Datenschutz durch EU-DSGV ausgehölt?
Auf einer Veranstaltung des HDG bezeichnete der Hamburgische Datenschutzbeauftragte Prof. Dr. Johannes Caspar die Veränderungen des Datenschutzes durch die Einführung der EU-Datenschutzgrundverordnung (DSGVO) als umfassend. „Es bleibt kein Stein auf dem anderen!“ war seine Einschätzung. Vor allem müssen nach Einführung der DSGV mit Inkrafttreten im Mai 2018 sich die Betroffenen auf eine neue Schutzrichtung einstellen. Anders als nach dem BDSG gibt es keinen automatischen Schutz der personenbezogenen Daten mehr. Der Betroffene muss nun selbst aktiv werden, wenn er einen effektiven Datenschutz und Informationen über die von Unternehmen zu seiner Person gespeicherten Daten haben möchte.
Nach Ansicht von Prof. Dr. Caspar wird es auch erforderlich sein, die Regelungen über Einwilligungen z.B. auf Webseiten neu zu gestalten. Nach den Vorgaben der EU-DSGVO darf eine Einwilligung nur noch verlangt werden, soweit dies konkret erforderlich ist. Eine universale Einwilligung wie sie heute üblicherweise gleich zu Beginn der Webseitennutzung abgefordert wird, soll dann nicht mehr zulässig sein. Vielmehr müsse das Koppelungsverbot größere Beachtung finden. Es sei nun aber zunächst Aufgabe der Aufsichtsbehörden, die EU-DSGV und den verbleibenden Teil des BDSG mit neuem Leben zu füllen. Dabei müsse man darauf achten, dass bei der Auslegung von Normen nun auf maximalen Schutz der Betroffenen zu berücksichtigen sei, denn einmal aufgegebene Werte und Auslegungsgrundsätze können nachträglich nur schwer wieder eingebracht werden. Es müsse daher nun zunächst eine Maximalauslegung formuliert werden.
Tagung des HDG am 21.11.2016 im Warburg-Haus
Ebenfalls anwesend war Dr. Thilo Weichert, ehemaliger Datschutzbeauftragter des Landes Schleswig-Holstein. Dr. Weichert war überzeugt, dass der EuGH auch den Privacy Shield, der nun als Nachfolger der Safe-Harbour-Regelung gefunden wurde, als unvereinbar mit dem BDSG ansehen wird. Dies werde allerdings noch einige Jahre dauern. Weiter kritisierte Dr. Weichert, dass nach seiner Auffassung durch die Einführung der EU-DSGVO die Rechte des Betroffenen massiv beschnitten werden. Von der Politik forderte er, die Möglichkeiten der EU-DSGVO besser auszunutzen und beispielsweise die Gewerkschaften nach dem UKlG eine Klagebefugnis einzuräumen, damit diese rechtswidrige Praktiken in Unternehmen gerichtlich untersagen lassen könnten. Leider biete die EU-DSGVO den Behörden im Vergleich zum BDSG keine weitergehenden Werkzeuge zur Kontrolle und Aufsicht. Insbesondere beim Thema Videoüberwachung habe sich der Datenschutz durch die neue Rechtslage auch erheblich verschlechtert.
Für Unternehmen ist indessen wichtig, sich frühzeitig auf die neue Rechtslage nach der EU-DSGV einzustellen. Dies sollte nicht erst im Mai 2018 sondern sehr viel früher erfolgen. Ein Grund zur Panik besteht für Unternehmen aber nicht, die EU-DSGV wird ebenfalls praktikabel bleiben. Als wichtigste Maßnahmen sehen wir die neue Forderung des ‚Privacy by Design‘ des Art. 25 der EU-DSGVO an, die man bereits heute für die Programmierung von Software und Webseiten erfüllen sollte. Daneben sollte jedes Unternehmen seiner Kontrollpflicht nach § 11 BDSG nachkommen, und dies auch entsprechend dokumentieren (z.B. e-mail-Verkehr und Protokoll von Gesprächen mit Weisungen). Im Rahmen der Auftragsdatenverarbeitung sind Unternehmen nämlich auch schon jetzt verpflichtet, sich in regelmäßigen Abständen von der Einhaltung der technisch-organisatorischen Sicherheitsmaßnahmen beim Auftragnehmer zu überzeugen und diese Datenschutzaudits zu dokumentieren. Dadurch könnte der Unternehmer auch schon jetzt die erweiterten Informationspflichten der DSGVO erfüllen und man sollte entsprechende Geschäftsprozesse etablieren.
Selbstverständlich ist die Weitergabe personenbezogener Daten in das EU-Ausland auch künftig nicht per se ausgeschlossen. Es ist anerkannt, dass die EU-Standardklauseln dafür gelten. Diese sind ja ursprünglich gerade für die Länder außerhalb der EU entwickelt worden, in denen kein vergleichbares Datenschutzniveau besteht und mangels Infrastruktur der Behörden auch keine Safe-Harbour Regelung möglich war. Erst nach dem EUGH-Urteil zur Unzulässigkeit der Safe-Harbour-Regelung erlebten die EU-Standardvertragsklauseln eine neue Bedeutung als individuelle Vertragsgrundlage für einen Datenaustausch, der bei Einhaltung des Wortlautes auch nicht genehmigungspflichtig ist.
Die Art. 29-Gruppe hat die Geltung auch noch einmal bestätigt. Es gibt eine generell kritische Meinungsgruppe, die die Grundsätze der EuGH-Entscheidung auch auf die EU-Standardklauseln anwendbar hält, aber die Aufsichtsbehörden teilen dies bisher nicht.
http://ec.europa.eu/justice/data-protection/international-transfers/index_en.htm
Es spricht daher nichts dagegen, diese auch weiterhin zu verwenden.
