DSGVO - BDSG - TTDSG

15

Die zweite Überarbeitung des BDSG erfolgte im Jahr 2001 durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze,59 in dem der Gesetzgeber die Anforderungen der DSRl in deutsches Recht umsetzte.60 Dabei wurde aber im Grundsatz die Konzeption des BDSG a.F. beibehalten, sodass es auch relevante Unterschiede zur Konzeption des Datenschutzrechts in der DSRl gab, unter anderem die in der DSRl fehlende Differenzierung zwischen der Datenverarbeitung durch öffentliche und nichtöffentliche Stellen. Anders als das BDSG a.F. differenziert die DSRl auch nicht zwischen der verwendeten Technologie und erfasst automatisierte und nicht automatisierte Verarbeitung im gleichen Maße wie das BDSG a.F.61

16

Die Umsetzung der DSRl war gemäß Art. 32 Abs. 1 DSRl bis zum 24.10.1998 vorzunehmen. In Deutschland zog sie sich jedoch in die Länge und erfolgte im Jahr 2001, zweieinhalb Jahre nach Ablauf der Umsetzungsfrist und erst nach der Einleitung eines Vertragsverletzungsverfahrens durch die Europäische Kommission.62 Das war zum einen bedingt durch das Ende der Legislaturperiode, zum anderen durch die Forderung nach einer grundlegenden Modernisierung des Datenschutzrechts.63 Bei der Umsetzung beschränkte sich der Gesetzgeber dann nicht zuletzt aufgrund des Zeitdrucks weitgehend auf die Umsetzung der DSRl.64 Es wurden hierbei aber auch Grundsätze eines modernen Datenschutzrechts mit Elementen ökonomischer Anreize eingeführt, wie die Prinzipien der Datenvermeidung und der Datensparsamkeit (§ 3a BDSG), des Datenschutzes durch Technik oder eines Datenschutzaudits (§ 9a BDSG).65 Zur grundlegenden Reform des BDSG a.F. kam es im Rahmen der Umsetzung der DSRl durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze66 jedoch nicht. Die Forderung nach einer umfassenderen Modernisierung des Datenschutzrechtsblieb bestehen.67

17

Zuletzt wurde das BDSG a.F. 2009 durch drei Reformgesetze geändert.68 Die sog. BDSG-Novelle I69 erfolgte durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes vom 29.7.2009.70 Sie trat zum 1.4.2010 in Kraft und befasst sich mit Scoring, Rating und dem Recht der Auskunfteien. Die Novelle brachte Neuerungen des Datenschutzrechts insbesondere in vier Bereichen; so wurden Mitteilungs- und Erklärungspflichten bei automatisierten Einzelentscheidungen, Zulässigkeitsregeln für Scoring-Verfahren sowie die Übermittlung von Daten an Auskunfteien und Auskunftspflichten in Bezug auf Scoringwerte neu geregelt.71 Die zweite Novellierung des BDSG72 im Jahr 2009 erfolgte durch das Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14.8.2009.73 Sie trat in ihren wesentlichen Teilen zum 1.9.2009 in Kraft, in den durch Art. 5 des Änderungsgesetzes benannten Ausnahmen hingegen erst mit Wirkung zum 1.4.2010.

18

Durch die BDSG-Novelle II sollten ursprünglich die Voraussetzungen zur Durchführung eines freiwilligen Datenschutzauditsgemäß § 9a BDSG a.F. durch ein Datenschutzauditgesetz74 geschaffen werden. Hiervon wurde im Laufe des Gesetzgebungsverfahrens aber Abstand genommen. Die BDSG-Novelle II brachte jedoch Veränderungen für das sog. Listenprivileg gemäß § 28 Abs. 3 Sätze 2–5 BDSG a.F.,75 die Auftragsdatenverarbeitung gemäß § 11 BDSG a.F.76 sowie eine Erhöhung des Bußgeldrahmens für Datenschutzverstöße gemäß § 43 BDSG a.F.,77 die Neuregelung von Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten gemäß § 42a BDSG a.F.78 und die Einführung einer Regelung zum Arbeitnehmerdatenschutz in § 32 BDSG a.F.79

19

Die BDSG-Novelle III80 erfolgte durch Art. 5 des Gesetzes zur Umsetzung der Verbraucherkreditrichtlinie, des zivilrechtlichen Teils der Zahlungsdienstrichtlinie sowie zur Neuordnung der Vorschriften über das Widerrufs- und Rückgaberecht vom 29.7.2009.81 Sie enthielt unter anderem Regelungen zum Umgang mit personenbezogenen Daten im Zusammenhang mit der Kreditwürdigkeitsprüfung von Verbrauchernund Änderungen der Informationspflichten beim Abschluss bzw. der Ablehnung von Verbraucherdarlehensverträgen in § 29 BDSG.

