Neues Datenschutzrecht in Kraft
Liebe Verantwortliche, Auftragsverarbeiter, Empfänger, betroffene Personen und Dritte,
geht es um die Verhandlung des Großen im Kleinen, so rückt in letzter Zeit immer wieder der Lebensmitteleinzelhandel in den Fokus – sei es der Bäcker mit Blick auf die Einwanderungspolitik, sei es (siehe hier: http://www.heute.at/digital/multimedia/story/Fleischer-macht-sich-ueber-DSGVO-lustig-43304590) der Fleischerfachhandel zum Großthema Datenschutz.
Schon wegen dieser Anknüpfung an die unterste Stufe der Bedürfnispyramide sei unterstellt, dass das Inkrafttreten der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO) am 25. Mai 2018 auch vor Ihrer Kenntnissphäre nicht halt gemacht hat.
Ein wenig ins Hintertreffen geraten ist das deutsche Begleitrecht zur Umsetzung. Der guten Ordnung halber sind hier insbesondere zu nennen die Novellierung des Bundesdatenschutzgesetzes (als Artikel 1 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU vom 30. Juni 2017, BGBl I S. 2079), die Neufassung des SGB I und des SGB X (als Artikel 19 bzw. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17. Juli 2017, BGBl I S. 2541, 2555, 2558) und das neue Niedersächsische Datenschutzgesetz vom 16. Mai 2018 (Nds. GVBl. 2018, 66).
Dass diese Regelungsfülle Verwirrung stiftet und in der praktischen Umsetzung teilweise bunte Blüten treibt, kann nicht verwundern. Hinzu kommt die bisherige mediale Berichterstattung, die sich zu einem wesentlichen Teil den Schwierigkeiten ebendieser Umsetzung widmet, die Notwendigkeit der Regelungsbreite und -tiefe der neuen Vorschriften in Frage stellt und im Übrigen nimmermüde auf Abmahnvereine und Bußgeldhöhen verweist. Ein gewisser Überdruss zum Thema wäre da nicht überraschend. Was also ist noch – zumal im Rahmen dieses Newsletters – beizutragen? Vielleicht dieses:
Zum ersten: Datenschutz ist (auch) eine Haltungsfrage. Verstanden als – im Wortsinne – Vertrauenssache und damit als integraler Bestandteil von Jugendhilfe mag er eine höhere Motivation zur Compliance vermitteln als die Sorge vor Bußgeldern und Abmahngebühren. Auch insoweit gilt: Angst ist ein schlechter Ratgeber. Das gilt zumal für die öffentlichen Träger der Jugendhilfe. Diese sind gemäß Art. 83 Abs. 7 DSGVO in Verbindung mit § 85a Abs. 3 SGB X von der Bußgeldandrohung des Art. 83 DSGVO ausgenommen. Und die Abmahnthematik ist ohnehin nur im gewerblichen Bereich relevant.
Zum zweiten: Es gibt mehrere Rechtsgrundlagen einer rechtmäßigen Datenverarbeitung, die in Art. 6 DSGVO aufgezählt sind. Der Verordnungsgeber dürfte die Einwilligung der betroffenen Person mit Bedacht an erster Stelle dieses Katalogs platziert haben (siehe Art. 6 Abs. 1a DSGVO). Soweit eine Datenverarbeitung nicht ohnehin zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (siehe Art. 6 Abs. 1c DSGVO), kann sich aus der Notwendigkeit einer Einwilligung insbesondere für die Jugendhilfe ein Ansatzpunkt ergeben, verstärkt mit den jeweils betroffenen Personen in Beziehung zu treten. Und das muss eben nicht heißen, sich etwa aus einem fehlgeleiteten Absicherungsbedürfnis heraus hinter formularmäßigen Einwilligungserklärungen zu verschanzen – denkbar wäre auch, der betroffenen Person die datenschutzrechtlichen Hintergründe anlässlich eines persönlichen Gesprächs im Zuge der Hilfegewährung zu erläutern. Das wird zur Vertrauensbildung vermutlich mehr beitragen als jedes Behördenformular. Und die Einwilligung dürfte auch hinreichend dokumentiert sein, wenn man sich einen handschriftlichen Gesprächsvermerk kurz gegenzeichnen lässt. (Fremde Federn: Dank an Herrn Thomas Mörsberger für diesen Denkanstoß.)
