Die Datenschutz-Grundverordnung (DSGVO) besteht aus elf Kapiteln mit insgesamt 99 Artikeln sowie 173 Erwägungsgründen. Sie ist damit deutlich umfassender als das BDSG a. F. mit 48 Paragrafen. Die DSGVO enthält Artikel, während das BDSG n. F., wie auch a. F., aus Paragrafen bestehen. In Deutschland erfolgt die Einteilung der meisten Gesetze in Paragrafen. Einige Gesetze werden in Artikel unterteilt. Die wichtigsten Beispiele hierfür sind das Grundgesetz (GG), das Einführungsgesetz zum Bürgerlichen Gesetzbuche (EGBGB), das Scheckgesetz (ScheckG) und das Wechselgesetz (WG).
Die meisten völkerrechtlichen Verträge sowie Rechtsakte des Europarats und der EU, z. B. die Europäische Menschenrechtskonvention (EMRK), der EU-Vertrag und die DSGVO, sind in Artikeln gegliedert.
Die sog. Erwägungsgründe (ErwG) geben die Ziele, die mit der Formulierung der Artikel der DSGVO verfolgt wurden, wieder. Sie sind nicht die eigentlichen Rechtsnormen, aber sie sind hilfreich für die Interpretation und das Verständnis der DSGVO.
Anwendungsbereich
Die DSGVO gilt für die voll oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder in einem derartigen System gespeichert werden sollen.
Begriffsbestimmung
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die DSGVO gilt nicht für personenbezogene Daten Verstorbener (ErwG 27). Kurz gesagt ist eine natürliche Person ein Mensch, im Gegensatz zur juristischen Person (Firma, Verein).
Erwägungsgrund 27 Keine Anwendung auf Daten Verstorbener: Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten können im Rahmen der Öffnungsklauseln Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen.
Sie gilt sowohl für eine elektronische Datenverarbeitung, auch wenn diese nur aus einem einzigen Rechner besteht, als auch bei einem nach bestimmten Kriterien geordneten Karteisystem (in Papierform, nicht automatisierte Verarbeitung). Hier spricht man vom sog. sachlichen Anwendungsbereich gem. Art. 2 Abs. 1 DSGVO.
In erster Linie richtet sich der Schutz des Einzelnen gegen Gefahren für sein Persönlichkeitsrecht, die von einer Verarbeitung seiner personenbezogenen Daten ausgehen. Die DSGVO gilt gem. Art. 2 Abs. 2 lit. c nicht für die Verarbeitung zu persönlichen und familiären Zwecken (Haushaltsausnahme).
Das heißt also: Anwendung der DSGVO = personenbezogene Daten + automatisierte oder manuelle Verarbeitung von personenbezogenen Daten.
Die DSGVO unterscheidet in Kap. I – Allgemeine Bestimmungen zwischen einem sachlichen (Art. 2 DSGVO) und einem räumlichen Anwendungsbereich (Art. 3 DSGVO).
Sachlicher Anwendungsbereich: ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Räumlicher Anwendungsbereich: die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union, unabhängig davon, ob die Verarbeitung in der Union stattfindet
Struktur
Kapitel I – Allgemeine Bestimmungen
In den Artt. 1 – 4 DSGVO finden sich Regelungen zum Geltungsbereich, Definitionen, der Zweck und Begriffe. In Art. 4 DSGVO finden sich die Begriffsbestimmungen, die ausführliche Beschreibungen zu den Begrifflichkeiten aus der DSGVO enthalten.
Neu sind hier Erläuterungen zu den Begriffen Hauptniederlassung, Vertreter, Unternehmen und Unternehmensgruppe (Art. 4 Nr. 16 – 19 DSGVO). Wie bereits das BDSG kennt die DSGVO ebenfalls kein Konzernprivileg.
An der grundsätzlichen eigenen Verantwortlichkeit jeder einzelnen Stelle ändert dies jedoch nichts. Auswirkungen hat das Vorliegen einer Unternehmensgruppe aber bei der nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO notwendigen Interessenabwägung im Rahmen der Entscheidung, ob ein Erlaubnistatbestand greift. Hierzu legt ErwG 48 DSGVO fest, dass die Übermittlung von Daten innerhalb einer Unternehmensgruppe ein berechtigtes Interesse darstellt. Diese Feststellung wird auch als „kleines Konzernprivileg“ bezeichnet.
