Kaum ein Projekt auf EU-Ebene genießt derzeit national und international so viel Aufmerksamkeit wie die EU-Datenschutzgrundverordnung (nachfolgend DSGVO) [1]. Das immense Interesse an dieser Verordnung ist nicht verwunderlich, denn wenn die Regelungen im Mai 2018 wirksam werden, warten sie mit zahlreichen Neuerungen auf, die derzeit für viele verantwortliche Stellen (Verantwortliche) und Auftragsdatenverarbeiter (Auftragsverarbeiter) in der EU, aber auch weltweit, mehr oder weniger unbekannt sind.

Der vorliegende Beitrag wird Ihnen zunächst ein Überblick über die (historischen) Hintergründe und die Systematik der DSGVO gegeben. Zudem werden einige wesentliche Regelungen/Neuerungen der DSGVO beleuchtet. Einzelheiten, beispielsweise wie bestimmte Regelungen der DSGVO zu interpretieren sind, welche Konsequenzen sich aus den neuen Regelungen für die Beteiligten ergeben und ob bzw. wie sich diese von dem bisher geltenden Recht unterscheiden, werden hier jedoch nicht erörtert.

Um sich die Bedeutung der DSGVO vor Augen zu führen, ist es sinnvoll, sich kurz mit der Historie/den Hintergründen dieser DSGVO auseinanderzusetzen.

Datenschutz auf EU-Ebene hat eine lange Tradition. So wurde erstmals am 23. November 1995 eine Datenschutzrichtlinie (95/46/EG) auf den Weg gebracht, die bis heute den Datenschutz in der EU/dem EWR mit ihren Regelungen prägt.

Verpflichtung nationaler Gesetzgeber
Durch diese Datenschutzrichtlinie wurden die jeweiligen nationalen Gesetzgeber verpflichtet, die in der Richtlinie enthaltenen Regelungen in nationales Recht umzusetzen. Dieser Verpflichtung kam der deutsche Gesetzgeber insbesondere im Jahre 2001 nach und implementierte entsprechende Regelungen der Richtlinie im Bundesdatenschutzgesetz (BDSG).

Weitere Richtlinien
Neben der vorstehend genannten Datenschutzrichtlinie wurden auf EU-Ebene mit der Zeit weitere Richtlinien geschaffen, die ihrerseits bereichsspezifische Vorgaben machten und von den nationalen Gesetzgebern umgesetzt werden mussten. Die in diesem Zusammenhang wohl bekannteste bereichsspezifische Richtlinie ist die „ePrivacy-Richtline” (2002/58/EG) mit ihrer als „Cookie-Richtlinie” bekannt gewordenen Änderungsvorschrift (2009/136/EG). Diese Richtlinie sorgt bis heute immer wieder für „Spannungen”, da sie unter anderem den Einsatz von umstrittenen Webtechniken wie „Cookies” und sonstigem Tracking im Internet regeln soll. Die Vorgaben dieser Richtlinie finden sich in Deutschland u. a. im Telemediengesetz (TMG) mehr oder weniger vollständig umgesetzt wieder.

Ziel gleiches Datenschutzniveau
Im Laufe der Zeit merkte man jedoch zunehmend, dass „Datenschutz-Richtlinien” nicht der richtige Weg waren bzw. sind, in allen europäischen Mitgliedstaaten ein einheitliches, gleich hohes Datenschutzniveau zu etablieren. Dieses attestiert bspw. auch der Erwägungsgrund 9 der DSGVO, in dem es auszugsweise heißt:

Der „Misserfolg” der Richtlinien, ein einheitliches Datenschutzniveau in ganz Europa zu schaffen, liegt u. a. in der Natur von Richtlinien begründet. So gibt eine Richtlinie zumeist nur einen groben Rahmen mit vielen interpretationswürdigen Regelungen vor. Diese müssen dann von den jeweiligen nationalen Gesetzgebern in nationales Recht umgesetzt werden. Da jedoch die Regelungen in Richtlinien vielfach sehr offen formuliert sind, kam es besonders bei der Richtlinie 95/46/EG dazu, dass die jeweiligen nationalen Gesetzgeber diese Regelungen unterschiedlich (streng) interpretierten und folglich den „Datenschutz” unterschiedlich in ihr jeweiliges nationales Recht umsetzten.

Standortfaktor Datenschutz
Die daraus resultierenden, unterschiedlichen Datenschutzniveaus in den jeweiligen EU-Staaten wurden im Laufe der Zeit zunehmend zu einem wichtigen „Standortfaktor” für ausländische Unternehmen. So siedelten sich etwa in Irland u. a. aufgrund des vermeintlich niedrigeren Datenschutzniveaus und des damit überschaubaren Risikos, bei vermeintlichen Datenschutzverstößen Strafen zu riskieren, einige bekannte amerikanische Weltkonzerne mit ihren europäischen Niederlassungen an. Im Laufe der Zeit gerieten diese „Geschäftspraktiken” jedoch zunehmend in die Kritik und wurden auch gerichtlich hinterfragt. Einige prominente Verfahren vor dem Europäischen Gerichtshof gegen Google, Facebook und Co. ließen die Rufe in der EU nach einem einheitlichen Datenschutzrecht und einer einheitlich geltenden Datenschutzverordnung immer lauter werden.

EU-Datenschutzreform
Um diesen immer lauter werdenden Stimmen europäischer Bürger und Regierungen Rechnung zu tragen und um den „neuen” rechtlichen Herausforderungen durch „Cloud”, „Big Data” und Co. zu begegnen, stellte die Europäische Kommission 2012 ihren Plan zu einer „EU-Datenschutzreform” vor, der durchaus ambitionierte Ziele enthielt.

Zwei Rechtsakte
Erreicht werden sollten die in der „EU-Datenschutzreform” ausgegebenen Ziele mittels zweier Rechtsakte. Zum einen der „EU-Richtlinie für polizeiliche und justizielle Zusammenarbeit in Strafsachen”, die die EU-übergreifende Datenverarbeitung durch die Justiz- und Polizeibehörden regeln soll. Zum anderen mit dem zweiten und vermutlich am meisten kontrovers diskutierten Rechtsakt, der DSGVO. Diese soll grundsätzlich alle sonstigen Bereiche der Datenverarbeitung in der EU regeln, die nicht von der Richtlinie oder anderen, vorrangigen Regelungen erfasst werden.

