Öffnungsklausel nach DS-GVO

Worum geht es?

Zur richtigen Einordnung sei zunächst gesagt, dass Öffnungsklauseln kein spezielles Phänomen des Datenschutzrechts sind. Es gibt sie in sämtlichen Rechtsgebieten. Öffnungsklauseln sind gesetzliche oder auch vertragliche Regelungen, die es erlauben, allgemeingültige Normen anderweitig zu konkretisieren. Der folgende Beitrag bezieht sich nun ausschließlich auf die Öffnungsklauseln im Datenschutzrecht.

Um besser zu verstehen, was Öffnungsklauseln sind und welchen Zweck sie haben, muss man sich noch einmal die grundsätzliche Bedeutung der Datenschutz-Grundverordnung (DS-GVO) vor Augen führen. Die DS-GVO ist eine europäische Verordnung, die für alle EU-Mitgliedsstaaten unmittelbar gilt und das Datenschutzrecht in der EU harmonisieren soll. Als europäische Verordnung genießt die DS-GVO daher Anwendungsvorrang vor nationalen Gesetzen. Das heißt, die DS-GVO gilt in der Regel vorrangig und ist in der datenschutzrechtlichen Praxis das zentrale Regelwerk.

Öffnungsklauseln in der DS-GVO erlauben es nun an konkreten Stellen, dass ein nationaler Gesetzgeber für bestimmte Sachverhalte speziellere Normen verabschiedet, die die DS-GVO dann konkretisieren oder ergänzen. Ein solche Norm muss dabei aber immer im Einklang mit der DS-GVO stehen und darf dieser nicht widersprechen, ansonsten ist sie nicht gültig. 

Bedeutung der Öffnungsklausel der DS-GVO für die Praxis

Öffnungsklauseln sind von hoher praktischer Relevanz. In der DS-GVO gibt es ca. 70 Öffnungsklauseln. Der deutsche Gesetzgeber hat deshalb parallel zum Inkrafttreten der DS-GVO das Bundesdatenschutzgesetz (BDSG) überarbeitet und neu verabschiedet, sodass dieses immer noch gilt.

Eine der prominentesten Öffnungsklauseln steht in Art. 88 Abs. 1 DS-GVO:

„Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften […] hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext […] vorsehen.“

Diese Öffnungsklausel erlaubt es also, dass die einzelnen EU-Staaten spezielle Regelungen für die Verarbeitung von Beschäftigtendaten erlassen. In Deutschland finden sich die entsprechenden speziellen Regelungen zum Beschäftigtendatenschutz in § 26 BDSG.

Ein weiteres Beispiel für eine für die Praxis sehr bedeutsame Öffnungsklausel ist im 2. Halbsatz des Art. 37 Abs. 4 S. 1 DS-GVO normiert. Hier geht es um die Pflicht zur Benennung eines Datenschutzbeauftragten.

„In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter […] einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen.“

Die DS-GVO hat in Absatz 1 des selbigen Artikels klar definiert, wann ein Verantwortlicher einen Datenschutzbeauftragten benennen muss. Die Klausel drückt vereinfacht gesagt also aus, dass Organisationen auch freiwillig einen Datenschutzbeauftragten benennen können, wenn sie nach der DS‑GVO hierzu nicht verpflichtet sind. Es sei denn – und das ist die konkrete Öffnungsklausel im 2. Halbsatz – die EU-Mitgliedsstaaten schreiben in einer verschärfenden Regelung weitere Pflichten zur Benennung eines Datenschutzbeauftragten vor. Auch von dieser Möglichkeit hat der deutsche Gesetzgeber in § 28 BDSG Gebrauch gemacht. So ist nach Abs. 1 Satz 1 auch ein Datenschutzbeauftragter zu benennen, wenn ein Verantwortlicher „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt“. Weitere Spezialfälle sind zudem in Satz 2 geregelt.

Spezialgesetze und Öffnungsklausel der Kirchen

Für kirchliche Organisationen ist die Öffnungsklausel in Art. 91 DS-GVO von wesentlicher Bedeutung. Danach dürfen Kirchen eigene Regelungen zum Datenschutz verabschieden, sofern diese im Einklang mit der DS-GVO stehen. Sowohl die Evangelische Kirche als auch die Katholische Kirche in Deutschland haben auf dieser Öffnungsklausel basierend spezielle Gesetze verabschiedet. Das evangelische Datenschutzgesetz DSG‑EKD gilt für evangelische Organisationen, das katholische KDG gilt entsprechend für katholische Organisationen.

Fazit

Die datenschutzrechtlichen Regelungen der DS-GVO sind der Maßstab, an dem sich der europäische Datenschutz ausrichtet und gilt grundsätzlich vorrangig. Erlauben aber Öffnungsklauseln Konkretisierungen im nationalen Recht und wurden entsprechende Konkretisierungen durch den nationalen Gesetzgeber umgesetzt, so sind diese zuvorderst zu beachten. Jede Organisation muss sich daher sowohl mit der europäischen Verordnung DS-GVO als auch mit den nationalen Regelungen auseinanderzusetzen.

Sie wünschen sich einen Experten an Ihrer Seite oder Ihnen fehlt noch ein Datenschutzbeauftragter, weil Sie die 20-Personen-Grenze in Ihre Organisation überschritten haben? Wir freuen uns auf Ihre Kontaktaufnahme!

Verfasser: Bastian Maute, 03.05.2021

Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!