Das aus dem Aktienrecht bekannte Konzernprivileg war im deutschen Datenschutzrecht bisher nicht anerkannt. Mit der DSGVO wird der Datenaustausch im Konzern auf der Grundlage von Einwilligungen (Art. 7 DSGVO) oder dem Instrument der Auftragsverarbeitung (Art. 28 DSGVO) erschwert, allerdings durch Art. 6 Abs. 1 DSGVO auch erleichtert. Der konzerninterne Datenaustausch kann als „berechtigtes Interesse“ angesehen werden. Der ErwG 48 DSGVO erkennt für den Konzern „interne Verwaltungszwecke“ als ein berechtigtes Interesse an.
Die DSGVO kennt den Begriff Anonymisierung nicht. Gleichwohl können personenbezogene Daten anonymisiert werden, um damit den Schutz der personenbezogenen Daten zu gewährleisten. Es ist nachvollziehbar, warum die DSGVO diesen Begriff nicht (mehr) regelt: Mit anonymisierten Daten ist eine natürliche Person nicht mehr identifizierbar.
Die Anonymisierung ist das Verändern personenbezogener Daten derart, dass diese Daten nicht mehr einer Person zugeordnet werden können. Bei der Pseudonymisierung wird der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym (zumeist eine mehrstellige Buchstaben- oder Zahlenkombination, auch Code genannt) ersetzt, um die Feststellung der Identität der betroffenen Person auszuschließen (vgl. § 3 Abs. 6a BDSG a. F. bzw. § 46 Nr. 5 BDSG n. F.).
Kapitel II – Grundsätze
Neben den Regelungen zur Rechtmäßigkeit und zu den Erlaubnisvorbehalten finden sich in Artt. 5 – 11 DSGVO Regelungen zur Datensparsamkeit, Transparenz und Einwilligung.
Kapitel III – Rechte der betroffenen Person
In Kap. III sind alle Rechte der betroffenen Person zusammengefasst. Diese gliedern sich in die folgenden Abschnitte:
- Artt. 12 – 15 DSGVO: Transparenz, Informationspflicht, Recht auf Auskunft
- Artt. 16 – 20 DSGVO: Berichtigung und Löschung
- Artt. 21 – 22 DSGVO: Widerspruchsrecht
- Artt. 22 – 23 DSGVO: Beschränkungen
Das „Recht auf Datenübertragbarkeit“ (Datenportabilität) ist eine Neuerung des Datenschutzrechts und stärkt die Rechte der betroffenen Person. Der Grundgedanke der Datenübertragbarkeit ist, dass eine betroffene Person, wenn sie es wünscht, von dem Verantwortlichen die personenbezogenen Daten, die sich auf sie beziehen, erhält. Sie soll dadurch die Möglichkeit erhalten, diese Daten in das Verarbeitungssystem eines anderen Verantwortlichen übertragen zu können bzw. diese direkt zwischen den Verantwortlichen übertragen zu lassen.
Kapitel IV – Verantwortlicher und Auftragsverarbeiter
In Kap. IV sind die Rechte und Pflichten der Unternehmen im Rahmen der Verarbeitung von personenbezogenen Daten geregelt. Diese gliedern sich in die folgenden Abschnitte:
- Artt. 24 – 31 DSGVO: Verantwortliche und Auftragsverarbeiter
- Artt. 32 – 34 DSGVO: Sicherheit personenbezogener Daten
- Artt. 35 – 36 DSGVO: Datenschutz-Folgenabschätzung
- Artt. 37 – 39 DSGVO: Datenschutzbeauftragter
- Artt. 40 – 43 DSGVO: Verhaltensregeln und Zertifizierungen
Hier ist insbesondere der Art. 28 DSGVO hervorzuheben, welcher die Bedingungen für die Verarbeitung im Auftrag regelt (Auftragsverarbeitung). Des Weiteren sollte der Art. 32 DSGVO – Sicherheit der Verarbeitung (ErwG 83) beachtet werden. Personenbezogene Daten bedürfen demnach eines technischen und organisatorischen Schutzes.
