9
Sep
2016
Blogbeitrag_Arbeitsrecht
Tim Wybitul
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

EU-Datenschutz-Grundverordnung: Streit um deutsches Ausführungsgesetz zum Datenschutz

Ab dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO) in allen Mitgliedsstaaten der EU. Als EU-Verordnung wirkt sie direkt und unmittelbar. Eine Umsetzung in nationales Recht ist nicht nötig.

Stattdessen verdrängt die DSGVO Gesetze mit gleichen Regelungen. Dieser sogenannte Anwendungsvorrang erlaubt nationale Regelungen der einzelnen Mitgliedsstaaten nur dort, wo die DSGVO ausdrücklich Öffnungsklauseln vorsieht. Hier sind sogenannte Ausführungsgesetze zulässig. Dies betrifft beispielsweise die Zuständigkeit einzelner Datenschutzbehörden oder den Beschäftigtendatenschutz.

 

Das Bundesinnenministerium plant ein Allgemeines Bundesdatenschutzgesetz

Das Bundesinnenministerium (BMI) bereitet seit einiger Zeit ein Ausführungsgesetz zur DSGVO vor. Kürzlich ist ein erster Referentenentwurf zur Abstimmung zwischen den beteiligten Ressorts bekannt geworden, den sie hier abrufen können. Kern dieses Gesetzgebungsvorhabens ist ein Entwurf für ein Allgemeines Bundesdatenschutzgesetz (ABDSG). Dessen Eckdaten haben wir hier für Sie zusammengefasst. Ein kritisches Interview mit Jan Albrecht und Tim Wybitul zu den Plänen des BMI erscheint in der kommenden Ausgabe der Zeitschrift für Datenschutz (ZD).

bfdi

Stellungnahme der Bundesdatenschutzbeauftragten: “misslungen

Nun ist auch eine Stellungnahme der Behörde der Bundesbesauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zu dem Gesetzesvorhaben bekannt geworden. Das Urteil des BfDI fällt ungewöhnlich scharf aus. Die Behörde kritisiert bereits den Ansatz des geplanten Gesetzes als “verfehlt und weitgehend misslungen“. Noch deutlicher wird die Kritik an anderer Stelle: “Der Regelungsansatz führt dazu, dass für den Rechtsanwender bei vielen Vorschriften deren Anwendungsbereich unklar ist.(…) Dies macht den Gesetzentwurf unübersichtlich und kaum handhabbar.” Die Stellungnahme der BfDI können Sie hier im Volltext abrufen.

bmjv

Bewertung des Justizministeriums: “nicht verständlich

Ähnlich drastisch wie die Wertung der BfDI fällt auch eine vorläufige Stellungnahme des Bundesministeriums für Justiz und Verbraucherschutz (BMJV) aus. Dort heißt es wörtlich: “Wir halten den Regelungsansatz aus Sicht der Normanwender – also Behörden, Unternehmen und Bürgerinnen und Bürger – nicht für verständlich.” Auch die sonstigen Aussagen des BMJV zum geplanten ABDSG sind wenig schmeichelhaft: “lückenhaft“, “unbestimmt” und “unverhältnismäßig“. Die vorläufige Stellungnahme des Justizministeriums finden Sie hier.

 

Wie geht es weiter?

Es steht nicht zu erwarten, dass der vom BMI vorgelegte Entwurf den Bundestag ohne erhebliche Debatten und Änderungen passiert. Das BMJ bezweifelt sogar, dass das Gesetz in dieser Form durch den Normenkontrollrat kommen würde. Dabei ist die Kritik der BfDI und des BMJV mehr als nachvollziehbar. Sowohl die Struktur als auch die einzelnen Regelungen des ABDSG sind sehr schwer zu verstehen. Das geplante Gesetz ist selbst für Experten nur mit Mühe zu verstehen. Das erschwert eine rechtssichere Anwendung ganz erheblich. Auch der grundsätzliche Ansatz, möglichst viele Regelungen aus dem BDSG in den Anwendungsbereich der DSGVO zu übertragen, ist mehr als fragwürdig. Vor allem widerspricht dies dem vom EU-Gesetzgeber gewählten Ansatz einer vorrangigen EU-Verordnung zum Datenschutz. Eines der wesentlichen Ziele der DSGVO war es ja gerade, den “Flickenteppich” des Datenschutzes in Europa” in ein einheitliches und modernes Datenschutzrecht umzuwandeln. Dieses Ziel wird untergraben, wenn jeder Mitgliedsstaat nun versucht, die Öffnungsklauseln der Verordnung auszunutzen, um sein altes Datenschutzrecht wieder auferstehen zu lassen. Auch der Wirtschaft ist damit wenig geholfen. Denn auch Unternehmen brauchen einen einheitlichen und harmonisierten Rechtsrahmen beim Datenschutz.

 

Wie sollten Unternehmen nun im Rahmen der Umsetzung der DSGVO vorgehen?

Das geplante Gesetz stellt die Wirtschaft vor erhebliche Herausforderungen. Die meisten größeren oder grenzüberschreitend tätigen Konzerne arbeiten bereits intensiv an der Umsetzung der Vorgaben der DSGVO in entsprechend angepasste Strukturen und Prozesse. Einen Überblick sowie eine Checkliste zur Planung von Umsetzungsprojekten zur DSGVO finden Sie hier. Für diese Planung wäre es ausgesprochen hilfreich, die künftige Rechtslage in Deutschland und den anderen Mitgliedsstaaten zu kennen. Allerdings sind belastbare Prognosen zum laufenden Gesetzgebungsverfahren kaum möglich.

Sicherlich wäre es zumindest sehr riskant, auf erhebliche Erleichterungen durch die Gesetzgeber der einzelnen Mitgliedsstaaten zu bauen. Daher orientieren sich viele Konzerne derzeit an den allgemeinverbindlichen Vorgaben der DSGVO und setzen diese EU-weit oder sogar global um, soweit dies in der verbleibenden Zeit bin zum 25. Mai 2018 möglich ist. Hierfür sind unter anderem sorgfältige Planung, ein gefährdungsbasiertes Vorgehen und eine entsprechende Priorisierung nötig.

Gerne stehen wir Ihnen bei Rückfragen zur Verfügung.