Wie ein schlechter Scherz: EU Gesetzgeber passt die DSGVO an – Einen Monat vor Anwendbarkeit

Es ist eigentlich kaum zu glauben, mit was der europäische Gesetzgeber, einen Monat vor Anwendbarkeit der DSGVO, nun um die Ecke kommt.

In einem 386 Seiten starken Dokument (Ratsdokument vom 19.4.2018, pdf, ab S. 47 beginnt die deutsche Fassung) nimmt er umfassende Anpassungen an allen Sprachfassungen der DSGVO vor.

Eigentlich soll es bei diesen Anpassungen nur um offensichtliche Fehler innerhalb der DSGVO gehen. Also etwa um Rechtschreibfehler oder auch um Verweisfehler auf Absätze, die nicht existieren.

Ich halte selbst solche Änderungen eines in Kraft getretenen Gesetzestextes für kritisch. Zumindest muss man hier wirklich mit der gebotenen Umsicht und Sorgfalt agieren. Denn wir Juristen wissen, dass es bei der Auslegung und Anwendung von Gesetzen gerade auf einzelne Wörter und ihre Bedeutung ankommen kann. Nun mag man nachträgliche Änderungen von Gesetzen noch gutheißen, wenn es tatsächlich um Rechtschreibfehler und auch offensichtliche Fehler in einer Sprachfassung geht, die in anderen Sprachfassungen nicht vorhanden sind. Es geht ja um die Schaffung von Rechtssicherheit für die Anwender.

Das ist bei diesen Vorschlägen zur Anpassung der DSGVO aber nicht immer der Fall. Betrachtet man die Änderungen etwas genauer, wird schnell klar, dass einige Änderungen sich tatsächlich auch auf den Sinn und den Aussagegehalt einer Vorschrift erstrecken.

Das bedeutet, dass eine Regelung, mit der Unternehmen seit Inkrafttreten im Mai 2016 arbeiten und auf die sie ihre Datenverarbeitungsprozesse anpassen, nun im schlimmsten Fall einen anderen Sinn und eine andere Regelungsvorgabe enthält. Als Berater zur Umsetzung der DSVGO fehlt mir da tatsächlich das Verständnis und lässt mich doch etwas sprachlos zurück.

Ich möchte diese Kritik an einigen Beispielen verdeutlichen:

ErwG 71 befasst sich mit den Vorgaben für das Profiling (Art. 22 DSGVO). Es geht dort u.a. auch darum, welche Maßnahmen der Verantwortliche zum Schutz der Betroffenen treffen muss.

… und mit denen verhindert wird, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu Maßnahmen kommt, die eine solche Wirkung haben“.

Die Berichtigung wird nun „oder zu Maßnahmen kommt“ durch „oder zu einer Verarbeitung kommt“ ersetzen. Meines Erachtens wird durch Einfügung des Begriffs „Verarbeitung“ durchaus der Sinn der Vorschrift geändert. Denn „Maßnahmen“ würde ich persönlich weiter verstehen als eine „Verarbeitung“; diese bezieht sich allein auf den Umgang mit personenbezogenen Daten, wohingegen „Maßnahmen“ umfassender zu verstehen ist.

Ein weiteres Beispiel:

In ErwG 145 geht es um die Klagemöglichkeit Betroffener gegen Verantwortliche und Auftragsverarbeiter. Derzeit wird hier noch, zum Ort, an dem Klage eingereicht werden kann, vorgegeben: „des Mitgliedstaats, in dem die betroffene Person ihren Aufenthaltsort hat“. In der offiziellen Berichtigung wird nun „Aufenthaltsort“ durch „in dem die betroffene Person wohnt“ ersetzt. Auch dies ist meines Erachtens nach nicht nur eine marginale sprachliche Anpassung. Denn den „Aufenthaltsort“ wird man weiter verstehen können als den reinen „Wohnort“. Der Knaller ist aber, dass der entsprechende Artikel, Art. 79 Abs. 2, nicht angepasst wird. Dort heißt es „in dem die betroffene Person ihren Aufenthaltsort hat“. Also ändert der Gesetzgeber nun den ErwG 145 abweichend zu der Vorgabe in dem entsprechenden Artikel.

Und ein letztes Beispiel:

Art. 25 Abs. 2 S. 1 heißt momentan: „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden“. Die offizielle Berichtigung löscht nun das Wort „grundsätzlich“. In Zukunft heißt es also: „…die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung…“. Als Juristen wissen wir, dass das Wort „grundsätzlich“ eine durchaus relevante Bedeutung hat, nämlich dass es noch Ausnahmen gibt bzw. die jeweilige Regelung nicht unbedingt abschließend ist. Diese Interpretation des Art. 25 Abs. 2 S. 1 wird nun aber gänzlich unmöglich, denn „grundsätzlich“ wird gelöscht. Die Vorgabe ist mithin als abschließend und zwingend anzusehen. Auch dies stellt, finde ich, nicht allein nur eine sprachliche Anpassung des Textes dar, sondern verändert den Inhalt der gesetzlichen Regelung.

