Kostenlose Hotline: 0049 0800-2183-333 Versandkostenfrei
Menü schließen
Obwohl das Wort „Grundverordnung“ einen umfassenden Geltungsanspruch nahe legt, unterliegen bei Weitem nicht alle Bereiche des Datenschutzes dem neuen, unmittelbar geltendem europäischen Recht. Auch bei der Datenschutz-Grundverordnung sollte deshalb vor jeder Analyse ihrer Auswirkungen der Anwendungsbereich genau geprüft werden. Nach dem Ende der Sommerpause widmet sich der 2. Newsletter für die Datenschutzpraxis in Bayern daher Grundsatzfragen zum Anwendungsbereich der Datenschutz-Grundverordnung und gibt ein Update zum Stand der Anpassungsarbeiten beim BDSG und BayDSG.
In unserem ersten Newsletter haben wir festgestellt: „Die Datenschutz-Grundverordnung und die Datenschutzrichtlinie für Polizei und Justiz werden sich erheblich auf das Datenschutzrecht in Bund und Ländern und auf die Praxis des Datenschutzes auswirken. Vieles – aber zum Glück nicht alles – wird im Datenschutz anders werden.“ Ein genauer Blick zeigt, dass die Datenschutz-Grundverordnung einige Bereiche von vornherein ausnimmt, andererseits aber manche Sachverhalte erfasst, die bisher nicht oder nicht vorrangig durch das europäische Datenschutzrecht bestimmt wurden:
„Weiße Flecken“ im Anwendungsbereich der DSGVO?
Da auch für den Datenschutz keine umfassende Gesetzgebungskompetenzen der Europäischen Union besteht, unterliegen Datenverarbeitungsvorgänge außerhalb „des Anwendungsbereichs des Unionsrecht“ (Art. 2 Abs. 2 Buchst. a) DSGVO) weiterhin allein landes- oder bundesrechtlichen Datenschutzregelungen: dies gilt etwa für die Verfassungsschutzbehörden, den Landtag oder den Rechnungshof außerhalb bloßer Verwaltungsangelegenheiten oder das Begnadigungsrecht (Art. 2 Abs. 4, 5 und 6 BayDSG). Für die Übermittlung von Daten an diese Behörden durch allgemeine, der DSGVO unterworfene Verwaltungsbehörden, etwa zwischen Ausländerbehörden und dem Landesamt für Verfassungsschutz oder für behördliche Stellungnahmen zu einer Landtagspetition gelten aber die allgemeinen Regelungen der DSGVO.
Wie schon die EG-Datenschutzrichtlinie gilt auch die DSGVO nicht für private Datenverarbeitungen also nicht für „ausschließlich für persönliche oder familiäre Tätigkeiten“ („Haushaltsausnahme“, Art. 2 Abs. 2 Buchst. c) DSGVO). Solche Tätigkeiten „ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit“ umfassen, wie Erwägungsgrund 18 festhält, auch die Nutzung sozialer Netzwerke oder sonstige Online-Aktivitäten. Die bisherige enge EuGH-Rechtsprechung zur „Haushaltsausnahme“ der EG-Datenschutzrichtlinie bleibt damit erkennbar unangetastet. Deshalb unterliegen allgemein zugängliche Veröffentlichungen privater Informationen im Internet z.B. im Rahmen einer Homepage von Vereinen oder Bürgergemeinschaften weiterhin den allgemeinen datenschutzrechtlichen Anforderungen der DSGVO.
Vorrang des EU-Datenschutzrechts für Telekommunikationsnetze und zur Verhütung und Verfolgung von Straftaten
Der im Titel „Grundverordnung“ angelegte Vorrang bereichsspezifischen europäischer Datenschutzregelungen lässt die DSGVO schließlich im Bereich des Telekommunikationsdatenschutzes (§§ 91 ff. TKG) und des Datenschutzrechts der Polizei und der Strafverfolgungsbehörden zurücktreten. Hier gelten mit der noch zu überarbeitenden e-Privacy-Richtlinie (RL 2002/58 (EG); vgl. Art. 95 DSGVO) und der parallel zur DSGVO verabschiedeten RL 2016/680/EU eigenständige europäische Datenschutzregelungen. Wie bei den übrigen Bereichsausnahmen unterliegen auch hier Übermittlungen durch Behörden im Anwendungsbereich der DSGVO deren allgemeinen Verarbeitungsbestimmungen, z.B. für die Rechtmäßigkeit einer Zweckänderung im Fall der Übermittlung eines strafrechtlich sanktionierten Fehlverhaltens durch Führerschein- oder Waffenrechtsbehörde an Staatsanwaltschaft oder Polizei.
Geltung der DSGVO für Gerichte, Medien und im Arbeits- und Dienstrecht
Andere Sonderbereiche des nationalen Datenschutzrechts werden dagegen durch die Datenschutz-Grundverordnung ebenso wie das allgemeine Datenschutzrecht des BayDSG oder BDSG überformt: dies gilt insbesondere für die Datenverarbeitung durch Gerichte auch im Bereich ihrer rein justiziellen Tätigkeit, die Datenverarbeitung durch Presse oder private und öffentliche Rundfunkanbieter oder den Beschäftigtendatenschutz. Auch wenn die DSGVO dem nationalen Gesetzgeber mehr oder minder weitgehende Spielräume für besondere Regelungen einräumt, sind grundlegendere Änderungen für die verantwortlichen Stellen in diesen bislang kaum durch europäisches Recht geprägten Bereichen des Datenschutzes insbesondere bei den Betroffenenrechten nicht auszuschließen.
