EU-Datenschutz-Grundverordnung senkt deutsches Datenschutzniveau

Die EU-Datenschutzgrundverordnung (EU-DSGVO) senkt das deutsche Datenschutzniveau. Nicht nur der Datenschutzbeauftragte ist in Gefahr, sondern auch der Zweckbindungsgrundsatz. Und die Datenschutz-Aufsichtsbehörden werden sich dem kaum entgegenstellen können.

Datenschutzniveau EU-Datenschutzgrundverordnung EU-DSGVO Training, Schulung

Trotz der Presse-Euphorie hinsichtlich der neuen Datenschutz-Grundverordnung (DS-GVO) sind Datenschutz-Experten der Ansicht, dass zumindest für Verbraucher in Deutschland kein Grund zur Euphorie besteht. Vielmehr werde das hohe deutsche Datenschutzniveau deutlich beschnitten.

Verbesserung für Europa, aber Verschlechterung für Deutschland

“Es stimmt, dass die Grundverordnung, das Datenschutzniveau in Europa anhebt. Das gilt aber nur für den europäischen Durchschnitt. In Deutschland wird es tatsächlich in vielen Bereichen stark abgesenkt”, sagt Ralf Becker, Datenschutzbeauftragter der Firma daschug in Darmstadt. Auch für den ehemaligen Bundesdatenschutzbeauftragten, Peter Schaar, gibt die Datenschutz-Grundverordnung Anlass zur Kritik: „Licht und Schatten gibt es schließlich auch bei der Bestimmung über die betrieblichen bzw. behördlichen Datenschutzbeauftragten.

Einer der Kritikpunkte ist, dass die Grundverordnung in Art. 35 EU-DSGVO zwar eine verbindliche Bestellung eines Datenschutzbeauftragten für Unternehmen vorsieht, jedoch nur unter sehr strengen Voraussetzungen verpflichtend ist. So müssen künftig nur noch solche Unternehmen einen Datenschutzbeauftragten bestellen, deren Kerngeschäft in der Überwachung oder der Bewertung personenbezogener Daten oder der Verarbeitung besonders sensibler Daten liegt. Das dürfte nur noch auf wenige Unternehmen, wie z.B. Auskunfteien und Gesundheitsdienstleister zutreffen. Bisher trifft diese Verpflichtung alle deutschen Unternehmen, bei denen mehr als neun Beschäftigte Zugriff auf personenbezogene Daten haben.

Statt der betrieblichen Datenschutzbeauftragten sollen es die Aufsichtsbehörden richten. Diese bekommen durch die EU-DSGVO mehr Rechte und können höhere Bußgelder verhängen. Dies wird aber nach Meinung der Experten nicht passieren, denn dazu seien die Aufsichtsbehörden schlichtweg nicht in der Lage.

Die erweiterten Rechte der Verbraucher stehen somit nur auf dem Papier und sind faktisch nicht durchsetzbar. Die EU-DSGVO ist ein Papiertiger, ein „law on the books“.

NATIONALE ÖFFNUNGSKLAUSELN SINNVOLL NUTZEN

Allerdings existiert eine Öffnungsklausel in Art. 35 Abs. 4 EU-DSGVO, die es der Bundesregierung erlaubt eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten dennoch umzusetzen. Zwar stehen solche nationalen Öffnungsklauseln teilweise in der Kritik, die Einheitlichkeit des europäischen Datenschutzes wieder zu verwässern. An dieser Stelle wäre ein Gebrauch aber sinnvoll.

Leider besteht die Gefahr, dass die Bundesregierung genau diese Uneinheitlichkeit als Argument nutzen wird, den Datenschutzbeauftragten weitgehend abzuschaffen. So könnte sie argumentieren, die Öffnungsklausel für nationale Sonderregelungen bezüglich des Datenschutzbeauftragten nicht nutzen zu wollen, um die Einheitlichkeit nicht zu gefährden. Das gilt insbesondere, wenn es keine lauten Rufe aus der Bevölkerung danach gibt. So könnte die Bestellpflicht des Datenschutzbeauftragen in Deutschland ab 2018 weitgehend entfallen, wenn die engen Voraussetzungen des Art. 35 nicht erfüllt sind.

Für die Behauptung, dass die Bestellung eines Datenschutzbeauftragten weiterhin von den Unternehmen als Qualitätssigel verstanden werde, existieren keinerlei Belege. Während das BDSG gewisse Erleichterungen für Unternehmen mit bestelltem Datenschutzbeauftragten vorsieht, gilt dies für die EU-DSGVO nicht mehr. Daher gibt es keinen rational Grund, dass Unternehmen auf freiwilliger Basis einen Datenschutzbeauftragten bestellen werden.

 

Das BMI (Bundesministerium des Inneren) äußerte auf Fachveranstaltungen Zuversicht hinsichtlich einer nationalen Bestellpflicht für Datenschutzbeauftragte. Allerdings ist das weder sicher noch ist die Haltung des Justiz- und Wirtschaftsministeriums an dieser Stelle klar.

Von einer Erhaltung des Datenschutzbeauftragten in Deutschland kann keine Rede sein.

 

ZWECKBINDUNG verwässert

Wesentlicher Pfeiler des heutigen Datenschutzrechts ist die Zweckbindung. Der Zweckbindungsgrundsatz besagt, dass personenbezogene Daten nur für einen im voraus festgelegten Zweck erhoben werden dürfen und auch nur für diesen zu verwenden sind. Entfällt der Zweck, sind die Daten zu löschen. Dieses Prinzip steht in der EU-DSGVO zur Disposition: so ist nach Art. 6 Abs. 3a EU-DSGVO eine „zweckkompatible“ Verarbeitung zulässig, ohne zu nennen, wann eine Kompatibilität gegeben sein soll. Lediglich Erwägungsaspekte werden genannt. So z.B. ob die beiden Zwecke in einer Verbindung zueinaner stehen. Eine Folge für die Zulässigkeit der Verarbeitung wird daraus nicht abgeleitet, geschweige denn klare, rote Linien definiert. So dürften Verarbeitungen von Mitarbeiterdaten nunmehr in sehr viel weiterem Rahmen möglich werden. Ob dies die Vorgaben der Datensparsamkeit nach Artikel 6 Abs.2 der EU-Grundrechte-Charta erfüllt, bleibt abzuwarten.

Diese Lockerung des Zweckbindungsgrundsatzes ist nicht so weitgehend, wie es der EU-Rat gewollt hat, bleibt jedoch deutlich unter dem Schutzniveau des heutigen BDSG.

Auch hier wird das deutsche Datenschutzniveau gesenkt.

(Visited 5.201 times, 2 visits today)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.