Implizierte Öffnungsklauseln der DSGVO: Kein Ende der deutschen Vorschriften?

Durch die zukünftig unionsweit Geltung beanspruchende Datenschutzgrundverordnung (DSGVO) wird der nationale Gesetzgeber der schwierigen Herausforderung ausgesetzt das komplexe deutsche Datenschutzrecht mit europarechtlichen Vorgaben in Einklang zu bringen. Der europäische Gesetzgeber hat jedoch nicht die gesamte Materie geregelt, die im deutschen Datenschutzrecht zu finden ist. Es stellt sich daher die Frage, ob deutsche, über den Regelungsbereich des DSGVO hinausgehende Vorschriften weiterhin neben der DSGVO existieren können.

Geleakter Referentenentwurf

In Anbetracht des vor wenigen Tagen geleakten Referentenentwurfs des Bundesinnenministeriums für ein Allgemeines Bundesdatenschutzgesetz (ABDSG), welches die neuen europäischen Regelungen mit den bestehenden deutschen Vorschriften in Einklang bringen soll, sind jedenfalls dessen Verfasser offenbar nicht bereit, auf die vertrauten deutschen Datenschutzregelungen zu verzichten. So enthält der Entwurf etwa die derzeitigen Regelungen zum Beschäftigtendatenschutz, zur Bestellpflicht eines Datenschutzbeauftragten sowie zum Scoring.

1. Unterkomplexität der DSGVO

Zwar ist der Normentext (mitsamt Erwägungsgründen) der DSGVO im Vergleich zum deutschen Pendant wesentlich umfangreicher, allerdings bleibt deren Regelungsgehalt hinter dem des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG) zurück. Im Fall von Konflikten gilt jedenfalls der Anwendungsvorrang gegenüber widersprechender nationaler Vor-schriften. Welcher Situation sind aber die ‚überschießenden‘ deutschen Regelungen ausgesetzt? Um das in Deutschland existierende Datenschutzniveau zu wahren, könnte man (wie wohl auch das Bundesinnenministerium) auf die Idee kommen, die Defizite der DSGVO mit einzelnen nationalen Normen zu schließen. Tatbestände des BDSG und des TMG, die über den Regelungskern der DSGVO hinausgehen, könnten daher trotzdem Anwendung finden und müssten nicht aufgehoben werden. Durch das Bestehenbleiben deutscher Bestimmungen würde der unvollkommene und unterkomplexe Charakter der DSGVO überwunden werden. Fragwürdig ist jedoch, ob dabei nicht verkannt wird, dass eine solche Fortgeltung einzelner deutscher Vorschriften mit dem Ziel der Verordnung unvereinbar sein könnte.

Relevanz erlangt diese Problematik u.a. beim Scoring. Zu denen im deutschen Datenschutz-recht bestehenden, feingliedrigen Regelungen (§§ 28a, 28b BDSG) vergleichbare Vorschriften sucht man in der DSGVO vergeblich. Das Scoring wird derweil aller Wahrscheinlichkeit nach unter das ‚Profiling‚ gemäß Artikel 4 Nummer 4 DSGVO zu fassen sein, da nach dem Willen des Unionsgesetzgebers hierunter jede automatisierte Verarbeitung personenbezogener Daten fällt, die der Analyse oder Vorhersage der ‚wirtschaftlichen Lage‘ einer Person dient. Die DSGVO knüpft an das Profiling jedoch lediglich erweiterte Informationspflichten sowie Betroffenenrechte; dezi-dierte Regelungen zur Bildung und Verwendung entsprechender Scoringwerte, wie sie im BDSG aufgeführt werden, finden keinen Anklang in der DSGVO.

2. Explizite Öffnungsklauseln in der DSGVO

Die DSGVO schließt eigene Vorschriften der Mitgliedstaaten derweil nicht gänzlich aus. So beinhaltet sie explizite Öffnungsklauseln, die ausdrücklich zum Erlass nationaler Vorschriften ermächtigen. Beispielsweise wird den Mitgliedstaaten bei der Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung (Artikel 6 Absatz 1 lit. c DSGVO) oder zur Wahrnehmung öffentlicher Aufgaben (Artikel 6 Absatz 1 lit. e DSGVO) eine Handlungsoption eingeräumt; nach Artikel 6 Absatz 2 DSGVO können sie eine Regelung zur Konkretisierung dieser Erlaubnistatbestände erlassen.

