Time to say goodbye - das Ende deutschen Datenschutzrechts? Der Abgesang auf das BDSG und die Landesdatenschutzgesetze hat begonnen - doch was kommt nun? Es wird bald eine europäische Datenschutzgrundverordung geben, kurz EU-DS-GVO genannt. Doch was ist das eigentlich? Was bedeutet das für uns als Bürgerinnen und Bürger, was als Beschäftigte der öffentlichen Verwal-tung? Wenn´s denn sein muss Im wirklichen Leben befassen sich die meisten von uns mit Fragen des Datenschutzes nur, wenn sie es denn unbedingt müssen - sei es, weil wir selbst betroffen sind, sei es weil Bürger, Beschwerdeführer, Anwälte oder gar Gerichte uns dazu zwingen. Nur die wenigs-ten befassen sich freiwillig mit dieser Rechtsmaterie - dem Schutz ihrer informationsbezo-genen Persönlichkeitsrechte. Und denen, so wie mir, bringt das dann Fragen ein wie „Ha-ben Sie auch noch andere Hobbies?“ Keine Sorge, die habe auch ich zu genüge - wenn denn die Zeit dafür reicht. Aus alt mach neu Das geschriebene Recht auf Schutz unserer personenbezogenen Daten hat verschiedene Wurzeln: Die Schweigepflichten von Berufsgeheimnisträgern wie Ärzten, Sozialarbeitern oder Rechtsanwälten, das erste Datenschutzgesetz 1978 in Hessen, das Volkszählungsur-teil des Bundesverfassungsgerichts von 1983 oder das Bundesdatenschutzgesetz von 1991. Dass die maßgeblichen Gesetze und Rechtsverordnungen aber zumeist keine aus-schließlich deutsche Handschrift tragen, wissen die wenigsten. Wohl erst in den letzten Jahren ist durch einzelne Entscheidungen des Europäischen Gerichtshofes (EuGH) dem einen oder anderen bewusstgeworden: Da gibt es noch etwas Anderes. Ja, und dieses andere ist die EU-Datenschutzrichtlinie (EU-DS-RL) von 1995. Sie ist als Richtlinie europäisches Gemeinschaftsrecht, das von den Mitgliedsstaaten der EU in nati-onales Recht umgesetzt werden muss(te). Dieses nationale Recht musste dabei die Vor-gaben der EU-Richtlinie berücksichtigen, durfte also nicht im Gegensatz zu ihr stehen und musste Ziele und Zwecke der Richtlinie einhalten. Nun aber kommt die Datenschutz-Grundverordnung. Sie bringt unmittelbar geltendes Recht und lässt den Mitgliedsstaaten nur noch in engen Grenzen eigene Gestaltungsspiel-räume. Die Grundverordnung löst ab Ende Mai 2018 unsere deutschen Datenschutzge-setze in weiten Teilen ab. Ganz besonders werden das Wirtschaftsunternehmen aller Art und die Bürgerinnen und Bürger im Umgang mit Vermietern, Geldinstituten, Versicherun-gen, Versandhäusern (dazu zählen auch amazon & Co.), sozialen Netzwerken, Auskunf-teien, Telekommunikationsanbietern und vielen mehr merken. Etwas weniger - wie viel ist noch nicht ganz klar - werden wir es als Beschäftigte im öffentlichen Dienst bei unserer Ar-beit merken. Doch Vorsicht, so mancher Schlendrian muss auch hier angesichts neuer und schärferer Befugnis der Datenschutzaufsichtsbehörden ein Ende haben. Schonfrist für die Verwaltung? Und wir werden die Auswirkungen des neuen Rechts, zeitlich versetzt, in der Rechtspre-chung merken. Denn dort wird man mit Inkrafttreten des neuen Rechts viele bisherige Ent-scheidungen nicht mehr bestätigen oder fortentwickeln können, sondern es wird neue, auf EU-Recht gestützte Gerichtsentscheidungen geben. Diese allerdings wird man aber auch