Kontroverse Diskussionen
Nachdem die Kommission ihre Vorschläge zur DSGVO veröffentlicht hatte, mehrten sich von unterschiedlichen Seiten (Politik, Wirtschaft usw.) die Stimmen gegen diese Verordnung, und es kam zu kontroversen Diskussionen innerhalb der gesetzgeberischen Gremien, die die Verwirklichung der DSGVO zunächst in weite Ferne rücken ließen. Doch drei Jahre später, u. a. auch aufgrund des entstehenden Drucks auf die Politik durch richtungweisende Urteile des EUGH wie z. B. das Urteil gegen Google, in dem das „Recht auf Vergessenwerden” geboren (C-131/12), oder das „Safe-Harbor”-Urteil (C-362/14), in dem auf das „Safe-Harbor”-Abkommen gestützte Datenübermittlungen nach Amerika für unzulässig erklärt wurden, kam es Ende 2015 schließlich in der sog. „Trilog-Verhandlung” zu einer Einigung hinsichtlich einer „finalen Fassung” der DSGVO zwischen Vertretern der EU-Kommission, des EU-Rats und des EU-Parlaments.

Abschwächung/ Streichung von Regelungen
In dieser von diesen Gremien beschlossenen Fassung wurden viele Regelungen, die der ursprüngliche Verordnungstext der Kommission noch enthielt, geändert, abgeschwächt, ersatzlos gestrichen oder es wurde die Verantwortlichkeit für die Regelung „brisanter Sachverhalte” auf die nationalen Gesetzgeber verlagert. Ein guter Überblick über die Entwicklungen bzw. Änderungen findet sich in der Synopse des Bayerischen Landesdatenschutzbeauftragten [2].

Im April 2016 wurden die juristisch und sprachlich angepassten Texte der DSGVO dann formell von den zuständigen Gremien verabschiedet, zuletzt am 14.04.2016 durch das EU-Parlament.

Wirkung nach zwei Jahren
Die Verordnung tritt 20 Tage nach Veröffentlichung in Kraft. Sie entfaltet dann (final) zwei Jahre später ihre Wirkung (Art. 99). Dies dürfte dann voraussichtlich im Frühjahr/Frühsommer 2018 der Fall sein. Sie wird dann mit ihren Regelungen die Richtlinie 95/46/EG und damit auch viele der bisher geltenden gesetzlichen Datenschutzregelungen ablösen.

Unmittelbare Geltung
Anders als die Richtlinie 95/46/EG, die von jedem Mitgliedstaat der EU in innerstaatliches Recht umgesetzt werden musste, gelten die Regelungen der Verordnung (grundsätzlich) unmittelbar. Die Regelungen der DSGVO gehen deshalb den entsprechenden Regelungen in den jeweiligen EU-Staaten vor bzw. verdrängen sie. Das wiederum hat den Effekt, dass nach Ablauf der vorstehend genannten Übergangsfrist von zwei Jahren überall in der EU prinzipiell das gleiche Datenschutzrecht gelten wird.

Vorteil einheitliches Datenschutzrecht
Diese europaweit geltende DSGVO und das dadurch geschaffene (vermeintlich) einheitliche Datenschutzrecht werden bspw. von europaweit agierenden Unternehmen als großer Vorteil angesehen. Dies insbesondere deshalb, weil sie sich (vermeintlich) nur noch an ein einheitliches Datenschutzrecht halten müssen. Zum anderen soll durch (vermeintlich) einheitlich geltende Regelungen verhindert werden, dass sich Unternehmen wie bisher einen Standort suchen, an dem die Datenschutzgesetze weniger streng sind.

Marktortsprinzip
Hinzu kommt, dass die Regelungen der DSGVO durch das neu eingeführte „Marktortsprinzip” auch für außereuropäische wie bspw. amerikanische Unternehmen gelten werden. Diese Unternehmen brauchen dazu keine eigene Niederlassung in der EU zu besitzen. Es reicht für die Anwendbarkeit der DSGVO-Regelungen vielmehr schon aus, dass diese Unternehmen ihren Kundinnen und Kunden in der EU Waren und Dienstleistungen anbieten oder deren Verhaltensweisen z. B. mittels „Profiling” überwachen (vgl. Art. 3 Abs. 2).

Die Schaffung eines einheitlichen Datenschutzrechts für Europa ist das erklärte Hauptziel der DSGVO. Dieses Hauptziel lässt sich wiederum in mehrere weitere Ziele aufteilen, deren Erreichung durch unterschiedliche „Maßnahmen” sichergestellt werden soll.

Einheitliches Datenschutzniveau
Die Zielvorgaben der DSGVO sind durch Erwägungsgrund 13 klar formuliert. So soll durch die DSGVO in ganz Europa ein einheitliches Datenschutzniveau geschaffen werden, das wiederum zur Beseitigung von (datenschutzrechtlichen) Unterschieden, die wiederum den freien Fluss von Daten und somit den Binnenmarkt behindern können, beitragen soll. Durch ein einheitliches Datenschutzniveau soll gleichzeitig die notwendige Rechtssicherheit und Transparenz für Datenverarbeitungen in ganz Europa geschaffen werden. Kinder sollen aufgrund ihrer Unerfahrenheit und der vermeintlich nicht vorhandenen Fähigkeit, Risiken der Datenverarbeitung vollumfänglich einschätzen zu können, besonders geschützt werden.

Datenschutz nicht grenzenlos
Bei all den datenschutzrechtlichen Regelungen, die den Betroffenen zugutekommen sollen, gilt es jedoch, wie Erwägungsgrund 4 betont, stets auch zu beachten, dass das Grund- bzw. Menschenrecht des Betroffenen auf Datenschutz nicht abschließend/grenzenlos ist. Vielmehr muss es (wie bisher) mit Rechten anderer in verhältnismäßiger Weise abgewogen und harmonisiert werden. Eine Verarbeitung von Betroffenendaten soll nach dem Willen des EU-Gesetzgebers nämlich immer im Dienste der Menschheit stehen.

Kontrolle der Datenverarbeitung
Darüber hinaus sollen mit der DSGVO alle Betroffenen gleichermaßen in die Lage versetzt werden, die Datenverarbeitung durch einen Verantwortlichen besser kontrollieren zu können. Dieses wiederum bedingt, dass die von der Verarbeitung betroffenen Personen in ganz Europa mit den gleichen (starken) Rechten ausgestattet sein müssen und ihre Rechte überall gleich durchsetzen können müssen. Um die Rechte der Betroffenen zu stärken, konkretisiert/modifiziert die DSGVO Rechte, die u. a. schon in der derzeit noch geltenden EU-Datenschutzrichtlinie (95/46/EG) vorhanden waren und die man deshalb auch aus dem BDSG kennt.

Recht auf Vergessenwerden
Darüber hinaus stattet die DSGVO die Betroffenen aber auch mit neuen Rechten aus. Ein solches „neues Recht” ist etwa das „Recht auf Vergessenwerden”, das insbesondere dem vorstehend zitierten Urteil des EUGH (C-131/12) Rechnung tragen soll. Ein Betroffener soll deshalb bei einem entsprechenden Interesse vom Verantwortlichen die Löschung der (aller) über ihn gesammelten und veröffentlichen Daten verlangen können. Der Verantwortliche muss dann mit den ihm zu Verfügung stehenden Mitteln versuchen, alle Daten des Betroffenen möglicherweise auch aus dem Internet oder Suchmaschinen zu löschen bzw. löschen zu lassen. Dieses „Recht auf Vergessenwerden” gilt insbesondere auch für die Fälle, in denen der Betroffene ein Kind ist bzw. bei Datenpreisgabe ein Kind war.