20

Die Verarbeitung personenbezogener Daten betrifft heute praktisch jeden Bereich der Gesellschaft und stellt für viele Wirtschaftsprozesse einen wesentlichen Faktor der Wertschöpfungskette dar. Das Datenschutzrecht und der damit verfolgte Ausgleich widerstreitender Interessen an der Freiheit des Datenverkehrs einerseits und dem Schutz natürlicher Personen vor den Gefahren der Datenverarbeitung andererseits ist damit elementar für unser soziales und wirtschaftliches Leben. Der Rechtsrahmen zur Bewertung damit verbundener Fragen aus DSRl und deren Umsetzung in mitgliedstaatlichen Datenschutzgesetzen, wie dem BDSG a.F., wird nun durch die DSGVO und deren Anpassungsgesetze abgelöst.

21

Die DSGVO tritt an die Stelle der DSRl und ist für die Mitgliedstaaten gemäß Art. 288 Abs. 2 AEUV unmittelbar anwendbares Recht.82 Mit der DSGVO erreicht die Harmonisierungdes europäischen Datenschutzrechts eine neue Qualität, die aber u.a. durch zahlreiche Öffnungsklauseln und das weiterbestehende Fachrecht im öffentlichen Bereich der Mitgliedstaaten in Frage gestellt wird. Erstmals gibt es in der Rechtsform der Verordnung gemäß Art. 288 Abs. 2 AEUV unionsweit unmittelbar anwendbares Datenschutzrecht. Angesichts zunehmend globalisierter Datenverarbeitung, die sich schon lange nicht mehr durch nationalstaatliche Grenzen einschränken lässt, ein konsequenter, wichtiger und richtiger Schritt; mit Sicherheit aber nicht der letzte zur Weiterentwicklung des Datenschutzrechts der Union. Die Bedeutung der DSGVO für die europäische und weltweite Entwicklung des Datenschutzrechts kann nicht überschätzt werden.83

22

Der Prozess zur Neuordnung des europäischen Datenschutzrechts begann schon viele Jahre vor der Verabschiedung der DSGVO. Die erste wichtige Manifestation dieses Prozesses war die Vorstellung des „Gesamtkonzepts für den Datenschutz in der EU“84 am 4.11.2010 durch die Kommission unter Führung der Kommissarin für Justiz, Grundrechte und Bürgerrechte Viviane Reding . Dieses Konzept sah vor, den Datenschutzstandard in der Union anzuheben und unionsweit zu vereinheitlichen, um die Wettbewerbsgleichheit in der Union zu fördern. Zudem sollte der Schutz der Betroffenen im Rahmen eines vollharmonisierten Regelungsumfelds vom Ort der Datenverarbeitung unabhängig gewährleistet werden.85 Das Konzept der Kommission sieht dafür sieben „Grundbausteine“ vor, nämlich 1. eine Einheitliche Rechtsgrundlage in der Rechtsform der Verordnung, 2. eindeutige Zuständigkeiten jeweils einer Aufsichtsbehörde, 3. ein einheitliches und hohes Schutzniveau, 4. Berücksichtigung der Besonderheiten von Polizei und Justiz, 5. Berücksichtigung der Besonderheiten von kleinen und mittleren Unternehmen, 6. ausgewogene Berücksichtigung sämtlicher Grundrechte und 7. Offenheit für technische Entwicklungen.86 Das Parlament begrüßte und unterstützte dieses Konzept ausdrücklich.87 Dennoch dauerte es danach noch fast sechs Jahre, bis eine Einigung der europäischen Institutionen erreicht und die DSGVO am 14.4.2016 durch das Parlament verabschiedet wurde.

23

Am 25.1.2012 stellte die Kommission ihren Entwurf zur Regelung des europäischen Datenschutzrechts in einer Verordnung88 sowie den Vorschlag für eine Richtlinie für die behördliche Datenverarbeitung zu Zwecken der Aufklärung und Verhinderung von Straftaten89 vor. Mit diesen Regelungsvorschlägen sollte das europäische Datenschutzrecht grundlegend reformiert und an die Anforderungen moderner Datenverarbeitung angepasst werden.90 Der Kommissionsentwurf ist in wesentlichen Teilen in der finalen Fassung der DSGVO umgesetzt worden, sah sich aber auch intensiver Kritik ausgesetzt und wurde in zentralen Aspekten während des Gesetzgebungsverfahrens modifiziert.