Die DSGVO – Struk­tur und Aufbau

Die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO) besteht aus elf Ka­pi­teln mit ins­ge­samt 99 Ar­ti­keln sowie 173 Er­wä­gungs­grün­den. Sie ist damit deut­lich um­fas­sen­der als das BDSG a. F. mit 48 Pa­ra­gra­fen. Die DSGVO enthält Artikel, während das BDSG n. F., wie auch a. F., aus Pa­ra­gra­fen be­stehen. In Deutsch­land erfolgt die Ein­tei­lung der meisten Gesetze in Pa­ra­gra­fen. Einige Gesetze werden in Artikel un­ter­teilt. Die wich­tigs­ten Bei­spie­le hierfür sind das Grund­ge­setz (GG), das Ein­füh­rungs­ge­setz zum Bür­ger­li­chen Ge­setz­bu­che (EGBGB), das Scheck­ge­setz (ScheckG) und das Wech­sel­ge­setz (WG).

Die meisten völ­ker­recht­li­chen Ver­trä­ge sowie Rechts­ak­te des Eu­ro­pa­rats und der EU, z. B. die Eu­ro­päi­sche Men­schen­rechts­kon­ven­ti­on (EMRK), der EU-Vertrag und die DSGVO, sind in Ar­ti­keln gegliedert.
Die sog. Er­wä­gungs­grün­de (ErwG) geben die Ziele, die mit der For­mu­lie­rung der Artikel der DSGVO ver­folgt wurden, wieder. Sie sind nicht die ei­gent­li­chen Rechts­nor­men, aber sie sind hilf­reich für die In­ter­pre­ta­ti­on und das Ver­ständ­nis der DSGVO.

An­wen­dungs­be­reich

Die DSGVO gilt für die voll oder teil­wei­se au­to­ma­ti­sier­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten sowie für die nicht au­to­ma­ti­sier­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die in einem Da­tei­sys­tem ge­spei­chert sind oder in einem der­ar­ti­gen System ge­spei­chert werden sollen.

Be­griffs­be­stim­mung
Per­so­nen­be­zo­ge­ne Daten sind alle In­for­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re na­tür­li­che Person be­zie­hen. Die DSGVO gilt nicht für per­so­nen­be­zo­ge­ne Daten Ver­stor­be­ner (ErwG 27). Kurz gesagt ist eine na­tür­li­che Person ein Mensch, im Ge­gen­satz zur ju­ris­ti­schen Person (Firma, Verein).
Er­wä­gungs­grund 27 Keine An­wen­dung auf Daten Ver­stor­be­ner: Diese Ver­ord­nung gilt nicht für die per­so­nen­be­zo­ge­nen Daten Ver­stor­be­ner. Die Mit­glied­staa­ten können im Rahmen der Öff­nungs­klau­seln Vor­schrif­ten für die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten Ver­stor­be­ner vorsehen.

Sie gilt sowohl für eine elek­tro­ni­sche Da­ten­ver­ar­bei­tung, auch wenn diese nur aus einem ein­zi­gen Rechner besteht, als auch bei einem nach be­stimm­ten Kri­te­ri­en ge­ord­ne­ten Kar­tei­sys­tem (in Pa­pier­form, nicht au­to­ma­ti­sier­te Ver­ar­bei­tung). Hier spricht man vom sog. sach­li­chen An­wen­dungs­be­reich gem. Art. 2 Abs. 1 DSGVO.

In erster Linie richtet sich der Schutz des Ein­zel­nen gegen Ge­fah­ren für sein Per­sön­lich­keits­recht, die von einer Ver­ar­bei­tung seiner per­so­nen­be­zo­ge­nen Daten aus­ge­hen. Die DSGVO gilt gem. Art. 2 Abs. 2 lit. c nicht für die Ver­ar­bei­tung zu per­sön­li­chen und fa­mi­liä­ren Zwecken (Haus­halts­aus­nah­me).

