Praxishandbuch DSGVO

4. Räumliche Reichweite der Betroffenenrechte

81

Vom räumlichen Anwendungsbereich der DSGVO ist die räumliche Reichweite der Betroffenenrechte zu unterscheiden. Zumindest für das Recht auf Vergessenwerden nach Art. 17 DGSVO im Verhältnis zum Betreiber einer Suchmaschine hat der EuGH – unter anderem gestützt auf die Erwägungsgründe 10, 11 und 13 – festgestellt, dass der Unionsgesetzgeber diesem Recht keine Reichweite verliehen hat, die über das Gebiet der Union hinausgeht.75

Praxishinweis

Die Auswirkungen dieser Rechtsprechung des EuGH in der Praxis sind nur schwer greifbar. Sie erscheinen zumindest in Fällen erwägenswert, in denen die grundsätzlich denkbare exterritoriale Wirkung der DSGVO augenscheinlich dem völkerrechtlichen Prinzip der Nichteinmischung zuwiderläuft.

5. Geltung der DSGVO im EWR

82

Mit Beschluss des EWR-Ausschusses wurde die DSGVO in das EWR-Abkommen aufgenommen und die DSRL gelöscht. Die DSGVO wirkt seit Inkrafttreten des Beschlusses am 20.7.2018 gemäß Art. 7 EWR-Abkommen in Island, Liechtenstein und Norwegen verbindlich als innerstaatliches Recht wie in den Mitgliedstaaten der EU. Der Beschluss nimmt eine Reihe notwendiger Anpassungen und Klarstellungen der DSGVO für die EFTA-Staaten vor. Unter anderem sieht er vor, dass die Aufsichtsbehörden der EFTA-Staaten zwar an den Tätigkeiten des Europäischen Datenschutzausschusses teilnehmen, sie haben jedoch kein Stimmrecht und sind nicht für den Vorsitz wählbar. Es wird zudem klargestellt, dass die Ausdrücke „Mitgliedstaat“ und „Aufsichtsbehörde“ neben ihrer Bedeutung in der DSGVO auch die EFTA-Staaten beziehungsweise ihre Aufsichtsbehörden umfassen.76

