Nachdem sich gestern in den Trilogverhandlungen zur Datenschutz-Grundverordnung (DS-GVO) die Verhandlungsparteien auf einen gemeinsamen Text geeinigt haben, der Anfang kommenden Jahres vom europäischen Parlament und dem Rat bestätigt werden muss, stellen sich in den nächsten Monaten sicherlich viele Fragen.
Für den Moment möchte ich jedoch eine einzige Frage stellen, die mir bisher niemand beantworten konnte: wann gilt in Zukunft welches nationale Datenschutzrecht in Europa?
Man mag sich denken, dass diese Frage völlig überflüssig ist, da es ja mit der DS-GVO ein in allen Mitgliedstaaten unmittelbar anwendbares Gesetz geben wird. Jedoch wissen wir mittlerweile auch, dass die DS-GVO an vielen (insbesondere auch aus Sicht der Praxis) relevanten Stellen Öffnungsklauseln vorsieht und es den Mitgliedstaaten erlaubt, nationale Regelungen für bestimmte Bereiche zu schaffen. Als Beispiel sei hier etwa die Festlegung einer Altersgrenze bei der Einwilligung von Minderjährigen (zwischen 13 und 16 Jahren) genannt oder auch die Frage der Bestellpflicht für Datenschutzbeauftragte in den Fällen, die in der Verordnung nicht aufgelistet sind.
Die DS-GVO beantwortet in ihrem Art. 3 verständlicherweise allein die Frage, wann sie selbst Anwendung findet. Jedoch findet sich keine Regelung dazu, wann neben der DS-GVO weiterhin bestehendes und von ihr ja sogar vorausgesetztes nationales Datenschutzrecht Anwendung findet.
Wird es in Zukunft also so sein, dass jeder Mitgliedstaat frei nach seinem Belieben entscheiden kann, wann sein nationales Datenschutzrecht und damit auch die benannten Spezifikationen auf der Grundlage der Öffnungsklauseln der DS-GVO gelten? Von welchen Kriterien soll dies abhängen? Reicht eine Niederlassung in dem Mitgliedstaat? Reicht es aus, dass Dienste in dem Mitgliedstaat angeboten werden, in deren Rahmen personenbezogene Daten verarbeitet werden?
Auf die derzeit bestehende Regelung in der Datenschutzrichtlinie 95/46 (Art. 4), die genau diese Frage regeln soll, könnte man sich in Zukunft nicht berufen, da diese Richtlinie ja in Gänze aufgehoben wird.
Ein „einheitliches Datenschutzrecht“ würde damit für viele wichtige Bereiche in weite Ferne rücken.
Ich weiß nicht, ob du bei der Frage mittlerweile etwas weitergekommen bist – hier trotzdem eine kurze Stellungnahme:
Aus meiner Sicht lässt die Datenschutzgrundverordnung derart viel Raum für Konkretisierungen nach nationalem Recht, dass es m.E. zwangsläufig bei dem BDSG und den Landesdatenschutzgesetzen bleiben muss. Ob diese Gesetze dann auf einen anderen Namen hören werden, ist Sache der Gesetzgeber. In jedem Fall wird es aber dabei bleiben, dass wir weiterhin nationale Datenschutzgesetze haben werden, an denen sich die Behörden und Gerichte einstweilen auch orientieren werden.
In einem späteren Stadium werden vermutlich Gerichte und der Datenschutzausschuss auf Basis der eher generalklauselartigen Bestimmungen der Datenschutzgrundverordnung eine eigene, europaweit einheitliche, Spruchpraxis aufbauen. Diese wird sicherlich in einigen Punkten von den Regeln abweichen, die im deutschen Gesetzesrecht vorgesehen sind. In einem solchen Fall gilt dann der Anwendungsvorrang des Europarechts, d.h. die deutschen Regeln treten zurück. (Theoretisch denkbar wäre, dass die Gerichte und Datenschutzbehörden in ihren Urteilen und Stellungnahmen gezielt föderale Spielräume für die einzelnen Staaten lassen. Daran glaube ich aber eher nicht.)
Langfristig sollte der deutsche Gesetzgeber die deutschen Regeln dann „aufräumen“, indem er sie entweder direkt außer Kraft setzt oder an die neue Spruchpraxis anpasst.