Die neue Datenschutz-Grundverordnung: Der Ball liegt nun beim Gesetzgeber

836
Günther Leissler ist Rechtsanwalt bei Schönherr, auf Datenschutzrecht spezialisiert und leitet die Seminarreihe der „Schönherr Privacy Academy“, die sich der neuen Datenschutzgrundverordnung widmet.
Günther Leissler ist Rechtsanwalt bei Schönherr, auf Datenschutzrecht spezialisiert und leitet die Seminarreihe der „Schönherr Privacy Academy“, die sich der neuen Datenschutzgrundverordnung widmet.

Die neue Datenschutz-Grundverordnung kommt auf uns zu. Für den Gesetzgeber bedeutet dies noch einiges an Hausaufgaben.

Ab Mai 2018 regelt die Datenschutz-Grundverordnung den Datenschutz in Europa neu. Trotz ihres Umfangs lässt die Verordnung viele Fragen offen. Trifft eine verhängte Geldbuße das Unternehmen oder den Geschäftsführer? Welche Rechtsmittel stehen zur Verfügung? Unsicherheiten wie diesen stehen die rigiden Anforderungen der Grundverordnung und ein hoher Strafrahmen gegenüber. Kurzum: Vieles ist unklar. Zwar räumt die Verordnung Spielraum zur Klärung ein, doch dieser muss genutzt werden – und zwar gewissenhaft!

Unmittelbare Geltung
Die neue Datenschutz-Grundverordnung wurde als eine EU-Verordnung gestaltet und gilt daher in allen Mitgliedstaaten unmittelbar. Sie ersetzt ab 2018 die derzeit geltenden nationalen Datenschutzgesetze in Europa. Sie wird jedoch mitunter als eine „Richtlinie im Verordnungsgewand“ charakterisiert, da sie den Mitgliedstaaten mit mehr als 40 Öffnungsklauseln einen signifikanten Umsetzungsspielraum zugesteht. Diese Öffnungsklauseln sollen dazu dienen, das nationale Recht in den Mitgliedstaaten anzupassen, um Rechtsunsicherheit bei den betroffenen Bürgern zu vermeiden. Das Prinzip lautet also: Die Datenschutz-Grundverordnung regelt den „Kern“, die Mitgliedstaaten dürfen nationale Ausgestaltungen vornehmen. Dieser Spielraum ist mitunter groß. So etwa regelt Datenschutz-Grundverordnung jene Datenschutzverletzungen, welche zur Verhängung einer Geldbuße führen und die Strafhöhen. Jedoch obliegt es den Mitgliedstaaten dazu angemessene Verfahrensgarantien und wirksame Rechtsbehelfe vorzusehen. Ein Blick nach Österreich zeigt: Das österreichische Verwaltungsstrafrecht kennt kein Verschuldensprinzip für juristische Personen. Bestraft werden können nur deren Organe, wie z.B. der Geschäftsführer eines Unternehmens, oder eigens bestellte Verantwortliche. Es würde wohl jegliche Verhältnismäßigkeitserwägungen überschreiten, wenn nun über einen Geschäftsführer eines Unternehmens ad personam Geldstrafen von bis zu EUR 20 Millionen verhängt werden könnten. Um dem Auftrag der Datenschutz-Grundverordnung zu entsprechen, wäre daher zu erwägen, eine verwaltungsstrafrechtliche Verantwortung für Unternehmen auf nationaler Ebene einzuführen.

Mitgliedstaaten gefragt
Die neue Grundverordnung über Datenschutz lässt aber auch inhaltlichen Gestaltungsspielraum zu. Zum Beispiel gebietet es die Datenschutz-Folgenabschätzung zukünftig, dass die mit einer Datenverarbeitung verbundenen Risiken vorab zu bestimmen und hierbei umfassende Systembeschreibungen und Dokumentationen vorzunehmen sind. Vor allem für Klein- und Mittelunternehmen ist dies mit einem hohen, mitunter kaum bewältigbaren administrativen Aufwand verbunden. Doch erlaubt es die Datenschutz-Grundverordnung den Mitgliedstaaten, bestimmte Datenverarbeitungsvorgänge konkret zu regeln und dabei die gewünschte Folgenabschätzung selbst vorzunehmen. Agiert ein Unternehmen im Rahmen dieser Regelung, so muss es die Folgenabschätzung nicht selbst vornehmen. Ein Rechtsschutzdefizit besteht nicht, denn einer Folgenabschätzung durch den Gesetzgeber wird man dieselbe Güte zusprechen können wie jener eines Unternehmens. Dadurch würde jedoch verhindert werden, dass klein- und mittelständischen Unternehmen Pflichten auferlegt werden, welche diese bei objektiver Betrachtung kaum erfüllen können.

Die Datenschutz-Grundverordnung erlaubt den Mitgliedstaaten darüber hinaus sogar Einschränkungen. So darf etwa der Datentransfer für bestimmte Daten (zB Gesundheitsdaten) in Drittstaaten beschränkt werden, wenn für diese Staaten kein „Angemessenheitsbe-schluss“ der Europäischen Kommission besteht. Ein solcher Beschluss wurde etwa für den kürzlich etablierten „Privacy Shield“ gefasst. Dieser wurde von den USA und der EU in gezielter Reaktion auf die Kritik des EuGH an „Safe Harbor“ geschaffen und bildet einen konsistenten Mechanismus zum Datenaustausch, wie er zwischen den USA und der EU bislang nicht bestanden hat. Doch nicht alle Drittländer können einen solchen Standard bieten, für sie besteht kein Angemessenheitsbeschluss. In solchen Fällen überlässt es die Verordnung den Mitgliedstaaten selbst, bestimmte Fälle des Datenverkehrs im öffentlichen Interesse zu beschränken. Einen solchen nationalen Handlungsspielraum sah nicht einmal die Datenschutz-Richtlinie vor.

Die aufgezeigten Beispiele zeigen, dass die Datenschutz-Grundverordnung zwar unmittelbar anwendbar ist, sie jedoch den Mitgliedstaaten einen großen Handlungsspielraum bietet. So zeigt z.B. auch ein kürzlich in Deutschland veröffentlichter Entwurf eines Datenschutz-Anpassungs- und Umsetzungsgesetzes anschaulich den für die nationalen Gesetzgeber bestehenden Spielraum. Auch in Österreich sind aktuell Bestrebungen zu einem nationalen Anpassungsgesetz im Gang. Ein gewissenhaftes und umsichtiges Vorgehen des Gesetzgebers ist gefragt.

www.schoenherr.eu

Foto: Walter J. Sieberer

Flower