Christian Szidzek - Datenschutzgrundverordnung für Dummies

mehr Kontrolle Betroffener über ihre Daten

das Setzen globaler Standards für den Datenschutz sowie

die Festlegung einheitlicher Datenschutzregeln für den digitalen Binnenmarkt.

Betroffene Personen, deren Daten Gegenstand von Verarbeitungen in Unternehmen, Behörden oder sonstigen Einrichtungen – die DSGVO spricht von Verantwortlichen (Art. 4 Nr. 7) – sind, sollen durch die DSGVO mehr Kontrolle über das Schicksal ihrer Daten erhalten, als das nach alter Rechtslage noch der Fall war. Aus diesem Grund wurde in die Artikel 12 bis 22 gleich ein ganzer Katalog an neuen Betroffenenrechten aufgenommen. Diese reichen von Auskunftsansprüchen über Berichtigungsrechte bis hin zu einem Recht auf Datenlöschung und Vergessenwerden .

Welche Rechte Betroffene im Einzelnen haben und wie Sie diesen gegebenenfalls nachkommen müssen, können Sie in Kapitel 8 Die Waffen der Betroffenen ganz ausführlich nachlesen.

Durch die Einführung des jetzt zusätzlich geltenden Marktortprinzips ist es nun möglich, auch solche Unternehmen dem Regime des europäischen Datenschutzes zu unterwerfen, die ihren Sitz außerhalb der EU oder des Europäischen Wirtschaftsraums haben. Dazu gleich mehr unten unter der Überschrift Räumlicher Anwendungsbereich . Damit wird das europäische Verständnis von Datenschutz weit über die Territorialgrenzen der EU hinaus transportiert.

Durch die unmittelbare Anwendbarkeit der DSGVO in allen Mitgliedstaaten der EU sollten einheitliche Datenschutzregeln für den digitalen europäischen Binnenmarkt geschaffen und Wettbewerbsnachteile, die durch die unterschiedlichen nationalen Datenschutzgesetze bewusst oder unbewusst geschaffen wurden, wieder ausgeglichen werden. Die EU-Kommission schätzt, dass durch die Vereinheitlichung der unterschiedlichen Datenschutzregeln auf Dauer gesehen jährlich Einsparungen in Höhe von rund 2,3 Milliarden Euro möglich sind. Gefühlt waren es für Unternehmen zwar bislang eher zusätzliche Ausgaben als Einsparungen, aber vielleicht ist das ja auch nur zu kurzfristig gedacht. Nach den Folgen der Französischen Revolution gefragt, antwortete etwa der damalige chinesische Premierminister Tschou En-lai im Jahr 1972, es sei zu früh, dies zu beurteilen. Es kommt wahrscheinlich darauf an, in welchen Zeiträumen man denkt.

Die DSGVO regelt die Pflichten von Behörden, Unternehmen, sonstigen Einrichtungen, aber auch von privaten Verantwortlichen beim Umgang mit personenbezogenen Daten. Zusätzlich wird ein umfassendes und effizientes Aufsichtswesen etabliert, das einerseits einer konsequenten Umsetzung der Vorgaben der DSGVO verpflichtet ist, zugleich aber auch eine einheitliche Auslegung der Vorschriften auf der gesamten europäischen Ebene sicherstellen soll.

Wenn Sie die DSGVO das erste Mal aufschlagen, werden Sie überrascht sein. Bevor Sie auch nur den ersten Artikel der DSGVO zu Gesicht bekommen, stehen dort erst einmal genau 173 sogenannte Erwägungsgründe , durch die Sie sich durchquälen können. Aber seien Sie beruhigt, das müssen Sie nicht, wenn Sie wissen wollen, was die DSGVO regelt. Der eigentliche Verordnungstext beginnt nämlich erst bei Art. 1.

Als Erwägungsgründe bezeichnet man Erläuterungen, die Gesetzestexten vorangestellt werden, um die Überlegungen nachvollziehbar zu machen, die zum Erlass der sich dann anschließenden und wirklich rechtsverbindlichen Regelungen geführt haben.

Sich die Erwägungsgründe durchzulesen, ist hilfreich, weil sie einen Eindruck vermitteln, warum der Verordnungsgeber welche Regeln erlassen hat. Leider enthalten die Erwägungsgründe der DSGVO aber keine Verweise auf die Vorschriften, auf die sie sich beziehen und umgekehrt. Das macht es nicht gerade leicht.

