Rechtsgrundlagen im Datenschutz Hilfen gegen die Rechtsunsicherheit bei der DSGVO

Unternehmen klagen zunehmend über Probleme bei der Umsetzung der DSGVO, die durch Rechtsunsicherheit verursacht werden. Dabei will die DSGVO einheitliche und klare Vorgaben für den Datenschutz schaffen. Wie gibt es mehr Klarheit und Rechtssicherheit?

Firmen zum Thema

Es ist nicht zu erwarten, dass der Datenschutz einmal abschließend geregelt ist, er kann es auch gar nicht, da sich die Verarbeitung und der Schutzbedarf der personenbezogenen Daten fortlaufend ändern.
Es ist nicht zu erwarten, dass der Datenschutz einmal abschließend geregelt ist, er kann es auch gar nicht, da sich die Verarbeitung und der Schutzbedarf der personenbezogenen Daten fortlaufend ändern.
(© Bernulius - stock.adobe.com)

Ein aufwändiger Prüfprozess vor der Einführung jedes digitalen Tools, regelmäßig neue Entscheidungen der Aufsichtsbehörden und Gerichtsurteile in ganz Europa, die Auswirkungen auf das eigene Unternehmen haben können – die Anforderungen an den Datenschutz setzen Unternehmen in Deutschland unter Dauerdruck, berichtet der Digitalverband Bitkom.

„Dem Datenschutz kommt in der digitalen Wirtschaft und Gesellschaft eine besondere Bedeutung zu. Den Unternehmen fehlt es aber zunehmend an Planbarkeit und Verlässlichkeit“, sagt Susanne Dehmel, Geschäftsleiterin Bitkom. „Unternehmen stehen beim Datenschutz unter permanenten Stress. Sie wollen dem Datenschutz Genüge tun, aber dazu müssen sie nicht nur europaweit Gerichtsurteile verfolgen und die unterschiedliche Auslegung aus den Mitgliedsstaaten kennen, sondern sich zusätzlich mit 18 verschiedenen Lesarten von Datenschutzaufsichten allein in Deutschland auseinandersetzen. Das ist vor allem für kleinere Unternehmen immer schwerer zu stemmen.“

Rund jedes zweite Unternehmen beklagt fortlaufende Anpassungen wegen neuer Urteile und Empfehlungen der Aufsicht (47 %) und notwendige neue Prüfungen von Datentransfers in Länder außerhalb der EU (45 %). „Insbesondere kleinere Unternehmen brauchen bei der Umsetzung der DSGVO mehr und bessere Unterstützung“, sagt Dehmel. „Es fehlt in kleinen Unternehmen häufig an Datenschutz-Expertise, notwendig sind daher konkrete und umsetzbare Handreichungen, etwa durch die Aufsichtsbehörden.“

Rechtsgrundlagen sind komplex, die Auslegung und Ausgestaltung nicht einheitlich

In den vergangenen Jahren haben die Probleme bei der DSGVO-Umsetzung deutlich zugenommen, so eine Bitkom-Umfrage. So sagen inzwischen mehr als drei Viertel (78 Prozent) der Unternehmen, dass Rechtsunsicherheit die größte Herausforderung sei, vor zwei Jahren waren es erst 68 Prozent.
In den vergangenen Jahren haben die Probleme bei der DSGVO-Umsetzung deutlich zugenommen, so eine Bitkom-Umfrage. So sagen inzwischen mehr als drei Viertel (78 Prozent) der Unternehmen, dass Rechtsunsicherheit die größte Herausforderung sei, vor zwei Jahren waren es erst 68 Prozent.
(Bild: Bitkom)

Laut Bitkom-Umfrage herrscht eine hohe Rechtsunsicherheit bei den Unternehmen vor: Zu viele Änderungen bzw. Anpassungen bei den Vorgaben beklagen 74 Prozent. Die uneinheitliche Auslegung innerhalb der EU behindert 52 Prozent.

Tatsächlich kann man nicht von einem komplett einheitlichen Datenschutz in der EU sprechen, wie eine weitere Untersuchung zeigt. Das EU-finanzierte Projekt CyberSec4Europe hat eine Umfrage unter den Aufsichtsbehörden der EU-Mitgliedsstaaten durchgeführt, um sich ein Bild von der Einheitlichkeit des Datenschutzes zu verschaffen. Dabei ging es insbesondere darum, ob es neben der DSGVO weitere Datenschutzvorgaben in dem Land gibt und wenn ja, in welchen Bereichen.

Die Ergebnisse zeigen, dass die Mitgliedstaaten in den meisten Fällen keine zusätzlichen/spezifischen Rechtsvorschriften haben. Die Bereiche Verarbeitung genetischer Daten, Nutzung biometrischer Daten zur Identifizierung und Verarbeitung von Gesundheitsdaten scheinen die Themen zu sein, die am häufigsten zusätzlich durch andere Rechtsvorschriften als die DSGVO abgedeckt werden.

Die Schlussfolgerung der Studie ist, dass die DSGVO kein wirklich vereinheitlichender Faktor für die Einhaltung des Schutzes personenbezogener Daten in der gesamten EU ist, sondern eher der Kern- oder Mindeststandard, der in allen Mitgliedstaaten erreicht werden muss. Für die Einhaltung der Vorschriften sind jedoch zumindest in den meisten Ländern noch viele weitere Vorgaben zu beachten, bevor eine vollständige Einhaltung erreicht werden kann.

