Gewerblicher Rechtsschutz, Medienrecht und Datenschutz
Newsletter Ausgabe Nr. 3 2016

EU‐Datenschutz‐Grundverordnung gilt ab 25.05.2018

Heute, am 04.05.2016, wurde das mehrere Jahre währende EU‐Gesetzgebungsverfahren zur Datenschutz‐Grundverordnung auch formell zum Abschluss gebracht. In der heutigen Ausgabe des Amtsblatts der EU (L 119, Seite 1) wurde die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz‐Grundverordnung)“ verkündet. Das ist die umfassendste Datenschutzreform seit dem Bundesdatenschutzgesetz von 1990.

Die Datenschutz‐Grundverordnung ersetzt die heute geltende EG‐Datenschutzrichtlinie sowie weitgehend auch das Bundesdatenschutzgesetz und die Landesdatenschutzgesetze. Damit setzt die Datenschutz‐Grundverordnung die erhebliche Europäisierung des Datenschutzes der letzten Jahre weiter fort. Denn schon heute gibt die EG‐Datenschutzrichtlinie zentrale Bereiche des Datenschutzrechts europäisch vor. Der Gerichtshof der Europäischen Union hat mit bemerkenswerten Urteilen – z. B. in den Fällen „Google Spain“ (Recht auf Vergessen‐Werden) und „Schrems“ (Safe Harbor) – den Einfluss des Europarechts auf die Datenverarbeitung von Unternehmen und Behörden immer weiter ausgeweitet. Die Datenschutz‐Grundverordnung geht einen bedeutenden Schritt weiter. Sie vereinheitlicht den Datenschutz europaweit, trocknet „Datenschutz‐Oasen“ in der EU aus und hebt nationales Datenschutzrecht weitgehend auf. Ganz praktisch wird sich das daran bemerkbar machen, dass das Bundesdatenschutzgesetz nun weitgehend durch ein Bereinigungsgesetz des Bundes aufgehoben werden muss. Das gilt z. B. auch für die bislang geregelten Ordnungswidrigkeiten. Denn die Sanktionen werden durch die Datenschutz‐Grundverordnung erheblich verschärft. So drohen etwa bei materieller Rechtswidrigkeit von Datenverarbeitungen Sanktionen von bis zu 4 Prozent des Weltjahresumsatzes.

Die Datenschutz‐Grundverordnung regelt das Datenschutzrecht so wie die bisherigen nationalen Gesetze grundsätzlich abschließend. Sie enthält aber viele sogenannte Öffnungsklauseln. Diese räumen den nationalen Gesetzgebern in zahlreichen wichtigen Teilbereichen des Datenschutzrechts einen erheblichen Gestaltungsspielraum ein. Das gilt zum Beispiel für den für die Wirtschaft wichtigen Bereich der Verarbeitung von bereits vorhandenen Daten zu einem anderen Zweck als demjenigen, zu dem diese Daten ursprünglich einmal gespeichert worden sind, oder den Beschäftigtendatenschutz. Hier muss nun der Bundesgesetzgeber aktiv werden, damit nicht morgen durch die unmittelbar geltende EU‐Verordnung Datenverarbeitungen verboten, die heute erlaubt sind.

Die EU‐Datenschutz‐Grundverordnung tritt am 20. Tag nach ihrer heutigen Verkündung in Kraft. Wichtiger aber ist ihr zeitlicher Geltungsbeginn. Dies ist der 25.05.2018. Bis dahin müssen nicht nur Bundes‐ und Landesgesetzgeber die Sisyphosarbeit leisten, ihr Datenschutzrecht durchzukämmen und zu bereinigen sowie darüber hinaus aktiv solche Regeln vorzusehen, die im Bereich nationaler Öffnung bislang erlaubte Datenverarbeitungen „retten“. Vor allem aber müssen nun auch Unternehmen und Behörden ihre Prozesse und Systeme systematisch durchgehen und an das neue Recht anpassen.

Dr. Gero Ziegenhorn, Berlin