Die Datenschutz-Grundverordnung (DSGVO) stellt sowohl privatwirtschaftliche Unternehmen als auch öffentliche Stellen vor große Herausforderungen. Diese stehen im Mittelpunkt des „5. Speyerer Forum zur digitalen Lebenswelt“, zu dem am 07. und 08. April 2016 die Deutsche Universität für Verwaltungswissenschaften und der rheinland-pfälzische Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Herr Prof. Dr. Dieter Kugelmann, einladen.
Bereits im Vorfeld dieser Tagung hatten wir Gelegenheit, mit Herrn Prof. Dr. Kugelmann über einige wichtige Fragen zu sprechen, die die DSGVO aufwirft.
datenschutz süd:
Die DSGVO hat das Ziel, den Datenschutz in Europa zu vereinheitlichen. Allerdings bietet die Verordnung an vielen Stellen – insbesondere durch die sog. Öffnungsklauseln – Spielraum für nationale Regelungen der Mitgliedstaaten. Dies führt dazu, dass künftig neben der DSGVO noch etliche weitere nationale Vorschriften relevant sein dürften.
Bei einem Unternehmen mit mehreren Niederlassungen in verschiedenen Mitgliedstaaten der Union findet nach Artikel 3 DSGVO einheitlich die Verordnung Anwendung. Nicht geklärt ist jedoch das Konkurrenzverhältnis der daneben geltenden verschiedenen nationalen Datenschutzregelungen, die über die Öffnungsklauseln möglich sind.
Wie werden die Aufsichtsbehörden, z.B. im Rahmen ihrer Funktion als federführende Aufsichtsbehörde (Artikel 51a DSGVO), in der Praxis das Spannungsverhältnis zwischen zahlreichen neben der DSGVO geltenden nationalen Datenschutzvorschriften bewältigen?
Hat etwa ein Unternehmen seine Hauptniederlassung in Belgien und weitere Niederlassungen in Deutschland und Spanien, ist federführende Aufsichtsbehörde die belgische. Fraglich ist in diesem Fall, ob und wie die belgische Behörde bei ihrer Prüfung deutsche und spanische Datenschutzvorschriften, die durch die Öffnungsklauseln ermöglicht werden, beachten muss.
Prof. Dr. Kugelmann:
Meines Erachtens ist diese Frage im Grundsatz recht eindeutig zu beantworten. Die Öffnungsklauseln bieten Raum für die Anwendung nationalen Rechts. Der nationale Gesetzgeber kann für sein Territorium nationales Recht setzen. Diese nationalen Regelungen können die DSGVO aber nur für den eigenen Anwendungsbereich ergänzen; sie können sich nicht über Ländergrenzen hinweg erstrecken.
Im konkreten Beispiel wird die belgische Behörde also prüfen, ob belgische Vorschriften über die Regelungen der DSGVO hinausgehen. Wenn ein Unternehmen mehrere Niederlassungen hat, müssen sich diese Niederlassungen eben an unterschiedliche Rechtsvorschriften halten. Deshalb gibt es ja auch das Konzertierungsverfahren nach der DSGVO. Die deutsche oder spanische Behörde würde dann die belgische Behörde über etwaige nationale Regelungen informieren.
Da die DSGVO an vielen Stellen Raum für Abwägungen lässt, wird man dort dann sicherlich versuchen, auf einen gemeinsamen Nenner zu kommen. Aber Sinn ist ja gerade, dass jeder Staat für sein Territorium auch gesonderte Regelungen treffen kann.
datenschutz süd:
Das heißt, dass die federführende Behörde in Zusammenarbeit mit anderen nationalen Aufsichtsbehörden eine Lösung finden muss, die das Ganze so weit wie möglich vereinheitlicht, aber auch die nationalen besonderen Vorschriften berücksichtigt?
Prof. Dr. Kugelmann:
Das scheint mir die richtige Richtung zu sein. Natürlich ist das für das multinational tätige Unternehmen nicht der Wunschzustand, weil es am liebsten nur ein für sich geltendes Recht hätte, aber wenn Verarbeitungsvorgänge auf dem Territorium eines anderen Landes stattfinden, dann ist eben die Folge der Öffnungsklauseln, dass dort entsprechend nationales Recht gilt.
Das ist in der Tat etwas Ungewöhnliches; es gibt nicht sehr viele Verordnungen, die diese Öffnungsklauseln haben. Deshalb muss man auch erst noch lernen, damit umzugehen. Die Verordnung selbst versucht das über ein Konzertierungsverfahren, das Kohärenzverfahren, mit entsprechend engen Fristen für die Aufsichtsbehörden. Aber letztendlich bleibt es rechtlich dabei, dass durchaus eine gewisse Vielfalt der Ausprägungen von Datenschutzregeln erhalten bleibt.
datenschutz süd:
Bisher gibt es im BDSG die Pflicht zur Vorabkontrolle, soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen (§ 4d Absatz 5 BDSG).
