DSGVO
Unternehmen, die den Datenschutz aus Unwissenheit oder Bequemlichkeit vernachlässigt haben, sahen sich schon zu Zeiten des alten Bundesdatenschutzgesetzes dem Vorwurf ausgesetzt, ihrer Verantwortung nicht gerecht zu werden. Spätestens seit dem Inkrafttreten der Europäischen Datenschutzgrundverordnung (EU-DSGVO oder auch kurz nur DSGVO) kann es sich jedoch keine Geschäftsführung mehr leisten, diese Praxis weiter fortzuführen. Aber auch für bzgl. Datenschutz bereits vorbildlich aufgestellte Unternehmen galt es, die bestehenden Prozesse und Dokumentationen an die geänderten Rahmenbedingungen der DSGVO anzupassen.
Die Europäische Datenschutzgrundverordnung ist – außer einem bürokratischen Wortungetüm – tatsächlich ein Fortschritt hinsichtlich der Vereinheitlichung des Datenschutzes in den EU-Mitgliedsstaaten. Handelte es sich bei dem Vorgänger aus dem Jahre 1995 noch um eine Richtlinie (95/46/EG), die erst durch die Umsetzung im Rahmen länderspezifischer Gesetze geltendes Recht wurde, so trat die am 14. April 2016 vom EU-Parlament beschlossene Grundverordnung automatisch nach einer Übergangsfrist am 25. Mai 2018 in allen Mitgliedsländern in Kraft. Damit sollten die teils erheblichen Unterschiede in den Datenschutzgesetzen, die z.B. dazu geführt haben, dass insbesondere US-amerikanische Konzerne ihre europäischen Zentralen in Irland angesiedelt haben, der Vergangenheit angehören. Allerdings erlaubt die DSGVO an einigen Stellen über sog. Öffnungsklauseln länderspezifische Regelungen, die zum Teil auch von Deutschland genutzt werden und im neuen Bundesdatenschutzgesetz angesiedelt sind, so z.B. beim Beschäftigtendatenschutz, der praktisch ausschließlich im neuen Bundesdatenschutzgesetz geregelt wird. Wie es sich in der Zeit seit dem Mai 2018 gezeigt hat, führen Öffnungsklauseln und zum Teil recht allgemein gehaltene Passagen innerhalb der DSGVO leider auch zu Unsicherheiten, die sich erst in der Zukunft allmählich auflösen werden. Wie bereits zu Zeiten des alten Bundesdatenschutzgesetzes schaffen oftmals erst Interpretationen der Datenschutzbehörden (oder leider auch nicht...) sowie die laufende Rechtsprechung Klarheit, wie bestimmte Passagen der DSGVO auszulegen und in der Praxis anzuwenden sind. Nur am Rande sei angemerkt, dass die ePrivacy-Verordnung, die in Ergänzung zur DSGVO den Datenschutz im Bereich der elektronischen Medien regeln und ursprünglich einmal zeitgleich mit der DSGVO eingeführt werden sollte, weiterhin in weiter Ferne liegt. Dies darf aber nicht darüber hinwegtäuschen, dass die DSGVO seit dem 25. Mai 2018 geltendes und anwendbares Recht darstellt, auf dessen Basis der in den Unternehmen implementierte Datenschutz beurteilt wird. Seit diesem Zeitpunkt müssen alle Unternehmen ihren Datenschutz an die DSGVO angepasst haben, um sich nicht dem Risiko von empfindlichen Strafzahlungen auszusetzen. Diese wurden nämlich im Vergleich zum alten Bundesdatenschutzgesetz deutlich angehoben (bis 20 Mio. € bzw. 4% des globalen Jahresumsatzes). Jedes Unternehmen in Deutschland war und ist von den damit einhergehenden Anpassungen betroffen - in welchem Umfang, hängt vom Einzelfall ab. Grundsätzlich haben Informations- und Dokumentationspflichten sowie die Notwendigkeit zur Durchführung von Datenschutz-Folgenabschätzungen teilweise erheblich zugenommen.