Bringt die künftige Datenschutz-Grundverordnung einheitliche Datenschutzregeln für Online-Händler in der EU?

Die ab 25.05.2018 geltende Datenschutz-Grundverordnung (DSGVO), die unmittelbar in der gesamten EU gilt, wurde als Maßnahme angekündigt, insbesondere für Online-Händler einheitliche Datenschutz-Regeln für den Vertrieb von Waren und Dienstleistungen in der Europäischen Union zu schaffen. Die DGSVO wird als Baustein gesehen, den grenzüberschreitenden Vertrieb von Waren und Dienstleistungen in der EU zu erleichtern.

Aber stimmt das so überhaupt, oder führen die vielen Öffnungsklauseln der DGSVO doch wieder zu verschiedenen Datenschutzregeln in den Mitgliedsstaaten der EU? Welche Datenschutz-Regeln müssen Online-Händler mit Geschäftssitz in Deutschland beachten, wenn sie Waren und Dienstleistungen in EU-Mitgliedsstaaten vertreiben?

Der folgende Beitrag gibt hierzu eine erste Antwort. Zitate der Erwägungsgründe und Artikel beziehen sich auf die DSGVO.

I. Europaweite einheitliche Datenschutzregeln?

Die künftige DSGVO wurde als Maßnahme angekündigt, die einen soliden, kohärenten und klar durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes setzt und eine Vertrauensbasis schafft, die die digitale Wirtschaft dringend benötigt, um im EU-Binnenmarkt weiter wachsen zu können (Erwägungsgrund 7). Aus diesem Grund wurde als Instrument der Umsetzung eines einheitlichen Rechtsrahmens keine Richtlinie gewählt, die in nationales Recht umgesetzt werden muss, sondern eine Verordnung, die unmittelbar in allen EU-Mitgliedsstaaten gilt.

Aber besteht diese hehre Zielsetzung der DSGVO den Praxistext? Ein erster Befund fällt ernüchternd aus.

• Die Mitgliedsstaaten erhalten in vielen Einzelpunkten die Möglichkeit, eigenes nationales Datenschutzrecht zu setzen. Der Vorschlag der EU-Kommission, ihr eine Ermächtigung zu geben, Einzelpunkte über sogenannte delegierte Rechtsakte zu regeln, wurde von den EU-Mitgliedsstaaten abgelehnt. Stattdessen hat man sich darauf verständigt, den einzelnen Mitgliedsstaaten in über 50 Öffnungsklauseln die Möglichkeit zu nationalen Regelungen zu geben. Insofern kann man von einer „hybriden“ oder „hinkenden Verordnung“ sprechen. Sie ist so ein Zwischenschritt zwischen einer vollharmonisierten Richtlinie und einer Verordnung. Allerdings ist der nationale Handlungsspielraum begrenzt durch das Verbot, den materiellen Schutzstandard der DSGVO zu verändern (s. Kommentar Gola, Einl. Rdr 46). Die DSGVO bedarf also eines nationalen Anpassungsgesetzes, um in den einzelnen EU-Mitgliedstaaten in der Praxis angewendet werden zu können. Soweit zu sehen, hat bisher zumindest von den größeren EU-Mitgliedstaaten nur Deutschland ein solches Anpassungsgesetz auf den Weg gebracht, das zeitgleich mit der DSGVO gelten wird.
• Wichtige Fragen wie die Behandlung von Cookies werden von der DSGVO weitgehend ausgeklammert und sollen in einer noch strittigen E-Privacy-Verordnung geregelt werden. Ursprünglich sollte diese E-Privacy-Verordnung zusammen mit der DSGVO zeitgleich Anwendung finden. Diese sehr ehrgeizige Zielsetzung der EU-Kommission wurde zwischenzeitlich aufgegeben. Es ist jetzt davon die Rede, dass die E-Privacy-Verordnung erst im Jahre 2019 Anwendung findet.

II. Sind Online-Händler bei Vertrieb in EU-Staaten von künftigen nationalen Datenschutzregeln in den EU-Lieferstaaten betroffen?

Für Online-Händler mit Geschäftssitz in Deutschland, die unmittelbar aus Deutschland Waren oder Dienstleistungen in anderen EU-Mitgliedsstaaten vertreiben, bleibt es bei der bisherigen Rechtslage. Sie unterliegen nur nationalem deutschen Datenschutzrecht. Sie haben also die DSGVO in der Konkretisierung und Ergänzung durch das deutsche Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (Anpassungsgesetz) zu beachten.

Für Online-Händler, die Waren oder Dienstleistungen über eine Niederlassung in anderen EU-Staaten vertreiben, gilt die DSGVO in der Konkretisierung und Ergänzung durch das jeweilige nationale Recht. Entsprechende nationalstaatliche Anpassungsgesetze bleiben abzuwarten. Die IT-Recht Kanzlei wird über die weitere Gesetzgebungstätigkeit in wichtigen EU-Mitgliedstaaten berichten.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.