Infos & Service

Auf dem Weg zur DSGVO - Das neue Datenschutzrecht in der EU


Veröffentlicht am 22.05.2018 von DomainFactory

Im sogenannten Trilog haben Vertreter des Parlaments, des Rates und der Kommission der EU am 17. Dezember 2015 den Text einer „Verordnung des Rates und des europäischen Parlaments zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DSGVO)“ beschlossen. Die DSGVO ist bereits am 25. Mai 2016 in Kraft getreten, kommt jedoch erst zwei Jahre nach Inkrafttreten zur Anwendung.

Das bedeutet, dass die DSGVO ab dem 25. Mai 2018 für alle gilt und deren Einhaltung durch die EU-Datenschutzaufsichtsbehörde und Gericht von diesem Zeitpunkt an überprüfbar ist. Die zweijährige Übergangsfrist ist damit bald vorüber, sodass die EU-Datenschutzbehörden ab Geltung im Mai 2018 Sanktionen verhängen können, wenn die Vorgaben der DSGVO nicht oder nicht ausreichend umgesetzt werden.

Bis dahin gilt als Grundlage für die einheitliche Gestaltung des Datenschutzrechts in der EU die EG-Datenschutzrichtlinie vom 24. Oktober 1995 fort. Eine Richtlinie ist eine von fünf in Art. 288 AEUV (Vertrag über die Arbeitsweise der europäischen Union) vorgesehenen Rechtsakten. Diese Richtlinie verfolgt das Ziel der Harmonisierung der geregelten Rechtsmaterie in den einzelnen EU-Staaten und ist ausschließlich an die Mitgliedsstaaten gerichtet. Die Mitgliedsstaaten sind verpflichtet, diese Richtlinie in nationales Recht umzusetzen. Der bedeutsame Harmonisierungseffekt unter dem Gesichtspunkt der Schaffung einheitlicher Wirtschaftsbedingungen und der Wettbewerbsgleichheit wird allerdings nur dann erreicht, wenn die Nationalstaaten die ihnen gewährten Spielräume einhalten. In der Praxis ist dies nicht hinreichend geschehen, sodass auf Grund dieser Erkenntnis der Datenschutz in der EU nunmehr in einer Verordnung geregelt werden soll. Verordnungen sind im Gegensatz zu Richtlinien allgemein und unmittelbar geltende und in allen ihren Teilen verbindliche Rechtsakte. Aufgrund der Durchgriffswirkung der Verordnung müssen sie von den EU-Mitgliedsstaaten nicht in nationales Recht umgesetzt werden. Vielmehr besteht ein „Umsetzungsverbot“ für die Mitgliedsstaaten, das auch die Modifikation der vorgegebenen Regelungen durch sie im Regelfall untersagt (Art. 288 Abs. 2 AEUV). Treten für die Gerichte diesbezüglich Auslegungsfragen auf, muss das Gericht den EuGH nach den Regeln des Vorabentscheidungsverfahrens anrufen (Art. 267 Abs. 1 lit.b) AEUV).

Durch das Inkrafttreten der DSGVO wird der Datenschutz in der EU in Zukunft grundsätzlich auf unmittelbar geltendem, einheitlichen Europäischen Recht basieren. Es werden aber sogenannte „Öffnungsklauseln“ geschaffen, welche weiterhin Regulierungen im nationalen Recht gestatten bzw. nationale Gestaltungsspielräume eröffnen. Öffnungsklauseln sind in der DSGVO zahlreich vorhanden, konkret gibt es hierfür ca. 60 Anwendungsfällt. Viele eröffnen einen in das Ermessen der Staaten gestellten Handlungsspielraum, einige andere geben den Mitgliedsstaaten einen Handlungsauftrag. Dadurch wurde der zunächst von der Kommission vorgesehene Weg, notwendige Detailregelungen europaeinheitlich in delegierten Rechtsakten vorzusehen aufgegeben und den Mitgliedsstaaten die Gestaltung wieder überlassen.

