06.11.2017

Die Datenschutzreform der Europäischen Union

… und ihre Folgen für das deutsche Datenschutzrecht

Die Datenschutzreform der Europäischen Union

… und ihre Folgen für das deutsche Datenschutzrecht

Ab dem 25.05.2018 sind die Bestimmungen der neuen EU-Datenschutz-Grundverordnung anzuwenden. | © pitsanu_1982 - stock.adobe.com
Ab dem 25.05.2018 sind die Bestimmungen der neuen EU-Datenschutz-Grundverordnung anzuwenden. | © pitsanu_1982 - stock.adobe.com

Anfang des Jahres 2016 hat sich die Europäische Union (EU) nach intensiven Verhandlungen auf eine umfassende Reform des europäischen Datenschutzrechts verständigt. Am 25.05.2016 ist die »Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG« (Datenschutz-Grundverordnung – DSGVO) in Kraft getreten, die ab dem 25.05.2018 die geltende EG-Datenschutzrichtlinie (RL 95/46/EG) ablöst. Am 27.04.2016 hat der europäische Gesetzgeber als zweite Säule die Richtlinie (EU) 2016/680 »zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates« (Richtlinie zum Datenschutz bei Polizei und Justiz) verabschiedet, die umzusetzen ist.

Als europäische Verordnung ist die DSGVO unmittelbar anzuwenden. Entgegenstehende Regelungen der Mitgliedsländer sind ab dem 25.05.2018 nicht mehr anzuwenden. Die Richtlinie zum Datenschutz bei Polizei und Justiz ist dagegen nicht direkt anwendbar, sondern muss bis zum 06.05.2018 von den Mitgliedstaaten in nationales Recht umgesetzt werden. Die beiden Rechtsakte werden das deutsche Datenschutzrecht erheblich verändern.

Anwendungsbereich der beiden Rechtsakte

Der Anwendungsbereich der Datenschutz-Grundverordnung und der Richtlinie zum Datenschutz bei Polizei und Justiz schließen sich gegenseitig aus (Art. 2 Abs. 2 Buchst. d DSGVO).


Die Richtlinie gilt für

  • die Polizei,
  • die Gerichte in Strafsachen und die Staatsanwaltschaften und
  • die Strafvollstreckungs- und Justizvollzugsbehörden,

soweit diese personenbezogene Daten zur Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, verarbeiten. Nach verbreiteter Auslegung ist die Richtlinie auf die Tätigkeit anderer Behörden nur anzuwenden, soweit diese Straftaten oder Ordnungswidrigkeiten verfolgen oder ahnden.

Außerhalb des Anwendungsbereichs der Richtlinie gilt für alle Bundes- und Landesbehörden und für private Unternehmen die DSGVO als direkt anzuwendendes europäisches Recht.

Umsetzung der Richtlinie in Bundes- und Landesrecht

Die Richtlinie zum Datenschutz bei Polizei und Justiz ist im Bundes- und Landesrecht umzusetzen. Die datenschutzrechtlichen Vorschriften des Polizeirechts, der Strafprozessordnung, des Ordnungswidrigkeitenrechts und des sonstigen Sicherheitsrechts müssen dazu umfassend geändert werden. Bei der Umsetzung dieser Richtlinie besteht für den Bund und die Länder – anders als bei der Anpassung ihres Rechts an die DSGVO – ein nicht unerheblicher Regelungsspielraum. Der Bund hat mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz vom 30.06.2017 die Richtlinie bereits im Bundesverfassungsschutzgesetz, MAD-Gesetz, BND-Gesetz und weiteren Sicherheitsgesetzen zum 25.05.2017 umgesetzt. Die Länder werden mit ihren Polizei- und Sicherheitsgesetzen bis zum Mai 2018 folgen.

Anpassung des Bundes- und Landesrechts an die DSGVO

Die Verabschiedung der DSGVO führt zu grundlegenden Änderungen im deutschen Datenschutzrecht. Schon zur Herstellung von Rechtsklarheit ist der Gesetzgeber gehalten, der DSGVO entgegenstehende Regelungen aufzuheben. Wegen des Anwendungsvorrangs der DSGVO können die Regelungen der Mitgliedstaaten in Zukunft nur noch ergänzende Bestimmungen zur DSGVO enthalten. Entsprechend der allgemeinen unionsrechtlichen Vorgaben ist eine Wiederholung des Verordnungstextes nur in eng begrenzten Ausnahmefällen möglich.

