18
Mrz
2017
Starttaste Computer
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

Datenschutzbehörden: Werden das geplante Datenschutzgesetz nicht anwenden

Nach Auffassung von Barbara Thiel, der Vorsitzenden der Datenschutzkonferenz von Bund und Ländern, ist der derzeit im Bundestag verhandelte Entwurf für ein neues Bundesdatenschutzgesetz in Teilen europarechtswidrig. Die niedersächsische Landesdatenschutzbeauftragte hält insbesondere die im Entwurf vorgesehene Einschränkung von Betroffenenrechten für unzulässig.

Ähnlich hatten sich bereits auch der Landesdatenschutzbeauftragte von Baden-Württemberg, Dr. Stefan Brink und der  EU-Parlamentarier Jan Philipp Albrecht in einem Interview mit der Zeitschrift für Datenschutz (ZD) geäußert. Gegenüber heise online sagte die Vorsitzende der Datenschutzkonferenz: “Das Europarecht ist für uns in jedem Fall bindend. Die Aufsichtsbehörden werden sich in ihren Auslegungsprinzipien deshalb an der Datenschutz-Grundverordnung zu orientieren haben.

Dürfen die Behörden EU-rechtswidrige Vorschriften anwenden?

Aus rechtlicher Sicht ist die Ankündigung der Datenschutzbehörden folgerichtig. Die EU-Datenschutz-Grundverordnung (DSGVO) geht dem nationalen Recht der Mitgliedsstaaten nach Art. 288 Abs. 2 AEUV vor. Die DSGVO genießt damit einen Anwendungsvorrang vor einzelstaatlichen Datenschutzgesetzen. Gelangen die Aufsichtsbehörden zu dem Ergebnis, dass einzelne Regelungen des geplanten neuen BDSG gegen die Vorgaben der DSGVO verstoßen, dürfen die diese Regelungen nicht anwenden. Die Behörden sind bei der Erfüllung ihrer Aufgaben an die Vorgaben der EU-Verordnung gebunden.

Soweit eine Verordnung Normgehalte enthält, die sich an die öffentliche Gewalt der Mitgliedstaaten richtet, sind als Adressat sowohl die Mitgliedstaaten selbst und die nach innerstaatlichem Recht zuständigen Organe des Mitgliedstaats oder seiner Glieder (insbesondere Behörden und Gerichte) gebunden. Sie haben die Verordnungsnorm anzuwenden und die sich daraus ergebenden Rechte und Pflichten für den einzelnen zu beachten bzw. durchzusetzen” (Nettesheim, in Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, AEUV Art. 288 Rn. 98, 60. Ergänzungslieferung 2016).

Im Übrigen binden nach der Rechtsprechung des EuGH nicht nur EU-Verordnungen, sondern bereits Richtlinien die Behörden der Mitgliedsstaaten in nicht unerheblichem Maße. “Die Verwaltung – auch auf kommunaler Ebene – ist ebenso wie ein nationales Gericht verpflichtet, Art. 29 Absatz V EG-Richtlinie 71/305 des Rates anzuwenden und diejenigen Bestimmungen des nationalen Rechts unangewendet zu lassen, die damit nicht im Einklang stehen (EuGH, Urteil vom 22.06.1989 – Rs 103/88 (Costa/ENEL), NVwZ 1990, 649).

Letztlich dürfen die Aufsichtsbehörden für den Datenschutz solche Vorschriften des BDSG-Entwurfs, die sie – mit guten Argumenten – für europarechtswidrig halten, somit gar nicht anwenden.

Wie geht es weiter mit dem BDSG-Entwurf?

Die Warnung der Datenschützer an den Gesetzgeber kommt zur rechten Zeit. Denn noch besteht die Möglichkeit, den Gesetzentwurf anzupassen. Das wäre nicht nur im Hinblick auf Rechtssicherheit und Verbraucherrechte angebracht. Auch aus Sicht der Wirtschaft sind Änderungen nötig. Der derzeit zwischen Bundestag und Bundesrat verhandelte Entwurf ist so komplex und schwer verständlich, dass seine Umsetzung enorm aufwändig wäre. Auch hier sollte der Gesetzgeber dringend nachbessern.

Weitere Informationen zu dem Gesetzentwurf finden Sie hier. Ein Überblick über den geplanten neuen Beschäftigtendatenschutz nach § 26 BDSG-Enwurf finden Sie im April auch in der Neuen Zeitschrift für Arbeitsrecht (NZA).

Was sind die Folgen für Unternehmen?

Für die Wirtschaft ist die Situation nicht einfach. Die Umstellung derDatenschutzorganisation auf die DSGVO erfordert einigen Aufwand und auch eine gewisse Planungssicherheit. Unternehmen sollten sich an der Ankündigung der Datenschutzbehörden orientieren und ihre Umsetzungsprojekte primär an den Vorgaben der DSGVO ausrichten. Dabei empfiehlt es sich jedoch nach wie vor, hinreichend anpassungsfähige Prozesse und Strukturen zu schaffen, um spätere Anpassungen umzusetzen.