Die DSGVO ist seit dem 24.05.2016 in Kraft. Die Umsetzungsfrist für Unternehmen läuft. Ab dem 25.05.2018 findet sie in jedem Mitgliedstaat der EU unmittelbar Anwendung (Art. 99 Abs. 2 DSGVO). Ziel der DSGVO ist es, „…einen soliden, kohärenten und klar durchsetzbaren Rechtsrahmen […] in der Union zu schaffen, …“ (Erwägungsgrund 7 zur DSGVO). Das klingt nach Vollharmonisierung und gleichen Standards für alle. Das erreicht die DSGVO jedoch nur bedingt. Zahlreiche sogenannte „Öffnungsklauseln“ (insgesamt mehr als 70) geben den Gesetzgebern von EU und Mitgliedstaaten die Möglichkeit, die DSGVO durch eigene Gesetzgebung zu konkretisieren, zu ergänzen oder zu modifizieren.
Die DSGVO schafft also, wie ihr Name „Datenschutzgrundverordnung“ schon vermuten lässt, ein in weiten Teilen noch ausfüllungsbedürftiges einheitliches Rahmenrecht. Sie wird daher auch als Hybrid zwischen Verordnung und Richtlinien bezeichnet.
Hervorzuheben ist jedoch: Gesetze nationaler Gesetzgeber zur Ausfüllung des Rahmenrechts der DSGVO haben stets die Vorgaben und Grundsätze der DSGVO zu beachten. Diese dürfen sie lediglich konkretisieren, ergänzen oder modifizieren – nicht aber konterkarieren.
Jeder nationalstaatliche Gesetzgebungsakt muss mit der DSGVO vereinbar sein
Das verdeutlicht auch die Normenhierarchie. Ganz oben steht die DSGVO. Unter ihr stehen unionsrechtliche und mitgliedsstaatliche Gesetze und Rechtsordnungen. Bei Auslegungsfragen oder Widersprüchen (die eigentlich nicht auftauchen dürften) gilt die DSGVO.
Für Unternehmen in Deutschland bedeutet das: Deutsche Gesetze, die die DSGVO konkretisieren, ergänzen oder modifizieren sind vorrangig zu beachten. Diese sind stets mit der DSGVO vereinbar – oder sollten es zumindest sein.
Kategorien von Öffnungsklauseln und Handlungsoptionen für nationale Gesetzgeber
Wie schon hervorgehoben, schaffen die Öffnungsklauseln der DSGVO insgesamt drei verschiedene Kategorien von Handlungsoptionen für den nationalen Gesetzgeber:
1) Kategorie: Konkretisierung: „Die Mitgliedstaaten können durch Rechtsvorschriften … spezifischere Vorschriften zur Gewährleistung des Schutzes … im Beschäftigungskontext … vorsehen“ (Art. 88 Abs. 1 DSGVO),
2) Kategorie: Ergänzung: „… der Verantwortliche und der Auftragsverarbeiter … [können, auch wenn die DSGVO dies nicht ausdrücklich vorschreibt,] einen Datenschutzbeauftragten benennen; falls dies […] nach dem Recht der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen.“ (Art. 37 Abs. 4 S. 1 DSGVO),
3) Kategorie: Modifikation: die Vorschriften der DSGVO [sind] nicht anwendbar, soweit das Recht der Mitgliedstaaten dem Verantwortlichen abweichende rechtliche Verpflichtungen auferlegt (Art. 17 Abs. 3 lit. b DSGVO).
In Deutschland hat man bereits in verschiedenen nationalen Gesetzen von diesen Handlungsoptionen Gebrauch gemacht. Entsprechende Konkretisierungen, Ergänzungen und Modifikationen wurden insbesondere durch die Neuregelung des BDSG gesetzlich verankert, welches ebenfalls am 25.05.2018 in Kraft tritt. Daneben befinden sich zahlreiche weitere Ausfüllungen der Öffnungsklauseln der DSGVO in weiteren Spezialgesetzen, wie etwa dem HGB, der AO, den SGB X oder dem EStG.
Ausfüllung der Öffnungsklauseln DSGVO durch den nationalen Gesetzgeber
Schauen wir uns ein paar der wichtigsten Bereiche, in denen die DSGVO Abweichungen zulässt, einmal an.
Art. 6 Abs. 2, 3 und 4 DSGVO: Präzisierungsbefugnis der Erlaubnistatbestände durch nationales Recht.
§ 4 BDSG (Neu) schafft Erlaubnistatbestände zur Überwachung öffentlich zugänglicher Räume und Flächen (Videoüberwachung).
Für den Bereich der zweckändernden Weiterverarbeitung schafft das BDSG (Neu) in §§ 23 und 24 Spezifizierungen:
- Öffentliche Stellen dürfen personenbezogene Daten nach § 23 Abs. 1 Nr. 6 BDSG (Neu) etwa dann zu anderen Zwecken verarbeiten, wenn dies der Wahrnehmung ihrer Aufsichts- und Kontrollfunktion dienlich ist;
- Nichtöffentliche Stellen dürfen personenbezogene Daten nach § 24 Abs. 1 Nr. 2 BDSG (Neu) etwa dann zu anderen Zwecken verarbeiten, wenn dies zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist.
Die Art. 14, 17 und 22 DSGVO: Rechte und Pflichten der Unternehmen in Bezug auf die Beachtung von Betroffenenrechten (u.a. Auskunft, Berichtigung, Löschung, Datenübertragung) können durch nationales Recht modifiziert werden.
Dies geschieht zum Beispiel durch § 32 BDSG (Neu) im Bereich der Informationspflichten, nach dem die Verpflichtung zur Information des Betroffenen über die zweckändernde Verarbeitung unterbleiben kann, wenn hierdurch die öffentliche Sicherheit gefährdet und auch dann, wenn hierdurch die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche der Unternehmen beeinträchtigt werden würde.
