DSGVO - BDSG - TTDSG

24

Kritisiert wurde insbesondere die zentrale und dominierende Rolle der Kommission bei der Normierung und Durchsetzung des Datenschutzrechts. Der Kommissionsentwurf sah an 26 Stellen Regelungen delegierter Rechtsakte nach Art. 290 AEUV vor,91 mit denen die Kommission hätte rechtsetzend tätig werden können. Delegierte Rechtsakteentsprechen in ihrer Funktion einer Verordnung im deutschen Recht.92 Diese Ermächtigungen sollten es ermöglichen, flexibel auf neue Entwicklungen in Technik und Recht zu reagieren.93 Der Umfang dieser Ermächtigungen wurde zu Recht kritisiert.94 Die Kommission wäre damit faktisch zur zentralen Institution der Regulierung und Kontrolle des europäischen Datenschutzrechts geworden. Die Kritik stützte sich auf Art. 290 Abs. 1 AEUV, wonach der Kommission die Kompetenz nur zur Ergänzung und Änderung „nicht wesentlicher Vorschriften“ sekundärrechtlicher Regelungen übertragen werden darf.95 Die Ermächtigungen in dem Kommissionsentwurf gingen allein durch ihre Zahl über dieses Maß hinaus. Parlament und Rat haben die Zahl der delegierten Rechtsakte in ihren Entwürfen stark reduziert (siehe dazu Rn. 27 und Rn. 30f.). In der finalen Fassung finden sich nur noch zwei Ermächtigungen für delegierte Rechtsakte.96

25

Zudem sah der Kommissionsentwurf in Art. 57 ein Kohärenzverfahrenfür Maßnahmen mit grenzüberschreitender Wirkung vor,97 an dessen Spitze die Kommission stehen sollte. Sie hätte in ihrer Rolle zwar kein Entscheidungs- und Weisungsrecht gehabt, durch delegierte Rechtsakte hätte sie jedoch Verfahren und zugrunde liegendes Datenschutzrecht bestimmen können. Die Aufsichtsbehörden hätten damit bildlich gesprochen auf einem Teppich gestanden, den die Kommission jederzeit unter den Füßen hätte wegziehen können.98 Das Kohärenzverfahren hätte damit im Widerspruch zur Unabhängigkeit der Aufsichtsbehördengestanden.99 Diese sollte aber auch nach dem Kommissionsentwurf gewährleistet werden.

26

Besonders in der deutschen Literatur wurde die Geltung der Verordnung neben dem nicht-öffentlichen auch für den öffentlichen Sektor kritisiert. Die Ausdehnung auf den öffentlichen Sektor wurde teilweise als Verstoß gegen das Subsidiaritätsprinzipaus Art. 5 Abs. 3 EUV gewertet, da Art. 16 Abs. 2 AEUV diesen nicht mitumfasse und es insofern an einer Ermächtigungsgrundlage für den europäischen Gesetzgeber fehle (siehe dazu Rn. 42ff.).100

27

Das Parlament erarbeitete im federführenden Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE)101 von dem Kommissionsentwurf ausgehend den Parlamentsentwurf.102 Dabei wurde die kaum vorstellbare Zahl von 3999 Änderungsvorschlägen evaluiert und für den Entwurf berücksichtigt.103 Der finale Bericht104 wurde dem Parlament schließlich am 21.10.2013 durch den parlamentarischen Berichterstatter Jan Philipp Albrecht zur Entscheidung vorgelegt. Er sah 207 Änderungen105 an dem Kommissionsentwurf vor und wurde vom Parlament am 12.3.2014 in der vorgelegten Form beschlossen.106 Der Parlamentsentwurf erhielt dabei eine Zustimmung von über 95 %.107

28

Im Ergebnis sind nach dem Parlamentsentwurf die Befugnisse der Kommission eingeschränkt und zugunsten der Aufsichtsbehörden und Mitgliedstaaten ausgestaltet worden.108 In dem Parlamentsentwurf gibt es nur noch zehn Normen, die delegierte Rechtsakte der Kommission vorsehen.109 Stattdessen wurden Öffnungsklauseln für Rechtsakte der Mitgliedstaaten und Ermächtigung des Europäischen Datenschutzausschusses zum Erlass unverbindlicher Leitlinien eingefügt.110 Anstelle des One-Stop-Shop-Verfahrens (siehe dazu Art. 56 Rn. 1) in dem Kommissionsentwurf, nach dem sich Betroffene nur an die Aufsichtsbehörde am Ort der Hauptniederlassung hätten wenden können, wurde mit dem Parlamentsentwurf das Prinzip der federführenden Aufsichtsbehörde vorgeschlagen, das sich nun auch im finalen Text der DSGVO findet (siehe dazu Art. 56 Rn. 10ff.).111 In dem Parlamentsentwurf wurden entsprechend auch die Befugnisse des Europäischen Datenschutzausschusses ausgeweitet, der im Rahmen des Kohärenzverfahrens zwischen den Behörden vermittelt und Entscheidungskompetenz hat.