in anderen EU-Staaten argumentativ einsetzen können - pro oder contra die eigene Rechtsposition. Unklar bleibt zurzeit noch trotz umfangreicher Aktivitäten, wie die deutschen Gesetzgeber in Bund und Ländern die ihnen verbleibenden Spielräume ausgestalten werden. Bis Ende Mai 2018 sind es keine zwei Jahre mehr und in NRW wird sich mindestens bis zur Wahl des neuen Landtags im Mai 2017 wohl gar nichts abspielen - ein Blick auf den Bund und in andere Bundesländer könnte also zumindest Tendenzen erkennbar werden lassen. Was kommt da Neues auf uns zu? Derzeit lässt sich wie folgt konstatieren: Die meiste Arbeit wartet auf die Unternehmen und auf Wirtschaft und Verwaltung in den Bereichen Verfahrensverzeichnis und Vorabkontrolle, der künftigen „Datenschutz-Folgenabschätzung“ - auch „Risikofolgenabschätzung“ ge-nannt. Und wer bisher seine Arbeit teilweise von EDV-Dienstleistungsunternehmen erledi-gen lässt, sollte sich schon mal mit den deutlich weitergehenden Neuregelungen zur Auf-tragsdatenverarbeitung befassen - bevor es ein böses Erwachen gibt. Als Stichworte seien hier nur „doppelte Verantwortung von Auftraggeber und Auftragnehmer“ und verschärfte gemeinschaftliche „Haftung“ genannt. Insgesamt werden die datenverarbeitenden Stellen, in unserem Fall also die Kommunal-verwaltungen, erheblich stärker in die Pflicht genommen als bisher. So werden z.B. Melde-pflichten an die Datenschutzaufsichtsbehörde flächendeckend eingeführt, ähnlich den be-reits in § 42a BDSG und § 83a SGB X enthaltenen Meldepflichten, sowie Pflichtkonsultati-onen der Datenschutzaufsicht in bestimmten Sachverhalten. Und auch Rolle und Aufgaben von Datenschutzbeauftragten werden sich wandeln - hin zu mehr Kontrolle und Überwachung, auch und gerade im Rahmen der sogenannten „Com-pliance“, der Rechtmäßigkeit des Handelns. Hinzu kommen umfangreiche Informationspflichten gegenüber den Betroffenen, also den Personen, deren Daten erhoben und verarbeitet werden sollen, bei jeder erstmaligen Da-tenerhebung und Erhebung neuer Daten. Werden personenbezogene Daten bei Dritten, also anderen Personen oder Stellen erhoben, sind die Informationspflichten noch umfas-sender. Fazit und Hinweis Erstes Fazit: Zahlreiche Bestimmungen sind neu oder verschärft, entsprechen vielfach dem Niveau des aktuellen BDSG bzw. gehen darüber hinaus und beseitigen so zugleich den Reformstau im DSG NRW. Durch die Öffnungsregelungen verbleibt gleichzeitig Raum für die weitgehende Beibehaltung nationaler spezialgesetzlicher Regelungen wie zum Bei-spiel dem Steuergeheimnis und dem Sozialdatenschutz. Dort werden Anpassungen erfol-gen, soweit Einzelbestimmungen nicht den Vorgaben der EU-DS-GVO entsprechen. Wer sich der Materie annähern möchte, findet zahlreiche Informationen und den offiziellen deutschen Text der EU-DS-GVO auf den Seiten der Bundes- und Landesdatenschutzbe-auftragten. Allerdings ist eine gewisse Umstellung erforderlich: Während sich der gesetz-geberische Wille bzw. seine Motivation bei deutschen Gesetzen aus den Gesetzesmateri-alien, das heißt hauptsächlich aus Drucksachen und Plenarprotokollen, ergibt, finden sich diese Elemente in EU-Rechtsetzungsakten direkt im Regelungswerk in Form der soge-nannten „Erwägungsgründe“. Der Vorteil liegt auf der Hand: Im Regelfall braucht man nur

ein Dokument, es sei denn, Sie wollen in eine tiefergehende Analyse des gesamten Recht-setzungsverfahrens einsteigen. (Stand: 08/2016)

Eric Janzen, Datenschutzbeauftragter Kreisstadt Unna und JC Kreis Unna