Die Löschpflichten des Art. 17 DSGVO werden durch § 35 Abs. 1 und Abs. 3 BDSG (Neu) modifiziert. Hiernach entfällt die Pflicht zum Löschen personenbezogener Daten, wenn satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen. Das sind Aufbewahrungsfristen bezogen auf alle möglichen Dokumente, sofern es Satzungen oder Verträge so vorschreiben. Als Satzung kommt hier z.B. eine GmbH-Satzung in Betracht. Als Vertrag kommen hier alle möglichen Verträge zwischen 2 Rechtssubjekten in Betracht. In beiden können Fristen zur Aufbewahrung von Dokumenten geregelt sein. Weitere Einschränkungen befinden sich in zahlreichen weiteren Gesetzen u.a. durch die Anordnung von Aufbewahrungspflichten. Siehe hierfür z.B. § 257 Abs. 3 HGB (die Aufbewahrung von Jahresabschlüsse) oder § 304 Abs. 1 SGB V und § 84 SGB (Neu) (die Speicherung von Sozialdaten).
35 Abs. 10 DSGVO: Gestattung von Ausnahmen von der Pflicht zur Datenschutz-Folgeabschätzung durch nationale Gesetze.
37 Abs. 4 DSGVO: Gestattung eigener Ermessensbetätigung durch nationalen Gesetzgeber über die Pflicht zur Bestellung eines Datenschutzbeauftragten.
§ 38 Abs. 1 BDSG (Neu): Datenschutzbeauftragter ist zu bestellen, wenn mind. 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
88 Abs. 1 DSGVO: Gestattung der Regelung des Beschäftigtendatenschutzes in nationalen Gesetzen.
§ 26 Abs. 1 BDSG (Neu): Verarbeitung personenbezogener Daten von Beschäftigten, wenn „erforderlich“ für Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses.
Was ist neben den Öffnungsklauseln noch zu beachten?
Neben den zahlreichen Öffnungsklauseln der DSGVO gibt es weitere bereichsspezifische datenschutzrechtliche Regelungen sowohl auf EU als auch auf Landesebene. Für den Bereich der elektronischen Kommunikation ist hier etwa die auch aus Unternehmenssicht besonders relevante e-Privacy-Verordnung zu nennen. Sie ist noch nicht in Kraft und wird gerade auf EU-Ebene verhandelt. Ihr Ziel ist es, als Ergänzung und Präzisierung zur DSGVO zu wirken und den bereits in der DSGVO enthaltenen Schutzstandard auch im Bereich der elektronischen Kommunikation voll durchzusetzen.
Wie auch die DSGVO wird die e-Privacy-Verordnung ein in jedem Mitgliedstaat der EU unmittelbar geltendes Rahmenrecht darstellen, das durch Bestimmungen im Telekommunikationsgesetz (TKG), im Telemediengesetz (TMG) und ggf. weiteren nationalen Gesetzen weitere Konkretisierung und Präzisierung erfahren wird.
Darüber hinaus sollte auch stets das bereichsspezifische, föderale Datenschutzrecht der Bundesländer beachtet werden. Hier geben sich gerade alle 16 Bundesländer ebenfalls neue, an die DSGVO angelehnte Datenschutzgesetze. Aber auch die evangelische und katholische Kirche in Deutschland haben bereits neue kirchlich wirkende Datenschutzgesetze verabschiedet, die es zu beachten gilt.
Fazit: Die DSGVO gilt zwar vorrangig, die mitgliedstaatlichen Regelungen zur Ausfüllung der Öffnungsklauseln sind aber stets vorrangig zu befolgen
Gemeinsam ist allen datenschutzrechtlichen Bestimmungen in der EU und ihrer Mitgliedstaaten eines: Die DSGVO gilt zwar vorrangig, die mitgliedstaatlichen Regelungen zur Ausfüllung der Öffnungsklauseln sind aber stets vorrangig zu beachten und zu befolgen. Das heißt nicht, dass sie gegen die DSGVO sprechende Regelungen enthalten dürfen. Ganz im Gegenteil. Wie u.a. aus Art. 1 und Art. 85 DSGVO zu lesen ist, sind die Grundsätze, die die DSGVO verfolgt, stets einzuhalten. Das gilt auch für die Schaffung nationalen Rechts, initiiert durch die Öffnungsklauseln der DSGVO.
Sie möchten den Anfordrungen der EUDSGVO in Ihrem Unternehmen gerecht werden? Dann testen Sie jetzt das d.velop GDPR compliance center in einer cloudbasierten Demoumgebung und teste Sie die Lösung, die Ihre Umsetzungsprozesse im Hinblick auf Prozessanalysen und Dokumentation unterstützt und dessen Status transparent macht.
Ihr Weg zur DSGVO. Praxistipps zur Umsetzung der EU-DSGVO im Unternehmen.
Die auf die Einhaltung und Umsetzung datenschutzrechtlicher Vorgaben der DSGVO und des BDSG bezogenen Informationen und Angaben in diesem Beitrag in diesem Blogartikel stellen keine rechtliche Beratung im Einzelfall dar und ersetzen eine solche daher ausdrücklich nicht. Sie sollen lediglich für aktuelle und datenschutzrechtlich relevante Themen sensibilisieren und rechtlich unverbindliche, allgemeine Informationen zur Verfügung stellen. Für die Umsetzung der datenschutzrechtlichen Vorgaben von DSGVO und BDSG in Ihrem Unternehmen empfehlen wir Ihnen ausdrücklich, fachkundige Beratung in Anspruch zu nehmen.