in der Vergangenheit bereits zu Rechtsunsicherheiten geführt. Die sogenannte ePrivacy-Richtlinie und ihre Regelungen zur Einwilligung beim Einsatz von Cookies stellen nach Auffassung der Kommission eine Spezialregelung gegenüber der DS-GVO dar und gehen daher dieser vor. Aus diesem Grund ist auch eine Reform dieser Richtlinie in naher Zukunft angedacht.
Daneben ist eine Tendenz in der DS-GVO zu erkennen, dass sowohl auf für die Verarbeitung Verantwortliche als auch Auftragsverarbeiter erhöhte Dokumentationspflichten zukommen werden. Um es salopp auszudrücken: es wird also mehr Papier produziert werden müssen, um rechtmäßiges Handeln darlegen zu können. Das ist nicht unbedingt negativ, da auf diese Weise die jeweils Verantwortlichen in gewisser Weise gezwungen werden, sich mit dem Thema „Datenschutz“ auseinanderzusetzen. Dennoch kann dies einiges an kontinuierlichem Mehraufwand bedeuten.
Viele Prinzipien und Regelungen der DS-GVO kennen wir bereits aus dem geltenden Recht, so etwa den Grundsatz, dass personenbezogene Daten verarbeitet werden dürfen, wenn eine Einwilligung oder eine andere Rechtsgrundlage vorliegt. Auch wenn bekannte Prinzipien fortgeführt werden, so garniert die DS-GVO diese häufig doch mit einigen (wenn auch kleineren) Anpassungen. Der Teufel mag in der Zukunft bzw. bei der Umsetzung der DS GVO also häufig im Detail stecken.
Andererseits wird es jedoch auch komplette Neuerungen geben. Bei der Anwendung der DS-GVO wird sich für diese Neuerungen zeigen, inwieweit die Verordnung ausreichend präzise und für die Praxis anwendbare Regelung geschaffen hat oder eventuell doch zu allgemein oder unklare Formulierung verwendet. Auslegungshilfen für neue Regelungsbereiche gibt es hierbei zunächst einmal kaum, wenn man von den Erwägungsgründen der Verordnung absieht.
Gerade was Neuerscheinungen, wie das Recht auf Datenportabilität, die Einrichtung des Datenschutzausschusses, den one-stop-shop-Mechanismus oder das sogenannte „Recht auf Vergessenwerden“ betrifft, darf man gespannt sein, wie diese Regelungen in der Praxis angewendet werden. Eventuell werden hier auch erst gerichtliche Entscheidungen für Klarheit sorgen.
In jedem Fall lässt sich sagen, dass die nächsten Jahre aus datenschutzrechtlicher Sicht in Europa sicherlich spannend werden. Man muss jedoch hoffen, dass die Datenschutz-Grundverordnung in der Praxis in einer Form anwendbar ist, die für die Adressaten (also datenverarbeitende Stellen als auch Betroffene) verständlich und vorhersehbar bleibt. Ansonsten läuft man eventuell Gefahr, dass hier ein neues Gesetz geschaffen wurde, das in der Praxis nicht eingehalten wird.