Artikel 90 EU-DSGVO: Geheimhaltungspflichten
- Die Mitgliedstaaten können die Befugnisse der Aufsichtsbehörden im Sinne des Artikels 58 Absatz 1 Buchstaben e und f gegenüber den Verantwortlichen oder den Auftragsverarbeitern, die nach Unionsrecht oder dem Recht der Mitgliedstaaten oder nach einer von den zuständigen nationalen Stellen erlassenen Verpflichtung dem Berufsgeheimnis oder einer gleichwertigen Geheimhaltungspflicht unterliegen, regeln, soweit dies notwendig und verhältnismäßig ist, um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht zur Geheimhaltung in Einklang zu bringen. Diese Vorschriften gelten nur in Bezug auf personenbezogene Daten, die der Verantwortliche oder der Auftragsverarbeiter bei einer Tätigkeit erlangt oder erhoben hat, die einer solchen Geheimhaltungspflicht unterliegt.
- Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Vorschriften mit, die er aufgrund von Absatz 1 erlässt, und setzt sie unverzüglich von allen weiteren Änderungen dieser Vorschriften in Kenntnis.
Kommentar zu Artikel 99 EU-DSGVO: Kohärenzverfahren
Art.99 Abs. 1 DSGVO regelt das In-Kraft-treten der Verordnung am zwanzigsten Tag nach der Veröffentlichung im Amtsblatt der Europäischen Union. Da die Veröffentlichung im Amtsblatt vom 4.5.2016 erfolgt ist, trat die Verordnung am 25.5.2016 in Kraft.
Umfassende Geltung hat die Verordnung gem. Art.99 Abs.2 DSGVO erst am 25.5.2018 entfaltet, d.h. dass zu diesem Zeitpunkt die Verordnung allgemeine und unmittelbare Geltung in allen Mitgliedstaaten hat. Die Phase von zwei Jahre zwischen dem In-Kraft-treten und der Anwendung hatte primär den Grund gesetzgeberische Folge- und Anpassungsmaßnahmen zu ermöglichen. Dies wird einerseits von der Kommission durch Durchführungsbefugnisse und delegierte Rechtsakte ausgeübt, sowie von den Mitgliedstaaten durch die nationale Umsetzung der Vorschriften der DSGVO, die trotz Verordnungscharakter bei einigen Vorschriften einer Umsetzung in nationales Recht bedarf. Zudem sollte die Übergangszeit von zwei Jahren den Datenverarbeitern dazu dienen, die bestehenden datenschutzrelevanten Vorgänge zu prüfen und notwendige Veränderungen vorzunehmen.