Newsletter IP, Media & Technoly Juli 2015
Neue Entwicklungen zur Datenschutzgrundverordnung
Es mehren sich die Zeichen, dass die Datenschutzgrundverordnung Ende 2015/Anfang 2016 erlassen wird, auch wenn bis dahin noch so mancher Kompromiss zwischen Kommission, Parlament und Rat geschlossen werden muss, wie aus aktuellen Materialien hervorgeht. Dass der Diskussionsbedarf erheblich ist, zeigt ein Dokument des Rates von März 201 5, in welchem auf 630 Seiten die bisherigen Entwürfe Artikel für Artikel gegenübergestellt werden. Die Entwicklung der Debatten innerhalb des Rates lässt sich gut durch die zwei „geleakten“ Diskussionsfassungen von Dezember 2014 und Juni 2015 nachvollziehen. Die letztgenannten Papiere zeigen auf jeweils über 260 Seiten in zahlreichen Fußnoten die divergierenden Ansichten einzelner Länder.
Auch wenn angesichts der vielen Detaildiskussionen die Wahrscheinlichkeit groß ist, dass viele Formulierungen in den Entwürfen bis zur Verabschiedung noch verändert werden, lohnt sich dennoch ein Blick auf das Regelwerk. Denn bezüglich einiger Grundkonzepte kann zumindest prinzipiell von einer Umsetzung ausgegangen werden. Hierdurch lässt sich für Unternehmen frühzeitig einplanen, in welchen Bereichen sich Veränderungen und daraus resultierender Handlungsbedarf ergeben. Wer derzeit größere Investitionen tätigt, um etwa die Leadgenerierung neu aufzusetzen, eine Kundendatenbank umzustrukturieren oder andere Prozesse umzustellen, die personenbezogene Daten betreffen, der sollte die Änderungen, die sich derzeit schon deutlich abzeichnen, bereits einplanen. Andernfalls droht die frühzeitige und unnötige Notwendigkeit zum Umrüsten. Lange herrschte die Auffassung vor, dass aus deutscher Sicht nur wenige Konsequenzen und geringer Handlungsbedarf bestünden, da das deutsche Datenschutzniveau ohnehin sehr hoch anzusiedeln sei. Je mehr man jedoch in die Details blickt, umso deutlicher wird, dass eine Reihe von Veränderungen auf die Unternehmen zukommen werden, die bislang in Deutschland zu wenig beachtet und diskutiert wurden.
Die Entwürfe und das Verfahren: Entwurf der Kommission von 2012
Die Datenschutzgrundverordnung (im Folgenden „DS-GVO“) blickt bereits auf eine längere Gesetzgebungsgeschichte zurück. Im Januar 2012 veröffentlichte die Kommission nach der Beteiligung vieler Interessengruppen einen Entwurf, der das verstaubte europäische Datenschutzrecht der Richtlinie von 1995 (46/95/EG) an moderne Entwicklungen des 21. Jahrhunderts, wie Cloud Computing, Social Media, Big Data, Industrie 4.0 und Internet of Things, anpassen sollte. Trotz der hehren Absichten geschah nun zunächst über zwei Jahre lang kaum etwas, das an die Öffentlichkeit drang.
Entwurf des Parlaments 2014 und des Rates 2015
Doch seit dem 12. März 2014 gewann das Verfahren zum Erlass der DS-GVO wieder neuen Schwung. An diesem Tage erließ das Parlament mit großer Mehrheit einen gegenüber dem Vorschlag der Kommission an vielen Stellen deutlich veränderten Entwurf. Auf Basis dieses Entwurfs erarbeitete der Rat einen eigenen Entwurf. Nach den derzeitigen Zeitplänen sollen die Trilogverhandlungen, also die finale Abstimmung zwischen Kommission, Parlament und Rat, im Sommer 2015 beginnen und im Dezember 2015 abgeschlossen werden.
Gerade vor dem Hintergrund, dass es sich bei der DS-GVO noch um einen amorphen Gegenstand handelt, werden im Folgenden an vielen Stellen noch keine Detailanalysen getroffen.
