Das EU-Parlament hat eine Datenschutzgrundverordnung (EU-DGV) beschlossen. Diese tritt am 4. Mai 2016 in Kraft. Die Mitgliedsstaaten haben ab diesem Datum 2 Jahre Zeit, das Gesetz in ihrem jeweiligen Zuständigkeitsbereich umzusetzen. Bis dahin bleiben also alle bundesdeutschen und damit auch kirchlichen Gesetze in ihrer jeweiligen Fassung gültig. Doch welche grundlegenden Konsequenzen ergeben sich aus der neuen Verordnung?
Wenn man den bisherigen Standard der gesetzlichen Regelungen in den EU-Mitgleidsstaaten vergleicht, kann man die Bundesrepublik Deutschland eindeutig als den Gewinner im Kampf um die Regelungen und Formulierungen der neuen europäischen Verordnung sehen. Der Charakter und der Regelungsumfang der bisherigen deutschen Gesetze wurde weitestgehend auf die neue EU-Datenschutzgrundverordnung übertragen. Darüber hinaus wurden wichtige neue Regelungen geschaffen, die insbesondere vor dem Hintergrund unserer moderernen Informationsgesellschaft mit all ihren digitalen Medien längst überfällig waren.
Da die EU-DGV den Mitgliedsstaaten in einigen Bereichen den Freiraum nationaler Regelungen gewährt, ergibt sich hier noch die Notwendigkeit für Bund, Länder und Kirchen, gegebenenfalls über eigenständige Gesetze zu beraten, was dann in der Zeit bis 4. Mai 2018 abzuschließen wäre. Der größere Anpassungsbedarf besteht aber in vielen einzelnen Gesetzen wie z. B. dem Sozialgesetzbuch, die bisher Ausnahmen von deutschen Datenschutzgesetzen geregelt haben. Hier müssen möglicherweise Anpassungen an die neue europäische Verordnung vorgenommen werden.
Die wichtigsten Änderungen richten sich z. B. auf die Themenbereiche Auftragsdatenverarbeitung, Folgenabschätzung und Bestellungspflicht für Datenschutzbeauftragte:
Die in Deutschland ohnehin schon weitreichenden Pflichten für Auftraggeber und Auftragnehmer im Rahmen von Auftragsdatenverarbeitung (künftig "Auftragsverarbeitung") bleiben im Kern erhalten und wurden in einigen Bereichen verfeinert. Die Rolle dieser besonderen Rechtsstellung von Dienstleistern wird künftig eine im wahrsten und übertragenen Sinne dieses Wortes eine hervorragende sein und muss in der betrieblichen Praxis noch mehr als in der Vergangenheit Berücksichtigung finden.
Betriebe und Einrichtungen, in der die IT-Technik eine besondere Rolle für die Verarbeitung von Personendaten spielt, sind verpflichtet, insbesondere die IT einer besonderen Folgeabschätzung zu unterziehen. In Deutschland wird dies bereits seit 2015 sehr differenziert geregelt, einerseits im IT-Sicherheitsgesetz und andererseits in der IT-Sicherheitsverordnung der Evangelischen Kirche. Danach ist insbesondere die IT in unternehmensweites Risikomanagementverfahren einzubeziehen. Auch ergibt sich durch die im EUDGV verankerte Transparenzpflicht gegenüber Mitarbeitenden und Betroffenen eine besondere Herausforderung für die Dokumentation Verarbeitungsvorgängen und technischen Abläufen.
Grundsätzlich ist die Rolle des betrieblichen Datenschutzbeauftragten aufrechterhalten worden, mit ähnlichen Rechten und Pflichten wie bisher. Nach EU-DGV jedoch nur für Behörden, Auftragsverarbeiter sowie Betriebe und Einrichtungen, die Personendaten einer besonderen Kategorie wie Sozialdaten und Gesundheitsdaten verarbeiten. Allerdings ist genau diese Bestellungspflicht ein Regelungsbereich, in dem den Mitgliedsstaaten ausdrücklich das Recht zugebilligt wird, weitergehende Bestimmungen zu erlassen. Hier wird sich zeigen, ob der Gesetzgeber die bisherige Bestellungspflicht im gleichen Umfang wie bisher aufrecht erhalten wird.