Zum dritten: In Anbetracht des bisherigen Umgangs mit dem Thema wird schon seitens erster Datenschutzbeauftragter vor Panikmache und zweifelhaften Geschäftsmodellen kommerzieller Datenschutzberater gewarnt (s. hier: http://www.fr.de/rhein-main/michael-ronellenfitsch-datenschuetzer-warnt-vor-panikmache-a-1502083). Was also tun? Es dürfte der falsche Zugriff sein, die Anforderungen des neuen Datenschutzrechts kleinzureden und/oder die (aufrichtigen, im Einzelfall aber vielleicht zu weit vorauseilenden) Bemühungen, diesen gerecht zu werden, zu belächeln. Die Unruhe im Lande muss vielmehr adressiert werden. Abseits jeglicher Detailproblematik mag es hilfreich sein, einen Blick auf Erwägungsgrund Nr. 171 zur Datenschutzgrundverordnung zu werfen. In diesem heißt es unter anderem: „(…) Beruhen die Verarbeitungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann. Auf der Richtlinie 95/46/EG beruhende (…) Genehmigungen der Aufsichtsbehörden bleiben in Kraft, bis sie geändert, ersetzt oder aufgehoben werden.“
Die Erwägungsgründe zur DSGVO – es gibt 173 – sind ihrerseits nicht bindend, aber eine willkommene Auslegungshilfe zum „eigentlichen“ Verordnungstext. Bei der Richtlinie 95/46/EG handelt es sich um die europäische Datenschutzrichtlinie aus dem Jahre 1995, die mit dem bisherigen Bundesdatenschutzgesetz in deutsches Recht umgesetzt wurde – mit anderen Worten: um die bis zum 24. Mai 2018 gültige Rechtslage. Auch der europäische Verordnungsgeber war sich also bewusst, dass ein neuer Hufbeschlag bei vollem Galopp nicht möglich ist. Vielleicht lohnt es sich, Verarbeitungsvorgänge daraufhin zu überprüfen, ob sie in den Anwendungsbereich des Erwägungsgrundes Nr. 171 fallen.
Zum vierten: Man kann sich Hilfe holen – die nicht unbedingt etwas kosten muss. Auf der Seite der Landesbeauftragten für den Datenschutz (https://www.lfd.niedersachsen.de/startseite/) finden sich unter dem Reiter „Datenschutzreform“ insbesondere zur DSGVO umfangreiche Materialien, die punktuell Unterthemen aufgreifen und in einer sowohl für den Ersteinstieg als auch für ein fortgeschrittenes Umsetzungsstadium geeigneten Weise nützliche Handreichungen geben. Hingewiesen sei insbesondere auf die Kurzpapiere der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz - DSK), die sich vor allem an den nicht-öffentlichen Bereich wenden, hierauf allerdings nicht beschränkt sind. Die dort vertretenen Auffassungen stehen unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung der DSGVO durch den Europäischen Datenschutzausschuss gemäß Art. 68 DSGVO. Es lohnt sich also, die Seite unter Beobachtung zu halten, da entsprechende künftige Verlautbarungen des Europäischen Datenschutzausschusses, unter Umständen auch einschlägige Rechtsprechung (sobald verfügbar) eingepflegt werden könnten.
Überhaupt wird das Thema auch weiterhin Aufmerksamkeit einfordern. Absehbare – weil notwendige – Rechtsänderungen werden etwa das Adoptionsvermittlungsgesetz (siehe dort § 9d) sowie diverse redaktionelle Anpassungen im SGB VIII (Verweise in den §§ 61 Abs. 1, 68 Abs. 2) betreffen. Sollten sich weitere Entwicklungen als für den Jugendhilfebereich besonders relevant erweisen, wird dem im Rahmen dieses Newsletters – soweit dem Umfang nach darstellbar – Rechnung getragen werden. Davon abgesehen gilt wie auch bisher: Seien Sie wachsam beim Back- und Wurstwarenkauf.