Читать книгу Datenschutz 2020 - Regina Mühlich - Страница 8
ОглавлениеDie erste europäische verfassungsrechtliche Regelung für Datenschutz besteht in Art. 8 der Europäischen Menschenrechtskonvention des Europarats vom 04.11.1950. Dieser basiert auf Art. 12 zur Wahrung von Privat- und Familienleben der allgemeinen Erklärung der Menschenrechte der Vereinten Nationen (EMRK)[1] vom 10.12.1948. Alle Mitgliedstaaten des Europarats setzten die EMRK in ihr nationales Recht um oder haben sie übernommen.
Im Laufe der Jahre verabschiedete das Ministerkomitee des Europarats mehrere Entschließungen zum Schutz von personenbezogenen Daten. Das wohl wichtigste und von allen EU-Staaten ratifizierte Übereinkommen ist Nr. 108 von 1981[2]: das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten.
Die Sammlung Europäischer Verträge (SEV) Nr. 8 schützt den Menschen vor Missbrauch bei der Erhebung und Verarbeitung von personenbezogenen Daten und strebt eine Regelung des grenzüberschreitenden Datenverkehrs an. Die Grundsätze und Regelungen sind auch in den Texten der DSGVO enthalten.
Die verbindliche Regelung für die EU[3] bildet nun einen der folgenden sieben Grundsteine[4]:
| 1. | Einheitliche Rechtsgrundlage einer Verordnung (Rechtssicherheit, Wettbewerbsgleichheit, kein Forum Shopping) |
| 2. | Eindeutige Zuständigkeit einer einzelnen Datenschutzbehörde (One-Stop-Shop) |
| 3. | Einheitlich hohes Datenschutzniveau |
| 4. | Berücksichtigung der Besonderheiten von Polizei und Justiz in der Rechtsarchitektur |
| 5. | Besondere Aufmerksamkeit für kleinere und mittlere Unternehmen |
| 6. | Ausgewogene Berücksichtigung aller Grundrechte |
| 7. | Offenheit des neuen Rechtsrahmens für zukünftige technologische und wirtschaftliche Entwicklungen |
1.1.1 Regelung mit Durchgriffswirkung
{Durchgriffswirkung}
Die Vereinheitlichung nationaler Gesetze zum Umgang mit personenbezogenen Daten ist das große Hauptanliegen der Datenschutzgrundverordnung. Entsprechend heißt es am Ende des Art. 99 DSGVO: „Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.“ Der bisherige Flickenteppich nationaler Regelungen gehört damit in vielen Teilen der Vergangenheit an. Als allgemeine Regelung mit unmittelbarer innerstaatlicher Geltung verfügt die DSGVO über eine „Durchgriffswirkung“. Diese grundsätzliche Vollharmonisierung ersetzt größtenteils nationales Datenschutzrecht.
1.1.2 Bedeutung der englischen Fassung für die Auslegung
Die DSGVO liegt in allen Sprachen der EU-Mitgliedstaaten[5] vor und alle Sprachfassungen sind gleich verbindlich. Zwangsläufig gibt es in den Übersetzungen auch Unterschiede. Die DSGVO wurde überwiegend in der englischen Sprachfassung im Gesetzgebungsverfahren verhandelt und man hat sich auf den Text der DSGVO in der englischen Fassung verständigt. Anhand der englischen Fassung ist es ggf. einfacher, bei Unklarheiten den Sinn und Zweck der Regelung zu erschließen.
| Praxistipp |
| Es sollte zur Auslegung eine weitere aktuelle Sprachfassung der DSGVO in der Praxis herangezogen werden. Die englische Sprachfassung bietet sich hierfür an. |
1.1.3 Grundsätzliches zur DSGVO
Gegenstand und Ziele
Die DSGVO enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten (Art. 1 Abs. 1 DSGVO).
Art. 1 Abs. 1 und 2 DSGVO
(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
Der freie Verkehr personenbezogener Daten in der EU darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden (Art. 1 Abs. 3 DSGVO).
Die DSGVO ist – wie bereits die alte Fassung des Bundesdatenschutzgesetzes (BDSG a. F.) – als Verbotsgesetz mit Erlaubnisvorbehalt ausgestaltet. Das bedeutet, dass der Umgang mit personenbezogenen Daten grundsätzlich untersagt ist – es sei denn, die Verordnung, eine andere gesetzliche Vorschrift oder eine Einwilligung des Betroffenen erlauben dies.