Das heißt also: An­wen­dung der DSGVO = per­so­nen­be­zo­ge­ne Daten + au­to­ma­ti­sier­te oder ma­nu­el­le Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten.

Die DSGVO un­ter­schei­det in Kap. I – All­ge­mei­ne Be­stim­mun­gen zwi­schen einem sach­li­chen (Art. 2 DSGVO) und einem räum­li­chen An­wen­dungs­be­reich (Art. 3 DSGVO).

Sach­li­cher An­wen­dungs­be­reich: ganz oder teil­wei­se au­to­ma­ti­sier­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten sowie nicht au­to­ma­ti­sier­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die in einem Da­tei­sys­tem ge­spei­chert sind oder ge­spei­chert werden sollen.
Räum­li­cher An­wen­dungs­be­reich: die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Rahmen der Tä­tig­kei­ten einer Nie­der­las­sung eines Ver­ant­wort­li­chen oder eines Auf­trags­ver­ar­bei­ters in der Union, un­ab­hän­gig davon, ob die Ver­ar­bei­tung in der Union stattfindet

Struk­tur

Kapitel I – All­ge­mei­ne Bestimmungen
In den Artt. 1 – 4 DSGVO finden sich Re­ge­lun­gen zum Gel­tungs­be­reich, De­fi­ni­tio­nen, der Zweck und Be­grif­fe. In Art. 4 DSGVO finden sich die Be­griffs­be­stim­mun­gen, die aus­führ­li­che Be­schrei­bun­gen zu den Be­griff­lich­kei­ten aus der DSGVO enthalten.

Neu sind hier Er­läu­te­run­gen zu den Be­grif­fen Haupt­nie­der­las­sung, Ver­tre­ter, Un­ter­neh­men und Un­ter­neh­mens­grup­pe (Art. 4 Nr. 16 – 19 DSGVO). Wie bereits das BDSG kennt die DSGVO eben­falls kein Konzernprivileg.

An der grund­sätz­li­chen eigenen Ver­ant­wort­lich­keit jeder ein­zel­nen Stelle ändert dies jedoch nichts. Aus­wir­kun­gen hat das Vor­lie­gen einer Un­ter­neh­mens­grup­pe aber bei der nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO not­wen­di­gen In­ter­es­sen­ab­wä­gung im Rahmen der Ent­schei­dung, ob ein Er­laub­nis­tat­be­stand greift. Hierzu legt ErwG 48 DSGVO fest, dass die Über­mitt­lung von Daten in­ner­halb einer Un­ter­neh­mens­grup­pe ein be­rech­tig­tes In­ter­es­se dar­stellt. Diese Fest­stel­lung wird auch als „kleines Kon­zern­pri­vi­leg“ bezeichnet.

Das aus dem Ak­ti­en­recht be­kann­te Kon­zern­pri­vi­leg war im deut­schen Da­ten­schutz­recht bisher nicht an­er­kannt. Mit der DSGVO wird der Da­ten­aus­tausch im Konzern auf der Grund­la­ge von Ein­wil­li­gun­gen (Art. 7 DSGVO) oder dem In­stru­ment der Auf­trags­ver­ar­bei­tung (Art. 28 DSGVO) er­schwert, al­ler­dings durch Art. 6 Abs. 1 DSGVO auch er­leich­tert. Der kon­zern­in­ter­ne Da­ten­aus­tausch kann als „be­rech­tig­tes In­ter­es­se“ an­ge­se­hen werden. Der ErwG 48 DSGVO erkennt für den Konzern „interne Ver­wal­tungs­zwe­cke“ als ein be­rech­tig­tes In­ter­es­se an.

