Free

Editorial : Herausforderungen des Datenschutzrechts 2018 : aus der RDV 5/2017, Seite 217 bis 218

Archiv RDV
Lesezeit 2 Min.

Das „alte“ Bundesdatenschutzgesetz ist noch einige Monate als geltendes Recht anzuwenden und dennoch betrachten wir Datenschützer es faktisch schon jetzt als Geschichte. Uns befasst die ab 25. Mai 2018 anwendbare Datenschutz-Grundverordnung und sie wirft drängende Fragen auf. Wie gehen wir in der Praxis mit Löschpflichten und den Möglichkeiten der Pseudonymisierung um? Bleibt im Beschäftigtendatenschutz wirklich alles beim Alten und was ändert sich für den betrieblichen Datenschutzbeauftragten? Bevor Datenschutz-Grundverordnung und neues BDSG anwendbar sind, wird deren Recht durch den Entwurf der ePrivacy-Verordnung schon in einen neuen Kontext gestellt. Für den Datenschutz bei Onlinediensten ist die DS-GVO schließlich überhaupt nicht einschlägig und die Datenschutzvorschriften des Telemediengesetzes werden mit Anwendbarkeit der DS-GVO in weiten Teilen ihre Geltung verlieren. Bevor wir die Herausforderungen des neuen Datenschutzrechts vollständig fokussiert haben, muss sich die Onlinewirtschaft auf weiteres, neues Datenschutzrecht einstellen. Schließlich soll die ePrivacy-Verordnung die DS-GVO schon ab dem 25.05.2018 ergänzen.

Natürlich interessieren uns neben der „zweiten Runde“ der gesetzlichen Umsetzung der DS-GVO in Deutschland (dazu der Beitrag von Eickelpasch in diesem Heft) in erster Linie die Positionen der Aufsicht. Das gilt für die „Wokingpapers“ der Art. 29-Gruppe zu Auslegungsfragen zum neuen Recht wie etwa zum Datenschutzbeauftragten, zur Datenportabilität oder zur Datenschutzfolgenabschätzung. Daneben stehen die Kurzpapiere der Datenschutzkonferenz (DSK) als konsolidierten Stimme der Aufsicht in Deutschland. Noch sind diese Papiere unverbindlich. Sobald aber die Art. 29-Gruppe zum Datenschutzausschuss wird, erlangen deren Position Verbindlichkeit. Schaut man etwa auf die „Leitlinien zum Recht auf Datenübertragbarkeit“ (WP 242), dann bekommt man einen Eindruck davon, wie weit das Recht auf Übertragung eingebrachter Daten reichen soll, indem es etwa die von Gesundheitstrackern aufgezeichnete Herzfrequenz erfasst.

Die Wirtschaft stellt diese neuen „faktischen“ Rechtsquellen vor Herausforderungen und sie werfen auch Widersprüche auf. Das Kurzpapier Nr. 10 der DSK zu Informationspflichten bei Dritt- und Direkterhebung vom 30.08.2017 erklärt den Medienbruch bei gestufter Informationserteilung nach Art. 13 und 14 DS-GVO in der Regel für unzulässig. Nach ErwG 58 der DS-GVO können solche Informationen aber auch über Webseiten zur Verfügung gestellt werden. Insofern ist zu hoffen, dass die Aufsicht ihre Position revidiert. In welche Richtung es für die Praxis beim Medienbruch gehen kann, schlägt die GDD-Praxishilfe „DSGVO VII zu Transparenzpflichten bei der Datenverarbeitung“ vor.

Es ist für die Wirtschaft höchste Zeit, die Herausforderungen des Datenschutzrechts 2018 anzunehmen, während weitere Stufen der Reform des deutschen Datenschutzrechts in den Ministerien des Bundes und zunehmend auch der Länder in Angriff genommen werden und sich auch die Aufsicht auf ihre neuen Aufgaben vorbereitet. Arbeiten wir alle an Lösungen für einen Datenschutz mit Augenmaß.

Professor Dr. Rolf Schwartmann

Prof. Dr. Rolf Schwartmann Leiter der Kölner Forschungsstelle für Medienrecht an der Technischen Hochschule Köln, Mitherausgeber von Recht der Datenverarbeitung (RDV) sowie Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)