Countdown EU-Datenschutz-Grundverordnung: AWV-Interview mit Andrea Voßhoff, Bundesdatenschutzbeauftragte, Berlin/Bonn

Frau Voßhoff, wir danken Ihnen für die Bereitschaft zu diesem Interview. Seit unserem letzten Interview sind fast drei Jahre vergangen. Schon damals war die europäische Datenschutz-Grundverordnung – als Entwurf – ein Thema. Jetzt ist sie da. Sind Sie mit dem Ergebnis zufrieden? Und wie ist aus Ihrer Sicht die nationale Anpassung bisher gelungen?

A. Voßhoff: Die Datenschutz-Grundverordnung ist grundsätzlich positiv zu bewerten. Es wird damit auf die sich stets fortentwickelnde Welt der Datenverarbeitung reagiert, die globaler und allgegenwärtiger ist denn je. Mit der Datenschutz-Grundverordnung wird ein weitgehend harmonisiertes Datenschutzrecht europaweit eingeführt. Die Datenschutzrechte der Bürgerinnen und Bürger werden europaweit gestärkt. Unternehmen haben es künftig mit einem einheitlichen Regelungsregime in Europa zu tun. Die Einhaltung europäischen Datenschutzrechtes geht dabei über in Europa ansässige Unternehmen hinaus und erstreckt sich dank des Marktortprinzips auf alle Unternehmen, die am europäischen Markt teilnehmen. Unternehmen können ihren Standort nicht mehr nach dem für sie angenehmsten Rechtssystem innerhalb der EU auswählen. Die Anpassung nationalen Rechts ist noch nicht vollständig abgeschlossen. In einer ersten Stufe hat der Bundesgesetzgeber die ersten notwendigen Anpassungen vorgenommen, weitere Schritte müssen folgen.

Deutschland stellt relativ hohe Anforderungen an den Datenschutz. Mit der Datenschutz-Grundverordnung soll das Niveau der einzelnen EU-Länder angeglichen werden. Das klingt theoretisch gut, aber sind die Unterschiede in den Mitgliedstaaten nicht zu groß, um das auch umsetzen zu können?

A. Voßhoff: Deutschland hat ein sehr stark ausdifferenziertes Datenschutzrecht mit einer langen Tradition. Die Datenschutz-Grundverordnung setzt teilweise darauf auf, ebenso wie auf die bisher bestehende EU-Richtlinie aus dem Jahre 1995. Mit zusätzlichen Erweiterungen, die den Datenschutz an die Entwicklung der digitalen Datenverarbeitung anpassen, ist sie ab dem 25. Mai 2018 direkt geltendes EU-Recht.

Um spezifischen nationalen Anforderungen der unterschiedlichen EU-Mitgliedsstaaten gerecht zu werden, gibt es in der Datenschutz-Grundverordnung (DSGVO) allerdings eine Vielzahl sogenannter „Spezifizierungs- oder Öffnungsklauseln“, die den nationalen Gesetzgebern in wichtigen Fragen genügend Spielraum geben, um Besonderheiten weiterhin angemessen zu regeln.

Diese „Öffnungsklauseln“ haben Deutschland beispielsweise die Möglichkeit eröffnet, im ersten Anpassungsgesetz auch in Zukunft die verpflichtende Bestellung betrieblicher Datenschützer beizubehalten. Gleichzeitig wird durch die Vorgaben der Datenschutz-Grundverordnung diese in Deutschland sehr erfolgreiche Idee EU-weit eingeführt, ohne sofort ähnliche strenge Maßstäbe anzulegen, wie sie in Deutschland seit langer Zeit gelten. Hier bleibt also durchaus nationaler Spielraum erhalten.

Worin sehen Sie die größten Herausforderungen für Wirtschaft und öffentliche Verwaltung bei der Umsetzung des neuen Datenschutzrechts?

A. Voßhoff: Für Unternehmen, die in Europa über mehrere Niederlassungen verfügen, wird es künftig einfacher, mit den europäischen Datenschutz-Aufsichtsbehörden zusammenzuarbeiten. Es gilt dann das sogenannte „One-Stop-Shop“-Prinzip. Die Aufsichtsbehörde des EU-Staates, in dem das Unternehmen seinen Hauptsitz oder seine Hauptniederlassung hat, wird ab Mai 2018 der alleinige Ansprechpartner bei grenzübergreifenden Datenschutzfragen sein.

Mit der DSGVO kommen aber auch neue Herausforderungen wie erweiterte Dokumentations-, Rechenschafts- und Meldepflichten auf die Unternehmen zu. Auch müssen sie in Zukunft ein Datenschutz- und IT-Sicherheitskonzept vorweisen können. Bei Verstößen gegen die DSGVO sind ab Mai 2018 wesentlich schärfere Sanktionen möglich, bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes.

Auch hinsichtlich der durch die DSGVO gestärkten Betroffenenrechte werden die Unternehmen in Zukunft mehr gefordert sein. Zu diesen neuen Rechten der Bürgerinnen und Bürger gehört beispielsweise das Recht auf Datenübertragbarkeit oder Datenportabilität, bei dem Unternehmen ihren Kundinnen und Kunden alle über sie gespeicherten Daten in einem maschinenlesbaren Format zur Verfügung stellen müssen. So soll etwa der Wechsel von einem Anbieter zu einem anderen ermöglicht werden.

Hinsichtlich der öffentlichen Verwaltung gelten grundsätzlich in Zukunft ebenfalls die Anforderungen der DSGVO. Allerdings sind gerade in diesem Bereich viele Ausnahmen durch die jeweiligen nationalen Gesetzgeber möglich.

Positiv zu bewerten ist, dass Befugnisse und Aufgaben der nationalen Aufsichtsbehörden nun direkt in der DSGVO geregelt sind und teilweise deutlich erweitert wurden. Unter anderem wird die Zusammenarbeit der Aufsichtsbehörden innerhalb Europas neu geregelt. Die Artikel 29-Gruppe, die sich aus den Aufsichtsbehörden der Mitgliedsstaaten zusammensetzt und in europäischen datenschutzrechtlichen Fragen bisher lediglich beratende Funktion hatte, bildet künftig den Europäischen Datenschutzausschuss, der mit einer eigenen Rechtspersönlichkeit versehen verbindliche Entscheidungen treffen wird. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist für Deutschland nach dem Willen des Bundesgesetzgebers die Gemeinsame Vertreterin. Stellvertreter ist ein vom Bundesrat gewählter Vertreter der Landesdatenschutzbehörden.

Seite 1 | Weiter zu Seite 2 | Weiter zu Seite 3

Foto: Fotolia, sk_design