Altes und Neues zum Begriff des personenbezogenen Datums und zum Aktenbegriff
Wichtige Grundfragen jeder genaueren Analyse der DSGVO bleiben schließlich noch der Begriff des personenbezogenen Datums, des Aktenbegriffs und die Frage etwaiger Bestandsschutz- bzw. Übergangsregelungen: während der Begriff des personenbezogenen Datums trotz einzelner, teils widersprüchlicher Konkretisierungsversuche in den Erwägungsgründen substantiell nicht verändert wurde, zeigt die DSGVO eine gewandeltes Verständnis zum Datenschutz bei der klassischen „Offline“-Aktenführung: Obwohl weder der Verarbeitungs- noch der Dateibegriff oder die Definition des sachlichen Anwendungsbereichs der DSGVO gegenüber der EG-Datenschutzrichtlinie im Normtext inhaltlich verändert wurden, findet sich in Erwägungsgrund 15 für den hier maßgeblichen Begriff des „Dateisystems“ der Hinweis, dass „Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.“ Legt der nationale Gesetzgeber dieses nochmals in Erwägungsgrund 18 der parallel erlassenen Richtlinie zum Datenschutz bei Polizei und Gerichten ( RL 2016/680/EU) zu Grunde, bleibt für eigenständige Anforderungen zum Datenschutz in klassischen, durch Aktenpläne u.a. strukturierte Behörden-Akten (vgl. Art. 3 Abs. 2 Satz 2 BayDSG) kein Spielraum. Der Versuch einer Umgehung der DSGVO durch eine „Flucht in die Papierakte“ ist deshalb nicht ratsam.
Nur zwei Jahre Übergangsfrist, keine Altfallregelung
So wenig die DSGVO solche „technische“ Vermeidungsstrategien belohnt, so rigide verhält sie sich zu Altfällen: anders als viele nationale Regelungen anerkennt die DSGVO nur sehr begrenzt Bestandsschutzinteressen und schafft damit keinerlei „Torschluss“- bzw. Stichtagseffekte. Alleine für internationale Datenschutzübereinkünfte (Art. 96 DSGVO) und bestimmte Entscheidungen der Kommission und der nationalen Aufsichtsbehörden zum Internationalen Datenverkehr (Art. 45 Abs. 9 und Art. 46 Abs. 5 DSGVO) wird ausdrücklich ihre Fortgeltung angeordnet.
Im Umkehrschluss bedeutet dies: bis zum 25. Mai 2018 sind sämtliche Datenverarbeitungsvorgänge unabhängig vom Beginn der Verarbeitungstätigkeit oder etwaigen Vertrauensschutztatbeständen wie z.B. einer Freigabe nach Art. 26 BayDSG an die dann geltenden Anforderungen der DSGVO sowie dazu erlassene nationale Durchführungsbestimmungen anzupassen. Selbst für die Fortgeltung einer in Einklang mit der bisherigen EG-Datenschutzrichtlinie erteilte Einwilligung verlangt Erwägungsgrund 171, dass diese Einwilligung den Bedingungen der DSGVO genügen müsse. Grund genug also, die verbleibenden 20 Monate bis zur verbindlichen Anwendung der DSGVO intensiv zu nutzen, da auch für die Eingriffsbefugnisse der Aufsichtsbehörden weder im öffentlichen noch im nicht-öffentlichen Bereich weitere Schonfristen vorgesehen sind.
Update: Anpassung von BayDSG und BDSG
Dieser enorme Ansporn gilt auch für Anpassungsgesetzgebung in Bund und Ländern: auch wenn bislang noch keine offiziellen Entwurfsfassungen vorliegen, sprechen alle Anzeichen dafür, dass derzeit jedenfalls in Berlin und München unter Hochdruck an Vorschlägen zur Anpassung des BDSG und des BayDSG gearbeitet wird. So verdichten sich Vorab-Berichte gewöhnlich gut informierter Experten über Eckpunkte eines „Allgemeinen Bundesdatenschutzgesetzes“, dessen Referentenentwurf das BMI wohl schon in den nächsten Wochen veröffentlichen wird (Näheres in diesem Newsletter).
Bereits am 2. Juni 2016 hat das Bayerische Staatsministerium des Innern, für Bau und Verkehr in einem mündlichen Bericht vor dem Rechts- und Verfassungsausschuss des Bayerischen Landtags für „Anfang 2017“ einen Gesetzentwurf angekündigt, der als Gesamtpaket sämtliche durch die EU-Datenschutzreform ausgelösten Anpassungs- und Umsetzungserfordernisse im Landesrecht zusammenfassen soll.
Mehr über den Fortgang der Gesetzgebungsverfahren und zu den Auswirkungen der DSGVO in der behördlichen Datenschutzpraxis erfahren Sie in einem Monat in unserem DSGVO-Newsletter Nr. 3.
Michael Will
Autor des Kommentars zum Bay. Datenschutzgesetz
Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.
KontaktformularKundenservice
Verlag und Marken
Unsere Themen und Produkte
Service
Rechtliches
Partner der
Welt