Auswirkungen der DSGVO in Deutschland

Die für Unternehmen zurzeit einschlägigen Regelungen des BDSG werden mit der DSGVO weitgehend ersetzt. Auf Grund der unmittelbaren Geltung der Verordnung in allen Mitgliedsstaaten, bedarf es keines Umsetzungsgesetztes, sondern neue vom nationalen Gesetzgeber erlassene Gesetze, um die nationalen Vorschriften, die durch die Verordnung ersetzt werden, aufzuheben. Besteht eine Öffnungsklausel, ist der nationale Gesetzgeber ermächtigt, die Regelungen der Verordnung zu konkretisieren und zu ergänzen. Ein klassisches Beispiel ist der Beschäftigtendatenschutz. Art. 88 Abs. 1 DSGVO sieht eine Öffnungsklausel vor, nach der die Mitgliedsstaaten „spezifische Vorschriften zur Gewährleistung der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigtenkontext“ vorsehen können. Allerdings sind im Rahmen der ersten Anpassung des deutschen Rechts an die DSGVO keine umfassenden neuen nationalen Regelungen zu erwarten, sondern lediglich eine dem geltenden § 32 BDSG entsprechende Regelung. Ebenfalls gem. Art. 88 DSGVO bleiben Kollektivvereinbarungen, wie die Betriebsvereinbarung zum Datenschutz, im Arbeitsverhältnis zulässig. Diese Vereinbarungen müssen jedoch zusätzlich die Vorgaben der DSGVO beachten, was ggf. eine Überarbeitung der bisherigen Betriebsvereinbarungen erforderlich macht.

Die Verordnung bewegt sich auf der materiell-rechtlichen Grundlage der geltenden EU-Richtlinie 95/46 und behält im Wesentlichen die grundsätzlichen Datenschutzprinzipien aus der Richtlinie bei.

Zusammenspiel der DSGVO und des BDSG – neu

Am 5. Juli 2017 ist zur Umsetzung und Anpassung an die DSGVO eine Neufassung des BDSG verkündet worden, die ebenfalls mit Wirkung vom 25. Mai 2018 in Kraft tritt. Das Zusammenspiel von National- und Unionsrecht macht das Datenschutzrecht komplizierter, insbesondere für den Umgang mit personenbezogenen Daten im Beschäftigungsverhältnis. Es wird wahrscheinlich eine lange Zeit dauern, bis alle Fragen durch die Rechtsprechung und Literatur geklärt werden können, allerdings steht schon fest, dass es zwar viele Änderungen geben wird, jedoch wenig neue Inhalte geschaffen wurden.

Der Erwägungsgrund 8 der DSGVO stellt klar, dass den Mitgliedsstaaten eine nationale Regelung nicht verwehrt werden soll. Zu beachten sei jedoch, dass der Vorrang der DSGVO stets berücksichtigt wird, der nach Art. 288 Abs.2 AEUV einer EU-Verordnung zukommt. Von diesem Gestaltungsspielraum hat der deutsche Gesetzgeber beispielsweise Gebrauch gemacht, indem er das „Gesetz zur Anpassung des Datenschutzrechts an die VO (EU) 2016/679 und zur Umsetzung der RL (EU) 2016/680 (DSAnpUG-EU)“ erlassen hat. Gem. Art. 8 Abs.1 S.1 des DSAnpUG-EU (im Folgenden: BDSG-Neu) tritt mit Wirkung vom 25.Mai 2018 das BDSG-Neu in Kraft. In § 26 BDSG-Neu werden besondere Regelungen für die Datenverarbeitung im Beschäftigungskontext getroffen.

Der nationale Gesetzgeber, der von seiner Ermächtigung Gebrauch macht, muss ein angemessenes Schutzniveau im Sinne des Art. 88 II DSGVO (Schutzniveau der Öffnungsklausel) sicherstellen. Diese Sicherstellung gilt insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe sowie hinsichtlich Überwachungssystemen am Arbeitsplatz.

Die auf nationaler Ebene ergehenden Rechtsvorschriften bzw. Kollektivvereinbarungen müssen „besondere“ Maßnahmen zum Beschäftigtenschutz vorsehen. Das heißt, dass pauschale Angaben oder Bezugnahmen auf Datenschutzbestimmungen – auch auf die der DSGVO – an dieser Stelle nicht ausreichen. Deshalb müssen diese Vorschriften darüber hinaus „angemessene“ Schutzmaßnahmen treffen, die einen ausgewogenen Interessenausgleich zwischen dem für die Verarbeitung Verantwortlichen und den von der Verarbeitung betroffenen Personen schaffen. § 26 BDSG-Neu führt zum einen die rudimentären Regelungen des § 32 BDSG fort, zum anderen schafft er neue Regelungen mit neuen Auslegungsproblem, die jedoch inhaltlich gesehen nicht viel Neues aufzeigen.