Datenportabilität
Ein weiteres neues Recht, das noch einigen Diskussionsstoff bieten und sehr wahrscheinlich auch zu Umsetzungsproblemen in der Praxis führen wird, ist das Recht der Betroffenen auf „Datenportabilität”. Mit diesem Recht soll ein Betroffener in die Lage versetzt werden, die Übertragung seiner Daten von einem auf einen anderen Anbieter (Verantwortlichen) wie z. B. von Facebook auf Google vornehmen zu lassen.

Transparenz und Auskunftsrecht
Um die in der DSGVO enthaltenen Betroffenenrechte auch effektiv geltend machen zu können, sieht die DSGVO vor, dass der Betroffene die Möglichkeit hat zu erfahren, wo sich seine Daten befinden, wer diese zu welchen Zwecken verarbeitet usw. Daher ist es ein weiteres Anliegen der DSGVO, die Transparenz der Datenverarbeitung und die Möglichkeit des Betroffenen, Zugang zu den Informationen der Verarbeitung seiner Daten zu erlangen, zu stärken. Nach der DSGVO sollen deshalb Betroffene einen schnelleren und besseren Zugang zu ihren Daten bzw. zu Informationen zur Datenverarbeitung erlangen. Der Verantwortliche soll diesem Begehren des Betroffenen zügig entsprechen bzw. Auskunft erteilen. Er kann die Auskunft nur in wenigen, klar definierten Fällen verweigern.

DSGVO gilt für „alle”
Wie vorstehend dargestellt, ist es eines der erklärten Hauptziele der DSGVO, Rechtssicherheit bei der Datenverarbeitung in der EU zu schaffen. Dafür ist es konsequenterweise notwendig, dass Verantwortliche (und auch die Auftragsverarbeiter) überall und damit praktisch sogar weltweit die gleichen Pflichten erfüllen müssen, wenn sie Daten von EU-Bürgern verarbeiten. Die Regelungen der DSGVO sollen deshalb grundsätzlich für Behörden, öffentliche Stellen und private Unternehmen gleichermaßen gelten. Die bspw. in Deutschland existierende strenge Trennung zwischen öffentlichem und privatem Bereich durch Bundes- und Landesgesetze wird damit theoretisch aufgehoben. Jedoch sieht die DSGVO für den öffentlichen Bereich einige Ausnahmen vor, die diese „Harmonisierung” doch wieder relativieren. Weitere Ausnahmen/Privilegien einer Datenverarbeitung, die oftmals den Interessen des Betroffenen am Schutz seiner Daten vorgehen sollen, finden sich etwa bei Datenverarbeitungen, die im öffentlichen Interesse stehen, wie z. B. zu Archivzwecken, Forschungszwecken usw.

Klare Vorgaben
Die DSGVO gibt den Verantwortlichen (vermeintlich) klare Vorgaben, was sie bei der Verarbeitung von Daten der Betroffenen zu beachten und welche Pflichten sie zu erfüllen haben.

Risikobasierter Ansatz
Ferner trägt die DSGVO dem erhöhten Risiko, das u. a. dem Einsatz neuer Verarbeitungstechnologien geschuldet ist, Rechnung. So verfolgt die DSGVO anders als bspw. das BDSG explizit einen risikobasierten Ansatz. So bemessen sich diesem Ansatz der DSGVO folgend die zu treffenden (erforderlichen) Maßnahmen an der Risikogeneigtheit der Datenverarbeitung. Konsequenterweise müssen daher nach der DSGVO die Maßnahmen zum Schutz der Daten stets der Höhe des jeweiligen ermittelten/bestehenden Risikos für die Betroffenendaten und der Eintrittswahrscheinlichkeit der jeweiligen Gefährdung angemessen sein.

Datenschutzfolgeabschätzung
Aus diesem Grund sieht die DSGVO für besonders gefahrgeneigte Datenverarbeitungen z. B. die Durchführung eines entsprechenden „Risikomanagements” oder, in den Worten der DSGVO, die Pflicht zu einer sog. Datenschutzfolgeabschätzung vor. Bei dieser müssen ähnlich wie bei einer „Vorabkontrolle” die Datenverarbeitungen analysiert, das bestehende Risiko muss ermittelt und es muss geprüft werden, ob bzw. welche Maßnahmen getroffen werden müssen, um das Risiko für die Betroffenendaten beherrschbar zu halten.

Technologieneutralität
Ferner fällt auf, dass die in der DSGVO enthaltenen Regelungen technologieneutral formuliert sind. Sie geben deshalb keine klaren Anweisungen, wie bzw. mit welchen konkreten technischen Mitteln die Vorgaben der DSGVO von den Verantwortlichen umgesetzt werden sollen. Diese technologieneutrale Ausrichtung sieht die DSGVO als notwendig an, damit die in der DSGVO enthaltenen Regelungen auch auf schon existierende bzw. zukünftige Technologien/Verarbeitungsformen wie etwa „Big Data” oder das „Internet der Dinge” angewendet werden können sollen (vgl. Erwägungsgrund 15).

Data protection by design
Eng verbunden mit dem vorstehend beschriebenen risikobasierten Ansatz ist die in der DSGVO enthaltene Pflicht der Verantwortlichen, in ihrer Organisation „data protection by default/privacy by default” und „data protection by design/privacy by design” zu implementieren. Dieser Forderung liegt der Gedanke zugrunde, dass in praktisch allen Datenverarbeitungsprozessen Datenschutz implementiert sein sollte, um das Risiko für die Betroffenenrechte zu reduzieren bzw. beherrschbar zu halten. Diese Forderung nach „data protection by design/by default” betrifft alle Datenverarbeitungssysteme (Soft- und Hardware), die personenbezogene Daten von Betroffenen verarbeiten sollen. Deshalb gilt sie gleichermaßen für Alt- wie natürlich auch für neu zu beschaffende Systeme beim Verantwortlichen.

Gleiche Kontrolle
Um eine in der gesamten EU gleichermaßen geltende Rechtssicherheit zu gewährleisten und die Ordnungsgemäßheit der Datenverarbeitung in allen Mitgliedstaaten der EU sicherzustellen, sollen nach der DSGVO die Kontrolle/Aufsicht über die Datenverarbeitung und Sanktionen der Datenverarbeitungen (prinzipiell) in allen Mitgliedstaaten gleich gehandhabt werden.