Beginn der Anwendung der Richtlinie: Frühestens Ende 2017
Sämtliche Entwürfe enthalten einen gleichlautenden Passus, nach dem die Anwendung der DS-GVO zwei Jahre nach ihrem Erlass beginnt. Nach dem derzeitigen Stand ist daher frühestens mit einer Anwendung ab Ende 2017 zu rechnen. Dennoch lohnt sich ein Blick auf die Entwürfe, da sich an einigen Stellen bereits deutlich abzeichnet, dass die DS-GVO in das deutsche Datenschutzrecht teilweise gravierend eingreifen wird.
Festhalten am Verbot mit Erlaubnisvorbehalt
Das Grundprinzip des Verbots mit Erlaubnisvorbehalt bleibt beibehalten. Auch nach Erlass der DS-GVO ist eine Datenverarbeitung prinzipiell verboten, es sei denn, eine gesetzliche Ermächtigungsgrundlage erlaubt diese. Auch sämtliche wesentlichen Erlaubnistatbestände bleiben erhalten. Teilweise werden die Erlaubnistatbestände aus Art. 7 lit. a bis f der Richtlinie 95/46/EG sogar wortwörtlich in die verschiedenen Entwürfe von Art. 6 Abs. 1 lit. a bis f DS-GVO übernommen. Prinzipiell werden – neben der Einwilligung (lit. a) – die Notwendigkeit der Datenverarbeitung für die Erfüllung eines Vertrages (lit. b) und das „legitime Interesse des Datenverarbeiters“ (lit. f) nach wie vor der Reform die wichtigsten Rechtfertigungstatbestände sein. Diese Kontinuität des Grundprinzips darf aber nicht zu der falschen Einschätzung führen, dass sich auch ansonsten in der deutschen Anwendung des Datenschutzrechts nicht viel ändert.
Neue Bußgelddimension nach Art. 79 DS-GVO
Das höchste Bußgeld in dem „Flickenteppich“ deutscher Datenschutzvorschriften beläuft sich derzeit auf bis zu 300.000 Euro (siehe etwa § 43 Abs. 3 BDSG, § 149 Abs. 2 TKG, § 85 SGB X). In anderen Gesetzen finden sich geringere Bußgelder. So können bei Datenschutzverstößen im Zusammenhang mit Telemedien nach § 16 Abs. 3 TMG häufig nur Bußgelder von bis zu 50.000 Euro verhängt werden. Andere Datenschutzsondervorschriften, wie etwa § 21g EnWG, hat der Gesetzgeber überhaupt nicht mit Bußgeldvorschriften versehen. Wenn auch gerade noch um die konkrete Maximalhöhe der Bußgelder gestritten wird, machen sämtliche Entwürfe deutlich: Zum einen wird die DS-GVO den Flickenteppich der Bußgeldvorschriften in Deutschland vereinheitlichen und zum anderen die Höhe der maximalen Bußgelder deutlich vergrößern. Die drastischsten Vorstellungen sind im Parlamentsentwurf enthalten. Hier finden sich Bußgelder von bis zu 100 Millionen Euro oder 5 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher liegt. Das jüngste geleakte Dokument des Rates zeigt jedoch, dass um die mögliche Höhe der Bußgelder und das Sanktionssystem noch gefeilscht werden wird: Der Rat schlägt ein neues dreistufiges Bußgeldsystem vor, in welchem für die gravierendsten Verstöße ein Bußgeld von bis zu 1 Million Euro oder bis zu 2 Prozent des weltweiten Jahresumsatzes angedroht werden. Dies kann für große Konzerne immer noch gravierend sein, während der Bußgeldrahmen für kleinere Unternehmen und vor allem Privatpersonen deutlich nach unten skaliert wird. Wenn auch die konkreten Maximalsummen schwer voraussehbar sind, so ist dennoch wahrscheinlich, dass sie oberhalb dessen liegen, was derzeit in Deutschland üblich ist. Offen ist dabei im Übrigen auch noch, ob sich die Prozentangabe des weltweiten Jahresumsatzes auf die jeweilige Konzernmutter oder auf einzelne juristische Personen beziehen wird. Die Entwürfe tendieren bislang klar zur letztgenannten Lösung.
