Mit dem morgigen Tag vollzieht sich ein Paradigmenwechsel im europäischen Datenschutzrecht, der sich auf alle Unternehmen, Behörden sowie Bürgerinnen und Bürger in der EU und auch außerhalb auswirkt. Nachdem der Gesetzgeber seinen Beitrag geleistet hat, ist es nun an den Aufsichtsbehörden, für einen einheitlichen Vollzug der europaweit geltenden Regeln zu sorgen.

Die DSGVO bringt neue Pflichten für Verantwortliche und Auftragsverarbeiter sowie neue und weiter fortgeschriebene Rechte von Betroffenen mit sich. Hierzu gehören etwa das Führen von Verzeichnissen der Verarbeitungstätigkeiten, die transparente Information bei der Erhebung von personenbezogenen Daten oder das Recht auf Daten-Portabilität. Mit dem Europäischen Datenschutzausschuss (EDSA) wird ein neues Rechtsorgan geschaffen, das künftig den Schlüssel für einen einheitlichen europaweiten Vollzug der neuen Datenschutzregeln in der Hand hält. Die DSGVO zielt darauf ab, den Menschen einen Teil der Kontrolle über ihre Daten zurückzugeben, die sie in den letzten Jahren immer mehr verloren haben. Gerade die Pflicht zur transparenten Information bei der Datenverarbeitung unterstreicht dies, auch wenn damit für die Verantwortlichen teilweise erhebliche Aufwände verbunden sind.

Die in Zeiten eines Umbruchs des Rechts regelmäßig zu spürende Unsicherheit und Sorgen von Unternehmen sind verständlich. Gleichwohl muss berücksichtigt werden, dass die zweijährige Übergangszeit zwischen Inkrafttreten und Geltung der DSGVO den Unternehmen an sich genug Zeit ließ, sich auf den morgigen Tag vorzubereiten. Dennoch: Gerade viele kleinere und mittlere Unternehmen, aber auch Vereine und andere Organisationen tun sich häufig schwer, ohne fremde Hilfe die speziellen Anforderungen eigenständig umzusetzen. Diese Situation erfordert ein besonderes Augenmaß gerade seitens der Aufsichtsbehörden. Das Instrument der gegenüber dem alten Recht massiv gestiegenen Bußgelder kann daher gerade vor diesem Hintergrund nur die ultima ratio sein.

Bei allen verständlichen Anfangsschwierigkeiten – eine weitergehende Verschiebung der Frist zum Vollzug, wie teilweise in der Öffentlichkeit diskutiert, ist schon aus rechtlichen Gründen nicht möglich. Datenschutz ist nicht Selbstzweck, sondern realisiert den Grundrechtsschutz für die Menschen in Europa. Bereits jetzt zeichnet sich ab, dass die Regelungen zu einem rechtspolitischen Export-Schlager werden können. Gerade mit Blick auf die Vorgänge um Cambridge Analytica und Facebook ist auch in den USA ein Umdenken in Richtung stärkeren Datenschutzes zu verspüren.

Aber es gibt auch andere Signale: Das gegenwärtige Vorhaben von Facebook und WhatsApp, die WhatsApp-Daten der Nutzer mit Facebook auszutauschen, ist alarmierend. Während sich Unternehmen in Europa Sorgen machen, wie sie die Vorgaben der DSGVO fristgerecht umsetzen sollen, nehmen Facebook und WhatsApp den Übergang zur DSGVO offenbar zum Anlass, ihre durch die Aufsichtsbehörde in der jüngsten Vergangenheit gestoppten und in Gerichtsverfahren in Deutschland als rechtswidrig bestätigten Vorhaben wiederaufzunehmen. Um dies zu verhindern, steht die Zusammenarbeit der Datenschutzaufsichtsbehörden in Europa bereits jetzt auf dem Prüfstand.

Hierzu Prof. Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: „Die DSGVO gibt Europa die weltweit beste Datenschutzgesetzgebung. Diese gilt es nun, mit Leben zu füllen. Das liegt nun in der Verantwortung der Aufsichtsbehörden. Sie müssen die Datenschutzregeln einheitlich auslegen und anwenden. Es darf nicht sein, dass Unternehmen im alten Recht untersagte Maßnahmen unter dem neuen Recht wieder aufnehmen und damit durchkommen. Nur wenn es gelingt, in Europa einheitliche Standards auch beim Vollzug des Rechts zu etablieren, wird die DSGVO zum Erfolgsmodell. Darin sind dann nicht nur die Rechte Betroffener gewahrt, sondern auch die Bedingungen der Unternehmen für einen fairen Wettbewerb untereinander in digitalen Märkten verwirklicht.”