Was gilt denn nun? Auswirkungen der EU-Reform auf das deutsche Datenschutzrecht – Teil II der Serie zur neuen DSGVO

Der zweite Teil der neuen Serie der IT-Recht Kanzlei zur EU-Datenschutzgrundverordnung (DSGVO) geht auf die Konsequenzen der unmittelbaren Anwendbarkeit der EU-Novelle für das deutsche Datenschutzrecht ein. Inwieweit werden das Bundesdatenschutzgesetz (BDSG) und die §11 ff. TMG weiterhin anwendbar sein? Auf welche Vorschriften muss zukünftig in welchem Umfang abgestellt werden? Besteht nun gesetzgeberischer Nachbesserungsbedarf? Lesen Sie im Folgenden mehr zum Spannungsverhältnis zwischen dem neuem europäischen und dem nationalen Datenschutzrecht.

I. Auswirkungen auf das geltende BDSG

Bisher regelt das deutsche Bundesdatenschutzgesetz (BDSG) die Rechte und Pflichten der Verantwortlichen bei sowie die Zulässigkeit der Erhebung, Verarbeitung, Nutzung und Speicherung personenbezogener Daten weitgehend abschließend.

Weil der neue europäische Datenschutzrechtsakt als Verordnung aber in allen Mitgliedsstaaten unmittelbare Anwendung findet, droht in machen Bereichen ein Konkurrenzverhältnis zwischen nationalem und EU-Recht zu entstehen.

Festzuhalten ist zwar, dass ein großer Bereich des Spannungsverhältnisses zwischen DSGVO und BDSG im Jahre 2018 bereits deswegen aufgelöst wird, weil wesentliche Teile des letzteren auf einer Umsetzung der europäischen Datenschutzrichtlinie (RL 95/46/EG) beruhen, welche nach eindeutiger Titelbezeichnung und in Anlehnung an den Erwägungsgrund 171 durch die Grundverordnung aufgehoben werden sollen.

Weil die DSGVO Innerhalb ihres Geltungsbereichs Anwendungsvorrang genießt, ist anzunehmen, dass maßgebliche Abschnitte des BDSG durch die Rechtswirkungen des neuen europäischen Rechtsaktes verdrängt werden und so ihren Geltungsanspruch zugunsten der reformierten Bestimmungen aufgeben müssen. Auf dem Gebiet des BDSG wird in Zukunft also grundsätzlich von einer vorrangigen Geltung der neuen Grundverordnung auszugehen sein, welcher der deutsche Gesetzgeber durch klarstellende Gesetzesänderungen auf dem Gebiet des Datenschutzrechts zukünftig Ausdruck verleihen sollte.

Problematisch ist allerdings die Frage, inwieweit die soeben beschriebene Verdrängungswirkung im deutschen Recht tatsächlich Einzug halten wird. Im BDSG existieren nämlich auch Regelungen, bei denen der Anwendungsvorrang des EU-Rechts bisher nicht griff, weil sie auf autonomen nationalgesetzlichen Entscheidungen entspringen und dem Regelungsbereich von Richtlinien bisher nicht zugänglich waren.

Diese Doppelseitigkeit des deutschen BDSG (Umsetzung von EU-Recht und Ausdruck nationaler Gesetzgebungskompetenz zugleich) könnte der Rechtsanwendung unter Geltung der neuen DSGVO zum Verhängnis werden, weil eine klare Trennlinie zwischen deutscher Regelungshoheit und Europarechtsvorrang nur schwer zu finden sein dürfte.

Verstärkt wird die Rechtsunsicherheit noch dadurch, dass die neue DSGVO – wie der Name schon impliziert – nur den gesetzlichen Rahmen für ein harmonisiertes Datenschutzrecht vorgibt, in vielen Regelungspunkten die Austarierung und das gesetzliche „Finetuning“ aber der jeweiligen mitgliedsstaatlichen Legislative überlässt (z.B. bzgl. des Mindestalters für einwilligungsfähige Minderjährige, Art. 8, oder der Ausgestaltung der Zulässigkeit des „Profilings“, Art. 20.).

Durch die Freigabe nationalgesetzlicher Konkretisierungen wird nicht nur der eigentliche Verordnungszweck der verbindlichen europarechtlichen Harmonisierung des Datenschutzniveaus teilweise unmittelbar konterkariert, sondern zudem ein weitreichender Gesetzgebungsaufwand für die Mitgliedsstaaten begründet, die trotz der direkten Geltung der neuen DSGVO weitere spezialgesetzliche Bestimmungen erlassen müssen.

Derzeit vermag man noch nicht zu sagen, ob autonome nationale Paragraphen des BDSG bereits zulässige Konkretisierungen enthalten oder ob mit Rücksicht auf die Delegierung durch die Grundverordnung in Zukunft weitere Änderungen des BDSG bevorstehen.

Sicher ist jedoch bereits, dass das Zusammenspiel von (nicht aufgehobenen) Vorgaben des BDSG und den Bestimmungen der EU-Grundverordnung die Rechtsanwendung zukünftig vor erhebliche Schwierigkeiten stellen dürfte.

II. Auswirkungen auf die §§11 ff. TMG

Die §§11 ff. des Telemediengesetzes statuieren in Deutschland besondere datenschutzrechtliche Grundsätze für Anbieter von Telemedien und sind ob ihrer differenzierten Informations-, Verarbeitungs- , und Schutzpflichten für den Umgang und die Prozessierung personenbezogener Daten vor allem im Online-Bereich spezialgesetzliche Ausprägungen des allgemeinen Datenschutzrechts nach dem BDSG.

In ihrer derzeitigen Fassung liegen die maßgeblichen Bestimmungen einer ausschließlichen Entscheidung des deutschen Gesetzgebers zugrunde und basieren nicht auf europäischem Recht. Diese Autonomie dürfte unter Geltung der neuen DSGVO aber entfallen, weil der neue Rechtsakt seinen Anwendungsbereich auch auf Telemedien erstreckt und somit einen grundsätzlichen Anwendungsvorrang für sich beansprucht.

Vieles spricht demnach dafür, dass die Regelungen der DSGVO die §§11 ff. TMG überschreiben werden.

Dies gilt nicht nur hinsichtlich der in §13 TMG vorgesehenen Informationspflichten (meist als Datenschutzerklärung bezeichnet), welche in den Art. 12-14 DSGVO weitreichendere Ausprägungen erfahren, sondern auch bezüglich der allgemeinen Handhabung personenbezogener Daten durch Teledienstanbieter.

Festzustellen ist nämlich, dass die DSGVO hinsichtlich der informationstechnologischen Eigenschaften der Verantwortlichen gerade nicht differenziert und somit sämtliche Datenverarbeitungsvorgänge unabhängig von ihrem Wirkungsbereich einheitlichen Zulässigkeitsvoraussetzungen unterwirft.

Für eine Differenzierung zwischen Diensteanbietern einerseits und sonstigen Stellen andererseits dürfte nach Ablauf der Übergangsfrist demgemäß kein Raum mehr bestehen. Gleiches gilt für die Klassifizierung und die dadurch begründete Problematik der Anwendbarkeit des TMG oder des BDSG je nach Vorliegen von Inhalts-, Nutzungs- oder Bestandsdaten.

Eine derartige Einteilung sieht – was der Rechtssicherheit zuträglich ist – die neue DSGVO nicht mehr vor, sondern legt ihren Vorgaben nur personenbezogene Daten im Allgemeinen zugrunde. Besondere Voraussetzungen existieren nunmehr nur noch für sensible personenbezogene Daten nach Art. 9.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.