Eine zuständige Aufsichtsbehörde
Aufgrund der Lehren, die aus der Vergangenheit (z. B. im Fall Schrems gegen Facebook in Irland) gezogen wurden, soll sich ein Betroffener nunmehr nur noch an eine Aufsichtsbehörde (in seinem Land) wenden müssen, die dann den entsprechenden Sachverhalt ermitteln soll. Bei Sachverhalten, in denen mehrere Behörden zuständig sind, soll es nach der DSGVO eine federführende Aufsichtsbehörde geben, die das gemeinsame Handeln der jeweils zuständigen Aufsichtsbehörden koordiniert und steuert. Die Aufsichtsbehörden sollen im Rahmen der Amtshilfe konzertiert zusammenarbeiten.

Datenschutzausschuss
Um eine einheitliche Interpretation der DSGVO-Regelungen (durch die Aufsichtsbehörden) sicherzustellen, soll ein sog. EU-Datenschutzausschuss etabliert werden, an den sich jede Aufsichtsbehörde (in Zweifelsfällen) wenden kann und die auch als „Streitschlichter” bei Unstimmigkeiten der Behörden untereinander fungieren soll. Der Ausschuss soll sich insbesondere auch mit der Auslegung bestimmter Begrifflichkeiten der DSGVO befassen und Leitlinien festlegen, an denen sich die Aufsichtsbehörden, aber auch Verantwortliche orientieren können/sollen. Der Datenschutzausschuss soll die bisherige Art. 29-Datenschutzgruppe ersetzen.

Darüber hinaus ist es ein Anliegen der DSGVO, der beispielsweise durch das Internet geschaffenen Tatsache Rechnung zu tragen, dass Datenschutz nicht an Landesgrenzen aufhört. Darum sollen z. B. die Regelungen für die Stellen/Unternehmen gelten, die eine Niederlassung in der EU haben und Daten von EU-Bürgern verarbeiten, ferner aber wie vorstehend beschrieben auch, wenn sich Unternehmen mit ihren Angeboten/Dienstleistungen an EU-Bürger wenden und damit ihre Daten verarbeiten.

Stärkung Rechtsschutz
Um die Rechtssicherheit für Betroffene und das Grundrecht auf einen wirksamen Rechtsschutz zu stärken, haben die Betroffenen durch die DSGVO auf der einen Seite ein Anrecht auf eine Entscheidung ihrer zuständigen Aufsichtsbehörde und auf der anderen Seite ein Anrecht auf gerichtliche Entscheidung, und das alles unabhängig davon, wo der Verantwortliche eigentlich niedergelassen ist. Die DSGVO sieht ferner auch die Möglichkeit eines „Verbandsklagerechts” vor.

Hohe Bußgelder
Um den Regelungen der DSGVO Nachdruck zu verleihen und um die vorstehend angesprochenen Ziele zu erreichen, ist es für die Aufsichtsbehörden nun möglich, hohe Bußgelder zu verhängen. Diese Bußgelder reichen (je nach Art und Schwere des Verstoßes) bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes.

Aufgrund der Brisanz dieser Regelungen empfiehlt es sich deshalb, sich mit den Regelungen der DSGVO auseinanderzusetzen. Dazu ist es sinnvoll, sich mit der Systematik und dem Aufbau der DSGVO zu beschäftigen, um einen Eindruck davon zu bekommen, wo die entsprechenden Regelungen in der DSGVO zu finden sind.

Die finale, nunmehr verabschiedete Fassung der DSGVO vom 6. April 2016 umfasst 99 Artikel, aufgeteilt auf 11 Kapitel (s. Abbildung 1).

173 Erwägungsgründe
Hinzu kommen 173 „Erwägungsgründe”. Erwägungsgründe kennt man in Deutschland insbesondere aus Gesetzentwürfen. Sie besitzen zwar keine Regelungswirkung und sind damit keine gesetzlichen Regelungen im eigentlichen Sinne. Doch dienen sie oftmals als Auslegungshilfe bei komplexen und komplizierten Sachverhalten. Es ist deshalb zu erwarten, dass Gerichte oder Aufsichtsbehörden neben den eigentlichen Regelungen des Gesetzestextes, immer auch die jeweils relevanten Erwägungsgründe bei ihren Entscheidungen mit heranziehen werden. Aus diesem Grunde sollten auch die jeweils Verantwortlichen/Datenschutzbeauftragten stets diese Erwägungsgründe bei der Beantwortung entsprechender Fragen mit im Auge behalten.

Hauptkriterien für die rechtliche Bewertung etwaiger Sachverhalte sind und bleiben aber die jeweiligen (Gesetzes-)Kapitel/Artikel des Verordnungstextes. Diese sollen im Folgenden überblicksartig vorgestellt werden. Einzelheiten zu den entsprechenden Regelungen bleiben nachfolgenden Beiträgen vorbehalten.

Artikel 1–4
Kapitel 1 befasst sich in den Artikeln 1 bis 4 DSGVO mit den allgemeinen Bestimmungen der Verordnung. So werden hier der Gegenstand und die Ziele (Art. 1), der sachliche (Art. 2) und räumliche Anwendungsbereich (Art. 3) der DSGVO geregelt. Artikel 4 befasst sich dann mit Begriffsbestimmungen/Definition bedeutender Begrifflichkeiten der DSGVO.

Artikel 5–11
Das zweite Kapitel beschäftigt sich mit den Grundsätzen der Datenverarbeitung (Art. 5), regelt sowohl die Verarbeitung „allgemeiner” (Art. 6) als auch besonderer (Artt. 9, 10) Kategorien personenbezogener Daten und legt Anforderungen fest, die bei Einwilligungen von Betroffenen erfüllt werden müssen (Artt. 7, 8). Artikel 11 befasst sich dann mit der Verarbeitung von Daten, bei der es nicht notwendig ist, eine Person zu identifizieren.

Artikel 12–23
Das dritte Kapitel ist den Rechten der betroffenen Person gewidmet und in fünf Einzelabschnitte gegliedert.

Erster Abschnitt
Der erste Abschnitt enthält nur einen Artikel (Art. 12) und betrifft die Pflicht des Verantwortlichen, dem Betroffenen transparente Informationen über seine Datenverarbeitungen zu geben. Ferner enthält er grundsätzliche Regelungen zu den Modalitäten der Ausübung von Betroffenenrechten.

Zweiter Abschnitt
Der zweite Abschnitt beschäftigt sich in drei Artikeln mit der Informationspflicht des Verantwortlichen und dem Recht auf Auskunft zu personenbezogenen Daten. Dabei differenziert er (wie das BDSG) zwischen der Informationspflicht bei „Direkterhebung” (Art. 13) und der Pflicht zur Information, wenn die Daten nicht bei der betroffenen Person erhoben wurden (Art. 14). Artikel 15 beschäftigt sich mit dem grundsätzlichen Auskunftsrecht des Betroffenen.

Dritter Abschnitt
Im dritten Abschnitt geht es dann um die Rechte des Betroffenen hinsichtlich der Berichtigung und Löschung seiner Daten. So werden in diesem Abschnitt das Recht auf Berichtigung (Art. 16), das Recht auf Löschung (Recht auf „Vergessenwerden”) (Art. 17), das Recht auf Einschränkung der Verarbeitung (Art. 18) und das Recht auf Datenübertragbarkeit (Art. 20) behandelt. Darüber hinaus wird in Artikel 19 die Mitteilungspflicht im Zusammenhang mit der Berichtigung, Löschung oder der Einschränkung der Verarbeitung geregelt.

Vierter Abschnitt
Der vierte Unterabschnitt befasst sich mit dem Widerspruchsrecht des Betroffenen (Art. 21) und regelt seine Rechte bei „automatisierten Einzelentscheidungen” bzw. beim „Profiling (Art. 22).

Fünfter Abschnitt
Der fünfte und letzte Unterabschnitt enthält wiederum auch nur einen Artikel (Art. 23) und befasst sich mit den Fällen, in denen die Betroffenenrechte (Artt. 13–22) beschränkt werden können wie z. B. bei deutlich überwiegenden, bedeutenden, öffentlichen (nationalen) Interessen.

Artikel 24–43
Das Kapitel 4 ist in fünf Einzelabschnitte unterteilt und beschäftigt sich schwerpunktmäßig mit den beiden für die Datenverarbeitung maßgeblichen Protagonisten, nämlich dem Verantwortlichen und dem Auftragsverarbeiter. Dabei behandelt das vierte Kapitel insbesondere ihre Rechte bzw. Pflichten.

Erster Abschnitt
So regelt der erste Abschnitt in den Artikeln 24 bis 31 die allgemeinen Pflichten des Verantwortlichen und Auftragsverarbeiters. Es beginnt mit der Regelung zur grundsätzlichen Verantwortlichkeit des Verantwortlichen (Art. 24) und seiner Pflicht zu „Datenschutz durch Technikgestaltung („data protection by design”) und zu „datenschutzfreundlichen Voreinstellungen” („data protection by default”) in Artikel 25. Danach behandelt Artikel 26 eine „Rechtsfigur”, die wir aus dem deutschen Recht bisher so nicht kannten, nämlich die „gemeinsam für die Verarbeitung Verantwortliche(n)” (joint data controller). Im Anschluss daran beschäftigt sich Artikel 27 mit der auch im deutschen Recht bisher unbekannten Pflicht zur Bestellung eines Vertreters bei nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeitern. Die Artikel 28 und 29 befassen sich dann mit der Rechtsfigur des Auftragsverarbeiters (Art. 28) und wie eine Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters ausgestaltet sein muss (Art. 29). Artikel 30 behandelt die in Deutschland bekannte Pflicht zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (Verfahrensverzeichnis). Artikel 31 befasst sich dann mit der (Pflicht zur) Zusammenarbeit mit der Aufsichtsbehörde.

Zweiter Abschnitt
Der zweite Abschnitt des 4. Kapitels beschäftigt sich in drei Artikeln (Artt. 32–34) mit der Sicherheit personenbezogener Daten. Dabei beginnt er mit den Grundsätzen der Sicherheit, die bei jeder Verarbeitung eingehalten werden müssen (Vertraulichkeit, Integrität und Verfügbarkeit). In den Artikeln 33 und 34 sind dann die Meldepflichten geregelt, die dem Verantwortlichen obliegen, wenn es zur Verletzung der „Sicherheit” bzw. zu einer „Datenpanne” gekommen ist. So regelt Artikel 33 ob, wie und wann eine solche „Datenpanne” der Aufsichtsbehörde gemeldet werden muss. Artikel 34 beschäftigt sich dann mit der Frage, ob, wie und wann eine von der „Datenpanne” mit ihren Daten betroffene Person zu benachrichtigen ist.

Dritter Abschnitt
Der dritte Abschnitt beschäftigt sich in Artikel 35 mit der sogenannten Datenschutz-Folgeabschätzung, die wir in Deutschland mehr oder weniger deckungsgleich als „Vorabkontrolle” kennen. Artikel 36 behandelt die Pflicht des Verantwortlichen, die für ihn zuständige Aufsichtsbehörde zu konsultieren, wenn er im Rahmen der Datenschutz-Folgeabschätzung zu dem Ergebnis kommt, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

Vierter Abschnitt
Der darauffolgende vierte Abschnitt setzt sich in den Artikeln 37 bis 39 mit dem „Datenschutzbeauftragten” (DSB) auseinander und beschäftigt sich dort z. B. mit den Fragen, wann ein DSB zu benennen (bestellen) ist, welche Voraussetzungen er erfüllen muss (Art. 37), welche Stellung er beim Verantwortlichen einnimmt (Art. 38) und welche Aufgaben er zu erfüllen hat (Art. 39).

Fünfter Abschnitt
Im fünften und letzten Abschnitt geht es dann in den Artikeln 40–43 um die Verhaltensregeln und Zertifizierungsmöglichkeiten. So beschäftigt sich Artikel 40 mit den Verhaltensregeln (code of conduct), deren Status und der Verbindlichkeit bzw. „Bindungswirkungen” dieser Regelungen. Artikel 41 geht dann auf die Überwachung und die Zuständigkeit für die Überwachung von genehmigten Verhaltensregeln ein. Die Artikel 42 und 43 beschäftigen sich mit den Zertifizierungsmöglichkeiten von Verfahren/Produkten (Art. 42) und den Zertifizierungsstellen (Art. 43).

Artikel 44–50
Das fünfte Kapitel regelt in den Artikeln 44 bis 50 die Datenübermittlung in Drittländer oder an internationale Institutionen. Dabei enthält Artikel 44 Regelungen zu den allgemeinen Grundsätzen der Datenübermittlung in ein Drittland. Artikel 45 beschäftigt sich dann mit einem derzeit schon bekannten Rechtsinstrument der Genehmigung, nämlich den sog. Angemessenheitsbeschlüssen der EU-Kommission zum Vorliegen eines angemessenen Schutzniveaus. Der Artikel 46 DSGVO behandelt im Anschluss Datenübermittlungen auf der Basis geeigneter Garantien. Eine Garantie kann gem. Artikel 47 auch durch verbindliche unternehmensinterne Datenschutzvorschriften, sog. „binding corporate rules” (BCRs), erfolgen. Artikel 48 regelt die Fälle der nach dem Unionsrecht nicht zulässigen Übermittlung oder Offenlegung z. B. durch Urteile eines Gerichts in einem Drittland. Der vorletzte Artikel (Art. 49) des fünften Kapitels befasst sich dann mit Fällen, in denen zwar keine Legitimationsgrundlage für eine Übermittlung z. B. aus den Artikeln 45, 46 einschlägig ist, aber dennoch die konkrete Datenübermittlung in ein Drittland zulässig sein kann. Der letzte Artikel des fünften Kapitels (Art. 50) enthält Regelungen über die Pflicht zur internationalen Zusammenarbeit zum Schutz personenbezogener Daten und spricht insbesondere die Kommission und die Aufsichtsbehörden an.

Artikel 51–59
Das sechste Kapitel ist unterteilt in zwei Einzelabschnitte und befasst sich mit den Aufsichtsbehörden.

Erster Abschnitt
Im ersten Abschnitt geht es um die Unabhängigkeit der Aufsichtsbehörde. Dabei enthält Artikel 51 die Pflicht eines jeden Mitgliedstaats, eine Aufsichtsbehörde zu schaffen, die gem. Artikel 52 (völlig) unabhängig sein muss. Die Artikel 53 und 54 enthalten dann allgemeine Bedingungen für Mitglieder der Aufsichtsbehörde (Art. 53) und Vorgaben, wie eine Aufsichtsbehörde errichtet werden soll (Art. 54).

Zweiter Abschnitt
Der zweite Abschnitt des sechsten Kapitels betrifft dann die Zuständigkeit, die Aufgaben und Befugnisse der Aufsichtsbehörde. Artikel 55 regelt die Zuständigkeit der jeweils betroffenen Behörde und in Artikel 56 die Zuständigkeit der federführenden Aufsichtsbehörde bei Sachverhalten, in denen mehre Aufsichtsbehörden zuständig sind. Die Artikel 57 und 58 beschäftigen sich dann mit den Aufgaben (Art. 57) und den Befugnissen (Art. 58) einer Aufsichtsbehörde. Artikel 59 beschäftigt sich mit der Pflicht zur Erstellung eines Tätigkeitsberichts.

Artikel 60–76
Das siebte Kapitel ist unterteilt in drei Einzelabschnitte und befasst sich mit der Zusammenarbeit und der sog. „Kohärenz” der Aufsichtsbehörden.

Erster Abschnitt
Der erste Abschnitt behandelt die Zusammenarbeit und bezieht sich in Artikel 60 auf die Zusammenarbeit zwischen der federführenden Aufsichtsbehörden und anderen betroffenen Aufsichtsbehörden und in Artikel 61 auf die gegenseitige Amtshilfe, die dabei geleistet werden soll. Artikel 62 beschäftigt sich dann mit den gemeinsamen Maßnahmen der Aufsichtsbehörden.

Zweiter Abschnitt
Der zweite Abschnitt betrifft die sog. Kohärenz bzw. das Kohärenzverfahren, das die einheitliche Anwendung der DSGVO durch die europäischen Aufsichtsbehörden gewährleisten soll (Art. 63). Artikel 64 regelt die Stellungnahme durch den Datenschutzausschuss (der im nächsten Abschnitt näher geregelt wird) und Artikel 65 die Streitbeilegung durch diesen Ausschuss. Artikel 66 enthält Regelungen zum sog. Dringlichkeitsverfahren und betrifft damit außergewöhnliche Umstände, in denen die Aufsichtsbehörde sofort (einstweilige) Maßnahmen verhängen will. Artikel 67 befasst sich dann mit dem Informationsaustausch zwischen den Aufsichtsbehörden.

Dritter Abschnitt
Der dritte und letzte Abschnitt des sechsten Kapitels befasst sich mit dem vorstehend erwähnten Europäischen Datenschutzausschuss und enthält in Artikel 68 zunächst Regelungen zur Rechtsstellung, Funktion und Zusammensetzung. Artikel 69 betrifft die Unabhängigkeit und Artikel 70 die Aufgaben des Ausschusses. Im Anschluss befasst sich Artikel 71 mit der Berichterstattungspflicht des Ausschusses. Artikel 72 behandelt dann die Verfahrensweise bei Abstimmungen im Ausschuss. Die Artikel 73 bis 75 umfassen Regelungen zum Vorsitz im Ausschuss (Art. 73), zu den Aufgaben des Vorsitzes (Art. 74) und zur Unterstützung durch das Sekretariat, das vom europäischen Datenschutzbeauftragten bereitgestellt wird (Art. 75). Artikel 76 enthält Regelungen zur Vertraulichkeit der Beratungen des Ausschusses.

Artikel 77–84
Die Artikel 77 bis 79 befassen sich mit Regelungen zu Rechtsbehelfsmöglichkeiten. Artikel 77 beginnt mit Regelungen zum Recht des Betroffenen auf Beschwerde bei einer Aufsichtsbehörde. Artikel 78 hingegen befasst sich mit dem Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Maßnahmen der Aufsichtsbehörde, wohingegen Artikel 79 sich mit dem Recht auf wirksamen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter beschäftigt. Artikel 80 betrifft dann die Frage, ob, von wem und wie sich Betroffene bei der Geltendmachung ihrer Rechte vertreten lassen können. Artikel 81 betrifft den Fall, in dem ein Gericht von einem gleichgelagerten, bereits anhängigen Fall Kenntnis bekommt und dann unter gewissen Umständen das bei ihm anhängige Verfahren aussetzen kann. Artikel 82 behandelt die Haftung und das Recht (des Betroffenen) auf Schadensersatz. Artikel 83 hingegen nennt allgemeine Bedingungen für die Verhängung von Geldbußen und umfasst Regelungen zur Bußgeldhöhe (bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes). Artikel 84 betrifft die Möglichkeit der Mitgliedstaaten, andere/weitere Sanktionen festzulegen.

Artikel 85–91
Das neunte Kapitel enthält Vorschriften für besondere Verarbeitungssituationen. So betrifft Artikel 85 die Freiheit der Meinungsäußerung und die Informationsfreiheit, Artikel 86 die Verarbeitung und den Zugang der Öffentlichkeit zu amtlichen Dokumenten. Artikel 87 gibt die Maßstäbe bei der Verarbeitung der sog. nationalen Kennziffer. Artikel 88 betrifft dann die Datenverarbeitung im Beschäftigungskontext, wohingegen Artikel 89 sich mit den Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken beschäftigt. Artikel 90 betrifft dann die Befugnis des nationalen Gesetzgebers, entsprechende Regelungen hinsichtlich der „Geheimhaltungspflichten” zu treffen. Der letzte Artikel 91 befasst sich mit den bestehenden Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften und dem Verhältnis dieser Vorschriften zu der DSGVO.

Artikel 92–93
Das zehnte Kapitel befasst sich mit der Übertragung gewisser Rechtsakte auf die EU-Kommission. So regelt Artikel 92 die Ausübung der Befugnisübertragung delegierter Rechtsakte auf die Kommission und Artikel 93 das sog. Ausschussverfahren, bei dem die Kommission in ihrer Entscheidungsfindung etc. von einem Ausschuss unterstützt wird.

Artikel 94–99
Das elfte Kapitel bildet den Abschluss der DSGVO und enthält einige klarstellende Regelungen. So wird durch Artikel 94 der Zeitpunkt der Aufhebung der Richtlinie 95/46/EG auf den 25. Mai 2018 festgesetzt. Artikel 95 befasst sich mit dem Verhältnis der DSGVO zur Richtlinie 2002/58/EG (ePrivacy). Art. 96 beschäftigt sich mit dem Verhältnis der DSGVO zu bereits geschlossenen Übereinkünften. Der nachfolgende Artikel 97 beschäftigt sich dann mit der Berichtspflicht und der damit verbundenen Pflicht zur Überprüfung und Bewertung der DSGVO. Artikel 98 betrifft die Möglichkeit der Kommission, andere Rechtsakte der Union zum Datenschutz zu überprüfen und ggf. Vorschläge zu ihrer Modifikation vorzulegen. Der letzte Artikel dieser DSGVO (Art. 99) befasst sich mit dem Inkrafttreten am 25. Mai 2018 und der grundsätzlichen verbindlichen Anwendung der DSGVO.

Gleichheit ohne Unterschiede?
Doch auch wenn das in den Regelungen der DSGVO und den Erwägungsgründen ausgegebene Ziel ein einheitliches Datenschutzrecht für ganz Europa sein soll, darf nicht übersehen werden, dass die DSGVO auch speziellen, oftmals national und wirtschaftlich geprägten Interessen der Mitgliedstaaten Rechnung tragen will. Dies versucht sie durch die sog. Nationalen Öffnungsklauseln.

Berücksichtigung von Interessen
Die Berücksichtigung gewisser nationaler, aber auch wirtschaftlicher Interessen spielte bei den Verhandlungen rund um die Regelungen der DSGVO eine große Rolle. Dies wird beispielsweise schon dadurch deutlich, dass nicht wenige der von unterschiedlichen Lobbyorganisationen oder Weltkonzernen vorgeschlagenen „Modifikationen” des Verordnungstextes, fast deckungsgleich übernommen wurden [3].

Übertragung auf nationale Gesetzgeber
Um den „nationalen” Interessen der Mitgliedstaaten ausreichend Rechnung zu tragen, wurde in den entsprechenden Regelungen der DSGVO vielfach der Ansatz „Verlagerung der Gesetzgebung auf den nationalen Gesetzgeber” gewählt. Für gewisse, oftmals sehr komplexe und „brisante” Datenschutzsachverhalte wurde deshalb die Gesetzgebungskompetenz mittels der sog. Nationalen Öffnungsklauseln auf den nationalen Gesetzgeber übertragen.

50 bis 60 Öffnungsklauseln
Im Laufe der Verhandlungen rund um die DSGVO kamen immer mehr Nationale Öffnungsklauseln in die entsprechenden Fassungen der DSGVO-Entwürfe. So sah der Entwurf der EU-Kommission schon 36 Nationale Öffnungsklauseln, der des EU-Parlaments 46 und der des EU-Rats 68 vor. Nach den „Trilogverhandlungen” existieren in der finalen Version der DSGVO je nach Zählweise 50 bis 60 Nationale Öffnungsklauseln.

Eigene nationale Regelungen
Vereinfacht gesagt, geben Nationale Öffnungsklauseln den nationalen Gesetzgebern die Möglichkeit bzw. verpflichten sie, für bestimmte Sachverhalte/Bereiche eigene nationale Regelungen zu schaffen, die dann die Regelungen der DSGVO ausfüllen bzw. sie ergänzen. Diese nationalen (neuen oder bestehen bleibenden bzw. modifizierten) Regelungen gehen den allgemeineren Regelungen der DSGVO vor.

Limitierte Reichweite
Der Vorrang dieser nationalen Regelungen geht jedoch wiederum immer nur so weit, wie der „Öffnungsbereich” der Klauseln in der DSGVO auch reicht. So ist es bspw. nicht möglich, dass eine nationale Regelung gewisse Sachverhalte (abweichend) regelt, die schon durch die DSGVO abschließend geregelt wurden. Als Beispiel seien hier die Regelungen zum Datenschutzbeauftragten genannt. So besteht etwa nach Artikel 37 Abs. 4 die Möglichkeit, dass ein nationaler Gesetzgeber spezifische Regelungen hinsichtlich der Frage erlässt, wann und wer einen Datenschutzbeauftragten (verpflichtend) zu bestellen hat. Somit hätte bspw. der deutsche Gesetzgeber durchaus die Möglichkeit zu entscheiden, dass die derzeit geltenden Regelungen zum Datenschutzbeauftragten im BDSG (vgl. § 4 f Abs. 1 BDSG) und komplementär dazu die entsprechenden Regelungen in den Landesgesetzen weiterhin aufrechterhalten werden sollen. Jedoch wäre es dem deutschen Gesetzgeber bspw. nicht möglich zu regeln, dass mit der Bestellung eines DSB die verantwortliche Stelle von gewissen Pflichten freigestellt wird, wie etwa der bisher noch geltenden „Meldepflicht” gem. § 4d Abs. 2 BDSG.

Angemessenheit Öffnungsklausel
Wie die DSGVO an vielen Stellen betont, muss stets auch gewährleistet sein, dass die neuen/bestehenden nationalen Regelungen mit den Regelungen der DSGVO „verhältnismäßig” sind, einem „legitimen” nationalen Interesse dienen und die neuen (nationalen) Regelungen dem Verordnungstext nicht widersprechen.

Nationale Öffnungsklauseln lassen sich relativ „einfach” am Wortlaut erkennen. So weisen Formulierungen wie „nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen” auf Nationale Öffnungsklauseln hin.

Bindungswirkung
Der Effekt, den Nationale Öffnungsklauseln haben können, lässt sich schnell an „aktuellen Anwendungsfällen” verdeutlichen. So können etwa durch die in Artikel 6 Abs. 4 enthaltenen Öffnungsklausel theoretisch „Big-Data-Analysen” oder Anwendungen im „Internet der Dinge”, die einen großen gesellschaftlichen Mehrwert versprechen (und daher durchaus im öffentlichen Interesse liegen könnten), bei eng ausgelegtem Zweckbindungsgrundsatz nach der DSGVO jedoch unzulässig wären, durch entsprechende nationale Gesetze wiederum legitimiert werden. Da die von den Nationalen Öffnungsklauseln erfassten nationalen Regelungen nationales, mit der DSGVO in Einklang stehendes Recht sind – solange wie beispielsweise das BVerfG oder der EUGH diese nicht für unwirksam erklären –, müssen sich alle Beteiligten wie „Verantwortliche”, aber natürlich auch die Aufsichtsbehörden anderer Staaten an dieses speziellere „nationale” Recht halten!

Anpassung von 300 Gesetzen/Verordnungen
Ob und wie ein Gesetzgeber von den durch die Nationalen Öffnungsklauseln eröffneten Möglichkeiten Gebrauch macht, bleibt abzuwarten. Nach ersten Einschätzungen müssen jedenfalls allein in Deutschland ca. 300 Gesetze/Verordnungen/Richtlinien mehr oder weniger intensiv an die DSGVO angepasst werden [4].

Unterschiedliche Beantwortung
Wenn jedoch einige oder alle Mitgliedstaaten von der Möglichkeit, eigene Regelungen zu treffen, Gebrauch machen, müsste die Frage der Zulässigkeit der davon erfassten Datenverarbeitung innerhalb der EU höchstwahrscheinlich unterschiedlich beantwortet werden. Ob deshalb mit den Nationalen Öffnungsklauseln dem von der DSGVO verfolgten Ziel zur Schaffung von Rechtssicherheit ein großer Dienst erwiesen wurde, kann durchaus bezweifelt werden. Die DSGVO lässt sich deshalb nach Ansicht des Verfassers aufgrund ihrer vielen Nationalen Öffnungsklauseln überspitzt gesagt als ein „Mittelding” zwischen EU-Verordnung und Richtlinie oder als eine „Richtlinie im Gewand einer Verordnung” ansehen und dürfte nicht die Rechtssicherheit bringen, die sich Aufsichtsbehörden und Verantwortliche gewünscht haben.

Verantwortliche tun deshalb gut daran, auch nach Inkrafttreten der DSGVO-Regelungen (wie bisher) bei Übermittlungen von Daten zu Zwecken, die von Nationalen Öffnungsklauseln erfasst werden, besonders kritisch zu überprüfen, ob und wie dies und die weitere Verarbeitung nach dem jeweils geltenden nationalen Recht zulässig sind.

Nach den vorstehenden Ausführungen dürfte beim Leser die Frage aufgekommen sein, wann und wie man damit anfangen sollte, die Vorgaben der DSGVO umzusetzen.

Aufwand abhängig von getroffenen Maßnahmen
Wann man mit der Umsetzung der DSGVO-Anforderungen beginnen sollte, hängt naturgemäß vom konkreten, zu erwartenden zeitlichen Umsetzungsaufwand ab. Dies wiederum hängt davon ab, welche Maßnahmen/Prozesse man als Verantwortlicher schon heute in seiner Organisation implementiert hat, die die Umsetzung der DSGVO-Regelungen erleichtern können. Viele Anforderungen der DSGVO setzen eine entsprechende Transparenz und damit einhergehend entsprechende Dokumentationen voraus, um sie wirksam umsetzen zu können. Die Verantwortlichen, die schon heute einen guten Überblick über ihre relevanten Prozesse/Verfahren und ihre getroffenen technischen und organisatorischen Maßnahmen haben (z. B. durch ein entsprechendes Managementsystem), werden naturgemäß weniger Zeit benötigen, die Anforderungen der DSGVO umzusetzen, als diejenigen, denen ein solcher Überblick fehlt.

Baldiges Tätigwerden
Aufgrund der Komplexität der in der DSGVO enthaltenen Regelungen empfiehlt es sich für einen Verantwortlichen/Auftragsverarbeiter nicht, zwei Jahre zu warten und erst dann nach und nach die Anforderungen umzusetzen. Da die Verordnung in zwei Jahren unmittelbares, sofort geltendes Recht wird und darin die Positionen der Betroffenen und besonders auch die der Aufsichtsbehörden z. B. durch umfassendere Sanktionsmöglichkeiten gestärkt wurden, empfiehlt es sich für jeden Verantwortlichen, so schnell wie möglich seine derzeitige Verarbeitungspraxis hinsichtlich ihrer Vereinbarkeit mit der DSGVO auf den Prüfstand zu stellen.

Neues Gewand
Viele der in der DSGVO enthaltenen Regelungen sind für Deutschland bzw. für deutsche verantwortliche Stellen kein totales „Neuland”. Vielmehr stellen sie sich bei genauerem Hinsehen, bildlich gesprochen, in einem „neuen, moderneren Gewand” dar. Zwar dürfte ein Leser bei erstmaligem Durchlesen die neuen Regelungen als nicht wirklich neu empfinden. Doch wie so oft, dürfte er bei mehrmaligem Durchlesen der einzelnen Regelungen schnell merken, dass „der Teufel oftmals im Detail steckt”. So kann beispielsweise nur ein „anderes Wort” in den Regelungen der DSGVO zu durchaus anderen Konsequenzen führen, als bei unseren derzeit in Deutschland geltenden Regelungen.

Neue Prozesse
Aufgrund der in der DSGVO enthaltenen Vorgaben kann es notwendig werden, komplett neue Prozesse/Richtlinien zu schaffen, um den Anforderungen der DSGVO gerecht zu werden. In diesem Zusammenhang kann es z. B. auch nötig werden, bestehende Betriebsvereinbarungen kritisch auf ihre Vereinbarkeit mit den neuen Anforderungen hin zu überprüfen und ggf. in neue Verhandlungen einzutreten.

Langwierigkeit
Aufgrund der „Langwierigkeit” mancher Umstrukturierung/Umorganisation/Neuschaffung von Prozessen oder neu zu führender Verhandlungen etc. sollte man sich so früh wie möglich intensiv mit den neuen Regelungen der DSGVO auseinandersetzen. Dies insbesondere z. B. auch deshalb, weil viele der in der DSGVO enthaltenen Regelungen ein gewisses Umdenken bzw. eine Umorganisation verlangen, die wiederum eine nicht unbeträchtliche Zeit in Anspruch nehmen wird.

Entwicklungen aufmerksam verfolgen
Bei alledem sollte ein Verantwortlicher/Auftragsverarbeiter auch verfolgen, ob und inwieweit der deutsche Gesetzgeber von seiner durch die Nationalen Öffnungsklauseln geschaffenen Gesetzgebungskompetenz Gebrauch macht. Insbesondere wird es interessant werden zu sehen, ob er neue Gesetze schafft oder bestehende gesetzliche Regelungen modifiziert und an die Regelungen der DSGVO anpasst. Ferner sollten auch die Empfehlungen der Aufsichtsbehörden/des EU-Datenschutzausschusses genau verfolgt werden, die aufzeigen und darlegen, wie gewisse Anforderungen/Begrifflichkeiten der DSGVO in der Praxis umgesetzt werden sollen.

Sanktionen zur Durchsetzung
Um der Umsetzung der in der DSGVO enthaltenen Neuerungen Nachdruck zu verleihen, wurden die Sanktionsmöglichkeiten und die Bußgeldrahmen erheblich verschärft. Schon aus diesem Grund sollten für die Datenverarbeitung Verantwortliche den Datenschutz bzw. Datenschutzverstöße nicht mehr „auf die leichte Schulter” nehmen. Nicht zuletzt um diesen Sanktionsrisiken aus dem Weg zu gehen, sollten sich die jeweils Verantwortlichen deshalb frühzeitig mit den in der DSGVO enthaltenen Neuerungen auseinandersetzen und überprüfen, ob und wie sie diesen neuen gesetzlichen Anforderungen, organisatorisch und technisch begegnen wollen.