/ EU-Datenschutz

 

DER EUROPÄISCHE DATENSCHUTZ IM WANDEL?

Der europäische Datenschutz soll mittels zweier Richtlinien für Harmonie und damit für einheitliche Wettbewerbsvoraussetzungen in der EU sorgen. Gleiche Regeln für Alle ist die Grundidee, die dahinter steht. So ganz stimmt das allerdings nicht. Umsetzungsspielräume haben zu nicht unerheblichen (und teils europarechtlich fragwürdigen) Unterschieden in den Regelungen beigetragen, denen Unternehmen in einzelnen Mitgliedsstaaten folgen müssen. Die Durchsetzung der Regeln durch Aufsichtsbehörden und Gerichte und damit letztlich die Gewährleistung ihrer faktischen Wirksamkeit könnte teils unterschiedlicher nicht sein. Die geplante EU-Datenschutz-Grundverordnung soll dies ändern.

Ein fundamentaler Wandel würde durch die Reform schon deshalb eintreten, da die Vorschriften der Grundverordnung unmittelbar in allen Mitgliedsstaaten Geltung besäßen. Ein „europäisches Datenschutzgesetz“ also, das die Möglichkeit von Umsetzungsdifferenzen in den einzelnen EU-Staaten endgültig entfallen ließe. Ob die Grundverordnung in absehbarer Zeit verabschiedet wird, ist derzeit ungewiss. Doch auch ohne diese Reform spielt der EU-Datenschutz für Unternehmen eine zentrale Rolle, die oftmals unterschätzt wird.    

 

Fachabteilungen: EU-Datenschutz in der operativen und strategischen Planung berücksichtigen.

 

Beim Fokus auf die heimischen Regelungen wird das dynamische Verhältnis von EU- und mitgliedsstaatlichem Datenschutz oft zu wenig berücksichtigt. Im operativen Geschäft werden beispielsweise die Vorschriften des BDSG oder TMG zu selten oder nur unzureichend durch die Brille der europäischen Vorgaben betrachtet. Dadurch entgehen Unternehmen – gerade in Zeiten von Big Data – nicht selten Möglichkeiten, die eigenen Geschäftsziele in einen besseren Einklang mit dem Datenschutz zu bringen. Auch die strategische Planung erweist sich hier oftmals als defizitär. Mittel- und langfristige Trends im europäischen Datenschutz werden bei der Entwicklung und Anpassung der internen Datenschutzkonzepte zu häufig ignoriert, gar nicht oder zu spät erkannt.

 

Legal: Der EuGH gibt die Richtung bereits vor.

 

Wir sind davon überzeugt, dass eine stärkere Sensibilisierung für die Dynamik zwischen europäischem und mitgliedsstaatlichem Datenschutz im operativen und strategischen Bereich den Blick für bislang verkannte Möglichkeiten und unentdeckt gebliebene Herausforderungen schärfen kann.

Die Datenschutz-Grundverordnung würde insoweit ohne Zweifel zu einem Perspektivwechsel in Unternehmen beitragen. Ihre Vorschriften wären in allen Mitgliedsstaaten unmittelbar anzuwenden. Der EuGH wäre für deren Auslegung im Wege des Vorabentscheidungsverfahrens gemäß Art. 267 Abs. 1 lit. b AEUV zuständig. Und die EU-Kommission wäre mittels delegierter Rechtssetzung zur Entscheidung über Detailfragen bei einzelnen Regelungen berufen. Der ursprüngliche Entwurf hatte insoweit 26 Ermächtigungen enthalten. Im LIBE-Entwurf wurde dies nun zunächst auf 10 Einzelermächtigungen reduziert. Inwieweit sich der one-stop-shop-Mechanismus, also die zentrale Zuständigkeit der jeweiligen Aufsichtsbehörde in dem Land der Hauptniederlassung eines Unternehmens, durchsetzen würde, bleibt abzuwarten.

Ersichtlich ist aber, dass wesentliche Änderungen durch eine Datenschutz-Grundverordnung letztlich mehr prozeduraler als materieller Natur sein könnten. Einige Beispiele können das verdeutlichen:

Stichwort Vollharmonisierung. Der EuGH hat bereits entschieden, dass die Datenschutz-Richtlinie nicht nur einen Mindeststandard für den mitgliedsstaatlichen Datenschutz vorschreibt, sondern grundsätzlich eine Vollharmonisierung bewirkt (EuGH ZD 2012, 33). Das hat ganz reale Auswirkungen. Sehen beispielsweise landesspezifische Regelungen wie das deutsche TMG keine Interessenabwägung vor, muss eine solche aufgrund richtlinienkonformer Auslegung dennoch möglich sein.

Stichwort IP-Adressen und Personenbezug. Nach Ansicht des EuGH (ZD 2012, 29) sind IP-Adressen personenbezogene Daten. Im ursprünglichen Entwurf der Grundverordnung und im LIBE-Entwurf wurde dieses Urteil in EG 24 aufgegriffen, mit der Einschränkung, dass ein Personenbezug nicht zwangsläufig stets vorliegen müsse.

Stichwort Recht auf Vergessen. Das „right to be forgotten“ im ursprünglichen Entwurf der Grundverordnung, jetzt das „right to erasure“ in Art. 17 des LIBE-Entwurfs, wurde durch den EuGH (Urt. v. 13.05.2014 – Rs. C-131/12) erst kürzlich aus Art. 6 Abs. 1 lit. c bis e der Richtlinie abgeleitet.

Die Debatte zu diesen und anderen Aspekten des europäischen Datenschutzes ist hierdurch natürlich nicht beendet. Und selbstverständlich kann  die Grundverordnung - falls sie in absehbarer Zeit verabschiedet wird -  durchaus erhebliche materielle Veränderungen herbeiführen. Dennoch zeigt sich: EU-Datenschutz ist eine kontinuierliche Herausforderung, der sich Unternehmen stellen müssen.  

 

Wir verschaffen Ihnen Durchblick. Schalten Sie uns ein!

 

Unser Angebot: Datenschutzrechtliche Beratung, welche das oftmals komplexe Zusammenspiel des europäischen und mitgliedsstaatlichen Datenschutzes für die operativen und strategischen Bedürfnisse Ihres Unternehmens nutzbar macht. Überlassen Sie die Detailarbeit uns. Danach wird der Wald für Sie sehr viel weniger Bäume haben.