Wenn Sie mit dem Text der DSGVO arbeiten, suchen Sie sich am besten eine Edition , bei der den jeweiligen Artikeln der DSGVO die dazugehörenden Erwägungsgründe zugeordnet sind. Im Internet finden Sie verschiedene solcher Editionen über die einschlägigen Suchmaschinen. So wissen Sie immer gleich, was sich der Verordnungsgeber so dachte, als er bestimmte Vorschriften in die Verordnung aufgenommen hat.

Die DSGVO besteht aus 99 Artikeln. Wenn wir Ihnen in diesem Dummies-Buch nun den gesamten Text der DSGVO abdruckten, würden Sie sich zu Recht darüber ärgern, dass Sie viel Geld bezahlt haben für einen Verordnungstext, der in sämtliche Sprachen der Mitgliedstaaten übersetzt frei im Internet verfügbar ist. Aus diesem Grund sehen wir mit Ihrem mutmaßlichen Einverständnis an dieser Stelle davon ab. Wenn Sie sich aber näher mit der DSGVO befassen wollen, kommen Sie nicht daran vorbei, sich einen Verordnungstext zuzulegen und dort den einen oder anderen wichtigen Hinweis zu kommentieren.

Sie finden den Volltext auf der EUR-Lex-Seite der EU unter: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32016R0679 oder Sie geben einfach die Suchbegriffe DSGVO , Text, EUR-Lex in eine beliebige Suchmaschine ein und werden auch so fündig.

Da es sich bei der DSGVO um eine Verordnung der EU handelt, müssen die Vorschriften in jedem Mitgliedstaat genauso angewendet werden, als hätte der Mitgliedstaat das Gesetz selbst erlassen. Das unterscheidet die Verordnung von der Richtlinie . Mit Inkrafttreten der DSGVO gab es aber außer der Vereinheitlichung noch einen weiteren Paradigmenwechsel : Die DSGVO ist nämlich zusätzlich auch noch vorrangig vor nationalem Recht anzuwenden. Das war bis zu ihrem Erlass anders. Bis dahin galt das sogenannte Subsidiaritätsprinzip . Das damalige Datenschutzrecht war erst dann anzuwenden, wenn es keine anderen Gesetze gab, auf die man sich stützen konnte. Erst wenn es eine Regelungslücke gab, kam das Datenschutzrecht zur Anwendung. Das Datenschutzrecht der DSGVO ist jetzt immer vorrangig anzuwenden, und Gesetze von Nationalstaaten, die im Widerspruch zu den Regelungen der DSGVO stehen, dürfen nicht mehr weiter angewendet werden. Das ist auch der Grund, weshalb die Gesetzgeber der Mitgliedstaaten im Jahr 2020 noch immer mit Hochdruck daran arbeiten, Hunderte von nationalstaatlichen Gesetzen anzupassen, die sich mit der DSGVO nicht in Einklang bringen lassen. Nur in Ausnahmefällen und wenn die DSGVO es ausdrücklich erlaubt, können die Mitgliedstaaten speziellere Gesetze erlassen. Da die DSGVO 69 sogenannte Erfüllungsklauseln beinhaltet, also Regelungen, bei denen dem nationalen Gesetzgeber der Mitgliedstaaten erlaubt wird, konkretisierende Gesetze zu erlassen, müssen Sie auch immer zugleich noch einen ergänzenden Blick in die Ausführungsgesetze Ihres jeweiligen Mitgliedstaats werfen. Wenn dort ergänzende Gesetze erlassen worden sind, müssen Sie auch diese einhalten.

Und auch das ist noch nicht ganz ausreichend. Es gilt noch die Richtlinie 2000/31/EG über den elektronischen Geschäftsverkehr , die von den Mitgliedstaaten in vielen Einzelgesetzen in nationales Recht umgesetzt wurde. Sie gilt für Regelungsbereiche, die von der DSGVO nicht abschließend geregelt sind. Das betrifft vor allem Vorschriften über Telekommunikation und Telemedien sowie den Umgang mit personenbezogenen Daten bei Diensten der Informationsgesellschaft . Irgendwann in weiter Ferne wird vielleicht einmal die längst schon für die Vergangenheit angekündigte E-Privacy-Verordnung erlassen werden, die sich dieser Themen annehmen soll. Ursprünglich war geplant, die E-Privacy-Verordnung gleichzeitig mit der DSGVO in Kraft treten zu lassen, da sich beide Verordnungen gegenseitig ergänzen sollten. Intensiver Lobby-Arbeit der Big-Data-Branche ist es zu verdanken, dass beide Verordnungen nun erst zeitlich versetzt in Kraft treten können. Wenn die E-Privacy-Verordnung eines Tags einmal in Kraft sein sollte, dann müssen Sie neben der DSGVO also auch diese beachten.