Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Auslegung einer europäischen Verordnung Teil 2
Die richtlinienkonforme Auslegung einer europäischen Verordnung -ein Widerspruch in sich? Teil 2
Im ersten Teil meines Artikels zum Thema der richtlinienkonformen Auslegung einer europäischen Verordnung, habe ich einen kurzen Überblick über die im Mai 2018 in Kraft tretende EU-DSGVO gegeben und die flexiblen Gestaltungsmöglichkeiten sowie die damit verbundene Problematik bereits angedeutet, diesen finden Sie hier.
Im Folgenden möchte ich nun neben sprachbedingten Rechtsunsicherheiten auch auf die fragwürdige Vereinbarkeit der EU-DSGVO mit den Grundfreiheiten eingehen und abschließend die zeitliche Komponente der Umsetzung näher betrachten.
1. Rechtsunsicherheit durch Sprachbarrieren
Das Institut der EU als Staatenverbund lebt unter anderem von seiner Multilingualität. Betrachtet man nun die englische Originalfassung der EU-DSGVO wird diese Sprachenvielfalt aber ausnahmsweise zum Problem.
Legt man der Vorschrift des Artikel 6 GDPR „personal data shall be processed fairly” die deutsche Übersetzung zu Grunde muss eine Verarbeitung personenbezogener Daten nach „Treu und Glauben” erfolgen. Diese Aussage bringt wohl manch einen Juristen zum Stirn runzeln und schmunzeln, da dieser unbestimmte Rechtsbegriff aus dem deutschen Zivilrecht Alles und Nichts zugleich ist und daher zur Rechtsklarheit absolut nichts beizutragen vermag.
Eine direkte Übersetzung könnte aber auch eine „faire Verarbeitung” verlangen. Doch was ist schon fair? Jedenfalls kann man davon ausgehen, dass ein durchschnittlicher rumänischer, französischer, lettischer oder deutscher Staatsbürger (ua.) eine unterschiedliche Auffassung von einer „fairen Verarbeitung” personenbezogener Daten hat. Wenn man nun bedenkt, dass das deutsche DSAnpUG-EU nur eins von 28 nationalen Umsetzungsgesetzen sein wird, bleibt es spannend wie mit Bekanntgabe neuer nationaler Fassungen länderübergreifend bald Übersetzungsversuche unternommen werden, um sich mit anderen EU-Rechtsordnungen vertraut zu machen.
Feststeht, dass wohl erst die Aufsichtsbehörden Licht ins Dunkle im Hinblick auf die Auslegung des Wortes „fairly” bringen können, indem sie Stellung beziehen.
Bei den knapp 100 Artikeln der EU-DSGVO wird eine Stellungnahme höchstwahrscheinlich damit auch nicht das letzte Mal notwendig sein…
2. Europäische Grundfreiheiten vs. EU-DSGVO?
Doch nicht nur aus sprachlicher Sicht sollten wir diese Lücken in der EU-DSGVO hinterfragen. Wohl als eine der größten Errungenschaften der Europäischen Union sind die vier Grundfreiheiten anzusehen, unter welche zum Beispiel die Dienstleistungs- und Arbeitnehmerfreizügigkeit fallen, Art. 56 ff., 45 AEUV. Mitarbeiter M aus unserem Ausgangsbeispiel fällt zwar in den personellen Schutzbereich dieser Grundfreiheiten und hat damit die Möglichkeit auch im Mitgliedsstaat Österreich seine Dienstleistung zu erbringen oder eine Beschäftigung dort aufzunehmen, hat dabei allerdings österreichisches Datenschutzrecht anzuwenden.
Gerade der Beschäftigtendatenschutz nimmt nach Art. 88 EU-DSGVO eine Sonderstellung ein, da dieser Bereich explizit den Mitgliedsstaaten überlassen wird und dadurch gegebenenfalls vollumfänglich deren spezifischeren Regelungen unterliegt.
