Am 4. Mai diesen Jahres wurde die EU-DS-GVO im Amtsblatt der Europäischen Union veröffentlicht. Sie trat 20 Tage später in Kraft und ist nach einer zweijährigen Übergangszeit ab dem 25. Mai 2018 für Unternehmen und Behörden in Europa gleichermaßen direkt anwendbar.
Mit der Veröffentlichung des Gesetzestextes ging ein etwa vierjähriger Gesetzgebungsprozess zu Ende, der von zähen Verhandlungen geprägt war und in dem fast 4 000 Änderungsanträge im EU-Parlament zur Diskussion standen.
Die EU-Kommission wollte, so ihr Statement vom Januar 2012 bei der Vorstellung des ersten Entwurfs der neuen Regelung, die Grundsätze der aus dem Jahr 1995 stammenden EU-Datenschutzrichtlinie aktualisieren sowie modernisieren und so den Schutz personenbezogener Daten auch im digitalen Zeitalter garantieren.
One-fits-all-Ansatz
Gerade im Hinblick auf die zunehmende Bedeutung der Datennutzung für die Digitalisierung ist die Verordnung explizit auch darauf ausgerichtet, den "freien Datenverkehr" zu gewährleisten. Zudem sollten unnötige administrative Anforderungen beseitigt werden.
Um die Zukunftsfähigkeit der Verordnung sicherzustellen, wurde bewusst auf ganz konkrete Regelungen für bestimmte Branchen/Geschäftsmodelle, wie etwa soziale Netzwerke oder Suchmaschinen, verzichtet, und nach dem "one-fits-all-Ansatz" abstrakte Regelungen formuliert, die damit auch technischen Fortschritt ermöglichen sollen.
Mit der Wahl des Regelungsinstruments der ohne nationale Umsetzung unmittelbar in den EU-Mitgliedstaaten geltenden Verordnung wollte die Kommission das größtmögliche Maß an Harmonisierung erreichen und die in der Vergangenheit durch die unterschiedliche Umsetzung der Richtlinie entstandene "Fragmentierung" des Datenschutzrechts verhindern.
Unterschiedliche Bewertungen der Verordnung
Die ersten Bewertungen des neuen Regelungswerks fielen unterschiedlich aus.
- Anlässlich einer Anhörung des Ausschusses Digitale Agenda, die im Februar diesen Jahres im Bundestag nach Abschluss der Verhandlungen stattfand, bewerteten etwa die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg, Dagmar Hartge, die Verordnung "im Großen und Ganzen als Erfolg" und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, als "insgesamt positiv".
- Prof. Dr. Alexander Roßnagel hingegen stufte sie als "enttäuschend" ein, "einzelnen Verbesserungen" stünden "viele Verschlechterungen des Datenschutzes gegenüber".
- Prof. Dr. Thomas Hoeren bezeichnete die Datenschutzgrundverordnung an anderer Stelle gar als "größte Katastrophe des 21. Jahrhunderts". Aber auch Hartge konstatierte, es gehe nun darum, die unbestimmten Rechtsbegriffe und allgemeinen Regelungen der EU-Datenschutzgrundverordnung mit Leben zu füllen.
Auf Verbandsseite wird nahezu einhellig die verstärkte Harmonisierung des Datenschutzrechts begrüßt, zugleich aber die Herausforderung gesehen, diese Harmonisierung unter anderem auch wegen der teils sehr allgemein gehaltenen Regelungen im Vollzug umzusetzen.
Erhebliche Herausforderungen für die Branche
Aus der Perspektive der Wirtschaftsauskunfteien ergibt sich eine ähnliche Bewertung. Sie begrüßen die mit der Datenschutzgrundverordnung bezweckte Modernisierung des Datenschutzrechts in Europa ebenfalls. Allerdings beinhaltet der verfolgte "one-fits-all-Ansatz" auch erhebliche Herausforderungen für die Branche.
So wurden zum einen Regelungen, die für ein bestimmtes Geschäftsmodell gedacht waren, so allgemein formuliert, dass sie für andere Geschäftsmodelle keinen Sinn ergeben, und zum anderen spezifische nationale Regelungen für einzelne Branchen, die sich in der Vergangenheit bewährt hatten, nicht mit in die Verordnung aufgenommen.