Noch nicht abzusehen ist, inwieweit neben diesen bereichsspezifischen Vorschriften zum Beschäftigtendatenschutz auch die allgemeinen Bestimmungen der DSGVO zur Anwendung gelangen. Ein Blick auf die in Art. 5 Abs. 2 DSGVO niedergelegte Rechenschaftspflicht des Verantwortlichen und auf den Mechanismus der Datenschutzfolgenabschätzung in Art. 35 DSGVO lässt darauf schließen, dass diese Vorschriften der DSGVO nicht ihre Bedeutung verlieren. Es muss jedoch geklärt werden, ob sie nur mittelbar bei der Bestimmung des angemessenen Schutzniveaus der Vorschriften (Art. 88 Abs. 2 DSGVO) heranzuziehen sind oder ob sie direkte Geltung beanspruchen können.

Wie dieses Beispiel zeigt, bleibt vieles so, wie es bislang auch schon gehandhabt wurde, allerdings werden neue Hintergründe gewonnen.  Es verschiebt sich vor allem der Bezugsrahmen von der nationalen auf die europäische Ebene. Deshalb wird es von entscheidender Bedeutung sein, den verantwortlichen Stellen durch Auslegungshilfen der Aufsichtsbehörden, durch klare und richtungsweisende Rechtsprechung insbesondere des EuGH sowie durch eine weiter an Qualität gewinnende wissenschaftliche Debatte Orientierung zu geben.

 

Holen Sie sich professionellen Rat ein. Wir beraten Sie gern.

KINAST Rechtsanwälte

www.kinast-partner.de

mail@kinast-partner.de

 

Autor: Jan Rübsteck 

Bildnachweis: Pixabay

Der Autor:


Als Qualitätsanbieter überzeugen wir mit HighEnd-Technologie und umfassenden Serviceleistungen. Mit mehr als 1,3 Millionen verwalteten Domainnamen gehören wir zu den größten Webhosting-Unternehmen im deutschsprachigen Raum.

Kommentare

  • Alexander

    Alexander

    am 01.10.2018

    danke für diesen Beitrag!
    LG, Alex danke für diesen Beitrag!
    LG, Alex

  • Ulrich T.

    Ulrich T.

    am 16.04.2018

    Wenn ich bei DomainFactory den HostedExchange gebucht habe, sind sie dann Auftragsverarbeiter gemäß §28 DSGVO für mich und sollte/muss ich dann den ADV-Vertrag mit DomainFactory abschließen?

     [...] Wenn ich bei DomainFactory den HostedExchange gebucht habe, sind sie dann Auftragsverarbeiter gemäß §28 DSGVO für mich und sollte/muss ich dann den ADV-Vertrag mit DomainFactory abschließen?

    Herzlichen Dank im Voraus für ihre Antwort.

  • Silvia Beha

    Silvia Beha

    am 13.04.2018

    Hab auch erst hier hin geklickt - für praktische Infos & Tipps zur Umsetzung des dsgvo - wurde ich hier fündig https://www.df.eu/blog/der-8-schritte-plan-wie-sie-die-neue-dsgvo-umsetzen/?utm_sourc [...] Hab auch erst hier hin geklickt - für praktische Infos & Tipps zur Umsetzung des dsgvo - wurde ich hier fündig https://www.df.eu/blog/der-8-schritte-plan-wie-sie-die-neue-dsgvo-umsetzen/?utm_source=newsletter&utm_medium=email&utm_campaign=blog-newsletter-12_2017&_$ja=tsid:68638|cgn:blog-newsletter|kw:12/2017

  • Stefan K.

    Stefan K.

    am 12.04.2018

    Leider verstehe ich das Alles überhaupt nicht und weiß nicht, was ich tun soll. Leider verstehe ich das Alles überhaupt nicht und weiß nicht, was ich tun soll.

    • Stefan K.

      Stefan K.

      am 14.04.2018

      Ich betreibe keinen Shop und habe keine Kundendaten etc. Meine Homepages sind rein ehrenamtlich bzw. Hobby. Sind Sie dann überhaupt Auftragsverarbeiter gemäß §28 DSGVO ? Muss ich überhaupt einen [...] Ich betreibe keinen Shop und habe keine Kundendaten etc. Meine Homepages sind rein ehrenamtlich bzw. Hobby. Sind Sie dann überhaupt Auftragsverarbeiter gemäß §28 DSGVO ? Muss ich überhaupt einen Vertrag schließen. Wenn das alles rechtlich erforderlich sein sollte, würde ich die Homepages schließen und die Domains lieber kündigen wollen.