Nach der DSGVO ist künftig eine vorherige Datenschutz-Folgenabschätzung durchzuführen, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat, Artikel 33 DSGVO. Ist bereits absehbar, für welche Verarbeitungsvorgänge über die in Artikel 33 Absatz 2 DSGVO genannten hinaus eine solche Datenschutz-Folgenabschätzung erforderlich sein wird?
Prof. Dr. Kugelmann:
Die Regelung zur Datenschutz-Folgenabschätzung setzt bei zwei Punkten an. Sie soll erfolgen, wenn eine systematische Bewertung erfolgt und wenn die verarbeiteten Daten besonders sensibel sind oder sonst ein hohes Risiko für den Datenschutz besteht. Das ist ein Punkt, an dem die Reichweite der DSGVO auch noch nicht hundertprozentig absehbar ist, also eine gewisse Unsicherheit verbreitet. Die Zielrichtung ist in der Tat aber nachzuvollziehen.
Ich denke, in der Praxis wird die handhabbare Lösung über die ebenfalls in Artikel 33 geregelten Listen erfolgen. Wenn ich das für Deutschland richtig beurteile, wäre dies eine Aufgabe der Datenschutzkonferenz, also aller Datenschutzbeauftragten des Bundes und der Länder, gemeinsam zumindest eine Positivliste auszuarbeiten. Hierbei geht es auch darum, einen Ansatz für die betrieblichen und behördlichen Datenschutzbeauftragten zu schaffen, die bei der Datenschutz-Folgenabschätzung miteinbezogen werden sollen.
Konkrete Beispiele, wann dies Anwendung finden könnte, sind schwer abzuschätzen. Ich würde vermuten, wenn es um Profilbildung nach systematisch-automatisierten Vorgaben geht, die durch neue Technik, neue Software oder neue Verarbeitungsmechanismen als Geschäftsmodell implementiert werden, wird auf jeden Fall eine Datenschutz-Folgenabschätzung erforderlich sein.
Es ist ein großer Erfolg, dass es die DSGVO gibt, aber dass die Verordnung insgesamt eine erhebliche Kompromisshaftigkeit aufweist, die nicht gerade zur Klarheit führt, ist auch allen klar. Damit werden wir umgehen müssen.
datenschutz süd:
Wenn aus einer solchen Datenschutz-Folgenabschätzung hervorgeht, dass eine Verarbeitung ein hohes Risiko zur Folge hätte und der für die Verarbeitung Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, besteht nach Artikel 34 DSGVO eine Pflicht zur vorherigen Konsultation der Aufsichtsbehörde. Wie bereitet sich die Aufsichtsbehörde in Rheinland-Pfalz auf den vermehrten Beratungsbedarf der Unternehmen, der unter anderem durch solche vorherigen Konsultationen entstehen wird, vor?
Prof. Dr. Kugelmann:
Wir sind ohnehin von unseren Prioritäten her so aufgestellt, dass wir versuchen, möglichst viel über Beratung im Vorfeld abzudecken. Der „beste“ Datenschutzverstoß ist der, der nicht vorkommt! Daher stehen wir mit vielen Unternehmen im Land frühzeitig und dauerhaft in Kooperation. Das wird sich durch die Regelungen der Grundverordnung quantitativ und qualitativ noch ausweiten. Hinzu kommt, dass in der Grundverordnung auch Fristen geregelt sind.
Wir versuchen, auf zwei Ebenen zu reagieren. Zum einen bilden wir uns intern – natürlich auch im Kontext mit den Kolleginnen und Kollegen aus anderen Datenschutzbehörden – weiter, schieben Veranstaltungen zur Grundverordnung an, tauschen Materialien aus. Wenn wir 16 Landesbehörden haben, braucht ja nicht jede das Rad neu zu erfinden.
Zweitens werden wir versuchen, unsere Ressourcen zu erweitern. Das betrifft auch alle Kolleginnen und Kollegen in Bund und Ländern, dass die bisherige Ausstattung der Datenschutzaufsichtsbehörden es kaum erlaubt, den Anforderungen der Grundverordnung gerecht zu werden. Hier bedarf es weiterer personeller und infrastruktureller Maßnahmen.
