DSGVO - BDSG - TTDSG

51

In der DSGVO sind je nach Zählweise bis zu 60 Öffnungsklauseln zum Erlass mitgliedstaatlichen Datenschutzrechts vorgesehen, mit denen Regelungen der DSGVO konkretisiert oder mit denen von der DSGVO abgewichen werden kann.188 Die DSGVO verbindet damit Elemente der Richtlinie, die mitgliedstaatlicher Umsetzung bedarf, und der Verordnung, die unmittelbar anwendbares Recht der Union ist, und ist insofern eine atypische bzw. hybride Form der Gesetzgebung in der Union.189 Neben der DSGVO bleibt das mitgliedstaatliche Datenschutzrecht daher eine relevante datenschutzrechtliche Rechtsquelle. Öffnungsklauseln finden sich in praktisch jedem Teil der DSGVO,190 ein Schwerpunkt liegt im Bereich der Datenverarbeitung zu journalistischen Zwecken, der Verarbeitung zu Forschungszwecken, der Verarbeitung von Gesundheitsdaten, der Geheimhaltungsregeln und dem Beschäftigtendatenschutz.191

52

Zweck der Öffnungsklauseln ist es, unterschiedlichen Ausgangspositionen der Mitgliedstaaten Rechnung zu tragen und „alle auf dem Weg der Harmonisierung mitzunehmen“.192 Die Öffnungsklauseln lassen sich in allgemeine und spezifische Öffnungsklauselneinteilen. Allgemeine Öffnungsklauseln schaffen die Möglichkeit für eine Vielzahl mitgliedstaatlicher Regelungen, wie Art. 23 DSGVO, der eine Vielzahl von Abweichungsmöglichkeiten von den Betroffenenrechten ermöglicht.193 Spezifische Öffnungsklauseln lassen mitgliedstaatliche Regelungen nur in einem sehr eingeschränkten Bereich zu, wie Art. 8 Abs. 1 DSGVO für die Abweichung von der Altersgrenze für die Einwilligungsfähigkeit der DSGVO.194 Öffnungsklauseln schaffen die Befugnis der Mitgliedstaaten zur Konkretisierung, Ergänzung oder Modifikation der Regelungen der DSGVO.195 Neben echten Öffnungsklauseln, die eine Handlungsoption (fakultative Öffnungsklauseln) oder ein Handlungsgebot (obligatorische Öffnungsklauseln) enthalten,196 finden sich auch bloße Verweise auf Regelungen der Mitgliedstaaten oder der Union ohne Ermächtigung zur Regelung durch die Mitgliedstaaten (unechte Öffnungsklauseln).197

53

Soweit die DSGVO als Rechtsakt der Union einen Sachverhalt nicht abschließend regelt und in diesem ungeregelten Bereich eine mitgliedstaatliche Regelung existiert, die nicht im Widerspruch zur DSGVO oder anderen Regelungen des Unionsrechts steht, kann diese Regelung des mitgliedstaatlichen Rechts ergänzend zur DSGVO erlassen werden oder neben der DSGVO in Kraft bleiben.198 Insofern kann es über die explizit im Wortlaut der DSGVO abgebildeten Öffnungsklauseln hinaus implizite Öffnungsklauselngeben.199 Das Vorliegen einer impliziten Regelungslücke wird etwa für die Regelung zum Scoring in § 31 BDSG (siehe § 31 Rn. 42ff.) diskutiert.200 Der Bundesgesetzgeber hat sich für den Erlass von § 31 BDSG jedenfalls nicht auf eine explizite Öffnungsklausel in der DSGVO berufen.201

54

Das Konzept der sekundärrechtlichen Rechtsetzung mittels einer Verordnung mit Öffnungsklauseln ist so im Primärrecht eigentlich nicht vorgesehen. Faktisch wird mit der DSGVO damit ein nicht vorgesehener Zwitter geschaffen, der Elemente der Verordnung und der Richtlinie vereint.202 Für den Rechtsanwender ergibt sich daraus die praktische Herausforderung, Normen unterschiedlicher Hierarchieebenen anzuwenden und mögliche Konflikte zu einem Ausgleich zu bringen. Dies kann eine schwierige Aufgabe sein und Rechtsunsicherheiten schaffen, da für jede Regelung des deutschen Rechts geprüft werden muss, ob und wie weit sie neben der DSGVO angewendet werden kann.203

55

Systematisch ist dafür zunächst von der DSGVO auszugehen.204 Die DSGVO ist im Verhältnis zum Recht der Mitgliedstaaten das höherrangige Recht mit Anwendungsvorrang.205 Klarstellend ist dies entsprechend in § 1 Abs. 5 BDSG geregelt (siehe § 1 Rn. 35). Nur wenn und soweit die DSGVO eine Öffnung zur mitgliedstaatlichen Regelung vorsieht, kommt die Anwendung des mitgliedstaatlichen Rechts in Betracht. Im nächsten Schritt ist daher zu prüfen, ob es eine Regelung im mitgliedstaatlichen Recht gibt. Für diese Regelung muss dann geprüft werden, ob sie sich entsprechend der Prüfung von Schranken-Schranken in der Grundrechtsdogmatik im Rahmen der Öffnungsklausel bewegt. Soweit die mitgliedstaatliche Regelung über die Öffnung in der DSGVO hinausgeht, muss dies im Rahmen europarechtskonformer Auslegung206 korrigiert werden. Ggf. kann die Anwendung der mitgliedstaatlichen Norm auch insgesamt ausgeschlossen sein.