Kapitel V – Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
Das Kap. V dient vorrangig der Verbesserung und Konkretisierung der bisherigen europäischen Rechtslage zum Datentransfer in ein Drittland. Hier ist insbesondere der folgende Abschnitt zu nennen:
- Artt. 44 – 50 DSGVO: Übermittlung personenbezogener Daten an Drittländer
Das vorgegebene hohe Datenschutzniveau innerhalb der Europäischen Union (EU) soll auch bei einer Übermittlung in ein Drittland gewährleistet und nicht unterlaufen werden können.
Kapitel VI – Unabhängige Aufsichtsbehörden
Die Aufsichtsbehörden der EU sind unabhängige Behörden (Art. 8 Abs. 3 GRCh und Art. 16 Abs. 2 AEUV). In Kap. V sind die folgenden Abschnitte relevant:
- Artt. 51 – 59 DSGVO: Unabhängige Aufsichtsbehörden
Die Anwendung und Kontrolle der DSGVO bleibt in der Zuständigkeit von mitgliedstaatlichen Behörden. Des Weiteren verpflichtet das Kap. VI die Aufsichtsbehörden für Datenschutz zur Zusammenarbeit. Die konkrete Ausgestaltung der Behörden überlässt die Verordnung den EU-Mitgliedstaaten.
Kapitel VII – Zusammenarbeit und Kohärenz
In diesem Kapitel wird die Zusammenarbeit der Aufsichtsbehörden geregelt, u. a. auch die gegenseitige Amtshilfe, gemeinsame Maßnahmen sowie der Informationsaustausch untereinander. Die detaillierten Beschreibungen finden sich hier:
- Artt. 60 – 76 DSGVO: Zusammenarbeit und Kohärenz
Eine fundamentale Neuerung ist der sog. „One-Stop-Shop-Mechanismus“. Für Unternehmen, die eine oder mehrere unselbstständige Niederlassungen in der EU haben, ist bei der grenzüberschreitenden Datenverarbeitung nur die Aufsichtsbehörde der Hauptniederlassung oder einzigen Niederlassung in der EU zuständig.
Kapitel VIII – Rechtsbehelfe, Haftung und Sanktionen
Kapitel VIII regelt das Recht der Beschwerde einer betroffenen Person bei einer Aufsichtsbehörde, zu finden unter:
- Artt. 77–84 DSGVO: Rechtsbehelfe, Haftung und Sanktionen
Das Beschwerderecht ist dem Petitionsrecht (Art. 17 GG) wesensgleich. Des Weiteren wird hier das Verbandsklagerecht geregelt (in Deutschland: Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (UKlaG)).
Kapitel IX – Vorschriften für besondere Verarbeitungssituationen
- Mit Art. 85 DSGVO wurde eine Öffnungsklausel geschaffen, die einen weitreichenden Regulierungsspielraum zum Schutz der Meinungs- und Informationsfreiheit eröffnet.
- Der Art. 90 DSGVO – Geheimhaltungspflichten gibt die Möglichkeit, spezielle Vorschriften für Berufsgeheimnisträger wie z. B. Notare, Rechtsanwälte oder Steuerberater zu schaffen.
- In Art. 91 DSGVO findet sich die Öffnungsklausel für Kirchen und religiöse Vereinigungenoder Gemeinschaften. Die katholische und evangelische Kirche haben von diesem Recht Gebrauch gemacht und verfügen weiterhin jeweils über ein eigenes Datenschutzgesetz (KDG = Gesetz über den Kirchlichen Datenschutz; DSG-EKD = Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland).
Kapitel X – Delegierte Rechtsakte und Durchführungsrechtsakte
In Kap. X sind folgende Abschnitte enthalten:
- 92 – 93 DSGVO: Delegierte Rechtsakte und Durchführungsrechtsakte
Seit Inkrafttreten des Lissabonvertrags sind delegierte Rechtsakte (Art. 290 AEUV) und Durchführungsrechtsakte (Art. 291 AEUV) als Formen von Rechtsakten etabliert. Durch den Vertrag von Lissabon wurde die Europäische Union institutionell reformiert. Das Ziel des Vertrags ist es, die EU demokratischer, transparenter und effizienter zu machen. Der Vertrag wurde am 13.12.2007 unter portugiesischer Ratspräsidentschaft in Lissabon von den damals 27 EU-Mitgliedstaaten unterzeichnet und trat am 01.12.2009 in Kraft.