Die DSGVO gilt unmittelbar und direkt und ist im Gegensatz zum BDSG a. F. kein Auffanggesetz mehr. Sie hat Vorrang vor anderen Rechtsvorschriften der Mitgliedstaaten, sofern es keine ausdrückliche Möglichkeit für einzelstaatliche Regelungen (sog. Öffnungsklauseln) gibt.
Art. 6 Abs. 1 Satz 1 DSGVO
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […]
Was 2018 im Vergleich zum BDSG a. F. mit der DSGVO weggefallen ist
Auch wenn es im Hinblick auf die Regelungen der DSGVO unerheblich ist, was in alten Gesetzen galt, wird hier der Vollständigkeit halber und auch zum besseren Verständnis des geltenden Datenschutzrechts kurz darauf eingegangen.
Informationelle Selbstbestimmung
Die DSGVO kennt den Begriff „informationelle Selbstbestimmung“ als rechtsdogmatischen deutschen Sonderweg nicht. Das Europarecht spricht vom „Recht auf Datenschutz“ (Art. 8 Abs. 1 GRCh).
Das europäische Datenschutzgrundrecht ist ein europäischer Grundrechtsschutz. Das bedeutet, ein „Gang nach Karlsruhe“ – Ausnahme beim Arbeits- und Verwaltungsrecht – ist nicht mehr möglich. Urteile werden im Datenschutzrecht am Europäischen Gerichtshof (EuGH) gefällt.
Der EuGH mit Sitz in Luxemburg ist das oberste rechtsprechende Organ der EU. Nach Art. 19 Abs. 1 Satz 2 EUV sichert er „die Wahrung des Rechts bei der Auslegung und Anwendung der Verträge“. Zusammen mit dem Gericht der Europäischen Union bildet er das Gerichtssystem der EU, das im politischen System der EU die Rolle der Judikative einnimmt.[6]
Funktionsübertragung {Funktionsübertragung} § 11 BDSG a. F. ließ die sog. Auftragsdatenverarbeitung zu. Charakteristisch für diese war, dass sich die datenschutzrechtlich verantwortliche Stelle eines Dritten für die Durchführung bestimmter Datenverarbeitungsvorgänge bediente.
Bei der sog. Funktionsübertragung[7] wurde eine Stelle für eine andere dergestalt tätig, dass die „eingeschaltete“ Stelle für die andere einen bestimmten Auftrag wahrnimmt und dazu im eigenen Namen alle erforderlichen Entscheidungen trifft, aber dabei stets im Interesse des „Auftraggebers“ handeln muss.
Im Rahmen der DSGVO hat der Gesetzgeber einige Änderungen vorgesehen. Die Definitionen des Art. 4 Nr. 7 und 8 DSGVO lassen die ursprüngliche Unterscheidung zwischen Auftragsdatenverarbeitung und Funktionsübertragung, wie sie noch unter dem BDSG a. F. vorgenommen wurde, nicht mehr zu.
Was bisher unter einer Funktionsübertragung subsummiert wurde, ist nach der DSGVO entweder
| • | eine Auftragsverarbeitung (Art. 28 DSGVO) oder |
| • | eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) oder |
| • | eine „normale“ Übermittlung an einen anderen Verantwortlichen. |
Fußnoten:
Vgl. https://www.menschenrechtskonvention.eu (zuletzt aufgerufen am: 29.01.2020).
Vgl. https://rm.coe.int/1680078b38 (zuletzt aufgerufen am: 29.01.2020).
Mitgliedstaaten der EU: Belgien (1958), Bulgarien (2007), Dänemark (1973), Deutschland (1958), Estland (2004), Finnland (1995), Frankreich (1958), Griechenland (1981), Irland (1973), Italien (1958), Kroatien (2013), Lettland (2004), Litauen (2004), Luxemburg (1958), Malta (2004), Niederlande (1958), Österreich (1995), Polen (2004), Portugal (1985), Rumänien (2007), Schweden (1995), Slowakei (2004), Slowenien (2004), Spanien (1986), Tschechische Republik (2004), Ungarn (2004), Vereinigtes Königreich (1973 bis zum Abschluss der Austrittsverhandlungen), Zypern (2004).
Reding: Sieben Grundbausteine der europäischen Datenschutzreform, ZD 2012, S. 195.
Vgl. https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1577440017618&uri=CELEX:32016R0679 (zuletzt aufgerufen am: 29.01.2020).
Unter https://curia.europa.eu finden sich sowohl Informationen zum EuGH selbst als auch zu seinen (aktuellen) Urteilen.
Vgl. https://www.baden-wuerttemberg.datenschutz.de/auftragsdatenverarbeitung-und-funktionsuebertragung/ (zuletzt aufgerufen am: 29.01.2020).