Ein Beispiel: Während das Bundesdatenschutzgesetz (BDSG) im gerade für das Kreditwesen wichtigen Bereich der Auskunfteientätigkeit für die Übermittlung von sogenannten weichen Negativmerkmalen an Auskunfteien eindeutige Voraussetzungen (unbestrittene Forderung, zwei Mahnungen, Vierwochenfrist zwischen erster Mahnung und Übermittlung) festschreibt, sieht die Datenschutzgrundverordnung hierfür keine derartigen speziellen Voraussetzungen mehr, sondern lediglich eine allgemeine Interessenabwägung vor.
Regelungen zur Datenübermittlung an Auskunfteien erhalten
Der Verband "Die Wirtschaftsauskunfteien e. V.", setzt sich derzeit im Schulterschluss mit der Kreditwirtschaft sowie der Handelsund Inkassobranche gegenüber der Bundesregierung dafür ein, den Paragraphen, der die Übermittlung von Daten an Auskunfteien regelt (§ 28 a BDSG), zu erhalten. Unterstützung hierfür kommt auch vom Verbraucherzentrale Bundesverband und von den Datenschutzbeauftragten der Länder und des Bundes.
Diese einhellige Forderung unterschiedlicher Interessensgruppen zeigt: Die Regelung hat sich in der Praxis für beide Seiten - Verbraucher und Wirtschaft - in großem Maße bewährt und konkretisiert die auch in der neuen EU-DS-GVO festgeschriebene Interessenabwägung für alle Beteiligten.
Bundesregierung prüft Handlungsspielräume
Der Erhalt dieser Norm ist aber nur möglich, soweit die EU-DS-GVO hierfür Handlungsspielräume in Form von nationalen Öffnungsklauseln oder nationalen Konkretisierungen lässt. Welche Spielräume hier tatsächlich bestehen, prüft derzeit die Bundesregierung, die mit einem BDSG-Ablösungsgesetz die bisherigen Gesetzesbestimmungen an die neue Rechtslage anpassen möchte.
Wir plädieren dafür, den § 28 a BDSG in das neue BDSG-Ablösegesetz aufzunehmen und sehen den dafür notwendigen Handlungsspielraum der Bundesregierung gegeben. Die EU-DS-GVO sieht entsprechende Möglichkeiten ausdrücklich vor, denn sie erlaubt nationale Regelungen unter anderem für Datenverarbeitungen, die für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, erforderlich sind.
Das KWG etwa enthält für Kreditinstitute eine aufsichtsrechtliche Verpflichtung, ihre Risiken zu minimieren, um das öffentliche Interesse an der Funktionsfähigkeit der deutschen Kreditwirtschaft zu gewährleisten. Zur Erfüllung dieser Aufgabe sind explizit Anfragen bei Auskunfteien vorgesehen. Der EuGH konstatiert ebenfalls in einem kürzlich ergangenen Urteil, dass das Auskunfteienwesen grundsätzlich zu einer "höheren Kreditverfügbarkeit" beiträgt, die im öffentlichen Interesse liegt. Das Fortbestehen des § 28 a BDSG entspricht damit auch dem Harmonisierungsgedanken, denn er schafft eine ausgewogene, tatbestandlich ausdifferenzierte Festschreibung der Interessenabwägung, die nach der Datenschutzgrundverordnung notwendig ist.
Selbstverpflichtung zu Löschfristen
Darüber ist der Verband zurzeit damit befasst, weitere Einzelheiten über Selbstverpflichtungen, die die Verordnung ausdrücklich zulässt, zu regeln. Dazu gehört beispielsweise auch, einen Code of Conduct zu erarbeiten, der die bewährten und im Bundesdatenschutzgesetz vorgesehenen Löschfristen für personenbezogene Daten auch nach Eintritt der Geltung der Datenschutzgrundverordnung festschreiben soll.
Eine Selbstverpflichtung findet allerdings dort ihre Grenzen, wo sie nicht mehr mit der Vollharmonisierung in Einklang zu bringen ist beziehungsweise massive Wettbewerbsnachteile für Unternehmen in Deutschland entstehen. Es geht nicht an, dass sich nur wenige Unternehmen an Regeln halten, die neue ausländische Wettbewerber, Fintechs oder andere nicht beachten.
Insofern bleibt abzuwarten, wie sich im europäischen Vergleich ein gemeinsames Verständnis der EU-DS-GVO auf der einen und des freien Datenverkehrs auf der anderen Seite entwickeln wird. Das Fortbestehen des § 28 a BDSG scheint jedenfalls sowohl politisch als auch rechtlich nach der neuen EU-DS-GVO geboten.
Dr. Thomas Riemann, Geschäftsführer, Die Wirtschaftsauskunfteien e.V., Berlin