Nach langen und zähen Verhandlungen: EU-Datenschutzreform ist endlich abgeschlossen!

Aktuelles zur Umsetzung der Datenschutz-Grundverordnung und der Datenschutz-Richtlinie für Polizei und Justiz

Am 4. Mai 2016 war es soweit: Die „VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ wurde im Amtsblatt der Europäischen Union veröffentlicht. Das gleiche Amtsblatt enthält auch die „RICHTLINIE (EU) 2016/680 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates“ – im Folgenden als „Datenschutzrichtlinie für Polizei und Justiz“ bezeichnet.

Datenschutz-Grundverordnung und Datenschutzrichtlinie für Polizei und Justiz werden sich erheblich auf das Datenschutzrecht in Bund und Ländern und auf die Praxis des Datenschutzes auswirken. Vieles – aber zum Glück nicht alles – wird im Datenschutz anders werden. Doch zunächst haben Gesetzgeber und Datenschutzpraxis noch zwei Jahre, um das nationale Recht und die Verarbeitungsprozesse in Unternehmen und öffentlichen Stellen an das neue europäische Recht anzupassen.

Diese kostbare Zeit sollten Sie nutzen!

Dabei wollen wir Sie unterstützen. In unserem neuen monatlichen Newsletter werden wir Ihnen die neuen Regelungen näher vorstellen und über den aktuellen Stand der Rechtsanpassung in Deutschland berichten. Vor allem aber erhalten Sie einen Ausblick darauf, was Sie künftig als Datenschutzbeauftragter oder sonstiger Datenschutzverantwortlicher erwartet, was sich ändert und was bleibt.

Zunächst ein kleiner zeitlicher Überblick:

• 4. Mai 2015:
  Die Datenschutz-Grundverordnung (DSGVO) und die Datenschutzrichtlinie Polizei und Justiz (DS-RL) werden im Amtsblatt der EU veröffentlicht. Der Link zum Amtsblatt:
  http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=OJ:L:2016:119:FULL&from=DE

• 5. Mai 2016:
  Die Datenschutzrichtlinie für Polizei und Justiz tritt in Kraft
  
  

• 25. Mai 2016:
  Die Datenschutz-Grundverordnung tritt in Kraft
  
  

• bis zum 6. Mai 2018:
  Die Datenschutzrichtlinie für Polizei und Justiz ist im Recht der Mitgliedstaaten umzusetzen.
  
  

• bis zum 25. Mai 2018:
  Das Recht der Mitgliedstaaten ist an die Vorschriften der Datenschutz-Grundverordnung anzupassen. Insbesondere sind die in der DSGVO enthaltenen vielfältigen Regelungsaufträge umzusetzen.
  
  

• 25. Mai 2018:
  Die Datenschutz-Grundverordnung ist anzuwenden, allenfalls für Einwilligungserklärungen besteht eine Übergangsregelung.

Datenschutz-Grundverordnung und die Richtlinie zum Datenschutz für Polizei und Justiz sind eng aufeinander abgestimmt. Ein Vergleich mit der derzeit geltenden EG-Datenschutz-Richtlinie von 1995 zeigt gerade im materiellen Recht zahlreiche Übereinstimmungen. So bleibt es etwa beim Verbot mit Erlaubnisvorbehalt, der Zweckbindung und den erhöhten Anforderungen für besonders geschützte Daten. Daraus folgt gerade für den öffentlichen Bereich eine prägende Differenzierung:

• Die allgemeinen Vorschriften z.B. über Betroffenenrechte und Datenübermittlungen in Drittländer sowie die eher formalen Normen (etwa über den Datenschutzbeauftragten und die Aufsichtsbehörden) sind vergleichsweise detailliert.

• Bei den materiellen Grundlagen der Datenverarbeitung ist das dagegen nicht der Fall. Hier hat die Datenschutz-Grundverordnung zumindest für den öffentlichen Bereich letztlich eher den Charakter einer Richtlinie. Den Mitgliedstaaten soll die Möglichkeit gegeben werden, nationale Bestimmungen einzuführen oder beizubehalten, um damit die Datenverarbeitung zur Wahrnehmung öffentlicher Aufgaben genauer festzulegen. So stellt es der verbindliche und als „Lesehilfe“ des Verordnungsgebers zu verstehende Erwägungsgrund 10 fest.

• Im Ergebnis ermöglicht das vor allem den grundsätzlichen Fortbestand bereichsspezifischer Datenschutzregelungen wie im Melderecht oder im Krankenhausgesetz. Aber auch allgemeine Datenschutzregelungen wie BayDSG, BDSG oder SGB X können auf diese Weise jedenfalls für den öffentlichen Bereich erhalten bleiben.

Die Datenschutz-Grundverordnung will somit die Grundstrukturen des bestehenden Datenschutzrechts im öffentlichen Bereich nicht grundlegend verändern. Auch behält sie bewährte Schutzmechanismen, wie etwa den behördlichen Datenschutzbeauftragten, bei (Art. 37 Abs. 1a). Gleichwohl stellt sie den Gesetzgeber als unmittelbar anzuwendendes Recht immer noch vor umfassende Überprüfungs-, Bereinigungs- und Anpassungsaufgaben.

Mehr zu dieser Herausforderung erfahren Sie in der sommerlichen Doppelausgabe unseres Newsletters August/September 2016!

Die Autoren des Kommentars zum Bay. Datenschutzgesetz

Christian Peter Wilde
Eugen Ehmann
Marcus Niese
Anton Knoblauch
Michael Will