Datenschutz reloaded ab 25. Mai 2018: Die Datenschutz-Grundverordnung wird geltendes Recht in ganz Europa

Nach einer Übergangsfrist von zwei Jahren ist es so weit: Die Europäische Datenschutz-Grundverordnung (DS-GVO) wird geltendes Recht und entfaltet – als Verordnung des Europäischen Parlaments und des Rates – unmittelbare Wirkung in den Mitgliedstaaten der Europäischen Union und damit für über 500 Millionen Bürgerinnen und Bürger.

Das zentrale Anliegen der DS-GVO besteht darin, mit Hilfe eines zeitgemäßen und europaweit einheitlichen Datenschutzregimes die Grundrechte auf Privatheit der Bürgerinnen und Bürger und die Interessen der Industrie – insbesondere an der Nutzung personenbezogener Daten – in einen konstruktiven Ausgleich zu bringen. Ein weiteres Ziel der DS-GVO ist es, technikneutrale Regelungen zu schaffen, um sich nicht in einen gesetzgeberischen Wettlauf mit der technischen Entwicklung zu begeben, bei der der Daten- und damit der Persönlichkeitsschutz Gefahr liefe, dauerhaft hinterher zu hinken.

Wesentliche neue Regelungsaspekte der DS-GVO sind das Marktortprinzip, das Recht auf Vergessenwerden und die Datenportabilität, die etwa den Wechsel zwischen Diensteanbietern erleichtert, weil alle eine Person betreffenden Daten auf Verlangen in einem gängigen elektronischen Format bereitgestellt und herausgegeben werden müssen. Nach dem Marktortprinzip gelten die Regelungen der DS-GVO für alle Unternehmen weltweit, sofern sie ihre Waren oder Dienstleistungen auch in der EU anbieten. Um es Betroffenen zu erleichtern, ihre Rechte geltend zu machen, ist nach dem Prinzip des „one stop shop“ in der DS-GVO künftig eine koordinierte Zusammenarbeit der europäischen Datenschutzaufsichtsbehörden festgelegt, damit Bürgerinnen und Bürger  sich ohne administrative Hindernisse oder Sprachbarrieren an die Aufsichtsbehörde im eigenen (Bundes-)Land wenden können und diese gegebenenfalls die Kommunikation mit Unternehmen in und außerhalb Deutschlands übernimmt. Technisch-organisatorische Vorgaben der DS-GVO – wie privacy by design oder privacy by default – schreiben verantwortlichen Unternehmen vor, bereits bei der Entwicklung eines Produkts oder eines Dienstes Anforderungen des Datenschutzes zu berücksichtigen, beispielsweise durch datenschutzfreundliche Voreinstellungen.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI), Prof. Dr. Dieter Kugelmann, hat die zwei Jahre von Inkrafttreten bis zum Wirksamwerden der DS-GVO intensiv genutzt: „Meine Behörde hat durch die DS-GVO mehr Verantwortung und ein differenzierteres aufsichtliches Instrumentarium erhalten. Wir haben uns auf das Wirksamwerden der DS-GVO gut vorbereitet und werden die Befugnisse angemessen, aber auch konsequent anwenden. Zudem werden wir durch die DS-GVO viel stärker als bisher im europäischen Kontext arbeiten.“

Die Vorbereitungen des LfDI auf den 25. Mai 2018 und die Zeit danach galten und gelten im weit höheren Maße denjenigen, die die neuen Datenschutzregelungen anwenden müssen, und insbesondere deren Beratung und Unterstützung. Mit zahlreichen Informationsveranstaltungen in ganz Rheinland-Pfalz und mit einer Vielzahl von Handreichungen – etwa zum Datenschutz im Unternehmen, in der Arztpraxis, im Verein oder rund um personenbezogene Daten und Werbung  – bietet der LfDI Informationen für die praktische Anwendung.

Hinsichtlich der in den letzten Wochen teilweise zu beobachtenden Aufregung in Bezug auf die Datenschutz-Grundverordnung rät Prof. Dr. Kugelmann zur Gelassenheit: „Uns haben unzählige Anfragen erreicht, ob nun eine Abmahnwelle drohe oder ob die Datenschutzaufsichtsbehörden künftig horrende Bußgelder verhängen würden. Wir Datenschützer können nicht in die Zukunft sehen. Unser Augenmerk liegt aber auf der Durchsetzung der datenschutzrechtlichen Standards nicht auf der Verhängung von Sanktionen. Allerdings schrecken wir davor auch nicht zurück, wenn wir von erheblichen Verstößen erfahren. Der Schwerpunkt wird zunächst auf der Bearbeitung von Beschwerden liegen. Hinzu treten Abfragen bei Gruppen von Verantwortlichen nach dem Stand der Umsetzung in ihrem Verantwortungsbereich. Untersuchungen vor Ort dürften in gewissem Umfang erforderlich sein. Das vielfältige Instrumentarium, das neben der Beratung etwa Verwarnungen, Anweisungen oder Geldbußen enthält, werden wir in verhältnismäßiger und effektiver Weise nutzen. So wollen und werden wir unsere Aufgaben erfüllen und den Bestimmungen der Datenschutz-Grundverordnung zur Durchsetzung verhelfen.“