29

Zudem wurde die Komplexität der Verzeichnisse von Verarbeitungstätigkeitenreduziert sowie die Betroffenenrechte gestärkt und differenzierter ausgestaltet.112 Insbesondere wurde das Erfordernis der Transparenz präzisiert, das Recht auf Datenübertragbarkeit aus Art. 18 des Kommissionsentwurfs ersatzlos gestrichen113 und die Bezeichnung „Recht auf Vergessenwerden“ in Pflicht zum Löschen geändert.114 Für die Datenschutzfolgenabschätzung sieht der Parlamentsentwurf die Durchführung einer initialen vorherigen Risikoanalyse vor.115 Für die Ausnahme vom Anwendungsbereich der DSGVO im Rahmen der sogenannten Haushaltsausnahme wurde der Zusatz „ohne jede Gewinnerzielungsabsicht“ gestrichen (siehe Art. 2 Rn. 4).116 Der territoriale Anwendungsbereich des Marktortprinzips wurde in dem Parlamentsentwurf weiter als im Kommissionsentwurf gefasst, indem in Art. 3 Abs. 2 lit. a Parlamentsentwurf aufgenommen wurde, dass auch unentgeltliche Waren- oder Dienstleistungen vom Anwendungsbereich umfasst werden (siehe Art. 3 Rn. 21ff.).

30

Als letztes der drei Organe der Union beschloss der Europäische Rat am 11.6.2015 seinen Entwurf der DSGVO, den Ratsentwurf.117 Der Europäische Ratsetzt sich aus den Staats- und Regierungschefs der Mitgliedstaaten zusammen118 und vertritt naturgemäß die Interessen der Mitgliedstaaten.119 Entsprechend ist es konsequent, dass der Ratsentwurf die Befugnisse der Kommission noch stärker einschränkt und stattdessen mehr Öffnungsklauseln zum Erlass mitgliedstaatlicher Regelungen vorsieht.120 Der Ratsentwurf sieht delegierte Rechtsakte der Kommission nur noch für die Ausgestaltung von Zertifizierungsverfahren vor.121 Weitergehende Rechtsetzungsbefugnisse der Kommission wurden sämtlich gestrichen.122

31

Innerhalb des Rates wurde über das Durchsetzungsregime der DSGVO intensiv diskutiert. Entsprechend der Position des Parlaments sah auch der Rat den Ansatz des Kommissionsentwurfs mit einer starken Kommission kritisch.123 Lange Diskussionen im Rat zu diesem Punkt führten im Ergebnis zu einer nur marginal vom Parlamentsentwurf abweichenden Entwurfsfassung.124 Entsprechend dem Parlamentsentwurf sieht auch der Ratsentwurf zudem vor, dass Regelungen zu Befugnissen der Aufsichtsbehörden sich nicht unmittelbar aus der DSGVO ergeben, sondern nach Maßgabe nationaler Regelungen gelten sollten, damit die DSGVO in Einklang mit den stark divergierenden Regelungen des mitgliedstaatlichen Verfahrensrecht durchgesetzt werden kann.125

32

Nach dem Ratsentwurf sollten zudem durch die Einführung von Art. 1 Abs. 2a Ratsentwurf weitgehende Kompetenzen der Mitgliedstaaten zum Erlass nationaler Regelungen geschaffen werden, die „zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt“.126 So weitreichende Befugnisse der Mitgliedstaaten zum Erlass von datenschutzrechtlichen Regelungen im Bereich der öffentlichen Verwaltung wurden in den Trilogverhandlungen dann jedoch nicht in den finalen Entwurf der DSGVO übernommen.

33

Der Ratsentwurf verfolgte als übergeordnetes Ziel einen risikobasierten Ansatz, um einen adäquaten Ausgleich zwischen dem Schutzerfordernis der Betroffenen und dem administrativen Aufwand der Verantwortlichen zu erreichen.127 In diesem Kontext wurde ebenfalls das Recht auf Datenübertragbarkeit ersatzlos gestrichen und das Auskunftsrecht so beschränkt, dass es zwar unentgeltlich, dafür aber nur in „angemessenen Abständen“ wahrgenommen werden kann.128 Informationspflichten des Verantwortlichen gegenüber den Betroffenen wurden in dem Ratsentwurf erweitert und Mitteilungspflicht in Bezug auf die Berichtigung, Löschung oder Einschränkung eingeführt.129