Hintergrund: Vollharmonisierung mit Öffnungsklauseln

Die DSGVO sieht zwar eine ein­heit­li­che, umfas­sen­de und direkt anwend­ba­re Rege­lung des euro­päi­schen Daten­schutz­rechts vor („Voll­har­mo­ni­sie­rung“). An ver­schie­de­nen Stel­len (in sog. Öff­nungs­klau­seln) wird jedoch – nicht immer gleich deut­lich – eine ergän­zen­de Legi­fe­rie­rung der Mit­glied­staa­ten vor­ge­se­hen. Eini­ge Bei­spie­le dafür sind

  • Art. 6 Abs. 2 – Daten­be­ar­bei­tung im öffent­li­chen Bereich
  • Art. 8 Abs. 1 – Min­dest­al­ter für die Ein­wil­li­gung
  • Art. 9 Abs. 2 – Zuläs­sig­keit der Ver­ar­bei­tung beson­de­rer Per­so­nen­da­ten
  • Art. 14 Abs. 5 – Aus­nah­men der Infor­ma­ti­ons­pflicht
  • Art. 23 – Beschrän­kun­gen der Rech­te der betrof­fe­nen Per­son
  • Art. 84 – Sank­tio­nen
  • Art. 85 – Mei­nungs­äu­sse­rungs- und Infor­ma­ti­ons­frei­heit
  • Art. 88 – Arbeit­neh­mer­da­ten­schutz

Dabei wird also in Kauf genom­men, dass das Ziel der Har­mo­ni­sie­rung zugun­sten einer gewis­sen Fle­xi­bi­li­tät ein­ge­schränkt wird. Aller­dings wer­den natio­na­le Legi­fe­rie­rungs­kom­pe­ten­zen restrik­tiv aus­ge­legt. Die Grund­sät­ze des Urteils des EuGH i.S. ASNEF wer­den dabei der Sache nach anwend­bar sein, wie sie dort u.a. in Rz. 35 zum Aus­druck kom­men:

Die Richt­li­nie 95/46 ent­hält Vor­schrif­ten, die durch eine gewis­se Fle­xi­bi­li­tät gekenn­zeich­net sind, und über­lässt es in vie­len Fäl­len den Mit­glied­staa­ten, die Ein­zel­hei­ten zu regeln oder zwi­schen Optio­nen zu wäh­len (vgl. Urteil Lind­qvist, Randnr. 83). Es ist somit wich­tig, zwi­schen natio­na­len Maß­nah­men, die zusätz­li­che Bedin­gun­gen vor­se­hen, mit denen die Trag­wei­te eines in Art. 7 der Richt­li­nie 95/46 ent­hal­te­nen Grund­sat­zes ver­än­dert wird, einer­seits und natio­na­len Maß­nah­men, die nur einen die­ser Grund­sät­ze näher bestim­men, ande­rer­seits zu unter­schei­den. Die zuerst genann­te Art von natio­na­len Maß­nah­men ist ver­bo­ten. Nur im Rah­men der zwei­ten Art von natio­na­len Maß­nah­men ver­fü­gen die Mit­glied­staa­ten nach Art. 5 der Richt­li­nie 95/46 über einen Ermes­sens­spiel­raum.

Das DSAnpUG-EU

Vor die­sem Hin­ter­grund hat der deut­sche Bun­des­tag bereits am 27. April 2017 den Ent­wurf für ein künf­ti­ges Bun­des­da­ten­schutz­ge­setz (BDSG) beschlos­sen, unter dem Titel „Ent­wurf eines Geset­zes zur Anpas­sung des Daten­schutz­rechts an die Ver­ord­nung (EU) 2016/679 und zur Umset­zung der Richt­li­nie (EU) 2016/680“ und der Abkür­zung „DSAn­pUG-EU“ (für „Daten­schutz-Anpas­sungs- und -Umset­zungs­ge­setz EU“) (Link – PDF).

Das DSAn­pUG-EU soll dabei zunächst gemein­sa­me Bestim­mun­gen ent­hal­ten, die nur ausser­halb des unmit­tel­bar gel­ten­den EU-Rechts Anwen­dung fin­den, insb. ausser­halb der DSGVO. Dazu kom­men beson­de­re Bestim­mun­gen zur Aus­ge­stal­tung der DSGVO („Teil 2“) mit fol­gen­den Rege­lungs­schwer­punk­ten (und deut­li­chen Anklän­gen an das bestehen­de deut­sche BDSG, z.B. bei den Bestim­mun­gen zum Arbeit­neh­mer­da­ten­schutz und zum Sco­ring):

  • Rechts­grund­la­ge für die Ver­ar­bei­tung beson­de­rer Daten
  • Zuläs­sig­keits­vor­aus­set­zun­gen für Ver­ar­bei­tun­gen zu ande­ren Zwecken durch öffent­li­che und nicht­öf­fent­li­che Stel­len und für Daten­über­mitt­lun­gen durch öffent­li­che Stel­len
  • Rege­lung wei­te­rer beson­de­rer Ver­ar­bei­tungs­si­tua­tio­nen
  • Rege­lun­gen zu den Betrof­fe­nen­rech­ten
  • Ver­hän­gung von Geld­bu­ssen bei Ver­stö­ssen gegen die DSGVO.

Erwäh­nens­wert sind insb. auch §§ 29 und 32 ff. zur Ein­schrän­kung der Betrof­fe­nen­rech­te, neben den Son­der­be­stim­mun­gen für Arbeit­neh­mer (§ 26), für Kon­sum­kre­di­te (§ 30) und für Sco­ring und Boni­täts­aus­künf­te (§ 31). §§ 41 ff. betref­fen sodann die Haf­tung und Sank­tio­nen, die dem Wort­laut des DSAn­pUG-EU nach nicht auf Unter­neh­men beschränkt sind, son­dern auch natür­li­che Per­so­nen tref­fen kön­nen.

Wie nicht anders zu erwar­ten, ist dem Ent­wurf des DSAn­pUG-EU Kri­tik erwach­sen, nament­lich von Ver­tre­tern der EU-Kom­mis­si­on im Rah­men einer Ver­an­stal­tung der Stif­tung Daten­schutz, wie heise.de berich­tet hat:

Die Kom­mis­si­on reibt sich der Insi­de­rin zufol­ge auch dar­an, dass die Bun­des­re­gie­rung die in der Ver­ord­nung ver­an­ker­ten Rech­te der Betrof­fe­nen ein­schrän­ken will, über sie gespei­cher­te Daten ein­zu­se­hen und gege­be­nen­falls kor­ri­gie­ren oder löschen zu las­sen. Sie habe zwar Ver­ständ­nis für den Ansatz, der Indu­strie 4.0 mög­lichst viel erlau­ben zu wol­len auch mit per­so­nen­be­zo­ge­nen Infor­ma­tio­nen. Das „Recht auf Ver­ges­sen“ sei in der Ver­ord­nung aber klar gefasst. Niko­lay mach­te daher deut­lich, dass sich die Kom­mis­si­on „wei­ter im Dia­log“ mit den deut­schen Gre­mi­en befin­de, aber auch die „Gefahr des Ver­trags­ver­let­zungs­ver­fah­ren“ bestehe.

Der deut­sche Bun­des­rat wird am 12. Mai 2017 ent­schei­den, ob er dem Ent­wurf zustimmt. Tut er dies, kann das Gesetz zusam­men mit der DSGVO am 25. Mai 2018 in Kraft tre­ten.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.