Das Ergebnis sollte jedoch nicht verwundern: Die DSGVO enthält Öffnungsklauseln, also Regelungen, die die Möglichkeit bieten, in bestimmten Bereichen einen nationalen Gesetzgebungsspielraum zu nutzen, das nationale Datenschutzrecht also strenger oder liberaler als die DSGVO zu gestalten.

Für die Unternehmen führt dies dann zu dem Bild der uneinheitlichen Vorgaben im Datenschutz innerhalb der EU.

Datenschutz von der Landes- bis zur EU-Ebene

Betrachtet man die Situation in Deutschland, findet man neben der DSGVO zum einen das (neue) Bundesdatenschutzgesetz, dann gibt es Landesdatenschutzgesetze, aber auch Spezialgesetze mit Datenschutz-Bezug, wie das Patientendaten-Schutz-Gesetzes (PDSG). Es gibt zudem auf Landes-, Bundes- und EU-Ebene Gesetze, Richtlinien und Verordnungen, die den Datenschutz betreffen.

Da stellt sich die Frage, was denn jeweils genau anzuwenden ist, insbesondere wenn man glaubt, einen Widerspruch zu erkennen, der eben Rechtsunsicherheit verursachen kann. Dazu schreibt zum Beispiel der Landesdatenschutzbeauftragte von Rheinland-Pfalz: Im Falle inhaltlicher Konflikte des Rechts – d.h. wenn eine Regelung im Einzelfall eine bestimmte Rechtsfolge anordnet, die der Rechtsfolge einer anderen Bestimmung widerspricht – bedarf es der Kollisionsregeln. Für das Unionsrecht greift die allgemeine Kollisionsregel des Anwendungsvorrangs. Danach ist in einem konkreten Konfliktfall eine bestimmte innerstaatliche Rechtsvorschrift unanwendbar, wenn und soweit sie mit einer vorrangigen Vorschrift des Unionsrechts kollidiert. Die konkrete Auswirkung des Anwendungsvorrangs hängt von der jeweiligen Situation des Falles ab.

Einfach gesagt: Widerspricht das Bundesgesetz oder Landesgesetz der DSGVO, hat die DSGVO den Vorrang und muss angewendet werden. Nationale Gesetzgebung ist grundsätzlich im Bereich des Datenschutzrechts nur dort möglich, wo die Datenschutz-Grundverordnung keine Anwendung findet oder sie explizit nationale Regelungen zulässt oder den Mitgliedstaaten konkrete Regelungsaufträge erteilt.

Unterstützung und keine Verwirrung durch die Aufsichtsbehörden

Neben den Gesetzen gibt es noch die datenschutzrelevanten Gerichtsurteile und natürlich auch die Informationen der Aufsichtsbehörden. Gerade den Aufsichtsbehörden wurde viel Kritik zuteil in der Bitkom-Umfrage.

Bei konkreten Fragen erhält nur eine Minderheit Unterstützung durch die Aufsicht, so die Bitkom-Studie. Demnach hat ein Viertel (24 Prozent) dort bereits nach Hilfestellungen für die Umsetzung von Datenschutzvorgaben angefragt, aber keine Antwort erhalten. Ähnlich viele (28 %t) haben zwar Antwort bekommen, diese habe aber nicht geholfen. Nur 3 von 10 (29 %) geben an, auf ihre Frage hin auch Hilfestellung erhalten zu haben.

Trotzdem kann die Empfehlung nur lauten, die Unterstützung durch die zuständige Aufsichtsbehörde zu suchen. Zudem sollte man sich auch tatsächlich an die zuständige Aufsichtsbehörde wenden und nicht schauen, ob in einem anderen Bundesland vielleicht eine Empfehlung etwas anders klingt. Im Fall des Falles geht es darum, mit der zuständigen Aufsichtsbehörde im Austausch zu sein.

Man darf dabei aber auch nichts von der eigenen Aufsichtsbehörde erwarten, was nicht in deren Aufgabenbereich liegt. Zur verbindlichen und einheitlichen Auslegung der DSGVO sind der Europäische Datenschutzausschuss und die Gerichte berufen, so zum Beispiel die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

Ausblick: Datenschutz wird sich weiter entwickeln

Es ist nicht zu erwarten, dass der Datenschutz einmal abschließend geregelt ist, er kann es auch gar nicht, da sich die Verarbeitung und der Schutzbedarf der personenbezogenen Daten fortlaufend ändern.

So sieht der Bundesbeauftragte für den Datenschutz für die nächsten Jahre eine lange „Datenschutzpolitische Agenda“, auf der Themen stehen wie Datenschutz für Kinder und Jugendliche, Recht auf anonymes digitales Bezahlen, Datenschutz in intelligenten Verkehrssystemen, ePrivacy Verordnung, Digitale Gesundheit und Patientendatenschutz, Beschäftigtendatenschutz und Anonymisierung.

Dies sind nur Beispiele dafür, wo Unternehmen mit weiteren Konkretisierungen rechnen müssen. Klar ist aber, dass die DSGVO immer die Grundlage bildet. Doch letztlich kann auch sie eines Tages verändert werden. Den Datenschutz abschaffen, kann man jedoch nicht, denn Datenschutz ist ein Grundrecht, in Deutschland, in der EU und bei der UN.

(ID:47890712)