Die Kollegen in NRW z.B. haben bereits für die Übergangszeit einige neue Stellen bewilligt bekommen, die Bundesbeauftragte ebenfalls. Es ist also absehbar, dass wir uns auch darum bemühen werden, uns etwas breiter personell aufzustellen – wohl wissend, dass wir so viel Personal, wie wir bräuchten, um alles zu erfüllen, gar nicht bekommen können. Wir müssen dann eben mit den Ressourcen haushalten und gegebenenfalls, auch das ist klar, priorisieren.
Wenn etwas nach der Grundverordnung mit Fristen versehen ist, müssen wir es vorziehen. Das heißt, wir müssen eine interne Prioritätenliste aufstellen. Und das kann, machen wir uns nichts vor, für den einzelnen Bürger dann bedeuten, dass er oder sie vielleicht einmal auf die Bearbeitung einer Anfrage etwas länger warten muss, weil der zuständige Bearbeiter gerade fristgebunden eine Stellungnahme anfertigen muss. Das wird nicht ausbleiben.
datenschutz süd:
Das BDSG enthält eine eigene Norm bezüglich der Videoüberwachung öffentlich zugänglicher Räume (§ 6b BDSG). Für andere Videoüberwachungsmaßnahmen finden sich die rechtlichen Maßstäbe in § 28 Absatz 1 Satz 1 Nr. 2 BDSG bzw. § 32 Absatz 1 Satz 2 BDSG.
In der DSGVO fehlen detaillierte Regelungen hierzu. Gemäß Artikel 33 Absatz 2 (c) DSGVO und Erwägungsgrund 71 wird nach der DSGVO eine Datenschutz-Folgenabschätzung bei Videoüberwachungsmaßnahmen erforderlich sein. Nach Artikel 82 Absatz 2 DSGVO müssen zudem nationale Regelungen zum Beschäftigtendatenschutz geeignete Maßnahmen zur Wahrung der Betroffenenrechte auch gerade im Hinblick auf Überwachungssysteme am Arbeitsplatz treffen. Weitere (insbesondere inhaltliche) Regelungen fehlen jedoch.
Wie werden Videoüberwachungsmaßnahmen nach der DSGVO zu beurteilen sein? Werden hierbei in Deutschland die Maßstäbe weitergelten, die bislang durch das BDSG festgelegt sowie durch Rechtsprechung, Aufsichtsbehörden und Literatur entwickelt wurden?
Prof. Dr. Kugelmann:
Es ist meines Erachtens so – Sie haben vollkommen recht – , dass wir bei der Videoüberwachung, übrigens ist es beim Beschäftigtendatenschutz nicht sehr viel anders, ein Weniger an konkreten Regelungen haben werden.
Das heißt, wir müssen mit den allgemeinen Regelungen zu Recht kommen und herangehen. Sie haben die Vorschriften vollkommen zu Recht erwähnt, in denen sich Ansatzpunkte finden, letztlich aber wird die Videoüberwachung in der Grundverordnung nach Art. 5, 6, den allgemeinen Regeln und insbesondere dem Verhältnismäßigkeitsgrundsatz zu beurteilen sein.
So ähnlich sehe ich es auch beim Beschäftigtendatenschutz. Artikel 82 lässt ja eine Reihe von Spielräumen, die weiter sind als das, was vielleicht ein § 32 BDSG erlaubt.
Jetzt gibt es aus meiner Sicht zwei Ansätze:
Gibt es hier Öffnungsklauseln, haben wir dann das Recht, in einem “Rumpf-BDSG-neu“, einen § 6b, einen § 32 oder Ähnliches aufzunehmen? Zumindest bei der Videoüberwachung gibt es über Artikel 6 die Möglichkeit für konkretere Regelungen. Das könnte man meiner Meinung nach tun, aber natürlich müssen nationale Regelungen mit der Verordnung übereinstimmen.
Zweitens geht es um die materiellen Inhalte. Ich gehe davon aus, dass dem Grunde nach die Maßstäbe, die durch die Rechtsprechung, Aufsichtsbehörden und Literatur bislang vorgegeben sind, fortgelten. Das heißt, ich würde die Öffnungsklauseln, die Verhältnismäßigkeitsprüfungen mit dem Bestand der vorhandenen Wertungen füllen, wenn es mit der Verordnung vereinbar ist.