Die DSGVO kennt den Begriff An­ony­mi­sie­rung nicht. Gleich­wohl können per­so­nen­be­zo­ge­ne Daten an­ony­mi­siert werden, um damit den Schutz der per­so­nen­be­zo­ge­nen Daten zu ge­währ­leis­ten. Es ist nach­voll­zieh­bar, warum die DSGVO diesen Begriff nicht (mehr) regelt: Mit an­ony­mi­sier­ten Daten ist eine na­tür­li­che Person nicht mehr identifizierbar.
Die An­ony­mi­sie­rung ist das Ver­än­dern per­so­nen­be­zo­ge­ner Daten derart, dass diese Daten nicht mehr einer Person zu­ge­ord­net werden können. Bei der Pseud­ony­mi­sie­rung wird der Name oder ein anderes Iden­ti­fi­ka­ti­ons­merk­mal durch ein Pseud­onym (zumeist eine mehr­stel­li­ge Buch­sta­­ben- oder Zah­len­kom­bi­na­ti­on, auch Code genannt) ersetzt, um die Fest­stel­lung der Iden­ti­tät der be­trof­fe­nen Person aus­zu­schlie­ßen (vgl. § 3 Abs. 6a BDSG a. F. bzw. § 46 Nr. 5 BDSG n. F.).

Kapitel II – Grundsätze
Neben den Re­ge­lun­gen zur Recht­mä­ßig­keit und zu den Er­laub­nis­vor­be­hal­ten finden sich in Artt. 5 – 11 DSGVO Re­ge­lun­gen zur Da­ten­spar­sam­keit, Trans­pa­renz und Einwilligung.

Kapitel III – Rechte der be­trof­fe­nen Person
In Kap. III sind alle Rechte der be­trof­fe­nen Person zu­sam­men­ge­fasst. Diese glie­dern sich in die fol­gen­den Abschnitte:

•  Artt. 12 – 15 DSGVO: Trans­pa­renz, In­for­ma­ti­ons­pflicht, Recht auf Auskunft
•  Artt. 16 – 20 DSGVO: Be­rich­ti­gung und Löschung
• Artt.  21 – 22 DSGVO: Widerspruchsrecht
•  Artt. 22 – 23 DSGVO: Beschränkungen

Das „Recht auf Da­ten­über­trag­bar­keit“ (Da­ten­por­ta­bi­li­tät) ist eine Neue­rung des Da­ten­schutz­rechts und stärkt die Rechte der be­trof­fe­nen Person. Der Grund­ge­dan­ke der Da­ten­über­trag­bar­keit ist, dass eine be­trof­fe­ne Person, wenn sie es wünscht, von dem Ver­ant­wort­li­chen die per­so­nen­be­zo­ge­nen Daten, die sich auf sie be­zie­hen, erhält. Sie soll dadurch die Mög­lich­keit er­hal­ten, diese Daten in das Ver­ar­bei­tungs­sys­tem eines anderen Ver­ant­wort­li­chen über­tra­gen zu können bzw. diese direkt zwi­schen den Ver­ant­wort­li­chen über­tra­gen zu lassen.

Kapitel IV – Ver­ant­wort­li­cher und Auftragsverarbeiter
In Kap. IV sind die Rechte und Pflich­ten der Un­ter­neh­men im Rahmen der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ge­re­gelt. Diese glie­dern sich in die fol­gen­den Abschnitte:

•  Artt. 24 – 31 DSGVO: Ver­ant­wort­li­che und Auftragsverarbeiter
•  Artt. 32 – 34 DSGVO: Si­cher­heit per­so­nen­be­zo­ge­ner Daten
•  Artt. 35 – 36 DSGVO: Datenschutz-Folgenabschätzung
•  Artt. 37 – 39 DSGVO: Datenschutzbeauftragter
•  Artt. 40 – 43 DSGVO: Ver­hal­tens­re­geln und Zertifizierungen

Hier ist ins­be­son­de­re der Art. 28 DSGVO her­vor­zu­he­ben, welcher die Be­din­gun­gen für die Ver­ar­bei­tung im Auftrag regelt (Auf­trags­ver­ar­bei­tung). Des Wei­te­ren sollte der Art. 32 DSGVO – Si­cher­heit der Ver­ar­bei­tung (ErwG 83) be­ach­tet werden. Per­so­nen­be­zo­ge­ne Daten be­dür­fen demnach eines tech­ni­schen und or­ga­ni­sa­to­ri­schen Schutzes.

