Hintergrund: Vollharmonisierung mit Öffnungsklauseln
Die DSGVO sieht zwar eine einheitliche, umfassende und direkt anwendbare Regelung des europäischen Datenschutzrechts vor („Vollharmonisierung“). An verschiedenen Stellen (in sog. Öffnungsklauseln) wird jedoch – nicht immer gleich deutlich – eine ergänzende Legiferierung der Mitgliedstaaten vorgesehen. Einige Beispiele dafür sind
- Art. 6 Abs. 2 – Datenbearbeitung im öffentlichen Bereich
- Art. 8 Abs. 1 – Mindestalter für die Einwilligung
- Art. 9 Abs. 2 – Zulässigkeit der Verarbeitung besonderer Personendaten
- Art. 14 Abs. 5 – Ausnahmen der Informationspflicht
- Art. 23 – Beschränkungen der Rechte der betroffenen Person
- Art. 84 – Sanktionen
- Art. 85 – Meinungsäusserungs- und Informationsfreiheit
- Art. 88 – Arbeitnehmerdatenschutz
Dabei wird also in Kauf genommen, dass das Ziel der Harmonisierung zugunsten einer gewissen Flexibilität eingeschränkt wird. Allerdings werden nationale Legiferierungskompetenzen restriktiv ausgelegt. Die Grundsätze des Urteils des EuGH i.S. ASNEF werden dabei der Sache nach anwendbar sein, wie sie dort u.a. in Rz. 35 zum Ausdruck kommen:
Die Richtlinie 95/46 enthält Vorschriften, die durch eine gewisse Flexibilität gekennzeichnet sind, und überlässt es in vielen Fällen den Mitgliedstaaten, die Einzelheiten zu regeln oder zwischen Optionen zu wählen (vgl. Urteil Lindqvist, Randnr. 83). Es ist somit wichtig, zwischen nationalen Maßnahmen, die zusätzliche Bedingungen vorsehen, mit denen die Tragweite eines in Art. 7 der Richtlinie 95/46 enthaltenen Grundsatzes verändert wird, einerseits und nationalen Maßnahmen, die nur einen dieser Grundsätze näher bestimmen, andererseits zu unterscheiden. Die zuerst genannte Art von nationalen Maßnahmen ist verboten. Nur im Rahmen der zweiten Art von nationalen Maßnahmen verfügen die Mitgliedstaaten nach Art. 5 der Richtlinie 95/46 über einen Ermessensspielraum.
Das DSAnpUG-EU
Vor diesem Hintergrund hat der deutsche Bundestag bereits am 27. April 2017 den Entwurf für ein künftiges Bundesdatenschutzgesetz (BDSG) beschlossen, unter dem Titel „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“ und der Abkürzung „DSAnpUG-EU“ (für „Datenschutz-Anpassungs- und ‑Umsetzungsgesetz EU“) (Link – PDF).
Das DSAnpUG-EU soll dabei zunächst gemeinsame Bestimmungen enthalten, die nur ausserhalb des unmittelbar geltenden EU-Rechts Anwendung finden, insb. ausserhalb der DSGVO. Dazu kommen besondere Bestimmungen zur Ausgestaltung der DSGVO („Teil 2“) mit folgenden Regelungsschwerpunkten (und deutlichen Anklängen an das bestehende deutsche BDSG, z.B. bei den Bestimmungen zum Arbeitnehmerdatenschutz und zum Scoring):
- Rechtsgrundlage für die Verarbeitung besonderer Daten
- Zulässigkeitsvoraussetzungen für Verarbeitungen zu anderen Zwecken durch öffentliche und nichtöffentliche Stellen und für Datenübermittlungen durch öffentliche Stellen
- Regelung weiterer besonderer Verarbeitungssituationen
- Regelungen zu den Betroffenenrechten
- Verhängung von Geldbussen bei Verstössen gegen die DSGVO.
Erwähnenswert sind insb. auch §§ 29 und 32 ff. zur Einschränkung der Betroffenenrechte, neben den Sonderbestimmungen für Arbeitnehmer (§ 26), für Konsumkredite (§ 30) und für Scoring und Bonitätsauskünfte (§ 31). §§ 41 ff. betreffen sodann die Haftung und Sanktionen, die dem Wortlaut des DSAnpUG-EU nach nicht auf Unternehmen beschränkt sind, sondern auch natürliche Personen treffen können.
Wie nicht anders zu erwarten, ist dem Entwurf des DSAnpUG-EU Kritik erwachsen, namentlich von Vertretern der EU-Kommission im Rahmen einer Veranstaltung der Stiftung Datenschutz, wie heise.de berichtet hat:
Die Kommission reibt sich der Insiderin zufolge auch daran, dass die Bundesregierung die in der Verordnung verankerten Rechte der Betroffenen einschränken will, über sie gespeicherte Daten einzusehen und gegebenenfalls korrigieren oder löschen zu lassen. Sie habe zwar Verständnis für den Ansatz, der Industrie 4.0 möglichst viel erlauben zu wollen auch mit personenbezogenen Informationen. Das „Recht auf Vergessen“ sei in der Verordnung aber klar gefasst. Nikolay machte daher deutlich, dass sich die Kommission „weiter im Dialog“ mit den deutschen Gremien befinde, aber auch die „Gefahr des Vertragsverletzungsverfahren“ bestehe.
Der deutsche Bundesrat wird am 12. Mai 2017 entscheiden, ob er dem Entwurf zustimmt. Tut er dies, kann das Gesetz zusammen mit der DSGVO am 25. Mai 2018 in Kraft treten.