Gratis
12. Juni 2018 - Wann greift was?

Das Normengeflecht im Datenschutzrecht

Die Datenschutz-Grundverordnung (DSGVO) löst das bisherige Bundesdatenschutzgesetz (BDSG) ab und gilt in ganz Europa. Was so einfach klingt, entpuppt sich bei näherem Hinsehen als ein unübersichtliches Konstrukt, zu dem der folgende Beitrag den Versuch einer Navigationshilfe unternimmt.

Nicht ganz so einfach zu verstehen: Die Verflechtungen im Datenschutzrecht Nicht ganz so einfach zu verstehen: Die Verflechtungen im Datenschutzrecht (Bild: LeoWolfert / iStock / Thinkstock)

Es klang nicht schlecht: ein einheitliches Recht im Datenschutz für ganz Europa.

Als europäisches Unternehmen nicht mehr alle paar hundert Kilometer nachdenken, ob nun mit der Erhebung, Sicherung oder Löschung von personenbezogenen Daten neue rechtliche Anforderungen zu berücksichtigen waren. Sich als europäischer Bürger nicht alle paar hundert Kilometer fragen, auf welcher rechtlichen Grundlage man seine Grundrechte aus Art. 8 Europäischer Grundrechtecharta umsetzen kann.

Große Hoffnungen

Die Formulierungen im Pressetext der damals verantwortlichen EU-Justizkommissarin und Kommissionsvizepräsidentin Viviane Reding anlässlich der Veröffentlichung des Entwurfs zur Datenschutz-Grundverordnung versprachen viel:

„Die heute vorgeschlagenen Änderungen werden das Vertrauen in Onlinedienste stärken, weil die Bürger künftig besser über ihre Rechte informiert sein und größere Kontrolle über ihre Daten haben werden. Die Reform wird zudem die Geschäftstätigkeit der Unternehmen einfacher und kostengünstiger machen. Eine straffe, eindeutige und einheitliche Regelung auf EU-Ebene wird dazu beitragen, das Potenzial des digitalen Binnenmarkts freizusetzen und Wirtschaftswachstum, Innovation und Beschäftigung zu fördern.“

Nach über vier Jahren Verhandlungen auf europäischer Ebene wurde am 4. Mai 2016 die DSGVO im europäischen Amtsblatt veröffentlicht, die seit 25. Mai 2018 zur Anwendung kommt.

Doch welches Recht kommt in Deutschland nun tatsächlich zum Einsatz in dem Geflecht aus DSGVO, dem neuen Bundesdatenschutzgesetz (BDSG; die Bezeichnung bezieht sich in diesem Beitrag auf das neue BDSG), Einzelgesetzen, Landesdatenschutzgesetzen und den zahlreichen Ausnahmen, Sonderregelungen und Verweisungen?

Zentrale Frage: „Wer bin ich?“

Um dies beantworten zu können, muss man sich erst mit weiteren Fragen befassen. Zunächst mit der wichtigsten Frage von allen, die die Menschen schon immer beschäftigt: Wer bin ich?

Übersicht: Was gilt im Datenschutz für wen?

Übersicht: Was gilt im Datenschutz für wen?

„Haushaltsprivileg“ für Privatpersonen

Für die Verarbeitung personenbezogener Daten im Rahmen ausschließlich persönlicher oder familiärer Tätigkeiten ist gemäß Art. 2 Abs. 2 DSGVO die Datenschutz-Grundverordnung nicht anwendbar. Diese als „Haushaltsprivileg“ bezeichnete Ausnahme betrifft beispielsweise

  • die Verwendung von Bildern für private Fotoalben,
  • die Zusammenstellung von Adressdaten für Klassentreffen oder
  • das private Telefonbuch.

Allerdings greifen hier die zivilrechtlichen Schutzmaßnahmen, um die Persönlichkeitsrechte zu wahren. Betroffene Personen können eine Privatperson über § 1004 des Bürgerlichen Gesetzbuchs (BGB) auf Unterlassung in Anspruch nehmen, wenn die privaten Aktivitäten ihr Persönlichkeitsrecht beeinträchtigen.

Seine Grenzen findet das Haushaltsprivileg bei ehrenamtlichen Tätigkeiten wie Aktivitäten im Verein. Denn dann erfolgt die Verarbeitung nicht ausschließlich in privatem Interesse, und der Verein muss sicherstellen, dass alle, die für ihn tätig sind, die DSGVO einhalten.

