Das europäische Datenschutzrecht harmonisieren und damit Rechtssicherheit, Wettbewerbsgleichheit und ein einheitliches, hohes Datenschutzniveau herstellen: Dieses Ziel verfolgte der europäische Gesetzgeber mit der „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“.

Einschränkung des Schutzniveaus

Doch die erwünschte EU-weite Vereinheitlichung des Datenschutzrechts konnte nicht vollständig umgesetzt werden. Denn obwohl die neue Datenschutz-Grundverordnung (DSGVO) formell im Gewand einer Verordnung daherkommt, damit unmittelbar gilt und den EU-Mitgliedstaaten keine Umsetzungsspielräume lässt, so ist sie als „Grundverordnung“ eigentlich ein hybrides Wesen zwischen Verordnung und Richtlinie. Die DSGVO beinhaltet nämlich rund 60 sogenannte „Öffnungsklauseln“, die es den Mitgliedstaaten in vielen Bereichen erlauben, unter gewissen Voraussetzungen von den europäischen Standards abzuweichen.

Der von der deutschen Bundesregierung Anfang Februar 2017 beschlossene Entwurf des „Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU“ (DSAnpUG-EU) nutzt diese Gestaltungsspielräume konsequent aus. Unter anderem sollen die Informations-, Auskunfts- und Löschrechte betroffener Personen über die in der DSGVO verankerten Ausnahmen hinaus erheblich eingeschränkt werden. Zum Beispiel das Recht auf Löschung personenbezogener Daten: Es soll immer dann nicht greifen, wenn eine Löschung für den Verantwortlichen nur mit „unverhältnismäßig hohem Aufwand“ möglich ist (§ 35 BDSG-neu). Auch wenn ein Ende März vorgelegter Änderungsantrag der Regierungskoalition die Aufweichung datenschutzrechtlicher Standards über die Öffnungsklauseln wieder ein Stück weit zu relativieren sucht, so bleibt es doch dabei, dass das DSAnpUG-EU zu einer Einschränkung des Schutzniveaus führen wird.

Kosten sparen durch Ausnahmeregelungen?

Aus unternehmerischer Sicht stellt sich nun die Frage, ob die Öffnungsklauseln in der DSGVO und die Ausfüllung dieser Öffnungsklauseln durch die nationalen Gesetzgeber der (noch) 28 EU-Mitgliedstaaten ein Fluch oder ein Segen sind. Auf der einen Seite erscheint es plausibel, dass die zahlreichen Ausnahmetatbestände im DSAnpUG-EU bzw. BDSG-neu den Aufwand und damit die Kosten deutscher Unternehmen reduzieren sollen und wohl auch können. Der Gedanke dahinter: Wer beispielsweise seltener informieren, Auskunft geben oder Daten löschen muss, spart bares Geld.

Andererseits muss schon hier einschränkend angemerkt werden, dass diese Kostenreduktion nur dann realisiert werden kann, wenn die Sonderregelungen tatsächlich EU-rechtskonform sind. Sollten die Aufsichtsbehörden nämlich zu dem Ergebnis kommen, dass einzelne Bestimmungen des BDSG-neu nicht mit den Vorgaben der DSGVO in Einklang gebracht werden können, müssten sie diese aufgrund des Anwendungsvorrangs des EU-Rechts unangewendet lassen.

Klares Bekenntnis zum Gold-Standard der DSGVO

Besonders bei großen Unternehmen, die in mehreren EU-Mitgliedstaaten präsent sind und dort personenbezogene Daten verarbeiten, sprechen wirtschaftliche Erwägungen dafür, sich nicht sklavisch auf das mit Rechtsunsicherheit behaftete Klein-Klein des zukünftigen BDSG-neu einzulassen, sondern die Bestimmungen der DSGVO über weite Strecken eins zu eins umzusetzen. Die Vorteile eines klaren Bekenntnisses zum „Gold-Standard“ der DSGVO liegen dabei auf der Hand: Ein einheitliches Datenschutz-Management mit klaren Regeln in allen EU-Mitgliedstaaten ist effizienter und damit kostensparender als ein geografisch fragmentierter Datenschutz-Ansatz mit jeweils hochkomplexen Tatbeständen. Denn dies zieht in der praktischen Umsetzung einen nicht zu unterschätzenden Ressourcenaufwand nach sich. Statt das deutsche, französische und italienische Anpassungs- und Umsetzungsgesetz im Zusammenspiel mit der DSGVO auslegen und anwenden zu müssen, wäre in fast allen Situationen allein die DSGVO der rechtsverbindliche Maßstab. Daher kann großen deutschen Unternehmen mit europaweitem Aktionsradius durchaus geraten werden: „Vergesst das DSAnpUG-EU!“.

Datenschutzrechtliche Anforderungen effizient umsetzen

Diese lockere journalistische Formulierung ist in ihrer überspitzten Form natürlich eine starke Vereinfachung. Letztlich entscheidet der Einzelfall, ob und in welchem Ausmaß eine Nutzung von datenschutzrechtlichen Handlungsspielräumen auf nationaler Ebene unternehmerisch sinnvoll ist. Dies gilt sowohl für große Konzerne als auch für Mittelständler. Wenn Sie als Führungskraft die datenschutzrechtlichen Anforderungen der DSGVO möglichst effizient umsetzen wollen, holen Sie sich am besten Experten mit ins Boot. Wir vom TÜV Rheinland analysieren die spezifische Situation von Unternehmen und bieten maßgeschneiderte Lösungen.

Autor des Beitrags

Tilman Dralle

Tilman Dralle

Berater Datenschutz

Tilman M. Dralle ist als Berater im Bereich des Datenschutzes und der Informationssicherheit bei der TÜV Rheinland i-sec GmbH tätig. „Cloud Computing, Big Data, Smart Homes, Smart Cars, Internet of Things: Allein diese Stichworte zeigen, dass dem Schutz personenbezogener Daten sowie anderer vertraulicher Informationen in der digitalen Welt ein immer größerer Stellenwert zukommt!“ Neben dem Beruf widmet sich der gelernte Wirtschaftsjurist der Administration seines Synology-NAS-Heimservers oder tüftelt an Raspberry-Pi-Projekten.

Meist gelesene Beiträge

Virtual Reality: Was kommt nach dem großen Hype?

Auch wenn es ruhiger geworden ist um Virtual Reality und Augmented Reality: Es lohnt sich, genauer hinzuschauen. Denn die Technologie bietet spannende Anwendungsmöglichkeiten.

Work-Life-Balance - „Du hast nur dieses eine Leben“

Über 50 kommen die Einschläge näher. Umso wichtiger, dass Arbeits- und Privatleben im Einklang stehen – der eigenen Gesundheit und dem Arbeitgeber zuliebe.

Arbeitssicherheit: Mitarbeiter online schulen

Die Digitalisierung ist in aller Munde. Gerade im nun beendeten Bundestags-Wahlkampf begegnete einem das Schlagwort auf vielen Plakaten, in etlichen Statements. Genau wie Bildung.

Kommentare

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter

Niemand mag Pop Ups. Aber Sie werden unseren Newsletter mögen

Erhalten Sie regelmäßig Blogartikel zu den Themen Digitalisierung, Modernes Leben, Energie und Technik.