Datenschutzgrundverordnung für Dummies. Christian Szidzek

Чтение книги онлайн.

Читать онлайн книгу Datenschutzgrundverordnung für Dummies - Christian Szidzek страница 11

Datenschutzgrundverordnung für Dummies - Christian Szidzek

Скачать книгу

wurde im Juni 2015 durch den EU-Ministerrat veröffentlicht. Es wurde schnell klar, dass man es offenbar nicht mit einem Reh, sondern eher mit einem Elch zu tun bekommen würde. Gerüchte über ein Recht auf Vergessenwerden, neue Löschpflichten, umfassende Betroffenenrechte sowie drakonische Sanktionen bei Verstößen gegen die beabsichtigten neuen Vorschriften geisterten durch die Medien.

      Schließlich begannen die ersten Trilog-Treffen, und im letzten davon, an einem 15. Dezember im Jahr 2015, konnte man sich auf einen finalen Stand einer DSGVO einigen. Am 25. Mai 2016 trat die DSGVO dann als Verordnung (EU) 2016/679 in Kraft. Von Rehen oder Elchen wollte aber plötzlich niemand mehr reden. Stattdessen war von einem Monster die Rede, das Einzug in Behörden und Unternehmen in den Mitgliedstaaten halten würde.

      Aber nicht nur in der EU begann man zu realisieren, dass es zu einem Paradigmen-Wechsel im europäischen Datenschutz gekommen war. Auch im außereuropäischen Ausland registrierte man bestürzt, dass die EU es mit dem Datenschutz nun offenbar wirklich ernst meinen würde. Denn auch Unternehmen, die keinen Sitz in einem europäischen Mitgliedstaat hatten, wurden durch die Vorschriften der DSGVO nun erbarmungslos mit Sanktionen bedroht, sollten Sie es – wie bisher – wagen, den europäischen Datenschutz weiterhin zu unterlaufen. Gnädig wurde allen noch eine zweijährige Frist bis zum 25. Mai 2018 gewährt, um die neuen Datenschutzvorgaben in die Praxis umzusetzen. Und seit diesem Zeitpunkt müssen alle Adressaten, sei es mit oder ohne Sitz in der EU, die Vorschriften der DSGVO einhalten. Willkommen in der Monster AG!

      

Wer alles Adressat der Vorschriften der DSGVO ist, erfahren Sie übrigens gleich weiter unten unter der Überschrift Adressaten.

      Wenn supranationale Einrichtungen wie die Vereinten Nationen (UNO) oder die Europäische Union (EU) Vorschriften erlassen, handelt es sich – sie ahnen es sicher schon – um supranationales Recht. Staaten übertragen bestimmte Regelungsbefugnisse auf solche supranationalen Einrichtungen, geben ihre ursprünglich eigene Verfügungsgewalt damit auf und sind dann an die Entscheidungen der supranationalen Einrichtungen gebunden. Solche Entscheidungen können in einigen Fällen durch Beschlüsse dieser Organisationen gefasst werden. Es gibt aber auch Gesetzeswerke, die von solchen Einrichtungen erlassen werden und an die sich Mitgliedstaaten dann halten müssen. So ist es auch in der EU. Die Gesetzgebung der EU findet dabei einerseits statt durch Richtlinien und andererseits durch Verordnungen.

      Richtlinien

      Je nach Ausgestaltung der landestypischen Gesetzgebungsverfahren und Besonderheiten der Landesverfassungen sind die Mitgliedstaaten dabei entsprechend frei in der Umsetzung der gesetzten Zielvorgaben. Setzen Mitgliedstaaten die Vorgaben von Richtlinien nicht oder inhaltlich nur unzureichend um, kann die EU-Kommission ein sogenanntes Vertragsverletzungsverfahren nach Art. 258 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) einleiten. Das Verfahren ermöglicht der Kommission, den Europäischen Gerichtshof (EuGH) anzurufen, wenn sie der Meinung ist, dass ein Mitgliedstaat gegen eine Verpflichtung aus den Verträgen verstoßen hat (Art. 260 Abs. 1 AEUV). Ist das der Fall, endet das meist mit hohen Bußgeldern für die betroffenen Staaten.

