Thema Datenschutz: Von Gesetzen, Verordnungen und Richtlinien

//Update 10.03.2018 - Anpassung zur e-Privacy-VO und etwas präzsiere Beschreibung des Unterschieds Verordnung / Richtlinie

Ich will im Folgenden nicht auf die detaillierten Auswirkungen der aktuellen und noch kommenden Verordnungen und Gesetze zum Thema Datenschutz eingehen. Das ist selbst mir zu komplex. Und langweilig. Allerdings habe ich bei meiner Recherche zu der aktuellen Situation festgestellt, dass viele Themen, zumindest die e-Privacy-Verordnung, noch gar nicht in Sack und Tüten sind. Doch gerade diese Verordnung soll doch den Datenschutz in der elektronischen Datenverarbeitung regeln? Um diesen Unwägbarkeiten zu begegnen habe ich mal versucht, die wichtigsten Fakten zusammenzutragen und etwas verständlicher zu formulieren.

Datenschutz im europäischen Recht

Zunächst ein mal zu den europäischen Verordnungen DSGVO und e-Privacy-Verordnung, kurz ePrivVO.

Die DSGVO ist ab dem 25. Mai 2018 rechtsgültig und wird damit die alte Richtlinie 95/46/EG zum Datenschutz ablösen. Die DSGVO ist allerdings „nur“ eine Verordnung, die den Datenschutz bzw. die Verarbeitung personenbezogener Daten im öffentlichen und privaten Bereich im Allgemeinen regelt.

Der explizite Bezug zur elektronischen Datenverarbeitung (das Internet!) soll erst durch die e-Privacy-Verordnung (2002/58/EG) hergestellt werden. Diese regelt den Umgang mit Daten aus der elektronischen Datenverarbeitung. Die ePrivVo ersetzt damit die E-Privacy-Richtlinie 2002/58 EG bzw. die Cookie-Richtlinie 2009/136/EG. Aber Vorsicht: Trotzdem muss berücksichtigt werden, dass man mit dem Einsatz von Tracking-Pixeln bzw. Cookies unter Umständen auch personenbezogene Daten verarbeitet und damit indirekt natürlich schon jetzt im “Rampenlicht der DSGVO steht”.

Die e-Privacy-Verordnung wird die DSGVO also ergänzen, nicht ersetzen. Sie ist aber noch nicht rechtsgültig.

Ab wann gilt die e-Privacy-Verordnung?

Geplant ist es natürlich, dass die e-Privacy-Verordnung zusammen mit der DSGVO ab Mai 2018 in Kraft treten werden. Mittlerweile zeichnet sich aber ab, dass es erst in 2019 zu einer rechtsgültigen Umsetzung kommen wird.

Die e-Privacy- Verordnung hat den Gesetzgebungsprozess bisher noch nicht vollständig durchschritten. Anfang des Jahres 2017 wurde ein erster Entwurf vorgestellt, über den im Laufe des Jahres noch viel verhandelt wurde. Erst Ende Oktober hat das EU-Parlament einen finalen Entwurf auch angenommen.

Als nächstes werden EU-Parlament, EU-Kommission und Mitgliedsstaaten im sogenannten Trilog über die endgültige Fassung diskutieren. Hier kann sich inhaltlich immer noch einiges ändern, nicht zuletzt, weil jetzt auch Lobbyverbände Einfluss nehmen können. Es bleibt also abzuwarten, ob die bisher sehr nutzerfreundliche Position erhalten bleibt.

Warum gibt es überhaupt Verordnung anstatt einer Richtlinie?

Verordnungen müssen in vollem Umfang in nationales Recht umgesetzt werden, Richtlinien können eher als Zielvorgabe verstanden werden (vgl. europa.eu).

Das ist auch ein Grund, warum die bisherigen Richtlinien (wie z.B. die Cookie-Richtlinie) in ihrer Ausprägung eher schwammig war und es in der Folge in den europäischen Mitgliedsstaaten zu verschieden starken gesetzlichen Umsetzungen kam. So gibt es in Deutschland z.B. das OptOut, der Nutzer muss der Verwendung von Cookies widersprechen. In Belgien und Österreich gilt aber das OptIn-Prinzip, der Nutzer muss der Verwendung von Cookies zustimmen. Dennoch sind beide Vorgehen mit den Vorgaben der bisherigen Richtlinien vereinbar. Das soll sich mit den neuen Verordnungen ändern.

Und natürlich mussten die Verordnungen an die geänderten technologischen Rahmenbedingungen angepasst werden.

Was ist in Deutschland zu beachten?

In Deutschland verhielt es sich bisher ganz ähnlich. Das BDSG ist ein Gesetz, dass den Datenschutz ganz allgemein regelt. Erst das TMG und das TKG haben den Bezug zur elektronischen Datenverarbeitung hergestellt.

Diese sollen nun, theoretisch, durch die DSGVO und die e-Privacy-Verordnung abgelöst werden. Aus diesem Grund gibt es auch ein “Datenschutzanpassungsgesetz” (DSAnpUG-EU) sowie das neue Bundesdatenschutzgesetz (BDSG-E, BDSG-neu oder BDSG n.F.). Das BDSG n.F. wird am 25.05.2018 in Kraft treten.

Was ist das Problem?

Erstmal ist es nicht so, dass alle Vorgaben aus dem DSGVO und der ePrivVO ohne weiteres in nationales Recht übernommen werden müssen. Denn die europäischen Verordnungen enthalten sog. Öffnungsklauseln. Das erlaubt dem deutschen Gesetzgeber, in bestimmten Bereichen durch nationale Gesetzen andere Vorgaben zu machen.

Außerdem ist die ePrivVO ja noch nicht final beschlossen. Sie kann also noch gar nicht in deutsches Recht umgesetzt werden. Es bleibt also abzuwarten, was die nächsten Verhandlungen bringen. Im Moment kann sich noch einiges ändern.

Ich bin zwar kein Rechtsanwalt, aber Datenschutzbeauftragter in einem Unternehmen, und habe deshalb eine Art Grundinteresse an der Thematik. Ich habe die Informationen selber zusammengetragen.Wer sich rechtssicher zu dem Thema informieren möchte, sollte natürlich einen Experten aufsuchen. Wer mehr zu dem Thema erfahren will, wird im Internet sehr schnell fündig.

Zur weiteren Recherche empfehle ich die folgenden Seiten, die das Thema entweder kompakt genug oder sehr gut erklärt wiedergeben:

Eine fast nicht mehr ganz so kompakte Übersicht, die aber auch viele Handlungsempfehlungen aus technischer Sicht enthält gibt es auf binary-butterfly.de.