Militär und nationale Sicherheit

Für die Verarbeitung personenbezogener Daten, die im Interesse der nationalen Sicherheit und für militärische Zwecke erfolgt, ist die DSGVO nicht anwendbar.

Denn hierfür fehlt der Europäischen Union die Zuständigkeit (Art. 2 Abs. 2 Buchst. a DSGVO und Erwägungsgrund 16). Die gesetzlichen Regelungen zur Verarbeitung personenbezogener Daten in diesem Umfeld sind zu finden in den Spezialgesetzen wie dem Gesetz über den militärischen Abschirmdienst, dem Gesetz über den Bundesnachrichtendienst oder dem Gesetz über die Zusammenarbeit des Bundes und der Länder in Angelegenheiten des Verfassungsschutzes und über das Bundesamt für Verfassungsschutz.

Justiz und Polizei

Erfolgt die Verarbeitung durch die zuständigen Behörden, um Straftaten zu verhüten, zu ermitteln, aufzudecken oder zu verfolgen oder um Strafen zu vollstrecken, ist ebenfalls nicht die Datenschutz-Grundverordnung das richtige Regelwerk für die gesetzlichen Vorgaben.

Das trifft auch zu, wenn es um den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit geht.

In diesen Fällen finden sich die gesetzlichen Regelungen in der „Richtlinie (EU) 2016/680 des Europäischen Parlamentes und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates“ (JI-Richtlinie).

Die JI-Richtlinie

Die zeitgleich mit der DSGVO veröffentlichte und zur Anwendung kommende Richtlinie ist wie vorher die RL 95/46/EG durch die Mitgliedstaaten in nationales Recht umzusetzen. In Deutschland erfolgt dies über den Dritten Teil des neuen BDSG.

Damit gelten alle dortigen Regelungen ausschließlich für die Tätigkeiten, die sich mit der Verarbeitung personenbezogener Daten im Rahmen der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung befassen. Für alle anderen Zwecke sind diese Regelungen nicht anwendbar!

Dies umfasst beispielsweise auch die Vorgabe zur Verpflichtung auf das Datengeheimnis (§ 53 BDSG), zur Auftragsverarbeitung (§ 62 BDSG) sowie zur Sicherheit der Verarbeitung (§ 63 BDSG).

Polizeiaufgabengesetze der Länder

Da jedoch in Deutschland die Bundesländer für die Polizeiaufgaben zuständig sind, finden sich für Tätigkeiten, die in Zusammenhang mit der Gefahrenabwehr und der Verhütung oder Unterbindung von Straftaten stehen, die jeweiligen Umsetzungsaufgaben in den Polizeiaufgabengesetzen der Bundesländer.

Unternehmen, Kirchen und Behörden

Unternehmen und öffentliche Stellen müssen sich nach den Vorgaben der DSGVO richten. So weit, so vermeintlich klar.

Was eine öffentliche Stelle ist, definiert die DSGVO jedoch nicht. Hier hilft ein Blick in § 2 BDSG. Das neue BDSG gilt allerdings nur für Unternehmen und öffentliche Stellen des Bundes. Eine Definition der öffentlichen Stellen der Länder findet sich in den jeweiligen Landesdatenschutzgesetzen.

Im eigenen Bundesland muss man also ins Landesdatenschutzgesetz schauen, um anhand der dortigen Definition herauszufinden, ob es für einen gilt.

DSG-EKD und KDG

Das ist allerdings nicht die einzige Besonderheit, die unter der Datenschutz-Grundverordnung zu beachten ist, wenn es darum geht, zu klären, welches Recht zur Anwendung kommt.

Wenden Kirchen und religiöse Vereinigungen zum Zeitpunkt des Inkrafttretens der Datenschutz-Grundverordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung an, können sie gemäß Art. 91 DSGVO diese Regeln weiter anwenden, wenn sie diese mit der DSGVO in Einklang gebracht haben.

Die evangelische und die katholische Kirche haben jeweils von dieser Möglichkeit Gebrauch gemacht.

Das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) umfasst 56 Paragrafen und das (kath.) Gesetz über den Kirchlichen Datenschutz (KDG) insgesamt 58 Paragrafen. Beide orientieren sich inhaltlich an der DSGVO und regeln doch Vieles in Details unterschiedlich.

