Die Datenschutzgrundverordnung (Verordnung EG 2016/679, EU-DSGVO) kommt für alle zum 25.5.2018

Der Datenschutz ist aktuell ein großes Thema. Mit der Datenschutzgrundverordnung der EU (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, Datenschutz-Grundverordnung – DSGVO), wird der Datenschutz im Unions-Gebiet nunmehr harmonisiert. Bereits 2016 ist die DSGVO in Kraft getreten. Damit alle Betroffenen Zeit zur Umsetzung haben, wird sie erst zum 25. Mai 2018 angewendet. 

Als EU-Verordnung gilt die DSGVO in den Mitgliedstaaten unmittelbar, d.h. die DSGVO muss nicht erst durch ein Gesetz in nationales Recht transferiert werden. Das bedeutet aber auch, dass nationales Datenschutzrecht dort nicht mehr anwendbar ist, wo dann die DSGVO gilt. Konkret bedeutet das, dass nationale datenschutzrechtliche Vorschriften dann ersetzt werden, wenn der Sachverhalt durch die DSGVO erfasst wird. 

In Deutschland betrifft das vor allem das Bundesdatenschutzgesetz. Aber auch die Landesdatenschutzgesetze sind betroffen. Bundes- und Landesdatenschutzrecht wird am 25. Mai 2018 überwiegend außer Kraft treten. Die Gesetze werden durch die DSGVO ersetzt.

Für wen gilt die DSGVO? Die DSGVO gilt für alle Wirtschaftsteilnehmer, also für Behörden, Konzerne und KMU ebenso wie für Kleinstunternehmer. Sie gilt nicht für Privatpersonen bei persönlichen oder familiären Tätigkeiten; deren Rechte sollen ja gerade geschützt werden. 

Wann gilt die DSGVO? – Die DSGVO gilt immer dann, wenn die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, gleich, ob die Verarbeitung in oder außerhalb der Union stattfindet. Auch Wirtschaftsteilnehmer, die im außereuropäischen Raum ansässig sind, aber im EU-Raum Waren oder Dienstleistungen anbieten wollen, müssen die DSGVO beachten. Dieses sog. Marktortprinzip ist neu und soll die Einheit des Datenschutzniveaus garantieren.

Was ist (noch) neu? – Neu ist der Grundsatz der Datenübertragung. Danach kann der Betroffene z.B. die Mitnahme seines „Profils“ zu einem neuen Anbieter verlangen. Erweitert wurden die Informationspflichten hinsichtlich der Erhebung personenbezogener Daten. Dabei unterscheidet die DSGVO danach, ob die Daten beim Betroffenen oder über Dritte erhoben werden. Der Katalog ist sehr umfangreich. Hier ist nicht auszuschließen, dass die Gerichte zukünftig davon ausgehen, dass solche Informationen den Marktzutritt betreffen; dann wären Sie im Wettbewerb relevant und könnten Gegenstand von Abmahnungen werden. Neu ist auch das Recht auf Vergessenwerden. Hier gelten allerdings etliche Voraussetzungen. Neu ist schließlich das Kohärenzprinzip hinsichtlich einer klaren Zuständigkeit der Aufsichtsbehörden. 

Insgesamt besteht die DSGVO aus 99 Artikel. Hinzukommen 173 sog. Erwägungsgründe, die helfen sollen, die Artikel im Sinne der Kommission anzuwenden. 

Die DSGVO gibt den Mitgliedstaaten an etlichen Stellen Spielräume für abweichende Regelungen. Diese Regelungen wird der Bund durch das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU anpassen. Das Gesetz ist noch ein Entwurf mit Stand vom 2.2.2017.

Fazit

Sämtliche Unternehmen und die überwiegende Anzahl der Behörden werden ab 2018 nicht nur die DSGVO, sondern auch ergänzendes deutsches Recht zu beachten haben. Soweit Sie grenzüberschreitend tätig sind, sind zudem die Ausführungsgesetze des jeweiligen Mitgliedstaates zu beachten. Einfach wird das nicht. Wir beraten Sie gerne dazu.