Der Bund hat mit dem Datenschutz-Anpassungs- und Umsetzungsgesetz das Bundesdatenschutzgesetz zum 25.05.2018 bereits völlig neu gefasst. Die Länder beabsichtigen ebenfalls, ihre Landesdatenschutzgesetze neu zu fassen und die datenschutzrechtlichen Regelungen in ihren Fachgesetzen zu überarbeiten. Dass dies erhebliche Anstrengungen des Gesetzgebers erfordert, ergibt sich aus Schätzungen, nach denen für ca. 5 bis 10% aller Bundes- und Landesgesetze Anpassungsbedarf besteht.

Verbleibender Regelungsbereiche des Bundes und der Länder

Trotz des Wiederholungsverbots und des Anwendungsvorrangs der DSGVO verbleiben dem Bund und den Ländern noch erhebliche Regelungsbereiche:

  • Regelungsaufträge der DSGVO

Die DSGVO enthält eine Reihe obligatorischer Handlungsaufträge an die Mitgliedstaaten, die eine Regelung im nationalen Datenschutzrecht erforderlich machen. So enthält z. B. Art. 85 Abs. 1 und 2 DSGVO den Auftrag, durch nationale Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß der DSGVO mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang zu bringen.

  • Regelungsbefugnisse der DSGVO

An anderen Stellen ermächtigt die DSGVO die Mitgliedstaaten zu ergänzenden Regelungen. So können z. B. nach Art. 37 Abs. 4 Satz 1 DSGVO die Mitgliedstaaten über Art. 37 Abs. 1 DSGVO hinaus weitere Fälle vorschreiben, unter denen ein betrieblicher Datenschutzbeauftragter zu bestellen ist. Von dieser Regelungsbefugnis hat der Bund in § 38 Abs. 1 BDSG 2018 Gebrauch gemacht und – wie bisher – alle Unternehmen zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

  • Konkretisierungen allgemeiner materieller Regelungen der DSGVO

Während die Rechte der Betroffenen und die verfahrensrechtlichen Bestimmungen der DSGVO sehr detailliert sind, sind die materiellen Bestimmungen zur Zulässigkeit der Verarbeitung personenbezogener Daten sehr allgemein gehalten. Art. 6 Abs. 2 DSGVO sieht daher vor, dass die Mitgliedstaaten »spezifischere Bestimmungen« insbesondere dann behalten oder einführen können, wenn die Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe erfolgt, die im öffentlichen Interesse liegt. Vor allem diese Befugnis zur Konkretisierung der sehr allgemein gehaltenen materiellen Bestimmungen der DSGVO wird vom Bund und den Ländern als Grundlage für detaillierte Datenschutzregelungen in den Fachgesetzen herangezogen.

  • Regelungen für den Datenschutz außerhalb des Anwendungsbereichs der DSGVO

Nach Art. 2 Abs. 2 Buchst. a DSGVO findet diese keine Anwendung auf die Verarbeitung personenbezogener Daten »im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt«. Auch wenn man davon ausgeht, dass der »Anwendungsbereich des Unionsrecht« im Sinne des Art. 2 Abs. 2 Buchst a DSGVO weit auszulegen ist, verbleibt dem Bund und den Ländern ein nationaler Regelungsbereich.

Nach Art. 2 Abs. 1 DSGVO gilt diese außerdem nur für die »ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen«. »Dateisystem« ist nach Art. 4 Abs. 6 DSGVO »jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird«. Nach Erwägungsgrund 15 Satz 3 DSGVO sollten daher Akten oder Aktensammlungen, die nicht nach bestimmten Kriterien geordnet sind, nicht in den Anwendungsbereich der Verordnung fallen. Auch für diesen Bereich sind schon aus verfassungsrechtlichen Gründen Regelungen möglich und geboten.

Ausblick

Für den deutschen Gesetzgeber bringt die Reform des europäischen Datenschutzrechts einen erheblichen Aufwand mit sich. Das Ziel der EU, mit der DSGVO und der Richtlinie zum Datenschutz bei Polizei und Justiz eine stärkere europäische Rechtsharmonisierung im Datenschutz zu erreichen, wird nur teilweise erreicht. Es wird weiterhin in den Mitgliedsländern der EU nationale Datenschutzregelungen geben, die sich erheblich unterscheiden.

Für den Rechtsanwender bedeutet diese Reform einen erheblichen zusätzlichen Auslegungsaufwand. Weder die DSGVO noch die darauf aufbauenden Datenschutzregelungen des Bundes und der Länder werden aus sich heraus verständlich sein. Auch wenn die grundlegenden datenschutzrechtlichen Vorschriften künftig in der DSGVO enthalten sein werden, muss der Rechtsanwender parallel dazu stets die jeweiligen Ausführungsvorschriften des Bundes oder der Länder heranziehen, um ein datenschutzrechtliches Problem zu lösen.

 

Anton Knoblauch

Regierungsdirektor, Bayerisches Staatsministerium des Innern, für Bau und Verkehr, Mitherausgeber der VSV Bayern, München
n/a