      Verordnungen

      Da es aber immer wieder passiert, dass Mitgliedstaaten Richtlinien nur sehr zögerlich umsetzen oder listig Schlupflöcher finden, um die eigentlichen Ziele der Richtlinie zu unterwandern, sieht das europäische Datenschutzrecht auch Verordnungen vor. Verordnungen zeichnen sich dadurch aus, dass sie nicht mehr erst durch Gesetze der Mitgliedstaaten umgesetzt werden müssen, sondern nach ihrem Erlass und einer meist gewährten Übergangsfrist unmittelbar anzuwendendes Recht in jedem Mitgliedstaat der EU werden. Der Erlass von Umsetzungsgesetzen ist dann obsolet. Die Verordnung ersetzt dann entgegenstehende Gesetze vollständig. Wobei vollständig nicht ganz richtig ist. Verordnungen, wie auch die DSGVO, beinhalten oft sogenannte Öffnungsklauseln. Das sind Rechtsvorschriften, in denen es den Mitgliedstaaten erlaubt wird, bestimmte Regelungsinhalte noch zu konkretisieren durch eigene ergänzende Gesetze. Konkretisieren meint in diesem Zusammenhang, dass die Mitgliedstaaten zwar ergänzende Regelungen treffen dürfen. Sie dürfen dabei aber nur solche Regeln erlassen, die mit den Vorschriften der Verordnung harmonieren und diese nicht etwa durch die Hintertür heimlich aufweichen. Erlaubt sind nur noch schärfere Regelungen oder aber landestypische Spezifizierungen, aber keine Regelungen, mit denen Vorgaben einer Verordnung umgangen werden. Sollte das ein Mitgliedstaat trotzdem versuchen, droht auch hier ein Vertragsverletzungsverfahren.

      

In der DSGVO existieren 69 Öffnungsklauseln, die es Mitgliedstaaten ermöglichen, konkretisierende Gesetze zu erlassen. Deutschland hat mit dem Erlass des Bundesdatenschutzgesetzes (BDSG) als einer der ersten Mitgliedstaaten ein entsprechendes Ergänzungsgesetz erlassen. Aber wer wissen will, wie Deutschland bestimmte Datenschutzthemen ergänzend regelt, der muss zusätzlich einen Blick in das BDSG werfen. Dasselbe gilt für die meisten Mitgliedstaaten der EU, die inzwischen entsprechende ergänzende Gesetze erlassen haben. In Deutschland wird zum Beispiel der Beschäftigtendatenschutz, die Anforderungen an die Benennung von Datenschutzbeauftragten oder die Videoüberwachung zusätzlichen Regelungen unterworfen. Je nachdem in welchem Mitgliedstaat Sie sich also befinden, sollten Sie nicht versäumen, einen Blick in die vorhandenen nationalen Gesetze zum Datenschutz zu werfen.

       EU-Datenschutz-Grundverordnung

      (im Folgenden kurz: DSGVO).

      Monster kommen nicht von ungefähr. Meistens werden sie gerufen. Zumindest wenn es nach dem Roman von Larry Correia geht (Die Monster, die ich rief, Köln 2017). Bei Goethes Zauberlehrling waren es noch Geister, aber mit Geistern erschreckt man heutzutage niemanden mehr. Das Monster DSGVO wurde gerufen durch

       die bis dato uneinheitliche Umsetzung der Europäischen Datenschutz-Richtlinie 95/46/EG in nationales Recht,

       den Umstand bis dahin national unabhängiger und eigenständiger Datenschutzaufsichtsbehörden,

       bis dahin nationale Sonderregelungen und ein unterschiedliches Datenschutzniveau in den Mitgliedstaaten und

       die

Скачать книгу