Kapitel V – Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten an Dritt­län­der oder an in­ter­na­tio­na­le Organisationen
Das Kap. V dient vor­ran­gig der Ver­bes­se­rung und Kon­kre­ti­sie­rung der bis­he­ri­gen eu­ro­päi­schen Rechts­la­ge zum Da­ten­trans­fer in ein Dritt­land. Hier ist ins­be­son­de­re der fol­gen­de Ab­schnitt zu nennen:

•  Artt. 44 – 50 DSGVO: Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an Drittländer

Das vor­ge­ge­be­ne hohe Da­ten­schutz­ni­veau in­ner­halb der Eu­ro­päi­schen Union (EU) soll auch bei einer Über­mitt­lung in ein Dritt­land ge­währ­leis­tet und nicht un­ter­lau­fen werden können.

Kapitel VI – Un­ab­hän­gi­ge Aufsichtsbehörden
Die Auf­sichts­be­hör­den der EU sind un­ab­hän­gi­ge Be­hör­den (Art. 8 Abs. 3 GRCh und Art. 16 Abs. 2 AEUV). In Kap. V sind die fol­gen­den Ab­schnit­te relevant:

•  Artt. 51 – 59 DSGVO: Un­ab­hän­gi­ge Aufsichtsbehörden

Die An­wen­dung und Kon­trol­le der DSGVO bleibt in der Zu­stän­dig­keit von mit­glied­staat­li­chen Be­hör­den. Des Wei­te­ren ver­pflich­tet das Kap. VI die Auf­sichts­be­hör­den für Daten­schutz zur Zu­sam­men­ar­beit. Die kon­kre­te Aus­ge­stal­tung der Be­hör­den über­lässt die Ver­ord­nung den EU-Mitgliedstaaten.

Kapitel VII – Zu­sam­men­ar­beit und Kohärenz
In diesem Kapitel wird die Zu­sam­men­ar­beit der Auf­sichts­be­hör­den ge­re­gelt, u. a. auch die ge­gen­sei­ti­ge Amts­hil­fe, ge­mein­sa­me Maß­nah­men sowie der In­for­ma­ti­ons­aus­tausch un­ter­ein­an­der. Die de­tail­lier­ten Be­schrei­bun­gen finden sich hier:

•  Artt. 60 – 76 DSGVO: Zu­sam­men­ar­beit und Kohärenz

Eine fun­da­men­ta­le Neue­rung ist der sog. „One-Stop-Shop-Me­cha­­nis­­mus“. Für Un­ter­neh­men, die eine oder mehrere un­selbst­stän­di­ge Nie­der­las­sun­gen in der EU haben, ist bei der grenz­über­schrei­ten­den Da­ten­ver­ar­bei­tung nur die Auf­sichts­be­hör­de der Haupt­nie­der­las­sung oder ein­zi­gen Nie­der­las­sung in der EU zuständig.

Kapitel VIII – Rechts­be­hel­fe, Haftung und Sanktionen
Kapitel VIII regelt das Recht der Be­schwer­de einer be­trof­fe­nen Person bei einer Auf­sichts­be­hör­de, zu finden unter:

•  Artt. 77–84 DSGVO: Rechts­be­hel­fe, Haftung und Sanktionen

Das Be­schwer­de­recht ist dem Pe­ti­ti­ons­recht (Art. 17 GG) we­sens­gleich. Des Wei­te­ren wird hier das Ver­bands­kla­ge­recht ge­re­gelt (in Deutsch­land: Gesetz über Un­ter­las­sungs­kla­gen bei Ver­­­brau­cher­­rechts- und anderen Ver­stö­ßen (UKlaG)).

