DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Aus­legung einer euro­päi­schen Ver­ordnung Teil 2

Die richt­li­ni­en­kon­forme Aus­legung einer euro­päi­schen Ver­ordnung -ein Wider­spruch in sich? Teil 2

Im ersten Teil meines Artikels zum Thema der richt­li­ni­en­kon­formen Aus­legung einer euro­päi­schen Ver­ordnung, habe ich einen kurzen Über­blick über die im Mai 2018 in Kraft tre­tende EU-DSGVO gegeben und die fle­xiblen Gestal­tungs­mög­lich­keiten sowie die damit ver­bundene Pro­ble­matik bereits ange­deutet, diesen finden Sie hier.
Im Fol­genden möchte ich nun neben sprach­be­dingten Rechts­un­si­cher­heiten auch auf die frag­würdige Ver­ein­barkeit der EU-DSGVO mit den Grund­frei­heiten ein­gehen und abschließend die zeit­liche Kom­po­nente der Umsetzung näher betrachten.

1. Rechts­un­si­cherheit durch Sprach­bar­rieren
Das Institut der EU als Staa­ten­verbund lebt unter anderem von seiner Mul­ti­lin­gua­lität. Betrachtet man nun die eng­lische Ori­gi­nal­fassung der EU-DSGVO wird diese Spra­chen­vielfalt aber aus­nahms­weise zum Problem.
Legt man der Vor­schrift des Artikel 6 GDPR  „per­sonal data shall be pro­cessed fairly” die deutsche Über­setzung zu Grunde muss eine Ver­ar­beitung per­so­nen­be­zo­gener Daten nach „Treu und Glauben” erfolgen. Diese Aussage bringt wohl manch einen Juristen zum Stirn runzeln und schmunzeln, da dieser unbe­stimmte Rechts­be­griff aus dem deut­schen Zivil­recht Alles und Nichts zugleich ist und daher zur Rechts­klarheit absolut nichts bei­zu­tragen vermag.
Eine direkte Über­setzung könnte aber auch eine „faire Ver­ar­beitung” ver­langen. Doch was ist schon fair? Jeden­falls kann man davon aus­gehen, dass ein durch­schnitt­licher rumä­ni­scher, fran­zö­si­scher, let­ti­scher oder deut­scher Staats­bürger (ua.) eine unter­schied­liche Auf­fassung von einer „fairen Ver­ar­beitung” per­so­nen­be­zo­gener Daten hat. Wenn man nun bedenkt, dass das deutsche DSAnpUG-EU nur eins von 28 natio­nalen Umset­zungs­ge­setzen sein wird, bleibt es spannend wie mit Bekanntgabe neuer natio­naler Fas­sungen län­der­über­greifend bald Über­set­zungs­ver­suche unter­nommen werden, um sich mit anderen EU-Rechts­ord­nungen ver­traut zu machen.
Fest­steht, dass wohl erst die Auf­sichts­be­hörden Licht ins Dunkle im Hin­blick auf die Aus­legung des Wortes „fairly” bringen können, indem sie Stellung beziehen.
Bei den knapp 100 Artikeln der EU-DSGVO wird eine Stel­lung­nahme höchst­wahr­scheinlich damit auch nicht das letzte Mal not­wendig sein…

