Gewerblicher Rechtsschutz, Medienrecht und Datenschutz
Newsletter Ausgabe Nr. 5 2015

EU‐Datenschutz‐Grundverordnung: Politische Einigung erzielt

Wegfall des Bundesdatenschutzgesetzes 2018 stellt Unternehmen vor erhebliche Herausforderungen

Nach nahezu vierjährigen Verhandlungen haben die Unterhändler aus Europäischem Parlament, EU‐Ministerrat und Kommission am 15. Dezember 2015 im sogenannten Trilog eine informelle Einigung über die künftige EU‐Datenschutz‐Grundverordnung (DS‐GVO) erzielt. Die DS‐GVO wird die bisherige Datenschutz‐Richtlinie 95/46/EG ablösen. Ausgangspunkt der außergwöhnlich kontroversen Beratungen war der Verordnungsvorschlag der Kommission aus Januar 2012. Ziel der Kommission war es, ein einheitliches Datenschutzrecht für alle Unternehmen und Behörden in der EU zu schaffen. Auch außereuropäische Unternehmen werden bei wirtschaftlichen Vorgängen innerhalb der EU künftig an die DS‐GVO gebunden sein. Sie alle stellt die DS‐GVO vor erhebliche Herausforderungen.

Datenverarbeitungen ohne Einwilligung

Auch in Zukunft dürfen Unternehmen und Behörden personenbezogene Daten nur verarbeiten, wenn hierfür eine Einwilligung vorliegt oder die Voraussetzungen einer gesetzlichen Grundlage erfüllt sind. Eine zentrale Diskussion im Gesetzgebungsverfahren zur DS‐GVO war, ob Datenverarbeitungen ohne Einwilligungen zukünftig nur unter noch strengeren Voraussetzungen möglich sein sollen. Diese Sicht hat sich nicht durchgesetzt. Insbesondere dürfen auch zukünftig personenbezogene Daten verarbeitet werden, wenn dies den legitimen Interessen der datenverarbeitenden Stelle dient und verhältnismäßig sind. Es darf auch weiterhin eine Verarbeitung zu Gunsten von Dritten erfolgen. Das ist eine gute Nachricht für Unternehmen.

Weniger gut hingegen ist, dass der Verhältnismäßigkeitsgrundsatz nicht mehr – wie bislang – durch den mitgliedstaatlichen Gesetzgeber ausgestaltet werden darf. Die detaillierte Spezialregelungen und sektorspezifischen Vorschriften des deutschen Datenschutzrechts fallen weg. Das bedeutet ein erhebliches Maß an Rechtsunsicherheit. Zukünftig sind allein die sehr abstrakten Maßstäbe der DS‐GVO maßgeblich.

Mehr Rechtsunsicherheit bei Datenverarbeitungen, die vom ursprünglichen Erhebungszweck abweichen

Ein in den Verhandlungen bis zuletzt umstrittener Punkt war auch der Grundsatz der Zweckbindung. Schon nach heutigem Recht dürfen Unternehmen und Behörden personenbezogene Daten grundsätzlich nur zu dem Zweck verwenden, zu dem sie ursprünglich erhoben wurden. In der Praxis von erheblicher Bedeutung ist die Frage, unter welchen Voraussetzungen von diesem Grundsatz abgewichen werden darf. Beispielsweise dürfen Daten, die ursprünglich zur Abwicklung einer Vertragsbeziehung erhoben wurden, grundsätzlich nicht für anderweitige Zwecke verwendet werden, z. B. für betriebswirtschaftliche Analysen oder Werbung. Nach bisherigem Recht kann aber eine solche Datenverwendung zu einem abweichenden Zweck z. B. dann rechtmäßig sein, wenn sie verhältnismäßig ist. Diese und andere Ausnahmevorschriften fallen nun weg.

Stattdessen sieht die DS‐GVO nun eine neue „Kompatibilitätsprüfung“ vor. Jede Datenverwendung muss „kompatibel“ mit dem ursprünglichen Zweck sein. Hierfür fordert die DS‐GVO eine wertende Betrachtung. Sie gibt hierfür zwar Kriterien an die Hand. Diese sind jedoch unbestimmt. Aller Voraussicht nach werden einige zweckabweichende Datenverwendungen zukünftig rechtswidrig sein, die heute noch rechtmäßig sind. Jedenfalls aber wird die Rechtsunsicherheit in diesem Bereich erheblich zunehmen. Das gilt umso mehr, als auch hier die vielen Spezialregelungen des deutschen Datenschutzrechts zukünftig wegfallen.

Auf der anderen Seite könnte die Regelung zum Zweckbindungsgrundsatz auch neue Möglichkeiten eröffnen. Nach bisherigem Recht muss jede Datenverarbeitung auf eine gesonderte Rechtsgrundlage gestützt werden, auch nachfolgende Verarbeitungen. Nach Vorstellung des Unionsgesetzgebers müssen hingegen Weiterverarbeitungen zukünftig nicht mehr auf eine solche Rechtsgrundlage gestützt werden. Vielmehr soll eine erfolgreiche Zweckkompatibilitätsprüfung ausreichend sein.

Datenübermittlungen in Drittstaaten

Viel alten Wein in neuen Schläuchen enthält die Verordnung zum internationalen Datenverkehr. Dieser ist heute für Unternehmen Alltag. Denn schon die Möglichkeit eines Zugriffs auf personenbezogene Daten durch Personen außerhalb des Europäischen Wirtschaftsraums ist rechtlich eine Datenübermittlung in Drittstaaten. Das betrifft den Einsatz gängiger Cloud‐Dienste und Software as a Service (SaaS) durch die allermeisten Unternehmen in Europa, vom Mittelständler bis zum internationalen Konzern. Der EuGH hatte in seinem wegweisenden Urteil in der Rechtssache Schrems vom 06.10.2015 solche Datenübermittlungen in Frage gestellt, auch wenn das Urteil selbst nur Übermittlungen in die USA betrifft. Die massiven Probleme, vor die der EuGH die Unternehmenspraxis mit seinem Urteil gestellt hat, werden mit der DS‐GVO nicht gelöst. Für Datenübermittlungen in die USA bleibt abzuwarten, wie die derzeitigen Verhandlungen der EU mit den USA für einen neuen Rechtsrahmen – zumindest für transatlantischen Datenaustausch (Safe Harbor) – ausgehen.

Wie geht es weiter?

Die jetzt zwischen den Verhandlungsführern der EU‐Gesetzgebungsorgane erzielte Einigung bedarf noch der förmlichen Bestätigung durch das Plenum des Europäischen Parlaments und den EU‐Ministerrat. Diese ist in der Praxis nun eine reine Formsache und wird für das erste Quartal 2016 erwartet. Die DS‐GVO wird 20 Tage nach ihrer Veröffentlichung im EU‐Amtsblatt in Kraft treten. Angewendet werden muss sie aber erst zwei Jahre danach, also nicht vor April 2018. Bis dahin gelten das BDSG und die bisherige Datenschutz‐Richtlinie 95/46/EG weiter. Während die bisherige Richtlinie den Mitgliedstaaten Spielraum für eine Konkretisierung der europarechtlichen Vorgaben im Rahmen nationaler Umsetzungsgesetze ließ, ist die DS‐GVO von den Mitgliedstaaten als unmittelbar geltendes Recht anzuwenden. Dies bedeutet auch, dass das Bundesdatenschutzgesetz (BDSG) nach Ablauf der zweijährigen Übergangsfrist weitgehend der Vergangenheit angehören wird.

Dr. Gero Ziegenhorn / Dr. Clemens Holtmann