„One Stop Shop“
Unter dem Stichwort „One Stop Shop“ wird zum einen diskutiert, dass die Europäische Kommission bzw. ein europäisches „Data Protection Board“ weitreichende Kompetenzen erhält, soweit ein Sachverhalt besteht, der eine übernationale Dimension aufweist. Auf nationaler Ebene wird es nach den Entwürfen für verbundene Unternehmen, die in verschiedenen europäischen Ländern tätig sind, jeweils eine „federführende Behörde“ geben, welcher auch gewisse Entscheidungsbefugnisse für behördliches Einschreiten gegen weitere europäische Tochterunternehmen zustehen werden. Die jeweils national bzw. lokal zuständigen Behörden sollen sich vor einem eigenen Tätigwerden mit der „federführenden Behörde“ abstimmen. Es besteht die Hoffnung, dass sich für international tätige Konzerne der Vorteil ergibt, sich nicht mehr im Detail mit einer Vielzahl unterschiedlicher Behörden, die häufig eine grundsätzlich verschiedene Auffassung von Prinzipien des Datenschutzrechts haben, auseinandersetzen zu müssen. Es muss aber darauf hingewiesen werden, dass um die Konzeption des „One Stop Shop“ im Detail noch gerungen wird.
Meldepflicht für Datenschutzverstöße
Mit der DS-GVO wird eine allgemeine Meldepflicht für Datenschutzverstöße an die zuständige Behörde etabliert. Dies geht über die bisherigen Meldepflichten nach § 42a BDSG, die nur auf besondere Daten Anwendung findet, weit hinaus. Da auch die Entwürfe des deutschen IT-Sicherheitsgesetzes und der europäischen Netzwerk- und Informationsrichtlinie weitreichende Meldepflichten enthalten, die sich in der Praxis in großen Teilen mit den Meldepflichten der DS-GVO überschneiden werden, kommt hier auf viele Unternehmen die Notwendigkeit eines Meldemanagements zu.
Risikoanalyse, Datenschutz-Folgenabschätzung und Konsultation der Datenschutzaufsichtsbehörde
Die DS-GVO verpflichtet zudem in Zukunft in vielen Fällen zu einer umfassenden Risikoanalyse und einer sogenannten „Datenschutz- Folgenabschätzung“, welche sich auf das gesamte Lebenszyklusmanagement personenbezogener Daten beziehen muss. Der Entwurf des Rats, der im Übrigen nicht mehr verpflichtend einen Datenschutzbeauftragten vorsieht, verlangt zudem noch für den Fall, dass die Folgenabschätzung ein hohes Risiko für die betroffenen Datensubjekte beinhaltet, die Konsultation der zuständigen Datenschutzaufsichtsbehörde.
Informationspflicht
Eine Informationspflicht soll dafür sorgen, dass der Betroffene gegenüber der datenschutzrechtlich verantwortlichen Stelle seine Rechte besser wahrnehmen kann. Es sieht nach den derzeitigen Entwürfen durchaus so aus, als ob die im Internet im Rahmen von „privacy policies“ üblichen Informationen zur Datenverarbeitung in Zukunft auch im reinen „Offline-Bereich“ benötigt werden, soweit keine Ausnahmen greifen. Der hierfür maßgebliche Art. 14 DS-GVO steht nicht mehr zur Disposition. Allerdings zeigen die Entwürfe in den Details der Ausnahme- kataloge zu Art. 14 DS-GVO noch starke Divergenzen. Nach dem Kommissionsentwurf sollen zudem standardisierte Informationsmaßnahmen, inklusive vorgegebener „Icons“, welche auf bestimmte datenschutzrechtliche Risiken hinweisen sollen, verwendet werden. Gemäß einer Studie des statistischen Bundesamtes, welche sich nur auf einige wenige Artikel der DS-GVO bezieht, kommen auf deutsche Unternehmen Umsetzungskosten in Höhe von 1,5 Milliarden Euro zu. Der Löwenanteil hiervon entfällt auf die Kosten aufgrund der Informationspflicht aus Art. 14 DS-GVO.
Was bleibt vom vielfältigen nationalen Datenschutznormenbestand?
Weite Teile der Auswirkungen der DS-GVO auf das deutsche Datenschutzrecht werden jedoch erst dann deutlich, wenn man sich vor Augen führt, dass angesichts der direkten Anwendbarkeit der Verordnung viele „Errungenschaften“ des deutschen Datenschutzrechtes entfallen werden. Gegenüber sämtlichen nationalen Normen, die von der DS-GVO abweichen, gilt ein Anwendungsvorrang zugunsten der DS-GVO.