Der Bestand an Vorgaben bleibt demnach dem Grunde nach erhalten, muss aber fortentwickelt, feingesteuert werden nach Maßgabe der Rahmenbedingungen der Verordnung. Ich bin überzeugt, für Videoüberwachungen gelten die Regeln des § 6b, auch wenn ein neues BDSG erst einmal nichts hierzu regeln würde, inhaltlich grundsätzlich weiter; natürlich mit der Aussicht auf Fortentwicklung durch Rechtsprechung und aufsichtsbehördliche Vorgaben an der einen oder anderen Stelle.
datenschutz süd:
Bislang konnten bei Datenschutzverstößen Bußgelder von in der Regel maximal 50.000 € bzw. 300.000 € verhängt werden (§ 43 BDSG). Die DSGVO erhöht die Obergrenzen deutlich. Nach Artikel 79 DSGVO sind je nach Verstoß Geldbußen von bis zu 10 bzw. 20 Millionen € oder von bis zu 2 bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens möglich. Gibt es konkrete Überlegungen innerhalb der Aufsichtsbehörde, inwieweit von dem erheblich erweiterten Bußgeldrahmen der DSGVO Gebrauch gemacht werden soll?
Prof. Dr. Kugelmann:
Die Höhe des Bußgeldes ist meiner Ansicht nach erst einmal zweitrangig. Es geht darum, ob ein entsprechender Verstoß vorliegt, der ein Bußgeld begründet. Auch bisher wurden durch unsere Behörde bei anspruchsvollen Verfahren bereits hohe Bußgelder verhängt und das wird in Zukunft dann erst recht so sein. Mein Vorgänger hat ein sehr hohes Bußgeld gegenüber einem großen Versicherungsunternehmen verhängt. Wenn wir hier von Millionenbeträgen reden, muss das Verfahren natürlich rechtssicher gestaltet sein und mit großer Sorgfalt, die wir auch bislang schon walten lassen, geführt werden.
Es ist nicht so, dass wir uns vorgenommen haben, jetzt möglichst viele Bußgelder einzutreiben. Wenn aber Großunternehmen Verstöße mit entsprechender Bandbreite begehen, dann ergibt das Sinn, denn man kann auch das Drohpotential von vornherein verstärkt nutzen, um ein datenschutzgerechtes Vorgehen herbeizuführen.
Der Bußgeldrahmen ist ein Instrument für aufsichtsbehördliches Handeln wie bisher und wenn ein Bußgeld ausgesprochen wird, muss es, wie bisher, entsprechend rechtssicher und gerichtsfest ausgestaltet sein. Sonst hat auch ein neuer Rechtsrahmen keinen Mehrwert.
datenschutz süd:
Der Datenschutz steht nicht nur durch die DSGVO vor großen Veränderungen. Aktuell beschäftigt Datenschützer insbesondere auch das neue EU-U.S. Privacy Shield. Was sind Ihre Gedanken hierzu? Werden dadurch Ihrer Meinung nach die Kritikpunkte an Safe Harbor wirksam ausgeräumt und ein Datentransfer in die USA auf eine angemessene Grundlage gestellt? Oder bleibt doch alles beim Alten?
Prof. Dr. Kugelmann:
Erst einmal ist es offensichtlich so, dass erfreulicherweise Druck vorhanden ist, zu einer Einigung zu kommen. Auch unsere amerikanischen Partner wissen, dass man sich irgendwie entsprechend bewegen muss, sonst wird das gerade auch für große amerikanische Unternehmen eher schwieriger als leichter.
Der politische Druck, den die Kommission nutzen kann, um mit den Amerikanern zu einer Vereinbarung zu kommen, ist die positive Seite. Daneben gibt es mit dem Ombudsmann und ähnlichen Dingen sicherlich gute Ansätze, über die man weiter nachdenken kann.
Eine zentrale Frage ist, ob die Rechtsverbindlichkeit der Zusagen hinreichend feststeht. Das Privacy Shield ist noch im Schwerpunkt ein Briefwechsel, wir haben also noch keine formalen Entscheidungen, wir haben genau genommen den Text noch gar nicht so lange, und befinden uns auch gerade erst bei der Prüfung dieses Textes.
Am 21. März wird eine Sondersitzung der Datenschutzkonferenz zu diesem Thema stattfinden, weil die Artikel 29-Gruppe sich Anfang April auf ihrer nächsten regulären Sitzung mit dem Privacy Shield beschäftigen wird.
Ich habe erhebliche Zweifel, ob wirklich alle Kritikpunkte ausgeräumt sind: Stichwort Rechtsverbindlichkeit der Zusicherungen, Stichwort effektiver Rechtsschutz, reicht wirklich ein Ombudsmann, der vielleicht auch nicht hinreichend unabhängig ist? Ich vermute, es kann ein Baustein sein, aber vielleicht eben auch nur ein Baustein im Rahmen eines Gesamtgefüges an Vorgaben, die wir für Datenübermittlungen, konkret in die USA, künftig fordern werden.
datenschutz süd:
Herr Professor Kugelmann, vielen Dank für das Gespräch!