R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
Logo ruw-online
Logo ruw-online
Suchmodus: genau  
 
 
BB 2019, I
Taeger 

Ein Jahr DSGVO – der Prozess der Harmonisierung und Anpassung ist längst nicht abgeschlossen

Abbildung 1

Seit einem Jahr hat sich die Verarbeitung personenbezogener Daten nach der DSGVO zu richten. In vielen Verarbeitungsfällen sind zudem das BDSG n. F. und zahlreiche fachspezifische Datenschutzvorschriften zu beachten. Die an die DSGVO angepassten Landesdatenschutzgesetze regeln Ergänzungen zur DSGVO und spezifische Anforderungen für die Verarbeitung durch öffentlich-rechtliche Stellen auf Länderebene. Weitere Gesetzesänderungen sind im Verfahren, auf europäischer Ebene etwa die ePrivacy-VO, die eigentlich schon mit der DSGVO im Mai 2018 wirksam werden sollte. Sie ist im Streit der Interessengruppen gefangen. Ein Trilog ist erst vielversprechend, wenn es der kommenden finnischen Ratspräsidentschaft gelingt, annehmbare Vorschläge vorzulegen.

Die DSGVO soll in der EU für eine Harmonisierung des Datenschutzrechts auf hohem Niveau sorgen und die Rechte der Betroffenen stärken. Ziele und Wege dorthin sind zu begrüßen. Nach Abwägung aller Argumente muss man die Ablösung des BDSG durch die DSGVO bei aller berechtigten Kritik an der durch die DSGVO ausgelösten Rechtsunsicherheit und den für viele Unternehmen relevanten “Bürokratiekosten” gutheißen müssen. Der Anwendungsbereich der DSGVO nimmt nun Datenverarbeiter aus Drittländern wie den USA in die Pflicht, Rechte der Betroffenen werden gestärkt und die Transparenz wird verbessert. Das Datenschutzgrundrecht aus Art. 8 GrCh kann wirksamer durchgesetzt werden.

Gleichwohl: Von einer Vollharmonisierung des Datenschutzrechts in der EU kann kaum die Rede sein. Nationale Spezifizierungen in den Mitgliedstaaten, die aufgrund zahlreicher sog. Öffnungsklauseln der DSGVO vorgenommen werden, erzeugen einen partiellen Flickenteppich. Kaum ein EU-Mitglied hat den Beschäftigtendatenschutz geregelt; immerhin gibt es in acht Mitgliedstaaten die Regulierung der Videoüberwachung am Arbeitsplatz. Im BDSG finden sich zudem Regelungen, für die es gar keine Öffnungsklausel gibt und die deshalb europarechtswidrig sind. Beispiel: § 4 Abs. 1 S. 1 Nr. 3 BDSG – die Videoüberwachung aufgrund berechtigter Interessen.

Auch die in den Mitgliedstaaten gelebte Datenschutzpraxis ist außerordentlich divers. Wenn auf 100.000 Einwohner in den Niederlanden 90 Datenschutzverletzungen nach Art. 33 DSGVO gemeldet werden (Data Breach Notification), in Frankreich aber nur 2, wird das nicht primär daran liegen, dass in Frankreich rechtskonformer verarbeitet wird. In absoluten Zahlen gab es von Mai 2018 bis Ende Januar 2019 nach einem Bericht von DLA Piper in den Niederlanden 15400 und in Griechenland nur 70 Meldungen von Datenschutzverstößen. Der Prozess der Harmonisierung und Anpassung ist also längst nicht abgeschlossen.