Wegfallende Regelungen aus dem BDSG
Dies betrifft etwa einige Normen im BDSG, die keine genaue Entsprechung in den Entwürfen haben. So könnten etwa weite Teile der §§ 28 ff. BDSG obsolet werden. Zum Beispiel findet das Listenprivileg aus § 28 Abs. 3 ff. BDSG, welches in gewissem Umfang die Verwendung von Daten zur Werbung – ohne vorherige Einwilligung – ermöglicht, keine Entsprechung in der DS-GVO und wird damit in Zukunft wegfallen. Gleiches gilt nach den derzeitigen Entwürfen auch für die vollständigen §§ 28a und 28b BDSG. Damit wird für die Übertragung von Daten an Auskunfteien der rechtsunsichere Zustand von vor der letzten BDSG-Reform im Jahr 2009 wieder errichtet. Vor dem Hintergrund der DS-GVO wurde im Übrigen auch ein Gesetzesvorschlag der Grünen zur Reform des Scorings abgelehnt: Im Mai 2015 entschied die große Koalition, dass man sich nicht mit einem Thema befassen wolle, welches angesichts der DS-GVO „binnen weniger Monate wieder obsolet“ werde.
Nationale Datenschutzvorschriften im TKG bleiben erhalten
Neben einigen weiteren Vorschriften im BDSG werden auch andere Gesetze betroffen sein. Eine Ausnahme werden hier wohl die Datenschutzvorschriften im TKG bilden, welche auf der Richtlinie 2002/58/EG basieren. Denn die Entwürfe zur DS-GVO ordnen explizit an, dass weite Teile dieser Richtlinie unberührt in Anwendung bleiben sollen. Allerdings steckt auch hier der Teufel im Detail. Da die Umsetzung im TKG an einigen Stellen über die Richtlinie 2002/58/EG hinausgeht und die Normen aus §§ 90 ff. TKG nicht alle in jedem Regelungsaspekt durch die Richtlinie vorgegeben sind, muss auch hier genau geprüft werden, welche Normen hinter den Anwendungsvorrang der DS-GVO zurücktreten müssen.
Streichung der §§ 11 ff. TMG
Die Datenschutznormen aus §§ 11 ff. TMG jedoch, welche nicht auf europäischem Recht basieren, werden der Vereinheitlichung des Datenschutzrechts zum Opfer fallen. Die Folgen hiervon lassen sich bislang kaum erahnen. So stellt sich etwa aus einer ganz neuen Perspektive die Frage, was in Deutschland aus der Umsetzung der sogenannten Cookie-Richtlinie wird. Der deutsche Gesetzgeber stellte sich bislang auf den Standpunkt, dass eine Umsetzung nicht nötig sei, da § 12 TMG ausreichende Regelungen enthalte. Diese Position wird vermutlich in Zukunft noch schwerer vertretbar sein. Für die Frage von personalisierter Werbung im Online- und App-Bereich und für alle Formen des digitalen Retargetings werden schwere Zeiten anbrechen, da die Möglichkeit von pseudonymisierten Benutzerprofilen gemäß § 15 Abs. 3 TMG nach dem Stand der Dinge jedenfalls wegfallen wird.
Fazit
Insgesamt wird deutlich, dass die gravierendsten Änderungen durch die DS-GVO in Deutschland vor allem darin zu sehen sind, dass etablierte deutsche Regelungen wegfallen werden. Aber auch neue Konzepte wie Meldepflichten und Risikoabschätzungen werden Unternehmen belasten. Dadurch wird eine Reihe von etablierten Geschäftsmodellen mit einer Rechtsunsicherheit belastet, die in vielen Fällen bereits seit Längerem als überwunden galt. Die Rechtsunsicherheit wiegt umso schwerer, als eine gravierende Erhöhung der möglichen Bußgelder ebenfalls als wahrscheinlich gelten muss. Die lange Zeit bis zur Anwendbarkeit der DS-GVO sollte daher frühzeitig genutzt werden, um die zahlreichen sich ergebenden Baustellen so solide wie möglich an den neuen Gesetzestext anzupassen, bevor die ersten Bußgelder verhängt werden.