Auch in den (bisherigen Entwürfen zu den) Landesdatenschutzgesetzen sind die Formulierungen nicht einheitlich. Leider wurde hier die Chance verpasst, über ein Mustergesetz eine einheitliche Anwendung sicherzustellen.

Überdies bieten die Artikel aus Kapitel 9 der DSGVO den Mitgliedstaaten einige weitere Möglichkeiten, Sonderregelungen zu treffen, um besonderen Verarbeitungssituationen gerecht zu werden.

Selbst wer keiner Glaubensgemeinschaften angehört, aber als Auftragsverarbeiter diesen Kundengruppen Dienstleistungen anbietet, muss sich informieren, ob sich aus den kirchlichen Datenschutzgesetzen Anforderungen ergeben, die er beachten muss.

Mal finden sich in innerer Verklammerung zum früheren § 11 Abs. 5 BDSG entsprechende Anwendungen der Auftragsverarbeitung bei Wartung, mal wird eine Verpflichtung auf ein Datengeheimnis formuliert, die die DSGVO so nicht kennt.

Spezielle Rechtsgrundlagen

Wer nun glaubt, zu wissen, an welche Regelungen er sich halten muss, darf nicht außer Acht lassen, dass es zusätzlich in einigen Spezialgesetzen Regelungen zur Verarbeitung personenbezogener Daten gibt. Möglich wird dies über Art. 6 Abs. 1 Buchst. c und e DSGVO.

Generell greifen Spezialgesetze, wenn der Mitgliedstaat eine rechtliche Verpflichtung geschaffen hat, der der Verantwortliche unterliegt, bzw. wenn die Verarbeitung im öffentlichen Interesse oder in Ausübung einer öffentlichen Aufgabe erfolgt, die dem Verantwortlichen übertragen wurde.

Gemäß Art. 6 Abs. 2 DSGVO können die Mitgliedstaaten unter Beachtung der Vorgaben aus Abs. 3 spezifischere Bestimmungen für die Verarbeitung sowie sonstige Maßnahmen beibehalten oder einführen.

So gibt es weiterhin Sonderregelungen beispielsweise im Sozialgesetzbuch, etwa in § 80 SGB X. Hier macht der Gesetzgeber spezielle Vorgaben zur Auftragsverarbeitung bei Sozialdaten.

Lage auch für Betroffene unübersichtlich

Nicht nur für Unternehmen und Behörden ist die Rechtslage unübersichtlich. Auch Betroffenenrechte aus Art. 12–22 DSGVO lassen sich unter bestimmten Bedingungen beschränken.

Zu den Voraussetzungen gehört nach Art. 23 Abs. 1 DSGVO, dass eine Beschränkung durch eine Gesetzgebungsmaßnahme den Wesensgehalt der Grundrechte und die Grundfreiheiten achtet. Zudem muss sie eine Maßnahme darstellen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist.

Welche Konsequenzen es allerdings hat, wenn die Betroffenenrechte beschränkt werden, ohne dass die Voraussetzungen von Art. 23 DSGVO berücksichtigt wurden, wird nicht geregelt. Bei einer Verarbeitung durch die Finanzverwaltung lassen sich beispielsweise seit dem 25. Mai 2018 die Rechte der betroffenen Person gemäß § 32a–f der Abgabenordnung (AO) einschränken.

Fazit: Normendschungel statt Transparenz

Wer bei dem Titel dieses Beitrags angesichts des Worts „Normengeflecht“ feingliedrige Klöppelarbeit erwartete, wird schnell eines Besseren belehrt. Undurchdringliches Dickicht im Normendschungel erscheint eine bessere Metapher.

Dem Gesetzgeber wird nicht nur auf europäischer Ebene die Aufgabe zufallen, hier mehr durchgehende Schlüssigkeit in der Einheitlichkeit der Normenwerke umzusetzen, um das im Januar 2012 verkündete Ziel der europäischen Kommission zumindest in Sichtweite zu bringen: „Eine einheitliche Regelung soll daher jetzt der bestehenden Fragmentierung und dem hohen Verwaltungsaufwand ein Ende bereiten.“

Rudi Kramer
Rudi Kramer ist Syndikusanwalt in Nürnberg und engagiert sich als Dozent bei der Initiative „Datenschutz geht zur Schule“ des BvD e.V.

Anzeige

Datenschutz PRAXIS Die Fachzeitschrift Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen.

Nutzen Sie das kostenlose Probeabo, um Datenschutz PRAXIS zu testen!