Die erste europäische verfassungsrechtliche Regelung für Datenschutz besteht in Artikel 8 der Europäischen Menschenrechtskonvention des Europarats vom 04.11.1950. Dieser basiert auf Artikel 12 zur Wahrung von Privat- und Familienleben der allgemeinen Erklärung der Menschenrechte der Vereinten Nationen (EMRK) vom 10.12.1948. Alle Mitgliedstaaten des Europarats setzten die EMRK in ihr nationales Recht um oder haben sie übernommen.
Im Laufe der Jahre verabschiedete das Ministerkomitee des Europarats mehrere Entschließungen zum Schutz von personenbezogenen Daten.
Das wohl wichtigste und von allen EU-Staaten ratifizierte Übereinkommen ist Nr. 108 von 1981 [1]: das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. Die Sammlung Europäischer Verträge (SEV) Nr. 8 schützt den Menschen vor Missbrauch bei der Erhebung und Verarbeitung von personenbezogenen Daten und strebt eine Regelung des grenzüberschreitenden Datenverkehrs an.
Die Grundsätze und Regelungen sind auch in den Texten der Datenschutzgrundverordnung (DSGVO) enthalten. Die verbindliche Regelung für die Europöische Union (EU) bildet nun einen der folgenden sieben Grundsteine [2]:
- Einheitliche Rechtsgrundlage einer Verordnung (Rechtssicherheit, Wettbewerbsgleichheit, kein Forum Shopping)
- Eindeutige Zuständigkeit einer einzelnen Datenschutzbehörde (One-Stop-Shop)
- Einheitlich hohes Datenschutzniveau
- Berücksichtigung der Besonderheiten von Polizei und Justiz in der Rechtsarchitektur
- Besondere Aufmerksamkeit für kleinere und mittlere Unternehmen
- Ausgewogene Berücksichtigung aller Grundrechte
- Offenheit des neuen Rechtsrahmens für zukünftige technologische und wirtschaftliche Entwicklungen
Regelung mit Durchgriffswirkung
Die Vereinheitlichung nationaler Gesetze zum Umgang mit personenbezogenen Daten ist das große Hauptanliegen der Datenschutzgrundverordnung. Entsprechend heißt es am Ende des Artikel 99 DSGVO: „Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.“ Der bisherige Flickenteppich nationaler Regelungen gehört damit in vielen Teilen der Vergangenheit an. Als allgemeine Regelung mit unmittelbarer innerstaatlicher Geltung verfügt die DSGVO über eine „Durchgriffswirkung“. Diese grundsätzliche Vollharmonisierung ersetzt größtenteils nationales Datenschutzrecht.
Gegenstand und Ziele
Die DSGVO enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten (Art. 1 Abs. 1 DSGVO).
Art. 1 Abs. 2 DSGVO
Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
Der freie Verkehr personenbezogener Daten in der EU darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden (Art. 1 Abs. 3 DSGVO).
Die DSGVO ist (analog dem BDSG a.F.) als Verbotsgesetz mit Erlaubnisvorbehalt ausgestaltet. Das bedeutet, dass der Umgang mit personenbezogenen Daten grundsätzlich untersagt ist – es sei denn, die Verordnung, eine andere gesetzliche Vorschrift oder eine Einwilligung des Betroffenen erlauben dies.
Die DSGVO gilt unmittelbar und direkt und ist im Gegensatz zum Bundesdatenschutzgesetz a.F. (BDSG a.F.) kein Auffanggesetz mehr. Sie hat Vorrang vor anderen Rechtsvorschriften der Mitgliedstaaten, sofern es keine ausdrückliche Möglichkeit für einzelstaatliche Regelungen (sog. Öffnungsklauseln) gibt.
[1] Vgl. https://rm.coe.int/1680078b38 (zuletzt aufgerufen am: 06.05.2019).
[2] Reding: Sieben Grundbausteine der europäischen Datenschutzreform, ZD 2012, S. 195.
(Autorin: Regina Mühlich berät als Datenschutzberaterin, Qualitätsmanagementbeauftragte und Compliance Officer national und international tätige mittelständische Unternehmen.)
Wenn Sie Fragen haben, kontaktieren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.
(07. Mai 2019)