    • Nils Dornblut

      Nils Dornblut

      am 14.04.2018

      Was genau verstehen Sie nicht? Die DSGVO allgemein oder Regelungen unseres Vertrags für uns als Auftragsverarbeiter gemäß §28? Zum letzten Punkt siehe meine vorherigen Kommentar. Was genau verstehen Sie nicht? Die DSGVO allgemein oder Regelungen unseres Vertrags für uns als Auftragsverarbeiter gemäß §28? Zum letzten Punkt siehe meine vorherigen Kommentar.

  • Frank

    Frank

    am 12.04.2018

    Es wurde mit dem Newsletter ein Link zu einem neuen Vertrag von DF verschickt. Müssen den alle Kunden wg. Dem DSGVO unterschreiben? So ganz schlau werde ich daraus nicht Es wurde mit dem Newsletter ein Link zu einem neuen Vertrag von DF verschickt. Müssen den alle Kunden wg. Dem DSGVO unterschreiben? So ganz schlau werde ich daraus nicht

    • Nils Dornblut

      Nils Dornblut

      am 14.04.2018

      Sie müssen das nur mit uns abschließen, wenn wir für Sie Auftragsverarbeiter gemäß §28 DSGVO sind:

      https://dsgvo-gesetz.de/art-28-dsgvo/ Sie müssen das nur mit uns abschließen, wenn wir für Sie Auftragsverarbeiter gemäß §28 DSGVO sind:

      https://dsgvo-gesetz.de/art-28-dsgvo/

  • Stefan

    Stefan

    am 12.04.2018

    Kann man nicht für die vielen Wordpress-Blogbetreiber übergreifend vernünftige Hinweise geben? Schließlich benutzen die meisten z.B. Akismet, Mail-Poet, Adsense & Co. Das wäre mal ein echter [...] Kann man nicht für die vielen Wordpress-Blogbetreiber übergreifend vernünftige Hinweise geben? Schließlich benutzen die meisten z.B. Akismet, Mail-Poet, Adsense & Co. Das wäre mal ein echter Service eines Providers. So verdient nur Kinast&Partner, oder?

    • Gabriele Brandhuber

      Gabriele Brandhuber

      am 05.05.2018

      Eine sehr tolle und laufend aktualisierte Liste von WordPress Plugins, ob sie DSGVO-konform sind oder nicht, bietet Finn Hillebrand auf seinem Blog: https://www.blogmojo.de/wordpress-plugins-dsgvo/ [...] Eine sehr tolle und laufend aktualisierte Liste von WordPress Plugins, ob sie DSGVO-konform sind oder nicht, bietet Finn Hillebrand auf seinem Blog: https://www.blogmojo.de/wordpress-plugins-dsgvo/ Sehr empfehlenswert!

    • Michael Doepke

      Michael Doepke

      am 23.04.2018

      Eine schöne Übersicht habe ich hier gefunden:
      https://www.socialmedia-betreuung.de/dsgvo/ Eine schöne Übersicht habe ich hier gefunden:
      https://www.socialmedia-betreuung.de/dsgvo/

    • Nils Dornblut

      Nils Dornblut

      am 14.04.2018

      Solche Spezialfälle zu betrachten ist leider schwierig, da es je nach genauer Anwendung, Inhalten und Situation immer etwas anders ist.

      Allgemein finden Sie hier konkrete Punkte:

      https://www.df. [...] Solche Spezialfälle zu betrachten ist leider schwierig, da es je nach genauer Anwendung, Inhalten und Situation immer etwas anders ist.

      Allgemein finden Sie hier konkrete Punkte:

      https://www.df.eu/blog/der-8-schritte-plan-wie-sie-die-neue-dsgvo-umsetzen/

  • Marion

    Marion

    am 12.04.2018

    WORST CASE: Was ist, wenn ich keine Homepage habe, sondern mich nur noch auf eine facebook- Seite beschränke? Was ist dann zu tun? WORST CASE: Was ist, wenn ich keine Homepage habe, sondern mich nur noch auf eine facebook- Seite beschränke? Was ist dann zu tun?

    • Nils Dornblut

      Nils Dornblut

      am 14.04.2018

      Es ist sehr schwer solche Fragen direkt zu beantworten. Diskussionen mit anderen Kunden/Resellern hierzu können sie gerne hier führen:

      https://www.df.eu/forum/threads/82284-Diskussion-DSGVO Es ist sehr schwer solche Fragen direkt zu beantworten. Diskussionen mit anderen Kunden/Resellern hierzu können sie gerne hier führen:

      https://www.df.eu/forum/threads/82284-Diskussion-DSGVO