Kapitel XI – Schlussbestimmungen
In Kap. XI werden noch ein paar Rahmenbedingungen geregelt, die in Teilen seit dem Gültigwerden der DSGVO nicht mehr relevant sind. Sie finden sich in folgenden Abschnitten wieder:
- Artt. 94 – 99 DSGVO: Schlussbestimmungen
Dies sind z. B. die Außerkraftsetzung der Datenschutzrichtlinie, der Umbau der Artikel-29-Datenschutzgruppe und die Inkraftsetzung der DSGVO.
Europäischer Datenschutzausschuss (EDSA)
Die Artikel-29-Datenschutzgruppe war das unabhängige Gremium und beriet die EU-Kommission in Datenschutzfragen. Die Datenschutzgruppe wurde mit Art. 29 der Datenschutzrichtlinie 95/46/EG geschaffen und setzte sich aus den Vertretern der in jedem Mitgliedstaat des EWR bestehenden unabhängigen Datenschutz-Kontrollstellen (i. S. d. Art. 28 der Datenschutzrichtlinie 95/46/EG) zusammen. Der Nachfolger der Artikel-29-Datenschutzgruppe ist der sog. Europäische Datenschutzausschuss (EDSA). Der Ausschuss besteht aus den Leitern der Datenschutzbehörden der EU-Mitgliedstaaten und dem Europäischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern. Der EDSA wird v. a. im Rahmen des Kohärenzverfahrens (Art. 63 DSGVO) dafür sorgen, dass die DSGVO EU-weit möglichst einheitlich umgesetzt wird. Sollte es zu keiner Einigung der betroffenen EU-Datenschutzaufsichtsbehörden kommen, kann er strittige Fragen rechtsverbindlich lösen.
Wie wird die deutsche Verhandlungsposition für den EDSA bestimmt?
Die Bestimmung der deutschen Position für Sitzungen des EDSA unterliegt künftig einem formellen Verfahren. Als Grundsatz sieht das BDSG n. F. vor, dass die Aufsichtsbehörden des Bundes und der Länder in EU-Angelegenheiten miteinander kooperieren und gemeinsame Standpunkte im Einvernehmen erarbeiten. Dieser Grundsatz der koordinierten Willensbildung gilt für alle Aufgaben, welche die DSGVO dem EDSA überträgt. Können sich die deutschen Aufsichtsbehörden nicht auf einen gemeinsamen Standpunkt einigen, regelt das BDSG n. F. ein abgestuftes Verfahren zur Entscheidungsfindung, an dessen Ende die deutsche Position auf der Grundlage von Mehrheitsentscheidungen aller Aufsichtsbehörden bestimmt werden kann.
Aufgaben des EDSA
Folgende Aufgaben nimmt der EDSA wahr:
- Überwachung und Sicherstellung der ordnungsgemäßen Anwendung der DSGVO
- Beratung der Europäischen Kommission in Datenschutzfragen
- Bereitstellung von Leitlinien und Empfehlungen (bisher Orientierungshilfen)
- Fördern des Austauschs von Fachwissen und von Dokumentationen über Datenschutzvorschriften und -praxis mit Datenschutzaufsichtsbehörden in aller Welt
- Führen eines öffentlich zugänglichen elektronischen Registers, in dem die Beschlüsse der Datenschutzbehörden und Gerichte in Bezug auf Fragen, die im Rahmen des Kohärenzverfahrens behandelt wurden, dokumentiert sind
Die ehemalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Frau Andrea Voßhoff hat dazu ein Informationsblatt (abrufbar unter https://www.bfdi.bund.de > Stichwort Datenschutz kompakt vom 11.12.2017) herausgegeben.
(Autorin: Regina Mühlich berät als Datenschutzberaterin, Qualitätsmanagementbeauftragte und Compliance Officer national und international tätige mittelständische Unternehmen. Sie ist Vorstandsmitglied des Berufsverbandes der Datenschutzbeauftragten Deutschlandes (BvD) e.V.)
Wenn Sie Fragen haben, kontaktieren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.
30. April 2019