Noch immer ist das 2. Datenschutz-Anpassungs-und Umsetzungsgesetz des Bundes nicht verabschiedet worden, mit dem weitere 154 Gesetze an die DSGVO angepasst werden sollen. Strittige Fragen wie die nach der Weitergeltung des § 22 KunstUrhG oder nach der Zulässigkeit von Unterlassungsansprüchen (Abmahnungen) nach UWG und UKlaG neben der Möglichkeit der Sanktionierung von Rechtsverstößen durch die Aufsichtsbehörden werden darin nicht beantwortet. Die bisherige Rechtsprechung ist keineswegs einheitlich. Bedauerlicherweise wird auch die Zulässigkeit der Verarbeitung von aufgrund der Insolvenzbekanntmachungs-VO veröffentlichten Daten aus Privatinsolvenzen nicht reguliert. Wünschenswert sind zudem normative Klarstellungen, dass Videoaufnahmen dann nicht unzulässig sind, wenn mit ihnen keine personenbezogene Auswertung bezweckt wird, sondern sie lediglich für einen sicheren Verkehr sorgen: als Sensoren des hochautomatisierten Fahrens auf Straßen und auf der Schiene sind sie schlicht erforderlich.

Die Datenschutz-Aufsichtsbehörden sind trotz Personalaufstockung im Rahmen ihrer immer noch beschränkten Ressourcen nach Kräften bemüht, zu informieren, zu beraten und aufzuklären. Zunehmend wollen sie nun dazu übergehen, systematisch zu kontrollieren und, bei Feststellung von Rechtsverletzungen, auch zu sanktionieren.

Die DSGVO lässt zahlreiche Fragen offen. Es gibt Verarbeitungsbeispiele, in denen die DSGVO nicht rechtssicher angewendet werden kann, weil Regelungen fehlen und Rechtsbegriffe zu unbestimmt sind. Das zeigt sich etwa am Streit darüber, ob der Betriebsrat hinsichtlich der von ihm vorgenommenen Verarbeitung personenbezogener Daten selbst Verantwortlicher ist. Der Datenschutzbeauftragte Baden-Württembergs bejaht dies, räumt aber ein, dass es gute Argumente dagegen gibt.

Zu erheblicher Unsicherheit führt auch die Regelung der Auftragsverarbeitung (AV). Dem BayLDA wurde die Frage gestellt, ob das Waschen von Arbeitskleidung mit aufgesticktem Namen eine AV sei, die zum Schließen eines AV-Vertrages (AVV) verpflichte – was der BayLDA zu Recht ablehnte. Auch das Ausdrucken von Fotos an einem Automaten im Drogeriemarkt wird keine AV sein, weil die Erhebung von Fotos mit erkennbaren Personen nicht zum Kerngeschäft des Automatenaufstellers gehört, sondern das Drucken von Fotos. Der Hamburgische Datenschutzbeauftragte hatte sogar ein Bußgeld gegen ein Unternehmen verhängt, das keinen AVV abgeschlossen hatte. Der Bescheid wurde jedoch aufgehoben, als die Behörde erkannte, dass gar keine AV vorlag.

Wenn ein externer auf die Immobilienbranche spezialisierter Datenschutzbeauftragter rät, von Mietern eine schriftliche Einwilligung einzuholen, um bei Reparaturarbeiten (Wasserrohrbruch) einem Handwerker die Anschrift übermitteln zu dürfen, zeigt dies leider die Unwissenheit selbst von manchen Beratern.

Es wird noch eine Weile dauern, bis durch Orientierungshilfen der Aufsichtsbehörden, Leitlinien des EU-Datenschutzausschusses und durch Rechtsprechung mehr Rechtssicherheit gewonnen wird.

Prof. Dr. Prof. h. c. Jürgen Taeger ist Of Counsel bei DLA Piper am Standort Köln und Universitätsprofessor für Bürgerliches Recht, Handels- und Wirtschaftsrecht sowie Rechtsinformatik an der Carl von Ossietzky Universität Oldenburg. Er ist spezialisiert auf die Bereiche Datenschutz, eCommerce und Internetrecht. Taeger ist Mitherausgeber des im dfv, Fachmedien Recht und Wirtschaft, 2019 in neuester Auflage erschienenen Großkommentars zur DSGVO und zum neuen BDSG.

 
stats