Änderungen des Datenschutzrechts
Bislang war das Datenschutzrecht in den Staaten der Europäischen Union nicht einheitlich geregelt. Zur Vereinheitlichung des Rechts in den Mitgliedstaaten der EU wurde die Datenschutz-Grundverordnung (DS-GVO) erlassen, die ab dem 25.05.2018 in allen EU-Mitgliedsstaaten unmittelbar, einheitlich und gleichzeitig die Grundfragen des Datenschutzrechts regelt. Die Regelungen der Datenschutz-Grundverordnung gelten sowohl im öffentlichen als auch im privaten Bereich. Sie müssen nicht in nationales Recht umgesetzt werden, sondern gelten unmittelbar in den Mitgliedsstaaten.
Dem Ziel der Rechtsangleichung in den Mitgliedsstaaten ist es geschuldet, dass den Gesetzgebern in den Mitgliedsstaaten nur sehr geringe Spielräume für eigene ergänzende Gesetze belassen werden.
Daraus folgt unter anderem, dass das bislang maßgebende Bundesdatenschutzgesetz (BDSG) in der derzeitigen Form nicht bestehen bleiben wird. Die Diskussion darum, inwieweit die europaweiten Regelungen durch Regelungen des deutschen Gesetzgebers ergänzt werden sollten, ist bereits voll entbrannt.
Das Datenschutzrecht wird durch die Vereinheitlichung jedoch nicht völlig anders ausgestaltet als bisher. Die bisherigen Grundsätze des deutschen Datenschutzrechts werden auch in der Datenschutz-Grundverordnung enthalten sein und um den Grundsatz der Eigenverantwortung, den Grundsatz des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) erweitert. Von Unternehmen wird in Zukunft erwartet sich in ihrer Geschäftstätigkeit von Beginn an eigenverantwortlich auf einen wirksamen Datenschutz einzustellen. Wenn möglich, soll datenschutzfreundliche Technik bereits bei der Entwicklung neuer Produkte und neuer Dienstleistungsangebote zur Anwendung kommen.
Bekannte Instrumente, wie der betriebliche Datenschutzbeauftragte oder das Verzeichnis von Verarbeitungstätigkeiten, finden sich auch in der europarechtlichen Normung wieder.
Auch nach der Neuregelung des Datenschutzrechtes werden die nationalen Aufsichtsbehörden für die Durchsetzung des Datenschutzes zuständig sein. Sie sind zur Durchsetzung des Rechts mit der Möglichkeit ausgestattet, erhebliche Geldbußen zu verhängen.
Insbesondere die Ausgestaltung der ergänzenden nationalen Rechtsnormen wird dazu führen, dass sich Unternehmen bis zum Inkrafttreten der Datenschutz-Grundverordnung in erheblichen Umfang mit dem Thema Datenschutz beschäftigen müssen und dies zum Anlass nehmen sollten, die bestehenden Regularien, internen organisatorischen Maßgaben und technischen Rahmenbedingungen zu überprüfen.
Martin Alter
Rechtsanwalt
im Kanzleiforum 12/2016
Rechtsanwälte Strunz ♦ Alter, Chemnitz