Ich frage mich wirklich, was nun Unternehmen denken, die zwei Jahre lang mit dem Text der DSGVO gearbeitet, Geld und Zeit investiert haben, und nun, einen Monat vor Anwendbarkeit eine textlich und auch inhaltlich angepasste DSGVO serviert bekommen.

Nun mag man argumentieren, dass ja die einzelnen Sprachfassungen ohne Bedeutung seien und die englische Fassung stets die entscheidende war und dort entsprechende Fehler auch nicht enthalten sind. Das sin der englischen Fassung manche der oben genannten Anpassungen nicht vorgenommen werden, mag zutreffen. Jedoch ist es ständige Rechtsprechung des EuGH, dass grundsätzlich allen Sprachfassungen einer Gemeinschaftsvorschrift der gleiche Wert beizumessen ist (z.B. C-152/01). Die englische Fassung ist also per se nicht richtiger oder besser als die deutsche.

Ich für meinen Teil finde es leider abstrus, dass nun, so kurz vor Anwendbarkeit der DSGVO, tatsächlich auch noch inhaltliche Änderungen an der DSGVO vorgenommen werden.

DSGVO-Prax – Name des Datenschutzbeauftragten in der Datenschutzerklärung?

Im Blog war es in den letzten Wochen ein wenig ruhiger. Der Grund hierfür hat einen Namen: DSGVO. Immer mehr Unternehmen befassen sich in den letzten Monaten mit der bald anwendbaren DSGVO und der Beratungsbedarf steigt daher stetig.

Aus diesen verschiedenen Beratungsanfragen und DSGVO-Projekten möchte ich in den nächsten Wochen immer mal wieder ein paar (hoffentlich) relevante Fragestellungen hier im Blog präsentieren. Sozusagen das “Best of”. Also Fragen aus und Antworten für die Praxis: DSGVO-Prax.

Der heutige Beitrag befasst sich mit einer Frage, die ich in der Beratung oder auch bei Seminaren oder Vorträgen eigentlich immer gestellt bekomme. Warum diese Frage immer wieder auftaucht, kann ich selber gar nicht genau einschätzen. In vielen Unternehmen bzw. besser, für viele Datenschutzbeauftragte, scheint sie aber sehr relevant zu sein.

Erfordert die Vorgabe des Art. 13 Abs. 1 lit. b) und Art. 14 Abs. 1 lit. b) DSGVO die Nennung des Namens des Datenschutzbeauftragten in der Datenschutzerklärung (z. B. auf der Webseite oder in Datenschutzinformationen für Mitarbeiter)?

Meiner Ansicht nach ist die klare Antwort: nein. Der Name des Datenschutzbeauftragten muss nicht genannt werden. Natürlich kann man ihn dennoch angeben. Aber gesetzlich zwingend ist die Angabe im Rahmen der Informationspflichten nach Art. 13 und 14 DSGVO nicht.

Dies ergibt sich zum einen schlicht aus dem Wortlaut. Art. 13 Abs. 1 lit. b) DSGVO verlangt, dass gegebenenfalls „die Kontaktdaten des Datenschutzbeauftragten“ mitzuteilen sind. „Kontaktdaten“ sind aber kein Name, sondern etwa die Telefonnummer oder die E-Mail-Adresse.

Zudem ergibt sich dieses Ergebnis aus einer systematischen Gesamtschau. Der europäische Gesetzgeber sieht nämlich in der DSGVO durchaus die Pflicht vor, den Namen des Datenschutzbeauftragten zu nennen, etwa in Art. 30 Abs. 1 lit. a) DSGVO im Verzeichnis der Verarbeitungstätigkeiten. Dies spricht dafür, dass er in einem Fall (Art. 13/14 DSVGO) den Namen bewusst nicht von der Informationspflicht umfasst sieht, in einem anderen Fall (Art. 30 DSGVO) den Namen aber im Verzeichnis aufgenommen haben möchte. Ein anderes Beispiel für die Erwähnung des Namens des Datenschutzbeauftragten ist Art. 33 Abs. 3 lit. b) DSGVO bei der Meldung einer Datenschutzverletzung.

Also: im Rahmen der Datenschutzinformationen muss der Name nicht genannt werden.