Читать книгу Datenschutz 2020 - Regina Mühlich - Страница 11
ОглавлениеDie DSGVO besteht aus elf Kapiteln mit insgesamt 99 Artikeln sowie 173 Erwägungsgründen. In Deutschland erfolgt die Einteilung der meisten Gesetze in Paragrafen. Die wichtigsten Beispiele für Gesetze, die ebenfalls in Artikel unterteilt sind, sind das Grundgesetz (GG), das Scheckgesetz (ScheckG), das Wechselgesetz (WG) und das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG), welches am 26.04.2019 in Kraft getreten ist.
Die meisten völkerrechtlichen Verträge sowie Rechtsakte des Europarats und der EU, z. B. die Europäische Menschenrechtskonvention (EMRK), der EU-Vertrag und die DSGVO, sind in Artikel gegliedert.
Die sog. Erwägungsgründe (ErwG) geben die Ziele, die mit der Formulierung der Artikel der DSGVO verfolgt wurden, wieder. Sie sind nicht die eigentlichen Rechtsnormen, aber sie sind hilfreich für die Interpretation und das Verständnis der DSGVO.
Die DSGVO gilt für die voll oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder in einem derartigen System gespeichert werden sollen.
Begriffsbestimmung
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Kurz gesagt ist eine natürliche Person ein Mensch, im Gegensatz zur juristischen Person (Firma, Verein).
Die DSGVO gilt nicht für personenbezogene Daten Verstorbener (ErwG 27 DSGVO):
ErwG 27 DSGVO
Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten können Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen.
Die DSGVO gilt sowohl für eine elektronische Datenverarbeitung, auch wenn diese nur aus einem einzigen Rechner besteht, als auch bei einem nach bestimmten Kriterien geordneten Karteisystem (in Papierform, nicht automatisierte Verarbeitung). Hier spricht man vom sog. sachlichen Anwendungsbereich gem. Art. 2 Abs. 1 DSGVO.
Geschützt werden durch die DSGVO die Grundrechte und Grundfreiheiten natürlicher Personen und „insbesondere“ deren Recht auf Schutz personenbezogener Daten. In erster Linie richtet sich der Schutz des Einzelnen gegen Gefahren für sein Persönlichkeitsrecht, die von einer Verarbeitung seiner personenbezogenen Daten ausgehen. Die DSGVO gilt gem. Art. 2 Abs. 2 lit. c nicht für die Verarbeitung zu persönlichen und familiären Zwecken (Haushaltsausnahme). Das heißt also, die Anwendung der DSGVO umfasst sowohl personenbezogene Daten als auch die automatisierte oder manuelle Verarbeitung von personenbezogenen Daten.
Die DSGVO unterscheidet in Kap. I – Allgemeine Bestimmungen zwischen einem sachlichen (Art. 2 DSGVO) und einem räumlichen Anwendungsbereich (Art. 3 DSGVO).
Begriffsbestimmung
Sachlicher Anwendungsbereich: ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen ( Kap. 2.3).
Räumlicher Anwendungsbereich: die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union, unabhängig davon, ob die Verarbeitung in der Union stattfindet ( Kap. 1.1).
Kapitel I – Allgemeine Bestimmungen
In den Artt. 1–4 DSGVO finden sich Regelungen zum Geltungsbereich, Definitionen, der Zweck und Begriffe. In Art. 4 DSGVO finden sich die Begriffsbestimmungen, die ausführliche Beschreibungen zu den Begrifflichkeiten aus der DSGVO enthalten.
Neu sind hier Erläuterungen zu den Begriffen Hauptniederlassung, Vertreter, Unternehmen und Unternehmensgruppe (Art. 4 Nr. 16–19 DSGVO). Wie bereits das BDSG kennt die DSGVO weiterhin kein Konzernprivileg.
An der grundsätzlichen eigenen Verantwortlichkeit jeder einzelnen Stelle ändert dies jedoch nichts. Auswirkungen hat das Vorliegen einer Unternehmensgruppe aber bei der nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO notwendigen Interessenabwägung im Rahmen der Entscheidung, ob ein Erlaubnistatbestand greift. Hierzu legt ErwG 48 DSGVO fest, dass die Übermittlung von Daten innerhalb einer Unternehmensgruppe ein berechtigtes Interesse darstellt. Diese Feststellung wird auch als „kleines Konzernprivileg“ bezeichnet.
