PRESSEINFORMATION 47/2018

Die neue Datenschutzgrundverordnung bringt tiefgreifende Änderungen für Bürger, Institutionen und Unternehmen mit sich. Aber alle hatte zwei Jahre Zeit, sich darauf vorzubereiten. Für alle Datenverarbeiter gelten ab sofort deutlich erweiterte Pflichten, u.a. Betroffene darüber zu informieren, welche Daten von ihnen erhoben und genutzt werden. Sie müssen ferner alle Datenverarbeitungen dokumentieren, angemessene Sicherheitsmaßnahmen ergreifen, heikle Datenschutzverstöße melden und die gestärkten Rechte der Betroffenen erfüllen. Für diese ist es nun einfacher, Auskunft zu verlangen oder ihre Daten berichtigen oder löschen zu lassen, deren Nutzung zu widersprechen oder sie zu beschränken. Gänzlich neu ist ihr Anspruch auf Übertragbarkeit (Portabilität) ihrer Daten. Stark erhöhte Bußgeldmöglichkeiten sollen dafür sorgen, dass die neuen Regeln auch eingehalten werden.

Die Verordnung ist jedoch überaus komplex und lässt angesichts zahlreicher Unklarheiten Spielräume. Viele Fragen werden erst durch die Rechtsprechung geklärt werden können. Dies führt zu zahlreichen rechtlichen und technischer Grauzonen, die die praxisgerechte Umsetzung der komplexen neuen Datenschutzregeln im Detail zusätzlich verkomplizieren. Trotz der zweijährigen Übergangsfrist haben viele Unternehmen und Behörden, die ihre internen Prozesse anpassen müssen, ihre Maßnahmen nicht abgeschlossen oder noch gar nicht erst ergriffen. Aber auch nicht alle nationalen Gesetzgeber haben ihre Hausaufgaben zum Stichtag gemacht. Während in Deutschland auf Bundesebene zeitgleich ein neues Bundesdatenschutzgesetz in Kraft tritt, liegen mehrere Landesgesetze – wie etwa in Baden-Württemberg – erst im Entwurf vor. Diese sollen aber in Deutschland u.a. die wichtige Funktion erfüllen, die Datenschutzrechte des Einzelnen mit dem ebenfalls grundrechtlich verbürgten Recht auf freie Meinungsäußerung und Informationsfreiheit „in Einklang zu bringen“ – und dadurch eine sogenannte „Öffnungsklausel“ in der DSGVO mit Leben zu füllen. Danach sollen die Mitgliedstaaten etwa für grundrechtlich besonders geschützte Datenverarbeitungen – z.B. zu journalistischen und künstlerischen Zwecken – erforderliche Ausnahmen von der DSGVO vorsehen. Das baldige Inkrafttreten entsprechender presserechtlicher Regelungen, für deren Erlass die Bundesländer zuständig sind, ist aus cep-Sicht wichtig, um zu verhindern, dass etwa Presseberichterstattungen über namentlich genannte Personen, die in Ausübung der genannten Grundrechte erfolgen, als Datenschutzverstöße gewertet werden könnten. Außerhalb des journalistischen Bereichs bleiben dagegen zahlreiche Fragen offen, die der Bundesgesetzgeber (bislang) nicht geregelt hat. Soweit keine gesetzliche Regelung erfolgt, bleibt es den Gerichten oder letztlich dem EuGH überlassen, die entsprechenden Regelungen der DSGVO ggf. grundrechtskonform auszulegen.

Für das cep ist die DSGVO dennoch ein wichtiger Meilenstein, der auch über die Grenzen Europas hinaus Wirkungen entfalten wird. In einem Zeitalter, in dem Skandale wie der um die Datennutzung durch „Cambridge Analytica“ auch die Freiheit des Individuums und die Demokratie bedrohen, birgt das neue EU-Datenschutzrecht durch aus auch Chancen.