Bis zum Inkrafttreten der DS-GVO war der Datenschutz länderübergreifend in Deutschland im Bundesdatenschutzgesetz (BDSG) geregelt. Datenschutz ist hier seit dem Volkszählungsurteil durch das Bundesverfassungsgericht (BVerG) als Ausprägung des allgemeinen Persönlichkeitsrechts und der Menschenwürde und damit als Grundrecht anerkannt (vgl. BVerfG, Urteil vom 15. Dezember 1983 – 1 BvR 209/83, 1 BvR 484/83, 1 BvR 440/83, 1 BvR 420/83, 1 BvR 362/83, 1 BvR 269/83).
Heute jährt sich der Tag, seit dem die DS-GVO in Europa verbindlich gilt, zum fünften Mal. Aus diesem Anlass betrachten wir im Folgenden die Änderungen, die die DS-GVO mit sich gebracht hat, und die ersten fünf Jahre des neuen Datenschutzrechts unter dem Aspekt der Weiterentwicklung des Datenschutzes.
Die Datenschutz-Grundverordnung brachte folgende Veränderungen:
- Aus Art. 1 Abs. 3 DS-GVO geht hervor, dass der freie Verkehr personenbezogener Daten in der Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden darf.
- Die DS-GVO normiert in Art. 5 explizite Verarbeitungsgrundsätze (z. B. Rechtmäßigkeit, Zweckbindung der Verarbeitung, Datenminimierung). Diese ermöglichen einen orientierten Umgang mit personenbezogenen Daten anhand konkret zu erfüllender Kriterien.
- Die DS-GVO gibt den Unternehmen Handlungspflichten vor. Die Unternehmen müssen aktiv den Datenschutz berücksichtigen, ihre Datenflüsse im Rahmen eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DS-GVO) aufzeigen sowie technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten (Art. 24 Abs. 1 DS-GVO) ergreifen.
- Neu sind auch die Transparenz- und Dokumentationspflichten. Gemäß Art. 12 Abs. 1 DS-GVO sind die betroffenen Personen noch umfangreicher und verständlicher über die Art und den Umfang der Verarbeitung ihrer personenbezogener Daten zu informieren. Hierzu gehört vor allem das Auskunftsrecht betroffener Personen, das in Art. 15 DS-GVO verankert ist. Auf Seite der Verantwortlichen resultieren daraus umfassende Dokumentationspflichten bezüglich aller Verarbeitungen personenbezogener Daten.
- Mit der DS-GVO wurden die Sanktions- und Bußgeldvorschriften verschärft. Den verantwortlichen Stellen drohen im Fall einer Datenschutzverletzung Strafen in Höhe von bis zu 20 Millionen Euro bzw. bis zu 4 Prozent ihres global erzielten Jahresumsatzes. (Zuvor bezifferte sich das drohende Bußgeld nach dem BDSG auf maximal 300.000 Euro.)
- Neuerungen ergaben sich auch hinsichtlich einer verpflichtenden Datenschutz-Folgenabschätzung.
Zusammenfassend lässt sich feststellen, dass durch die DS-GVO viele neue Vorschriften geschaffen worden sind, deren Umsetzung die Unternehmen noch heute vor Herausforderungen stellt.
Die DS-GVO und damit der Datenschutz unterliegen einer steten Weiterentwicklung und einem stetigen Wandel. Seitdem die Verordnung im Jahr 2018 verbindlich wurde, gab es einige klarstellende Urteile bzw. Beschlüsse sowie Anpassungs- und Umsetzungsrichtlinien. Eine wichtige Klarstellung erfolgte zum Beispiel durch ein Urteil des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2019: Eine konkludente Einwilligung in Cookies auf Webseiten bzw. das Einwilligen durch bloße Weiterbenutzung der entsprechenden Seite ist ausgeschlossen. Und vor ungefähr drei Wochen hat der EuGH gleich drei bedeutende Urteile zu datenschutzrechtlichen Fragestellungen veröffentlicht. So betonte das Gericht, dass das Unionsrecht keine Erheblichkeitsschwelle für immaterielle Schmerzensgeldansprüche vorsieht, denn eine Eingrenzung dieses Schutzes durch eine Erheblichkeitsschwelle widerspreche den Zielen der DS-GVO.
Eine Gesetzesänderung ergab sich hinsichtlich der Bestellung von Datenschutzbeauftragten, diese sind von Unternehmen mit weniger als 20 Mitarbeitern nicht verpflichtend zu bestellen.
Für 2023 hat die Europäische Kommission eine weitere Gesetzesänderung angekündigt. Der Schwerpunkt bei dieser Gesetzesinitiative zur Änderung der DS-GVO liegt auf der Verbesserung der Kooperations- und Streitbeilegungsmechanismen der DS-GVO in grenzüberschreitenden Fällen. Angepasst werden also vor allem die Artikel 60 ff. DS-GVO. Neben der Einführung verbindlicher Fristen für die Weiterleitung von Beschwerden und einer generellen Bearbeitungsfrist für Einzelfälle soll auch die Zusammenarbeit der Behörden verbessert werden. Die Harmonisierung des Beschwerdeverfahrens soll dazu führen, dass die Zulässigkeit einer Beschwerde nicht erneut in einem Mitgliedsland untersucht wird, wenn die formalen Anforderungen bereits in einem anderen Mitgliedsland geprüft wurden.
Die Datenschutz-Grundverordnung in ihrer heutigen Fassung ist voraussichtlich erst der Anfang einer weitreichenden Gesetzgebung hinsichtlich des Datenschutzes. Es werden stets neue Änderungen und Ausführungen in Kraft treten, an die Unternehmen sich anpassen müssen.
Sehen Sie sich mit Fragen bezüglich der Umsetzung der Datenschutzvorschriften konfrontiert? Unsere erfahrenen Rechtsanwälte und Wirtschaftsjuristen stehen Ihnen gerne jederzeit mit Rat und Tat zur Seite.