Darf es einen „bayrischen Weg“ bei der Umsetzung der DSGVO geben?

2 min.

Der Freistaat Bayern genießt (und beweist) in vielerlei Hinsicht seine Sonderstellung in unserem föderalen Staat. Das wird nicht allein durch die Existenz der CSU deutlich. Auch im Bezug auf die Datenschutz-Grundverordnung (DSGVO) schlägt die bayrische Landesregierung einen eigenen (Umsetzungs-)Weg vor.
Wie hat Pippi(lotta Viktualia Rollgardina Pfefferminza Efraimstochter) Langstrumpf gesungen: „Ich mach mir die Welt, wie sie mir gefällt…“?
Ausgangslage
Die Landesregierung Bayerns fasste Ende Juli einen (unter Datenschützern) aufsehenerregenden und viel diskutierten Beschluss, in dem festgelegt wurde, dass der Freistaat einen „bayerischen Weg“ bei der Umsetzung der neuen DSGVO und des erneuerten Bundesdatenschutzgesetzes (BDSG) einschlagen werde. Laut Beschluss sollen diese beiden neuen Gesetze mit „Augenmaß“ umgesetzt werden. Was ist darunter zu verstehen? Es sollen etwa Vereine keinen Datenschutzbeauftragten (vgl. Art. 37 DSGVO) bestellen müssen und Sanktionen (Art. 83 f. DSGVO) sollen grundsätzlich nur im Notfall ausgesprochen werden „dürfen“.
Neben Vereinen sollen – nach dem Willen des bayrischen Innenministeriums – auch Apotheken in den Genuss von diesen Umsetzungserleichterungen kommen. Auf eine Presseanfrage teilte das Ministerium mit: „Ja, Apotheken brauchen keinen Datenschutzbeauftragten, weil sie nicht ständig mit automatisierten, personenbezogenen Daten zu tun haben.“
Bewertung und Reaktion auf den Vorschlag Bayerns
Das Innenministerium stellt sich mit dieser (zu) weiten und (nicht nur meiner Meinung nach) nicht vertretbaren Auslegung der betreffenden Vorschriften nicht nur gegen die Einschätzung der Bundesregierung, sondern ebenfalls gegen einen Beschluss aller Landesdatenschutzbehörden der übrigen Bundesländer. Die hatten sich darauf geeinigt, dass die Pflicht, einen Datenschutzbeauftragten zu bestellen (auch) für Apotheken gelten soll, wenn sie mehr als zehn Mitarbeiter beschäftigen. Diese Einschätzung knüpft am eindeutigen Wortlaut des (neuen) § 38 Abs. 1 Satz 1 BDSG an.
Diese Auffassung teilt auch der Präsident der bayrischen Landesdatenschutzbehörde Thomas Kranig, der einer Zeitung sagte:

„Die am 25. Mai 2018 anwendbar gewordene Datenschutz-Grundverordnung ist unmittelbar anwendbares europäisches Recht. Dies bedeutet, dass in allen Mitgliedstaaten der Europäischen Union dieses Recht auch einheitlich vollzogen werden muss, sodass es einen abweichenden ‚Bayerischen Weg‘ bei der Umsetzung der DSGVO naturgemäß nicht geben kann. Konkret bedeutet dies, dass wir, das Bayerische Landesamt für Datenschutzaufsicht, als vom bayerischen Gesetzgeber bestimmte (unabhängige) Aufsichtsbehörde für den nicht-öffentlichen Bereich in Bayern alleine und unabhängig zu entscheiden haben, welche aufsichtsrechtliche Maßnahmen wir zur Einhaltung der Vorschriften des Datenschutzrechts ergreifen und welche wir nicht ergreifen.“

Fazit
Die Abkürzung „DSGVO“ ist längst zum Synonym geworden. Assoziiert werden häufig: ein (zu) hoher Umsetzungsaufwand, erhebliche Kosten für Rechtsberatungen und die drohenden Sanktionen. Gerade gemeinnützige Vereine haben mit den Neuerungen zu kämpfen, die zumeist (gar) nicht mit dem jeweiligen Vereinszweck in Verbindung stehen, sodass kostbare Ressourcen für die Umsetzung der DSGVO „aufgeopfert“ werden (müssen). So nehmen es wahrscheinlich viele Vereine wahr. In Bayern gibt es reichlich von ihnen, denn hier sind Traditions- und Brauchtumspflege weitverbreitet und allgemein beliebt.
Mit dem Beschluss der bayerischen Landesregierung wird also eine breite Zielgruppe erreicht. Besonders praktisch erscheint das mit Blick auf die bevorstehende Landtagswahl in Bayern.
Im Ergebnis sind zwei Dinge wünschenswert:

  • Die „Verteufelung“ der DSGVO, die auch hier ein Ausgangspunkt war, sollte schleunigst abgelegt werden. Das Regelungswerk beinhaltet eine Vielzahl von Pflichten, aber eben auch (Betroffenheits- und Verbraucherschutz-) Rechte. Sich nur auf vermeintliche Negativaspekte zu stützen, ist nicht sachgerecht und führt in der Sache auch nicht weiter.
  • Hoffentlich durchschauen die bayerischen Apotheken und Vereine die Intention des Wahlkampfs und lassen sich durch den Beschluss (in der ohnehin noch undurchsichtigen Rechtslage) nicht zusätzlich verunsichern. Das neue BDSG ist neben der DSGVO anwendbar und konkretisiert diese auch hinsichtlich der Pflicht, einen Datenschutzbeauftragten zu bestellen, wenn bestimmte Voraussetzungen vorliegen.

Macht nun Brüssel oder München, die Welt, wie sie Ihnen gefällt?

 

Sind Sie in einem Verein und haben mit der Umsetzung der DSGVO zu tun?
Oder betreiben Sie eine Apotheke und haben eigene Erfahrungen gesammelt?
Oder sind Sie (einfach nur) vom Wahlkampf betroffen?
Ich bin auf Ihre Kommentare gespannt!

Lesen Sie auch meinen Artikel zur Datenschutz-Folgenabschätzung.

__

Titelbild (CCO Public Domain)

__

Über den Autor

Mein Name ist Julius S. Schoor. Ich bin Rechtsanwalt und spezialisiert auf IT-Vertragsrecht. Seit 2011 bin ich als Datenschutzbeauftragter TÜV-zertifiziert und bereits für mehrere Unternehmen als solcher offiziell bestellt.

Kommentieren Sie diesen Beitrag!

Die Daten werden nur dafür verarbeitet, die Kommentarfunktion des Blogs zu ermöglichen.
Soweit Sie mir eine persönliche Nachricht schreiben wollen, nutzen Sie bitte die Seite Kontakt.
Im Übrigen gelten meine Datenschutzhinweise.