DSGVO: Fluch oder Segen?
Die Datenschutz-Grundverordnung verfolgt zunächst das primäre Ziel, das unübersichtliche Datenschutzrecht der einzelnen Mitgliedstaaten zu vereinheitlichen.
Ein weiteres Ziel soll der Datenschutz in Europa aufgrund der anwachsenden Herausforderungen durch Cloud Computing, Big Data, soziale Medien und Suchmaschinen sein.
Dabei soll der Grundrechtsschutz des Einzelnen im Vordergrund der Modernisierung stehen.
Der Anwendungsbereich der DSGVO
Unternehmen müssen einen Datenschutzbeauftragten bestellen, soweit ihre Tätigkeit eine umfangreiche, systematische und regelmäßige Beobachtung von betroffenen Personen erfordert.
Auch eine Verarbeitung zum Beispiel von besonders sensiblen Daten (etwa Gesundheitsdaten) nach Artikel 9 Abs. 1 DSGVO oder Daten über strafrechtliche Verurteilungen oder Straftaten nach Artikel 10 Abs. 1 DSGVO bedarf eines Datenschutzbeauftragten.
Das heißt für Unternehmen in Deutschland: Es wird sich voraussichtlich nichts ändern an den bisherigen Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist. Wichtig ist aber, die neue Pflicht des Datenschutzbeauftragten, über die Einhaltung der DSGVO zu wachen.
Damit entsteht auch für die Unternehmen ein spürbar höheres Haftungsrisiko. So weit also die Grundsätze der DSGVO – doch warum schneidet das neue Regelungswerk in den Rezensionen so schlecht ab?
Öffnungsklauseln verwässern das Ziel der Vereinheitlichung
Die 99 Artikel der europäischen DSGVO enthalten neben Richtlinien für Unternehmen und öffentliche Behörden auch sogenannte Öffnungsklauseln. Diese ermöglichen es den Mitgliedstaaten, bestehende Datenschutzregeln beizubehalten oder neue zu erlassen.
Dadurch kann es in allen europäischen Mitgliedstaaten trotz der einheitlichen Grundverordnung wieder zu sehr unterschiedlichen Regelungen kommen. Damit ist die Europäische Union von einer einheitlichen, europaweiten Rechtspraxis weit entfernt, denn die DSGVO enthält mehr als 70 dieser Öffnungsklauseln – die allerdings nur bei einigen Themen zugelassen sind.
Ein weiterer großer Kritikpunkt ist, dass die neue Verordnung in vielen Fällen nur sehr abstrakte Antworten gibt. Hierzu zählt unter anderem, was unter dem Begriff „Belastbarkeit“ als Schutzziel in Art. 32 Abs. 1 b) zu verstehen ist und wie „Belastbarkeit“ zu definieren ist.
Wie sollen sich Wirtschaft, Behörden und Gerichte konkret in Datenschutzbelangen verhalten?
Während zahlreiche Richtlinien sehr genau definiert und ausformuliert sind, werden andere wiederum nur grob umrissen. So besteht in einigen wenigen Fällen weiterhin die Gefahr, dass der Flickenteppich im Bereich Datenschutz in Europa weiterhin existiert.
Big Data, Cloud und Co.? Fehlanzeige!
Doch was die Experten am meisten ärgert, ist, dass die neuen europäischen Regelungen auf die wirklichen Herausforderungen und Risiken in der Informationstechnik nicht explizit eingehen.
Big Data – also die Datenflut und ihre Beherrschung –, Suchmaschinen, Cloud Computing und andere moderne Technikanwendungen werden in den 99 Artikeln nicht ausdrücklich genannt.
Wie bereits im Bundesdatenschutzgesetz (BDSG) müssen auch in der DSGVO die Regelungen aus einzelnen Artikeln herausgelesen werden.
Welche Regelungen gelten?
Für Arbeitgeber ist wichtig, dass der Paragraf 32 des Bundesdatenschutzgesetzes wahrscheinlich weiter fortbestehen wird. Dieser besagt, dass personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden dürfen.
Grund für das mögliche Weiterbestehen der Regelung ist Artikel 88 Absatz 1 DSGVO. Dieser enthält eine oben beschriebene Öffnungsklausel. Somit können spezifischere Regelungen zum Datenschutz im Beschäftigungskontext durch den nationalen Gesetzgeber selbst geschaffen werden.
Weiterhin wird auch die Möglichkeit der Verarbeitung personenbezogener Daten auf der Grundlage einer Kollektivvereinbarung bestehen bleiben. Das sind dann die Betriebsvereinbarungen und Tarifverträge.
Der in der Personalpraxis gute Weg, die Betriebsvereinbarung als Erlaubnistatbestand zur Datenverarbeitung zu nutzen, wird also weiter bestehen bleiben können.
Es kann aber auch zu der Situation kommen, dass Betriebsvereinbarungen neu entworfen werden müssen, um den Anforderungen der DSGVO zu entsprechen.
Fazit
Ein großer Wurf, der seine selbst gesetzten Ziele nicht ganz erreicht. Von Einheitlichkeit im gesamten europäischen Raum ist die DSGVO zwar noch ein gutes Stück entfernt, zeigt aber die Richtung an, in die es zukünftig gehen soll.
Einige abstrakte Formulierungen in der DSGVO erlauben zwar keine hundertprozentig sichere Rechtsanwendung, schließen aber Rechtslücken aus der Vergangenheit.
509584528, Billion Photos Das Fehlen von explizit genannten technischen Neuerungen in der DSGVO ist leider ein Defizit, welches hätte vermieden werden müssen. Insgesamt ist die Datenschutz-Grundverordnung ein Schritt in die richtige Richtung, aber erst der Anfang auf einem weiten Weg.