Zurück zur Übersicht
04.04.2022

Europarechtlichen Vorgaben zum Datenschutz

Umsetzung der europarechtlichen Vorgaben zum Datenschutz

Den 25. Mai 2018 werden Datenschützer nicht so schnell vergessen, denn an dem Tag erlangte die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) Geltung und bis zu dem Tag waren auch Regelungen des Bundes- und Landesdatenschutzrechts anzupassen, soweit dies die europäische Richtlinie (EU) 2016/680 für den Bereich Justiz und Inneres betraf. Einige vertreten die Ansicht, dass sich für Deutschland gar nicht viel geändert hätte. Das ist insoweit nicht falsch, als Behörden und Unternehmen häufig schon eine gewisse Vorstellung vom Thema Datenschutz hatten. Auch das Instrument der Datenschutzbeauftragten im Unternehmen oder in öffentlichen Stellen war in Deutschland bekannt und überwiegend geschätzt. Wer bereits ein Datenschutzmanagement bei sich in der Organisation etabliert hatte, war auch gut dafür aufgestellt, die Änderungen aus Europa aufzunehmen und umzusetzen.

Dennoch ist ein vollständiges Durchdringen des Datenschutzrechts sowohl für diejenigen, die mit dem „alten BDSG“ vertraut waren, als auch für Neulinge in dem Thema nicht simpel. Das liegt zum einen daran, dass die nationalen Rechtsauslegungen und Begriffe nicht immer auch der europäischen Auslegung entsprechen. Zum anderen sind die Datenschutzregeln mit dem Ziel einer Technikneutralität und einer gewünschten Robustheit für viele Jahre formuliert worden und weisen daher notgedrungen einen hohen Abstrahierungsgrad auf.

Durch die mittlerweile entwickelten Muster und Orientierungshilfen fällt zwar die Einhaltung der Datenschutzanforderungen bei Standarddatenverarbeitungen üblicherweise nicht schwer, doch für Spezialfragen kann es komplex werden. So komplex, dass auch Gerichte in den Mitgliedstaaten der EU dem Europäischen Gerichtshof (EuGH) Fragen zur Klärung im Sinne einer einheitlichen europäischen Anwendung vorlegen. Ende 2021 waren beim EuGH mehr als 30 solcher Vorabentscheidungsersuchen von Gerichten aus den Mitgliedstaaten, in denen jeweils mehrere Fragen gestellt waren, anhängig, die der EuGH in der nächsten Zeit beantworten wird. Aus Deutschland kommen besonders viele Fragen, aber es liegen auch Vorabentscheidungsersuchen aus den Ländern Belgien, Bulgarien, Finnland, Lettland, Litauen, Luxemburg, Niederlande, Österreich, Rumänien, Schweden und Ungarn vor.

In mehreren Verfahren zur neuen Rechtslage hat der EuGH bereits entschieden. Prominent ist das unter dem Namen „Schrems II“ bekannte Urteil des EuGH vom 16.07.2020 (Rechtssache C-311/18), in dem der „Privacy Shield“ (Beschluss 2016/1250) der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA für unwirksam erklärt wurde (39. TB, Tz. 2.5). Der EuGH betont, dass bei einem grenzüberschreitenden Datenverkehr ein angemessenes Datenschutzniveau beim Empfänger bestehen muss, was durch den Privacy Shield nicht garantiert war.

Die Datenschutzaufsichtsbehörden in Europa hatten schnell auf das Urteil reagiert und ausgearbeitet, welcher ergänzenden Maßnahmen („Supplementary Measures“) es bei einem geplanten Drittstaatentransfer bedarf, der sich beispielsweise auf Standardvertragsklauseln oder auf aufsichtsbehördlich genehmigte „Binding Corporate Rules“ (verbindliche interne Datenschutzvorschriften) stützen könnte. Nach der Veröffentlichung der Leitlinien im Sommer 2020 wurde eine öffentliche Konsultation durchgeführt. Nach Auswertung der eingehenden Stellungnahme wurde die überarbeitete finale Fassung im Juni 2021 bereitgestellt:

Wenn die untenstehenden ⬇️ Links unnötig sind, dann einfach entfernen 🙂

https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_de

Ebenfalls im Juni 2021 stellte die EU-Kommission neu gefasste EU-Standarddatenschutzklauseln vor:

https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=de

In einer Pressemitteilung hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder klargestellt, dass auch bei Verwenden der neuen EU-Standardvertragsklauseln eine Prüfung der Rechtslage im Drittland und zusätzlicher ergänzender Maßnahmen erforderlich ist:

https://www.datenschutzkonferenz-online.de/media/pm/2021_pm_neue_scc.pdf

Für weitere Leitlinien, die die Beziehung zwischen dem räumlichen Anwendungsbereich (Artikel 3 DSGVO) und den Regeln zum grenzüberschreitenden Datentransfer betreffen, lief Ende 2021 noch die Konsultationsphase:

https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-052021-interplay-between-application_de

Im Ergebnis bedeutet dies: Das EuGH-Urteil muss umgesetzt werden. Doch wenn der geplante Empfänger im Drittland kein angemessenes Datenschutzniveau gewährleisten kann, darf der Transfer der personenbezogenen Daten nicht stattfinden.

Auch heute noch finden wir immer Datenschutzerklärungen auf Webseiten, die sich auf den Privacy Shield beziehen oder auch sonst nicht erkennen lassen, dass der Verantwortliche bei dem von ihm beschriebenen Datentransfer die neue Rechtslage kennt und die nötigen Prüfungen vorgenommen hat. Dies ist zumindest ein Indiz für ein nicht funktionierendes Datenschutzmanagement. Hier ist dringend Abhilfe geboten.


Was ist zu tun?
Die europarechtlichen Vorgaben müssen umgesetzt werden. Das betrifft auch den Einsatz von Produkten und die Nutzung von Dienstleistungen in der EU. Wo dies nicht der Fall ist, müssen die Verantwortlichen gegebenenfalls Änderungen bei den Herstellern bzw. Anbietern einfordern oder datenschutzkonforme Alternativen einsetzen.

Quelle: ULD Schleswig-Holstein

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks