EU-DSGVO tritt in Kraft 23.05.2018, 10:06 Uhr

DSGVO: Das große Chaos beginnt

Am Freitag, dem 25. Mai 2018, ist es so weit: Die EU-Datenschutzgrundverordnung tritt in Kraft. Die Branche und die Behörden sind in erster Linie eins: schlecht vorbereitet. Es droht ein Chaos.
(Quelle: shutterstock.com/a Jarm )
Kurz vor dem Startschuss zeigt die Kanzlerin Nerven: Auf einem Treffen mit CDU-Kreisvorsitzenden in Berlin vor wenigen Tagen warnte Angela Merkel vor den negativen Folgen der EU-Datenschutz-Grundverordnung (DSGVO). Man müsse aufpassen, so Merkel, dass die Regelungen nicht "unpraktikabel" ausgelegt würden.
Zuvor hatte sich die Kanzlerin laute Kritik der Wirtschaftsverbände anhören müssen: Die neue Datenschutz-Grundverordnung, die am 25. Mai 2018 in Kraft tritt, könnte die Wettbewerbsfähigkeit der deutschen Wirtschaft beschädigen. "Merkel torpediert neue EU-Datenschutzregeln" titelte das "Handelsblatt" - und gab dem Gerücht Nahrung, die Bundesregierung könnte die Einführung der DSGVO im letzten Moment aussetzen oder zumindest verschieben.

Eigentlich ist die DSGVO bereits seit zwei Jahren in Kraft

Das plötzliche Zaudern zwei Wochen vor dem seit Jahren feststehenden Termin für das Ende der Übergangsfrist - rein juristisch ist die DSGVO bereits im Mai 2016 in Kraft getreten - mag auf den ersten Blick überraschen. Allerdings tut sich Deutschland traditionell beim Datenschutz schwer. Das Thema ist föderale Aufgabe, liegt also in der Zuständigkeit von 16 unabhängig voneinander operierenden Landesdatenschutzbehörden. Und wenn es um die Umsetzung von Vorgaben aus Brüssel geht, ist Deutschland nicht immer Musterknabe.
So wurde beispielsweise die 2002 in Brüssel verabschiedete EU-ePrivacy-Richtlinie nicht fristgerecht in nationales Recht umgesetzt, sodass die EU ein Verfahren gegen Berlin anstrengen musste. Das, so die Theorie, kann mit der DSGVO nicht passieren, denn sie ist eine Verordnung. Anders als EU-Richtlinien gilt sie unmittelbar. Ab 25. Mai ist in Europa also alles klar in ­Sachen Datenschutz.

Öffnungsklauseln geben Ländern Freiräume

In der Realität ist die Situation indes alles andere als klar, denn die 386 Seiten starke Verordnung mit ihren 95 Artikeln lässt zahllose Interpretationsmöglichkeiten zu. Darüber hinaus enthält die DSGVO sogenannte Öffnungsklauseln, die es den einzelnen Mitgliedstaaten erlauben, Regelungen abweichend von der EU-Verordnung zu erlassen. So legt die DSGVO das Schutzalter der Nutzer eigentlich auf 16 Jahre fest. Mitgliedsländer dürfen aber auch ein ­geringeres Alter erlauben, solange es nicht niedriger als 13 Jahre ist. Dazu kommen Änderungen, die teilweise erst in letzter Minute in den Verordnungstext eingearbeitet wurden. So berichtet der Berliner Rechtsanwalt Carlo Piltz davon, dass noch im April 2018 Anpassungen vorgenommen wurden, vorgeblich, um eindeutige Fehler und falsche Verweise zu beseitigen. Doch dabei, so schreibt Piltz im juristischen Fach-Blog "de Lege", seien auch Inhalte verändert worden.
So sah zum Beispiel die DSGVO seit ihrem offiziellen Inkrafttreten im Jahr 2016 vor, dass EU-Bürger Datenauftragsverarbeiter und Verantwortliche in dem Land verklagen dürfen, „in dem sie ihren Aufenthalt ­haben“. In der Version, die ab 25. Mai gelten soll, heißt es plötzlich "in dem sie wohnen" - nur, dass unter Juristen "Aufenthaltsort" nicht gleich "Wohnsitz" ist. Piltz findet denn auch deutliche Worte: "Ich frage mich wirklich, was nun Unternehmen denken, die zwei Jahre lang mit dem Text der DSGVO gearbeitet, Geld und Zeit investiert haben, und nun, einen Monat vor Anwendbarkeit, eine textlich und auch inhaltlich angepasste DSGVO serviert bekommen."

Harmonisierung? Fehlanzeige! 

Für erhebliche Rechtsunsicherheit sorgt auch die Tatsache, dass die Harmonisierung der einzelnen Datenschutzgesetze mit der EU-Verordnung noch längst nicht abgeschlossen ist. Dies gilt zum Beispiel für das Telemediengesetz (TMG), welches für deutsche Anbieter von Informationsdiensten im Netz derzeit die Richtschnur darstellt. Das TMG muss kompatibel sein zur ePrivacy-Verordnung (ePV), die eigentlich gemeinsam mit der DSGVO in Kraft treten sollte, im Moment aber noch im europäischen Gesetzgebungsprozess festhängt.
Deshalb wird die ePV frühestens 2019 verabschiedet werden und - nach derzeitigem Wissensstand - nach einer zweijährigen Übergangsfrist 2021 wirksam in Kraft treten. Weil heute noch niemand weiß, was genau in der ePV stehen wird, hat die Bundesregierung bislang auch das TMG noch nicht angepasst. Ist ja auch noch lange hin bis 2021.



Das könnte Sie auch interessieren