56

Die DSGVO hat Anwendungsvorrang vor dem deutschen Datenschutzrecht, schafft aber durch zahlreiche Öffnungsklauseln auch Regelungsbefugnisse für die Mitgliedstaaten. Diese verbleibenden Regelungsbereiche können und müssen von den Stellen der deutschen Legislative entsprechend der Kompetenzregelungen der Art. 70ff. GG mit Leben gefüllt werden. Insofern bleibt es in der föderalen deutschen Struktur bei einer zweigeteilten Zuständigkeit mit einer Bundeskompetenz, die zum Erlass des BDSG geführt hat. Neben der Bundeskompetenz besteht auch eine Länderkompetenz, die zum Erlass von Landesdatenschutzgesetzen genutzt werden kann.207

57

Die DSGVO wurde am 14.4.2016 vom Parlament beschlossen und ist am 25.5.2018 in Kraft getreten. Der Bundesgesetzgeber hatte daher ein sehr enges Zeitfenster, um diesen grundlegenden Umbruch im Datenschutzrecht der Union im nationalen Recht umzusetzen. Im Herbst 2016 leakte ein erster Referentenentwurf des BMI zur Neuregelung des deutschen Datenschutzrechts. Am 23.11.2016 wurde dann der erste offizielle Referentenentwurf des BMI veröffentlicht,208 der als gemeinsamer Entwurf der Bundesregierung am 1.2.2017 in den Gesetzgebungsprozess eingebracht und am 27.4.2017 vom Bundestag als Teil des DSAnpUG-EU209 und als erstes mitgliedstaatliches Datenschutzgesetz zur Umsetzung der DSGVO verabschiedet wurde.210 Der Bundesrat hat dem DSAnpUG-EU am 12.5.2017 zugestimmt. Gemäß Art. 8 Abs. 1 DSAnpUG-EU trat das BDSG zeitgleich mit der DSGVO am 25.5.2018 in Kraft. Der Prozess zur Anpassung des bereichsspezifischen Datenschutzrechts war damit jedoch noch nicht abgeschlossen. Große Bereiche des fachspezifischen deutschen Datenschutzrechts wurden mit dem (Artikel-)Gesetz zur Umsetzung der RL (EU) 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die VO 2016/678 geregelt.211

58

Die Struktur des BDSG weicht erheblich von der Struktur des BDSG a.F. ab. Es gliedert sich in 4 Teile mit jeweils bis zu 7 Kapiteln.

59

Der erste Teil enthält gemeinsame Bestimmungen für den zweiten und dritten Teil, wie den Anwendungsbereich und Begriffsbestimmungen (erstes Kapitel), die Verarbeitung personenbezogener Daten durch öffentliche Stellen und die Videoüberwachung (zweites Kapitel), Regelungen für die oder den Bundesbeauftragte(n) für den Datenschutz und die Informationsfreiheit (viertes Kapitel), die Vertretung im Europäischen Datenschutzausschuss und die Zusammenarbeit der Aufsichtsbehörden (fünftes Kapitel) und Regelungen zu datenschutzrechtlichen Rechtsbehelfen (sechstes Kapitel).

60

Der zweite Teil enthält Regelungen zur Anpassung des deutschen Datenschutzrechts an die DSGVO im Hinblick auf Rechtsgrundlagen der Verarbeitung (erstes Kapitel), Rechte der Betroffenen (zweites Kapitel), Pflichten von Verantwortlichen und Auftragsverarbeitern (drittes Kapitel), Datenschutzaufsicht über nichtöffentliche Stellen (viertes Kapitel), Sanktionen für Datenschutzverstöße (fünftes Kapitel) und Rechtsbehelfe (sechstes Kapitel).

61

Der dritte Teil enthält Regelungen zur Anpassung des deutschen Datenschutzrechts an die Richtlinie EU 2016/680, nämlich zum Anwendungsbereich, zu Begriffsbestimmungen und Grundsätzen (erstes Kapitel), zu Rechtsgrundlagen der Verarbeitung (zweites Kapitel), Rechten der Betroffenen (drittes Kapitel), Pflichten von Verantwortlichen und Auftragsverarbeitern (viertes Kapitel), Datenübermittlungen an Drittstaaten und internationale Organisationen (fünftes Kapitel), zur Zusammenarbeit der Aufsichtsbehörden (sechstes Kapitel) und zu Haftung und Sanktionen (siebtes Kapitel).