| Praxistipp |
| Das aus dem Aktienrecht bekannte Konzernprivileg {Konzernprivileg} war im deutschen Datenschutzrecht bisher nicht anerkannt. Mit der DSGVO wird der Datenaustausch im Konzern auf der Grundlage von Einwilligungen (Art. 7 DSGVO) oder dem Instrument der Auftragsverarbeitung (Art. 28 DSGVO) erschwert, allerdings durch Art. 6 Abs. 1 DSGVO auch erleichtert. Der konzerninterne Datenaustausch kann als „berechtigtes Interesse“ angesehen werden. Der ErwG 48 DSGVO erkennt für den Konzern „interne Verwaltungszwecke“ als ein berechtigtes Interesse an, welches allerdings entsprechend zu belegen und zu dokumentieren ist. |
Begriffsbestimmung
Die Anonymisierung {Anonymisierung} ist das Verändern personenbezogener Daten derart, dass diese Daten nicht mehr einer Person zugeordnet werden können. Bei der Pseudonymisierung {Pseudonymisierung} wird der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym (zumeist eine mehrstellige Buchstaben- oder Zahlenkombination, auch Code genannt) ersetzt, um die Feststellung der Identität der betroffenen Person auszuschließen (vgl. § 3 Abs. 6a BDSG a. F. bzw. § 46 Nr. 5 BDSG).
Die DSGVO kennt den Begriff Anonymisierung nicht. Gleichwohl können personenbezogene Daten anonymisiert werden, um damit den Schutz der personenbezogenen Daten zu gewährleisten. Es ist nachvollziehbar, warum die DSGVO diesen Begriff nicht (mehr) regelt: Mit anonymisierten Daten ist eine natürliche Person nicht mehr identifizierbar.
Kapitel II – Grundsätze
Neben den Regelungen zur Rechtmäßigkeit und zu den Erlaubnisvorbehalten finden sich in Artt. 5–11 DSGVO Regelungen zur Datensparsamkeit, Transparenz und Einwilligung.
Kapitel III – Rechte der betroffenen Person
In Kap. III sind alle Rechte der betroffenen Person ( Kap. 6.1) zusammengefasst. Diese gliedern sich in die folgenden Abschnitte:
| • | Artt. 12–15 DSGVO: Transparenz, Informationspflicht, Recht auf Auskunft |
| • | Artt. 16–20 DSGVO: Berichtigung und Löschung |
| • | Artt. 21–22 DSGVO: Widerspruchsrecht |
| • | Art. 23 DSGVO: Beschränkungen |
Das „Recht auf Datenübertragbarkeit“ (Datenportabilität {Datenportabilität}; Kap. 6.1.8), das es erst seit der DSGVO gibt, stärkt die Rechte der betroffenen Person.
Der Grundgedanke der Datenübertragbarkeit ist, dass eine betroffene Person, wenn sie es wünscht, von dem Verantwortlichen die personenbezogenen Daten, die sich auf sie beziehen, erhält. Sie soll dadurch die Möglichkeit erhalten, diese Daten in das Verarbeitungssystem eines anderen Verantwortlichen übertragen zu können bzw. diese direkt zwischen den Verantwortlichen übertragen zu lassen.
Kapitel IV – Verantwortlicher und Auftragsverarbeiter
In Kap. IV sind die Rechte und Pflichten der Unternehmen im Rahmen der Verarbeitung von personenbezogenen Daten geregelt. Diese gliedern sich in die folgenden Abschnitte:
| • | Artt. 24–31 DSGVO: Verantwortliche und Auftragsverarbeiter |
| • | Artt. 32–34 DSGVO: Sicherheit personenbezogener Daten |
| • | Artt. 35–36 DSGVO: Datenschutz-Folgenabschätzung |
| • | Artt. 37–39 DSGVO: Datenschutzbeauftragter |
| • | Artt. 40–43 DSGVO: Verhaltensregeln und Zertifizierungen |
Hier ist insbesondere der Art. 28 DSGVO hervorzuheben, welcher die Bedingungen für die Verarbeitung im Auftrag regelt (sog. Auftragsverarbeitung). Des Weiteren sollte der Art. 32 DSGVO – Sicherheit der Verarbeitung (ErwG 83 DSGVO) beachtet werden. Personenbezogene Daten bedürfen demnach eines technischen und organisatorischen Schutzes.
Kapitel V – Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
Das Kap. V dient vorrangig der Verbesserung und Konkretisierung der bisherigen europäischen Rechtslage zum Datentransfer in ein Drittland. Hier ist insbesondere der folgende Abschnitt zu nennen:
| • | Artt. 44–50 DSGVO: Übermittlung personenbezogener Daten an Drittländer |
Das vorgegebene hohe Datenschutzniveau innerhalb der EU soll auch bei einer Übermittlung in ein Drittland gewährleistet und nicht unterlaufen werden können.