3. Darüber hinausgehende ‚implizierte‘ Öffnungsklauseln

Teilweise wird vertreten, dass die DSGVO ferner sog. ‚implizierte‘ Öffnungsklauseln enthalte. So können Mitgliedstaaten im Bereich geteilter Zuständigkeiten (das Datenschutzrecht stellt gerade eine solche geteilte Unionskompetenz dar) auch dann gemäß Art. 2 Abs. 2 AEUV ge-setzgeberisch tätig werden, „sofern und soweit die Union ihre Zuständigkeit nicht ausgeübt hat“, mithin einen bestimmten Sachverhalt nicht abschließend geregelt hat. Dies kann dann der Fall, soweit die erlassene Verordnung Regelungslücken aufweist oder unzureichend bzw. nicht abschließend konkretisiert ist. Zuletzt dürfen nationale Vorschriften nicht im Widerspruch zu den gesetzten Zielen der Verordnung stehen, da sie diese nur ergänzen sollen. Erst bei Vorliegen aller drei Bedingungen, kommt eine Anwendung mitgliedstaatlicher Regelungen in Betracht.

4. Ziel der Vollharmonisierung darf nicht außer Acht gelassen werden

Fraglich ist, ob der DSGVO (über die expliziten Öffnungsklauseln hinaus) nicht gerade ein abschließender Charakter innewohnt, sodass kein Raum für implizierte Öffnungsklauseln besteht. Die DSGVO bezweckt eine unionsweite Vollharmonisierung, deren Intention nicht bloß das Setzen eines Mindeststandards ist. Das europarechtliche Ziel eines einheitlichen Rechtsrahmens für den Datenschutz, der Wettbewerbsgleichheit für alle Anbieter schafft, darf daher nicht aus den Augen verloren werden. Die Grundsätze an eine zulässige Datenverwendung wurden gerade vom europäischen Gesetzgeber gesetzt, die nicht ohne weiteres von den Mitgliedstaaten geändert oder gar ergänzt werden dürfen. Deshalb soll ein rechtmäßiger Datenumgang nicht von zusätzlichen Anforderungen nationaler Vorschriften abhängig sein, die explizit nicht von der DSGVO gefordert werden. In Anbetracht der bezweckten Vollharmonisierung ist daher davon auszugehen, dass sich der Unionsgeber bewusst für eine abschließend regelnde Daten-schutzverordnung entschieden hat, die keiner weiteren impliziten Spezifizierung zugänglich ist.

Letztendlich darf hierbei auch nicht unberücksichtigt bleiben, dass die DSGVO eben explizite und in sich abschließende Öffnungsklauseln für gewisse Regelungsbereiche vorsieht, die von nationalen Gesetzgebern spezifiziert werden können. Argumentum e contrario spricht dies dafür, dass bei allen anderen, darüber hinausgehenden Aspekten des Datenschutzrechts die Mitgliedstaaten gerade nicht zur ergänzenden nationalen Regelung ermächtigt und die Entscheidungsspielräume auf die normierten Fälle begrenzt sein sollen. Daher erscheint es nur schwer vertretbar, dass neben der ab dem 25. Mai 2018 geltenden DSGVO zusätzlicher Raum für deutsche Datenschutzvorschriften bleiben wird. Vieles spricht eher dafür, dass es Aufgabe der europäischen Gerichte und Aufsichtsbehörden bleiben wird, die entstehenden Regelungslücken zu schließen.

Tobias Rothkegel
Geposted von Tobias Rothkegel

Tobias Rothkegel ist Rechtsanwalt in unserem Büro in Hamburg. Der Schwerpunkt seiner Tätigkeit liegt im IT- und Datenschutzrecht. Hierbei berät er sowohl führende Unternehmen als auch Start-ups im Digital-Business-Sektor.

Kommentieren

Pflichtfelder sind markiert*