Anpassung von Verwaltungsvorschriften, Satzungen, Dienstvereinbarungen etc.

In einem ersten Schritt sollten im eigenen Zuständigkeitsbereich die Regelungen identifiziert werden, die

• dem Anwendungsbereich der Datenschutz-Grundverordnung unterfallen und
• Anforderungen an die Verarbeitung personenbezogener Daten enthalten oder auf entsprechende Vorschriften Bezug nehmen oder Regelungen zu Betroffenenrechten treffen.

Allgemeine Ausführungen zum Anwendungsbereich der Datenschutz-Grundverordnung finden Sie hier. Beispiele für im Rahmen des Normenscreenings zu identifizierende Regelungen haben wir Ihnen in folgender Übersicht zusammengestellt.

Alle im Normenscreening identifizierten Regelungen sind daraufhin zu überprüfen, ob sie mit den Vorgaben der Datenschutz-Grundverordnung vereinbar sind. Hierfür sollten zunächst die Vorschriften der Datenschutz-Grundverordnung ermittelt werden, die mit den betroffenen Regelungen korrespondieren.

Wiederholungsverbot

Danach ist zu prüfen, ob die betroffenen Regelungen dem Wortlaut oder vollinhaltlich der korrespondierenden Vorschrift der Datenschutz-Grundverordnung entsprechen. Wenn dies der Fall ist, ist das europarechtliche Wiederholungsverbot zu beachten.

Das europarechtliche Wiederholungsverbot wurde in der Rechtsprechung des EuGH entwickelt. Es soll verhindern, dass die unmittelbare Geltung einer Verordnung verschleiert wird, indem durch die Wiederholung von Verordnungsnormen der Anschein erweckt wird, dass der Landesgesetzgeber Urheber des Rechtsaktes ist. Nach Erwägungsgrund 8 der Datenschutz-Grundverordnung sind Abweichungen vom Wiederholungsverbot daher nur in engen Grenzen zulässig. Eine Wiederholung von Verordnungsbestimmungen in nationalen Rechtsvorschriften kommt nur dann in Betracht, wenn sie die Möglichkeit nationaler Präzisierungen oder Einschränkungen einräumen und damit im sachlichen Zusammenhang stehen, und soweit sie erforderlich sind, um den inhaltlichen Zusammenhang zu wahren und die nationalen Vorschriften für die Personen, für die sie gelten, verständlicher zu machen.

Werden Regelungen identifiziert, die dem Wortlaut oder vollinhaltlich der Datenschutz-Grundverordnung entsprechen, ist daher zu prüfen, ob sie unter Berücksichtigung o. a. Kriterien ausnahmsweise beibehalten werden können. Ist dies nicht der Fall, sind sie zu streichen.

Hier ein Beispiel:

Die Regelung in § 4 Absatz 1 Sächsisches Datenschutzgesetz wurde aufgrund des Wiederholungsverbotes gestrichen.

Die Vorschrift lautet: „Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn 1. dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder 2. soweit der Betroffene eingewilligt hat.“

Diese Vorschrift entspricht den Regelungen in Artikel 6 Datenschutz-Grundverordnung. Nach Artikel 6 Absatz 1 Buchstabe a Datenschutz-Grundverordnung ist eine Verarbeitung mit Einwilligung der betroffenen Person rechtmäßig. Die Zulässigkeit der Verarbeitung aufgrund eines Gesetzes oder einer Rechtsvorschrift ergibt sich aus Artikel 6 Absatz 1 Buchstabe c und e in Verbindung mit Absatz 3 Satz 1 Datenschutz-Grundverordnung.

Materiell-rechtliche Prüfung

Die verbleibenden Regelungen sind daraufhin zu kontrollieren, ob ihr materiell-rechtlicher Regelungsgehalt von dem der korrespondierenden Norm der Datenschutz-Grundverordnung abweicht. Ist dies der Fall, ist zu prüfen, ob eine Öffnungsklausel greift. Die Regelung muss den Voraussetzungen der Öffnungsklausel entsprechen, ggf. ist die betroffene Regelung anzupassen. Wenn keine Öffnungsklausel vorhanden ist oder die Norm nicht an die Vorgaben einer Öffnungsklausel angepasst werden kann, ist die Norm zu streichen.

Die wesentlichen Öffnungsklauseln und kurze Erläuterungen zu den Regelungsspielräumen finden Sie hier.

Da die Datenschutz-Grundverordnung innerhalb ihrer Öffnungsklauseln Regelungsspielräume belässt, sollte auch geprüft werden, ob es erforderlich ist, von diesen unabhängig von bereits bestehenden Regelungen Gebrauch zu machen. So kann es beispielsweise sinnvoll sein zu prüfen, ob Abweichungen von dem Verbot des Artikels 9 Absatz 1 Datenschutz-Grundverordnung, besondere Kategorien personenbezogener Daten zu verarbeiten, erforderlich sind. Sollte dies der Fall sein, wären die Vorgaben des Artikels 9 Absatz 2 Datenschutz-Grundverordnung zu beachten.

Ein weiterer Änderungsbedarf kann sich dadurch ergeben, dass eine Angleichung an die Begriffsbestimmungen in Artikel 4 Datenschutz-Grundverordnung zur Vermeidung von systematischen Brüchen erforderlich ist. Eine Zusammenstellung der wesentlichen Änderungen der Begrifflichkeiten finden Sie hier.

Darüber hinaus wird sich in vielen Fällen ein Änderungsbedarf nicht unmittelbar durch den Regelungsgehalt der Datenschutz-Grundverordnung ergeben, sondern z. B. durch überholte Bezugnahmen auf das allgemeine Datenschutzrecht oder auf sonstige datenschutzrechtliche Regelungen. Diese Bezugnahmen sollten ebenfalls angepasst werden. Teilweise wird dabei neu eine Bezugnahme auf die entsprechenden Vorschriften der Datenschutz-Grundverordnung in Betracht kommen.

Auf der Grundlage des in den Schritten zwei und drei ermittelten Anpassungsbedarfs sind die neuen bzw. geänderten Vorschriften zu erarbeiten oder Regelungen zu streichen.