Kapitel VI – Unabhängige Aufsichtsbehörden
Die Aufsichtsbehörden der EU sind unabhängige Behörden (Art. 8 Abs. 3 GRCh und Art. 16 Abs. 2 AEUV). In Kap. V sind die folgenden Abschnitte relevant:
| • | Artt. 51–59 DSGVO: Unabhängige Aufsichtsbehörden |
Die Anwendung und Kontrolle der DSGVO bleibt in der Zuständigkeit von mitgliedstaatlichen Behörden. Des Weiteren verpflichtet das Kap. VI die Aufsichtsbehörden für Datenschutz zur Zusammenarbeit. Die konkrete Ausgestaltung der Behörden überlässt die Verordnung den EU-Mitgliedstaaten.
Kapitel VII – Zusammenarbeit und Kohärenz
In diesem Kapitel wird die Zusammenarbeit der Aufsichtsbehörden geregelt, u. a. auch die gegenseitige Amtshilfe, gemeinsame Maßnahmen sowie der Informationsaustausch untereinander. Die detaillierten Beschreibungen finden sich hier:
| • | Artt. 60–76 DSGVO: Zusammenarbeit und Kohärenz |
Eine fundamentale Neuerung der DSGVO ist der sog. One-Stop-Shop {One-Stop-Shop}-Mechanismus. Für Unternehmen, die eine oder mehrere unselbstständige Niederlassungen in der EU haben, ist bei der grenzüberschreitenden Datenverarbeitung nur die Aufsichtsbehörde der Hauptniederlassung oder einzigen Niederlassung in der EU zuständig ( Kap. 1.2).
Kapitel VIII – Rechtsbehelfe, Haftung und Sanktionen
Kapitel VIII regelt das Recht der Beschwerde einer betroffenen Person bei einer Aufsichtsbehörde, zu finden unter:
| • | Artt. 77–84 DSGVO: Rechtsbehelfe, Haftung und Sanktionen |
Das Beschwerderecht ist dem Petitionsrecht (Art. 17 GG) wesensgleich. Des Weiteren wird hier das Verbandsklagerecht geregelt (in Deutschland: Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (UKlaG)).
Kapitel IX – Vorschriften für besondere Verarbeitungssituationen
| • | Mit Art. 85 DSGVO wurde eine Öffnungsklausel geschaffen, die einen weitreichenden Regulierungsspielraum zum Schutz der Meinungs- und Informationsfreiheit eröffnet. |
| • | Der Art. 90 DSGVO – Geheimhaltungspflichten {Geheimhaltung} gibt die Möglichkeit, spezielle Vorschriften für Berufsgeheimnisträger wie z. B. Notare, Rechtsanwälte oder Steuerberater zu schaffen. |
| • | In Art. 91 DSGVO findet sich die Öffnungsklausel für Kirchen und religiöse Vereinigungen {Kirchlicher Datenschutz} oder Gemeinschaften. Die katholische und evangelische Kirche haben von diesem Recht Gebrauch gemacht und verfügen weiterhin jeweils über ein eigenes Datenschutzgesetz (KDG = Gesetz über den Kirchlichen Datenschutz; DSG-EKD = Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland; vgl. Kap. 2.5.3 und Kap. 3.8). |
Kapitel X – Delegierte Rechtsakte und Durchführungsrechtsakte
In Kap. X sind folgende Abschnitte enthalten:
| • | Artt. 92–93 DSGVO: Delegierte Rechtsakte und Durchführungsrechtsakte |
Seit Inkrafttreten des Lissabonvertrags sind delegierte Rechtsakte (Art. 290 AEUV) und Durchführungsrechtsakte (Art. 291 AEUV) als Formen von Rechtsakten etabliert.
Durch den Vertrag von Lissabon wurde die EU institutionell reformiert. Das Ziel des Vertrags ist es, die EU demokratischer, transparenter und effizienter zu machen. Der Vertrag wurde am 13.12.2007 unter portugiesischer Ratspräsidentschaft in Lissabon von den damals 27 EU-Mitgliedstaaten unterzeichnet und trat am 01.12.2009 in Kraft.
Kapitel XI – Schlussbestimmungen
In Kap. XI werden noch ein paar Rahmenbedingungen geregelt, die in Teilen seit dem Gültigwerden der DSGVO nicht mehr relevant sind. Sie finden sich in folgenden Abschnitten wieder:
| • | Artt. 94–99 DSGVO: Schlussbestimmungen |
Dies sind z. B. die Außerkraftsetzung der Datenschutzrichtlinie, der Umbau der Artikel-29-Datenschutzgruppe (Näheres dazu und zu ihrem Nachfolger, dem Europäischen Datenschutzausschuss, vgl. Kap. 1.3.3) und die Inkraftsetzung der DSGVO.