Kapitel IX – Vor­schrif­ten für be­son­de­re Verarbeitungssituationen

• Mit Art. 85 DSGVO wurde eine Öff­nungs­klau­sel ge­schaf­fen, die einen weit­rei­chen­den Re­gu­lie­rungs­spiel­raum zum Schutz der Mei­­nungs- und In­for­ma­ti­ons­frei­heit eröffnet.
• Der Art. 90 DSGVO – Ge­heim­hal­tungs­pflich­ten gibt die Mög­lich­keit, spe­zi­el­le Vor­schrif­ten für Be­rufs­ge­heim­nis­trä­ger wie z. B. Notare, Rechts­an­wäl­te oder Steu­er­be­ra­ter zu schaffen.
• In Art. 91 DSGVO findet sich die Öff­nungs­klau­sel für Kirchen und re­li­giö­se Ver­ei­ni­gun­ge­no­der Ge­mein­schaf­ten. Die ka­tho­li­sche und evan­ge­li­sche Kirche haben von diesem Recht Ge­brauch gemacht und ver­fü­gen wei­ter­hin jeweils über ein eigenes Da­ten­schutz­ge­setz (KDG = Gesetz über den Kirch­li­chen Daten­schutz; DSG-EKD = Kir­chen­ge­setz über den Daten­schutz der Evan­ge­li­schen Kirche in Deutschland).

Kapitel X – De­le­gier­te Rechts­ak­te und Durchführungsrechtsakte
In Kap. X sind fol­gen­de Ab­schnit­te enthalten:

•  92 – 93 DSGVO: De­le­gier­te Rechts­ak­te und Durchführungsrechtsakte

Seit In­kraft­tre­ten des Lis­sa­bon­ver­trags sind de­le­gier­te Rechts­ak­te (Art. 290 AEUV) und Durch­füh­rungs­rechts­ak­te (Art. 291 AEUV) als Formen von Rechts­ak­ten eta­bliert. Durch den Vertrag von Lis­sa­bon wurde die Eu­ro­päi­sche Union in­sti­tu­tio­nell re­for­miert. Das Ziel des Ver­trags ist es, die EU de­mo­kra­ti­scher, trans­pa­ren­ter und ef­fi­zi­en­ter zu machen. Der Vertrag wurde am 13.12.2007 unter por­tu­gie­si­scher Rats­prä­si­dent­schaft in Lis­sa­bon von den damals 27 EU-Mit­­glie­d­­staa­­ten un­ter­zeich­net und trat am 01.12.2009 in Kraft.

Kapitel XI – Schlussbestimmungen
In Kap. XI werden noch ein paar Rah­men­be­din­gun­gen ge­re­gelt, die in Teilen seit dem Gül­tig­wer­den der DSGVO nicht mehr re­le­vant sind. Sie finden sich in fol­gen­den Ab­schnit­ten wieder:

•  Artt. 94 – 99 DSGVO: Schlussbestimmungen

Dies sind z. B. die Au­ßer­kraft­set­zung der Da­ten­schutz­richt­li­nie, der Umbau der Artikel-29-Da­­ten­­schut­z­­grup­­pe und die In­kraft­set­zung der DSGVO.

Eu­ro­päi­scher Da­ten­schutz­aus­schuss (EDSA)
Die Artikel-29-Da­­ten­­schut­z­­grup­­pe war das un­ab­hän­gi­ge Gremium und beriet die EU-Kom­­mis­­si­on in Da­ten­schutz­fra­gen. Die Da­ten­schutz­grup­pe wurde mit Art. 29 der Da­ten­schutz­richt­li­nie 95/46/EG ge­schaf­fen und setzte sich aus den Ver­tre­tern der in jedem Mit­glied­staat des EWR be­stehen­den un­ab­hän­gi­gen Da­ten­­­schutz-Kon­­­trol­l­s­tel­­len (i. S. d. Art. 28 der Da­ten­schutz­richt­li­nie 95/46/EG) zu­sam­men. Der Nach­fol­ger der Artikel-29-Da­­ten­­schut­z­­grup­­pe ist der sog. Eu­ro­päi­sche Da­ten­schutz­aus­schuss (EDSA). Der Aus­schuss besteht aus den Leitern der Da­ten­schutz­be­hör­den der EU-Mit­­glie­d­­staa­­ten und dem Eu­ro­päi­schen Da­ten­schutz­be­auf­trag­ten oder ihren je­wei­li­gen Ver­tre­tern. Der EDSA wird v. a. im Rahmen des Ko­hä­renz­ver­fah­rens (Art. 63 DSGVO) dafür sorgen, dass die DSGVO EU-weit mög­lichst ein­heit­lich um­ge­setzt wird. Sollte es zu keiner Ei­ni­gung der be­trof­fe­nen EU-Da­­ten­­schut­z­auf­­sichts­­be­hör­­den kommen, kann er strit­ti­ge Fragen rechts­ver­bind­lich lösen.