Unser Mitarbeiter darf also nach Unionsrecht im gesamten EU-Gebiet tätig werden und genießt all diese weitreichenden Freiheiten, muss sich aber — obwohl er nur von einer Niederlassung zu einer anderen fährt — plötzlich auf österreichisches Datenschutzrecht einstellen. Damit könnte er dem Risiko ausgesetzt sein, dass dort eine andere Verarbeitung personenbezogener Daten rechtmäßig ist, als in Deutschland.
Die konträre Wirkung der Flexibilität der EU-DSGVO wird hier nur allzu deutlich!
Bezieht man nun auch noch die ursprünglichen Ambitionen der EU-DSGVO mit ein, nämlich gem. Art. 1 EU-DSGVO neben der Harmonisierung des Datenschutzrechts auf europäischer Ebene, die Schaffung globaler Datenschutzstandards und passender Datenschutzregeln für den Binnenmarkt, stellt man schnell fest, dass sich die Verordnung in ihrer jetzigen Auswirkung eher Barrieren schafft und sich als „wirtschaftliche Entwicklungsbremse” erweist.
Unternehmen die künftig personenbezogene Daten verarbeiten, werden sich nun wohl zwei Mal überlegen, ob sie Zweigniederlassungen in andere Mitgliedsstaaten verlagern, wenn derartige Rechtsunsicherheit herrscht.
Ankurblung der Wirtschaft: Adieu!
3. Fazit
Selbstverständlich sind unterschiedliche nationale Ausgangsituationen in den einzelnen Mitgliedsstaaten zu berücksichtigen, sodass eine für alle geltende einheitliche Regelung wahrscheinlich sehr schwierig umzusetzen ist bzw. einige Länder vor eine nicht zu überwältigenden Herausforderung stellt.
Anerkannt werden muss auch die Tatsache, dass längerfristig gesehen dem Ziel einer unionsweiten einheitlichen Regelung in jedem Fall beigetragen wird und sog. „forum-shopping” (Datenverarbeitung in Mitgliedsstaaten mit weniger strengem Datenschutzrecht) nur noch erschwert möglich ist.
Um den digitalen Rahmenbedingungen des 21. Jahrhunderts gerecht zu werden ist eine Verordnung mit gewisser Flexibilität damit in jedem Fall sinnvoll, allerdings nicht, wenn für eine unternehmensinterne Umsetzung nur knapp zwei Jahre Zeit bleibt und die zu erfüllenden Vorschriften ein derartiges Ausmaß annehmen.
Die verabschiedete EU-DSGVO wäre eine optimale Gelegenheit der EU gewesen um einen EU-weiten einheitlich hohen Datenschutz-Standard zu schaffen. Gerade im Hinblick auf derzeitige Krisen wie beispielsweise die Frage der Flüchtlingsverteilung oder des Schuldenschnitts für Griechenland hätte die Europäische Union hier zur Abwechslung das Exempel einer „Einheit” statuieren können und gerade in Richtung der restlichen Welt ein Statement abgeben können, welches die Zusammengehörigkeit dieser 28 Staaten — bald 27 Staaten — symbolisiert hätte.
Dem ist durch diese in eine Richtlinie verkleidete Verordnung nun leider nicht so.
Vielleicht würde sich jedes Land wieder einmal besinnen, ob die Institution EU doch gar nicht so falsch ist wie oft angenommen wird?
Trotz immer schneller voranschreitender Digitalisierung und Modernisierung wäre also ein großzügiger Zeitrahmen für dieses “Riesenprojekt” durchaus möglich und auch notwendig gewesen, denn: Es gab so lange keine einheitliche Regelung.

Lorena Prummer ist Rechtsreferendarin am Landgericht Nürnberg-Fürth. Im November 2016 begann sie, bei der DATEV eG im Bereich Datenschutz und Informationssicherheit zu arbeiten und beschäftigt sich schwerpunktmäßig mit der unternehmensinternen Umsetzung der Datenschutzgrundverordnung aus juristischer Sicht.

Neueste Kommentare