Die VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG ("Datenschutz-Grundverordnung") ist am 25. Mai 2016 in Kraft getreten und wird ab dem 25. Mai 2018 in den Mitgliedstaaten unmittelbar gelten.

Die nationalen Gesetzgeber – sowohl auf Bundes- als auch auf Landesebene – verfügen damit über insgesamt ca. zwei Jahre Zeit, um die nationalen Gegebenheiten und Vorschriften an die neuen Vorgaben der Europäischen Union infolge der Datenschutz-Grundverordnung anzupassen.

Da Verordnungen gemäß Art. 288 AEUV grundsätzlich allgemeine und unmittelbare Geltung haben, wird auch die Datenschutz-Grundverordnung in großen Teilen direkte Wirkung entfalten. Entgegenstehendes und auch gleichlautendes nationales Recht ist daher grundsätzlich aufzuheben.

Öffnungsklauseln

Allerdings lässt die Datenschutz-Grundverordnung – für eine Verordnung untypisch – an einer Reihe von Stellen nationale Regelungen ausdrücklich zu (sog. Öffnungsklauseln) und erteilt darüber hinaus an die Mitgliedstaaten eine Vielzahl von Regelungsaufträgen. Dadurch ermöglicht sie den Mitgliedstaaten, eigene nationale Regelungen – insbesondere zur Konkretisierung der Bestimmungen der Datenschutz-Grundverordnung – zu treffen bzw. bereits vorhandene Regelungen aufrechtzuerhalten – dies trotz des eigentlichen Ziels der Datenschutz-Grundverordnung eine Harmonisierung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung sowie die Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten zu erreichen. Folglich verfügen die nationalen Gesetzgeber trotz zukünftig unmittelbar geltender Datenschutz-Grundverordnung über gewisse Spielräume für das nationale Datenschutzrecht. 

Gesetzlicher Änderungs- und Anpassungsbedarf

Um das Bundes- bzw. Landesrecht mit der Datenschutz-Grundverordnung in Einklang zu bringen, haben die nationalen Gesetzgeber daher die nationalen Datenschutzregelungen zu überprüfen, ggf. anzupassen, dabei die Regelungsaufträge umzusetzen und – soweit gewünscht – die gegebenen Regelungsbefugnisse zu nutzen. Nationale Regelungen müssen mit denen der Datenschutz-Grundverordnung vereinbar sein. Widersprechen sich die Bestimmungen des Unionsrechts und des nationalen Rechts, geht die Datenschutz-Grundverordnung vor. Enthält das nationale Recht keine Regelung trotz Regelungsbefugnis infolge einer Öffnungsklausel, gilt unmittelbar die Datenschutz-Grundverordnung. Lücken sind ggf. durch Auslegung der Verordnung zu schließen.

Soweit die Regelungskompetenz des Bundes im Datenschutzrecht reicht, bleibt für landesrechtliche Regelungen kein Raum. Die Kompetenz des Landesgesetzgebers liegt daher vorrangig bei der Regelung des Datenschutzes der öffentlichen Stellen der Länder. Hier sind auch die wesentlichen Spielräume des Landesgesetzgebers für das Fachrecht zu sehen. Wie die zukünftigen nationalen Regelungen allerdings im Einzelnen aussehen werden, ist derzeit noch nicht endgültig absehbar und bleibt daher abzuwarten.