Wie wird die deut­sche Ver­hand­lungs­po­si­ti­on für den EDSA bestimmt?
Die Be­stim­mung der deut­schen Po­si­ti­on für Sit­zun­gen des EDSA un­ter­liegt künftig einem for­mel­len Ver­fah­ren. Als Grund­satz sieht das BDSG n. F. vor, dass die Auf­sichts­be­hör­den des Bundes und der Länder in EU-An­­ge­­le­­gen­hei­­ten mit­ein­an­der ko­ope­rie­ren und ge­mein­sa­me Stand­punk­te im Ein­ver­neh­men er­ar­bei­ten. Dieser Grund­satz der ko­or­di­nier­ten Wil­lens­bil­dung gilt für alle Auf­ga­ben, welche die DSGVO dem EDSA über­trägt. Können sich die deut­schen Auf­sichts­be­hör­den nicht auf einen ge­mein­sa­men Stand­punkt einigen, regelt das BDSG n. F. ein ab­ge­stuf­tes Ver­fah­ren zur Ent­schei­dungs­fin­dung, an dessen Ende die deut­sche Po­si­ti­on auf der Grund­la­ge von Mehr­heits­ent­schei­dun­gen aller Auf­sichts­be­hör­den be­stimmt werden kann.

Auf­ga­ben des EDSA
Fol­gen­de Auf­ga­ben nimmt der EDSA wahr:

• Über­wa­chung und Si­cher­stel­lung der ord­nungs­ge­mä­ßen An­wen­dung der DSGVO
• Be­ra­tung der Eu­ro­päi­schen Kom­mis­si­on in Datenschutzfragen
• Be­reit­stel­lung von Leit­li­ni­en und Emp­feh­lun­gen (bisher Orientierungshilfen)
• Fördern des Aus­tauschs von Fach­wis­sen und von Do­ku­men­ta­tio­nen über Da­ten­schutz­vor­schrif­ten und -praxis mit Da­ten­schutz­auf­sichts­be­hör­den in aller Welt
• Führen eines öf­fent­lich zu­gäng­li­chen elek­tro­ni­schen Re­gis­ters, in dem die Be­schlüs­se der Da­ten­schutz­be­hör­den und Ge­rich­te in Bezug auf Fragen, die im Rahmen des Ko­hä­renz­ver­fah­rens be­han­delt wurden, do­ku­men­tiert sind

Die ehe­ma­li­ge Bun­des­be­auf­trag­te für den Daten­schutz und die In­for­ma­ti­ons­frei­heit (BfDI), Frau Andrea Voßhoff hat dazu ein In­for­ma­ti­ons­blatt (ab­ruf­bar unter https://www.bfdi.bund.de > Stich­wort Daten­schutz kompakt vom 11.12.2017) herausgegeben.

(Autorin: Regina Mühlich berät als Da­ten­schutz­be­ra­te­rin, Qua­li­täts­ma­nage­ment­be­auf­trag­te und Com­pli­ance Officer na­tio­nal und in­ter­na­tio­nal tätige mit­tel­stän­di­sche Un­ter­neh­men. Sie ist Vor­stands­mit­glied des Be­rufs­ver­ban­des der Da­ten­schutz­be­auf­trag­ten Deutsch­lan­des (BvD) e.V.)

Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.

30. April 2019