2. Euro­päische Grund­frei­heiten vs. EU-DSGVO?
Doch nicht nur aus sprach­licher Sicht sollten wir diese Lücken in der EU-DSGVO hin­ter­fragen. Wohl als eine der größten Errun­gen­schaften der Euro­päi­schen Union sind die vier Grund­frei­heiten anzu­sehen, unter welche zum Bei­spiel die Dienst­leis­tungs- und Arbeit­neh­mer­frei­zü­gigkeit fallen, Art. 56 ff., 45 AEUV. Mit­ar­beiter M aus unserem Aus­gangs­bei­spiel fällt zwar in den per­so­nellen Schutz­be­reich dieser Grund­frei­heiten und hat damit die Mög­lichkeit auch im Mit­glieds­staat Öster­reich seine Dienst­leistung zu erbringen oder eine Beschäf­tigung dort auf­zu­nehmen, hat dabei aller­dings öster­rei­chi­sches Daten­schutz­recht anzu­wenden.
Gerade der Beschäf­tig­ten­da­ten­schutz nimmt nach Art. 88 EU-DSGVO eine Son­der­stellung ein, da dieser Bereich explizit den Mit­glieds­staaten über­lassen wird und dadurch gege­be­nen­falls voll­um­fänglich deren spe­zi­fi­scheren Rege­lungen unter­liegt.
Unser Mit­ar­beiter darf also nach Uni­ons­recht im gesamten EU-Gebiet tätig werden und genießt all diese weit­rei­chenden Frei­heiten, muss sich aber — obwohl er nur von einer Nie­der­lassung zu einer anderen fährt — plötzlich auf öster­rei­chi­sches Daten­schutz­recht ein­stellen. Damit könnte er dem Risiko aus­ge­setzt sein, dass dort eine andere Ver­ar­beitung per­so­nen­be­zo­gener Daten recht­mäßig ist, als in Deutschland.
Die kon­träre Wirkung der Fle­xi­bi­lität der EU-DSGVO wird hier nur allzu deutlich!
Bezieht man nun auch noch die ursprüng­lichen Ambi­tionen der EU-DSGVO mit ein, nämlich gem. Art. 1 EU-DSGVO neben der Har­mo­ni­sierung des Daten­schutz­rechts auf euro­päi­scher Ebene, die Schaffung glo­baler Daten­schutz­stan­dards und pas­sender Daten­schutz­regeln für den Bin­nen­markt, stellt man schnell fest, dass sich die Ver­ordnung in ihrer jet­zigen Aus­wirkung eher Bar­rieren schafft und sich als „wirt­schaft­liche Ent­wick­lungs­bremse” erweist.
Unter­nehmen die künftig per­so­nen­be­zogene Daten ver­ar­beiten, werden sich nun wohl zwei Mal über­legen, ob sie Zweig­nie­der­las­sungen in andere Mit­glieds­staaten ver­lagern, wenn der­artige Rechts­un­si­cherheit herrscht.
Ankurblung der Wirt­schaft: Adieu!

3. Fazit
Selbst­ver­ständlich sind unter­schied­liche nationale Aus­gang­si­tua­tionen in den ein­zelnen Mit­glieds­staaten zu berück­sich­tigen, sodass eine für alle gel­tende ein­heit­liche Regelung wahr­scheinlich sehr schwierig umzu­setzen ist bzw. einige Länder vor eine nicht zu über­wäl­ti­genden Her­aus­for­derung stellt.
Aner­kannt werden muss auch die Tat­sache, dass län­ger­fristig gesehen dem Ziel einer uni­ons­weiten ein­heit­lichen Regelung in jedem Fall bei­ge­tragen wird und sog. „forum-shopping” (Daten­ver­ar­beitung in Mit­glieds­staaten mit weniger strengem Daten­schutz­recht) nur noch erschwert möglich ist.
Um den digi­talen Rah­men­be­din­gungen des 21. Jahr­hun­derts gerecht zu werden ist eine Ver­ordnung mit gewisser Fle­xi­bi­lität damit in jedem Fall sinnvoll, aller­dings nicht, wenn für eine unter­neh­mens­in­terne Umsetzung nur knapp zwei Jahre Zeit bleibt und die zu erfül­lenden Vor­schriften ein der­ar­tiges Ausmaß annehmen.
Die ver­ab­schiedete EU-DSGVO wäre eine optimale Gele­genheit der EU gewesen um einen EU-weiten ein­heitlich hohen Daten­schutz-Standard zu schaffen. Gerade im Hin­blick auf der­zeitige Krisen wie bei­spiels­weise die Frage der Flücht­lings­ver­teilung oder des Schul­den­schnitts für Grie­chenland hätte die Euro­päische Union hier zur Abwechslung das Exempel einer „Einheit” sta­tu­ieren können und gerade in Richtung der rest­lichen Welt ein Statement abgeben können, welches die Zusam­men­ge­hö­rigkeit dieser 28 Staaten — bald 27 Staaten — sym­bo­li­siert hätte.
Dem ist durch diese in eine Richt­linie ver­kleidete Ver­ordnung nun leider nicht so.
Viel­leicht würde sich jedes Land wieder einmal besinnen, ob die Insti­tution EU doch gar nicht so falsch ist wie oft ange­nommen wird?
Trotz immer schneller vor­an­schrei­tender Digi­ta­li­sierung und Moder­ni­sierung wäre also ein groß­zü­giger Zeit­rahmen für dieses “Rie­sen­projekt” durchaus möglich und auch not­wendig gewesen, denn: Es gab so lange keine ein­heit­liche Regelung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Lorena Prummer, DATEV eG

Lorena Prummer ist Rechts­re­fe­ren­darin am Land­ge­richt Nürnberg-Fürth. Im November 2016 begann sie, bei der DATEV eG im Bereich Daten­schutz und Infor­ma­ti­ons­si­cherheit zu arbeiten und beschäftigt sich schwer­punkt­mäßig mit der unter­neh­mens­in­ternen Umsetzung der Daten­schutz­grund­ver­ordnung aus juris­ti­scher Sicht.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.