DSGVO - BDSG - TTDSG

34

Am 24.7.2015 begann der sogenannte informelle Trilog zur Verhandlung der finalen Fassung der DSGVO. Der informelle Trilog ist anders als der formelle Trilog nicht in Art. 294 AEUV normiert und unterscheidet sich davon maßgeblich.130 Der informelle Trilogist im Unionsrecht nicht als zwingendes Element des Gesetzgebungsverfahrens vorgesehen. Entsprechend muss er anders als der formelle Trilog auch nicht zwischen der zweiten und dritten Lesung im Parlament durchgeführt werden. Zudem gibt es im informellen Trilog keine Frist, innerhalb derer die Verhandlungen mit einem Ergebnis abgeschlossen werden müssten.131 Der informelle Trilog ist ein Verfahren, bei dem der Rat und das Parlament, unter Vermittlung der Kommission,132 über die finale Fassung eines Rechtsaktes weitgehend frei von prozeduralen Vorgaben verhandeln.133 Die drei Entwürfe der DSGVO divergierten in wichtigen Kernfragen mitunter erheblich (siehe dazu Rn. 22 bis 32).134 Am 17.12.2015 einigten sich Rat und Parlament schließlich auf die finale Entwurfsfassung der DSGVO.135 Diese wurde am 14.4.2016 gemäß Art. 294 Abs. 7 lit. a AEUV vom Parlament verabschiedet, am 4.5.2016 im Amtsblatt der Union veröffentlicht und trat gemäß Art. 99 DSGVO am 25.5.2018 in Kraft.

35

Die DSGVO gliedert sich in 11 Kapitel und 99 Artikel, denen 173 Erwägungsgründe vorangestellt sind. 51 Artikel regeln das materielle und 48 das formelle, organisatorische und kompetenzrechtliche Datenschutzrecht.136

36

Kapitel 1 (Allgemeine Bestimmungen) enthält Regelungen zur Zielbestimmung und zum Anwendungsbereich sowie Begriffsbestimmungen. Kapitel 2 (Grundsätze) regelt Grundsätze der Datenverarbeitung und Erlaubnistatbestände. Kapitel 3 (Rechte der betroffenen Person) enthält unter anderem Regelungen zu Informationspflichten, Auskunftsrechten, dem Recht auf Löschung und Vergessenwerden sowie das Recht auf Datenübertragbarkeit. Kapitel 4 (Verantwortlicher und Auftragsverarbeiter) regelt insbesondere die Voraussetzungen der Auftragsverarbeitung, das Verzeichnis von Verarbeitungstätigkeiten, den technisch-organisatorischen Datenschutz, Meldepflichten bei Datenschutzvorfällen, die Datenschutzfolgenabschätzung und den Datenschutzbeauftragten. Kapitel 5 (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen) enthält den Rechtsrahmen für internationale Datenübermittlungen. Kapitel 6 (Unabhängige Aufsichtsbehörden) regelt Aufgaben und Befugnisse der Aufsichtsbehörden. Kapitel 7 (Zusammenarbeit und Kohärenz) bildet den Rechtsrahmen für die Abstimmung der Aufsichtsbehörden in der Union und den europäischen Datenschutzausschuss. Kapitel 8 (Rechtsbehelfe, Haftung und Sanktionen) enthält Regelungen zu Rechtsbehelfen, Schadensersatz und Bußgeldern. Kapitel 9 (Vorschriften für besondere Verarbeitungssituationen) regelt den Datenschutz in Abgrenzung zur Meinungs- und Informationsfreiheit. Kapitel 10 (Delegierte Rechtsakte und Durchführungsrechtsakte) enthält Befugnisse der Kommission zum Erlass delegierter Rechtsakte. Kapitel 11 (Schlussbestimmungen) regelt die Aufhebung der DSRl, das Verhältnis der DSGVO zu anderen Regelungskomplexen und das Inkrafttreten.

37

Inhaltlich baut die DSGVO stark auf der DSRl auf,137 enthält aber auch neue Elemente, mit denen das europäische Datenschutzrecht an die Anforderungen moderner Datenverarbeitung angepasst werden soll. In der Literatur wird jedoch kritisiert, dass wichtige Aspekte einer Modernisierung des Datenschutzrechts, wie der Datenschutz im Konzern, bei der DSGVO nicht berücksichtigt wurden.138 Der sachliche Anwendungsbereich folgt aus Art. 2 Abs. 1 DSGVO und erfasst entsprechend dem Anwendungsbereich der DSRl jede – auch teilweise – automatisierte Datenverarbeitung (siehe Art. 2 Rn. 6ff.). Der räumliche Anwendungsbereich folgt aus Art. 3 DSGVO und erfasst sowohl Stellen, die Daten im Rahmen der Tätigkeit einer europäischen Niederlassung in oder außerhalb der Union verarbeiten (Abs. 1) oder solche, die zwar außerhalb der Europäischen Union agieren, allerdings Waren oder Dienstleistungen europäischen Bürgern gegenüber anbieten oder deren Verhalten beobachten (Abs. 2) (siehe Art. 3 Rn. 19ff.).

