(1995), Slowakei (2004), Slowenien (2004), Spanien (1986), Tschechische Republik (2004), Ungarn (2004), Vereinigtes Königreich (1973 bis zum Abschluss der Austrittsverhandlungen), Zypern (2004).
Reding: Sieben Grundbausteine der europäischen Datenschutzreform, ZD 2012, S. 195.
Vgl. https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1577440017618&uri=CELEX:32016R0679 (zuletzt aufgerufen am: 29.01.2020).
Unter https://curia.europa.eu finden sich sowohl Informationen zum EuGH selbst als auch zu seinen (aktuellen) Urteilen.
Vgl. https://www.baden-wuerttemberg.datenschutz.de/auftragsdatenverarbeitung-und-funktionsuebertragung/ (zuletzt aufgerufen am: 29.01.2020).
{Öffnungsklausel}
Seit der Veröffentlichung im EU-Amtsblatt hatten die einzelnen Länder bis zum 25.05.2018 Zeit, die EU-Verordnung mit ihrer nationalen Gesetzgebung in Einklang zu bringen. In bestimmten Bereichen hat die DSGVO durch gewisse Öffnungsklauseln Raum für den nationalen Gesetzgeber gelassen, den es vor Inkrafttreten der DSGVO zu regeln galt. Die Liste reichte von Gesundheit und Forschung über den Beschäftigtendatenschutz und den Datenschutzbeauftragten bis hin zu Berufsgeheimnissen. Auch die Bedeutung des Datenschutzrechts für Unternehmen und Betriebe im Detail, sprich für den für die Verarbeitung Verantwortlichen, zählt dazu.
|
|
|
| Die DSGVO ist nicht abschließend. Dabei öffnet sie nicht den Regelungsbereich für die EU-Länder, sie gibt diesen lediglich die Befugnis, einen vorgegebenen Spielraum zu nutzen. Diese Möglichkeiten werden daher auch „Spezifizierungsklauseln“ genannt. | |
Die DSGVO sieht „Kann“- und „Muss“-Öffnungsklauseln – je nach Zählweise zwischen 50 und 60 Klauseln – vor. Der deutsche Gesetzgeber in Bund und Ländern hat im Rahmen des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) vom 30.06.2017 bzw. im Rahmen des 2. DSAnpUG-EU vom 20.11.2019 (BGBl. 2019 I S. 1626) mit dem novellierten Bundesdatenschutzgesetz (BDSG) davon umfassend Gebrauch gemacht. Dabei war im deutschen Datenschutzrecht hinsichtlich des Anpassungsbedarfs zwischen dem öffentlichen und nicht öffentlichen Bereich zu unterscheiden.
|
|
|
| Die Regelungsmöglichkeiten können auch in anderen Gesetzen der Mitgliedstaaten ausgeübt werden, wie z. B. die Identifikationsnummer in Steuersachen (Steuer-ID) aus § 139a Abgabenordnung (AO). Es ist daher weiterhin zu prüfen, ob es nationale Vorgaben gibt, welche die Vorgaben der DSGVO ergänzen.[1] | |
Von den Öffnungsklauseln haben neben Deutschland u. a. Bulgarien, Dänemark, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, die Niederlande, Österreich, Rumänien, Schweden, Slowakei und das Vereinigte Königreich bereits Gebrauch gemacht.
In den EU-Mitgliedstaaten Luxemburg, Malta, Polen, Portugal, Slowenien, Spanien, Tschechische Republik, Ungarn und Zypern sind die Gesetzgebungsverfahren noch nicht abgeschlossen (Stand Januar 2020).
|
|
|
| Insofern kommt es entgegen der Zielsetzung der DSGVO zu einem Flickenteppich innerhalb der EU bzw. des EWR. Denn in manchen Teilen wird die DSGVO durch nationales Recht verdrängt (z. B. Beschäftigtendatenschutz). | |
Die EU-Kommission behält sich jedoch zwei Kompetenzen vor:
| • | Art. 12 Abs. 8 DSGVO: Regelung standardisierter Icons (sog. Bildsymbole) |
| • | Art. 43 Abs. 8 DSGVO: Regelung der Anforderungen an Zertifizierungsverfahren |
Aufseiten der Aufsichtsbehörden besteht auch immer noch Handlungsbedarf im Rahmen des Regulierungsspielraums. Die nachstehenden Punkte sind EU-weit aufsichtsbehördlich zu regeln:
Artt. 40–41 DSGVO – Verhaltensregeln
Verbände oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeiter vertreten, können in Grenzen der DSGVO Verhaltensregeln ausarbeiten, um eine wirksame Anwendung der DSGVO zu erleichtern (ErwG 98–99 DSGVO).
Artt. 55–56 DSGVO – One-Stop-Shop {One-Stop-Shop}-Verfahren (Zuständigkeiten der Aufsichtsbehörden)
Die DSGVO führte einen sog. One-Stop-Shop-Mechanismus ein. Bei grenzüberschreitenden Datenverarbeitungen wird für ein Unternehmen nur die Aufsichtsbehörde an seinem Hauptsitz als zentraler Ansprechpartner zuständig sein.
Die betroffene Person kann sich bei einer (also jeder) Aufsichtsbehörde beschweren, wenn sie der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten rechtswidrig erfolgt (Art. 77 DSGVO – Recht auf Beschwerde bei einer Aufsichtsbehörde).
Artt. 63–67 DSGVO – Kohärenzverfahren
Sollte es in One-Stop-Shop-Fällen keinen Konsens zwischen den Aufsichtsbehörden geben, trifft der Europäische Datenschutzausschuss (EDSA) einen verbindlichen Beschluss.
Fußnoten:
Vgl. Eckhardt, Jens/Kramer, Rudi (u. a.): DS-GVO-Kompendium, Bonn: VNR Verlag für die Deutsche Wirtschaft 2019.
{Aufsichtsbehörden}