38

Aus Art. 5 DSGVO folgen grundlegende Prinzipien, wie die Verarbeitung nach dem Grundsatz von Treu und Glauben, der Grundsatz der Transparenz, Direkterhebung, Zweckbindung, Erforderlichkeit, Datenvermeidung und Datensparsamkeit. Der DSGVO liegt der Grundsatz des Verbots der Datenverarbeitung mit Erlaubnisvorbehaltzugrunde.139 Aus Art. 6 Abs. 1 UAbs. 1 lit. a bis lit. f DSGVO ergeben sich die Voraussetzungen der Rechtfertigung einer Datenverarbeitung. Dies sind die Einwilligung des Betroffenen, die Erforderlichkeit für die Erfüllung eines Vertrages oder einer gesetzlichen Verpflichtung sowie die Notwendigkeit für den Schutz lebenswichtiger Interessen und die Erforderlichkeit für eine Aufgabe im öffentlichen Interesse oder eigener berechtigter Interessen der datenverarbeitenden Stelle.

39

Die Verarbeitung personenbezogener Daten von Kindern unter 16 Jahren durch Anbieter von Diensten der Informationsgesellschaft setzt gem. Art. 8 Abs. 1 Satz 2 DSGVO die Einwilligung des gesetzlichen Vertreters voraus. Die Voraussetzungen der Verarbeitung besonderer Kategorien personenbezogener Daten folgt aus Art. 9 DSGVO und entspricht im Wesentlichen Art. 8 DSRl.140 Neu ist jedoch, dass biometrische Daten zur eindeutigen Identifizierung als besondere Kategorie personenbezogener Daten gelten (siehe Art. 9 Rn. 14). Ergänzende Pflichten der datenverarbeitenden Stelle umfassen u.a. die Dokumentation (siehe Art. 30), die Datenschutz-Folgenabschätzung (siehe Art. 35 Rn. 1ff.) und die Meldung von Datenschutzvorfällen an Aufsichtsbehörden (siehe Art. 33).141 Die Bestellung eines Datenschutzbeauftragten ist unter den Voraussetzungen gemäß Art. 37 DSGVO für Verantwortliche und Auftragsverarbeiter in allen Mitgliedstaaten nach der DSGVO verpflichtend (siehe Art. 37 Rn. 8ff.).142

40

Im Hinblick auf die Rechte der Betroffenen enthält Art. 17 DSGVO das Recht auf Löschung und auf Vergessenwerden. Bei Letzterem handelt es sich faktisch um ein erweitertes Recht auf Löschung, das insbesondere auf das Medium Internet zugeschnitten ist (siehe Art. 17 Rn. 4ff.). Es soll einem Kontrollverlust der Betroffenen über Daten, die dieser in das Internet gestellt hat, entgegenwirken143 und verpflichtet die verantwortliche Stelle, zumutbare Maßnahmen zu unternehmen, um Dritte auf ein Löschungsbegehren hinzuweisen.144 Das neue Recht auf Datenübertragbarkeit ergibt sich aus Art. 20 DSGVO und ist darauf gerichtet, bei einem Wechsel des Diensteanbieters einmal zur Verfügung gestellte Daten in einem gängigen Format sich selbst „zur Mitnahme“ bereitgestellt oder dem neuen Dienstleister zur Verfügung gestellt zu bekommen.145

41

Der Beschäftigtendatenschutzist in der DSGVO nicht besonders geregelt. Eine Datenverarbeitung in Beschäftigungsverhältnissen ist daher unionsrechtlich grundsätzlich an den allgemeinen Voraussetzungen gem. Art. 6 Abs. 1 UAbs. 1 DSGVO zu messen. Art. 88 DSGVO enthält jedoch eine Öffnungsklausel und ermöglicht es den Mitgliedstaaten, eigene Regelungen zum Beschäftigtendatenschutz zu erlassen (siehe Art. 88 Rn. 10ff.). Der deutsche Gesetzgeber hat davon mit § 26 BDSG Gebrauch gemacht.

42

Die Datenschutzaufsicht steht gem. Art. 51 DSGVO in der Verantwortung der Mitgliedstaaten (siehe Art. 51 Rn. 6). Diese können vorsehen, dass die Aufsicht durch eine oder mehrere Aufsichtsbehörden ausgeführt wird. Die föderale Struktur der deutschen Aufsichtsbehörden kann und wird daher beibehalten werden.146 Die Befugnisse der Aufsichtsbehörden werden durch die DSGVO präzisiert und erweitert.147 Für die unionsweite und grenzüberschreitende Datenschutzaufsicht wird mit der DSGVO das Kohärenzverfahren gemäß Art. 60ff. DSGVO eingeführt.