38 Art. 3 Abs. 3 DSGVO regelt in erster Linie die Datenverarbeitung am Ort von diplomatischen oder konsularischen Vertretungen der EU-Mitgliedstaaten außerhalb der EU, für die aufgrund des Völkerrechts das Recht des jeweiligen Mitgliedstaates gilt (vgl. Erwägungsgrund 25). 39 Plath/Plath, Art. 3 DSGVO Rn. 8; Gola/Piltz, Art. 3 DSGVO Rn. 7. 40 EuGH, Urt. v. 1.10.2015 – C-230/14, Rn. 24ff. 41 Taeger/Gabel/Schmidt, Art. 3 DSGVO Rn. 9; Kühling/Buchner/Klar, Art. 3 DSGVO Rn. 38; Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 33; Spindler/Schuster/Spindler/Dalby, Art. 3 DSGVO Rn. 4; Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 9. 42 EuGH, Urt. v. 13.5.2014 – C-131/12, Rn. 52ff. 43 EuGH, Urt. v. 13.5.2014 – C-131/12, Rn. 56, 57. 44 Zuletzt EuGH, Urt. v. 24.9.2019 – C-507/17, Rn. 50. 45 Art. 28 Abs. 3 DSGVO; vgl. Kap. 7 Rn. 38. 46 Art. 28 Abs. 10 DSGVO; vgl. Kap. 7 Rn. 10. 47 Aufgrund der eindeutigen Formulierung „nicht in der Union niedergelassenen“ in Art. 3 Abs. 2 DSGVO entsteht zwischen Art. 3 Abs. 1 und Abs. 2 DSGVO eine Lücke für solche Stellen, die zwar Niederlassungen in der EU haben, deren Tätigkeiten aber einen Rahmen haben, in dem die fragliche Datenverarbeitung nicht stattfindet. Insbesondere bei Mischkonzernen ist eine solche Konstellation durchaus denkbar. In der Richtlinie existierte zwar eine vergleichbare Lücke, diese wurde jedoch durch die mitgliedstaatlichen Umsetzungsgesetze (z.B. auch im BDSG (bis 2018)) teilweise geschlossen. Ob und wie sich diese neue Lücke in der Praxis auswirkt, bleibt abzuwarten. Teilweise wird vorgeschlagen, die Lücke im Wege einer teleologischen Auslegung zu schließen. 48 Art. 4 Abs. 1 lit. c DSRL. Nach § 1 Abs. 5 S. 2 BDSG (bis 2018) war erforderlich, dass personenbezogene Daten „im Inland“ erhoben, verarbeitet oder genutzt werden. 49 EuGH, Urt. v. 10.12.1968 – C-7/68, Slg. 1968, 633, Rn. 2; EuGH, Urt. v. 14.7.1977 – C-1/77, Slg. 1977, 1473, Rn. 4. 50 Art. 57 AEUV. 51 Vgl. Taeger/Gabel/Schmidt, Art. 3 DSGVO Rn. 20: Plath/Plath Art. 3 DSGVO Rn. 18; Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 48. 52 Laut der englischen Sprachfassung des Erwägungsgrundes 23 DSGVO ist zu prüfen, „whether it is apparent that the controller or processor envisages offering services to data subjects in one or more Member States in the Union.“ 53 Paal/Pauly/Ernst, Art. 2 DSGVO Rn. 16. 54 Spindler/Schuster/Spindler/Dalby, Art. 3 DSGVO Rn. 10. Art. 6 Abs. 1 lit. b Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17.6.2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht („Rom I“); Art. 6 Verordnung (EG) Nr. 864/2007 des Europäischen Parlaments und des Rates vom 11.7.2007 über das auf außervertragliche Schuldverhältnisse anzuwendende Recht („Rom II“); Art. 15 Abs. 1 lit. c Verordnung (EG) Nr. 44/2001 des Rates vom 22.12.2000 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen („Brüssel I“). 55 EuGH Urt. v. 7.12.2010 – C-585/08 und C-144/09 Rn. 83; Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 17. 56 Im Ergebnis ebenso BeckOK-DS/Hanloser, Art. 3 DSGVO Rn. 34; Kühling/Buchner/Klar, Art. 3 DSGVO Rn. 89. Würde der Auftragsverarbeiter den betroffenen Personen Waren oder Dienstleistungen anbieten, wäre er im Hinblick auf die damit im Zusammenhang stehende Verarbeitung personenbezogener Daten in der Regel selbst Verantwortlicher. 57 A.A. wohl Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 54, zumindest dann, wenn der Auftragsverarbeiter die Infrastruktur betreibt, die sich an betroffene Personen in der Union richtet. 58 Nach der deutschen Sprachfassung des Erwägungsgrundes 23 soll die Datenverarbeitung der Verordnung unterliegen, wenn sie dem Anbieten von Waren oder Dienstleistungen „dient“. Allerdings zeigt ein Vergleich mit anderen Sprachfassungen, dass ein andersartiger Zusammenhang ebenfalls ausreichend sein dürfte. So reicht laut der englischen Sprachfassung ein „related to offering goods or services“. 59 Dies ist bei Online-Diensten durchaus üblich. Europäische Nutzer verwenden außereuropäische Dienste häufig aufgrund ihrer Muttersprache. 60 Die Beobachtung von Offline-Verhalten, welches in der EU erfolgt, wird ohnehin häufig eine Tätigkeit einer Niederlassung im Sinne des Art. 3 Abs. 1 DSGVO sein. 61 Die englische Sprachfassung des Art. 3 Abs. 2 lit. b DSGVO verwendet den Begriff „monitoring“. In der schwedischen Sprachfassung ist von „övervakning“, also „Überwachung“ die Rede. 62 Taeger/Gabel/Schmidt, Art. 3 DSGVO Rn. 25. 63 Vgl. Spindler/Schuster/Spindler/Dalby, Art. 3 DSGVO Rn. 12; Ehmann/Selmayr/Zerdick, Art. 3 DSGVO Rn. 20; Kühling/Buchner/Klar, Art. 3 DSGVO Rn. 94; a.A. Taeger/Gabel/Schmidt, Art. 3 DSGVO Rn. 25. 64 Sofern im Rahmen der Web-Analyse personenbezogene Daten verarbeitet werden, kann diese Verarbeitung jedoch sehr wohl im räumlichen Anwendungsbereich der Verordnung liegen, wenn das analysierte Webangebot ein Angebot an Personen in der EU im Sinne des Art 3 Abs. 2 lit. a DSGVO darstellt. 65 So auch Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 Rn. 59. 66 So auch Plath/Plath, Art. 3 DSGVO Rn. 13. 67 Albrecht, CR 2016, 88, 90. 68 Vgl. Plath/Plath, Art. 3 DSGVO Rn. 14. 69 So aber wohl Plath/Plath, Art. 3 DSGVO Rn. 14. 70 Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 13. 71 Vgl. Taeger/Gabel/Schmidt, Art. 3 DSGVO Rn. 13; Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 32, 62; Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 9 und 11; a.A. BeckOK-DS/Hanloser, Art. 3 DSGVO Rn. 12, für den Fall, dass der Verantwortliche einen in der Union niedergelassenen Verarbeiter beauftragt. 72 Vgl. hierzu insgesamt Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 9ff. 73 Vgl. Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 9 und 10; Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 32. 74 Gegen eine Anwendbarkeit der Regeln aus Kapitel V: Kühling/Buchner/Klar, Art. 3 DSGVO Rn. 38. Dafür: Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 34; Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 11. 75 EuGH, Urt. v. 24.9.2019 – C-507/17, Rn. 54, 62. 76 Beschluss des gemeinsamen EWR-Ausschusses Nr. 154/2018 vom 6.7.2018 zur Änderung des Anhangs XI (Elektronische Kommunikation, audiovisuelle Dienste und Informationsgesellschaft) und des Protokolls 37 (mit der Liste gemäß Artikel 101) des EWR-Abkommens [2018/1022].

IV. Anwendungsbereich mitgliedstaatlicher Regelungen

83

Mit der Feststellung, dass die Verordnung anwendbar ist, ist die Prüfung des anwendbaren Datenschutzrechts in der Regel noch nicht abgeschlossen.

84

Denn das mit der Verordnung verfolgte rechtspolitische Ziel der Errichtung eines einheitlichen Datenschutzregimes in der EU ist nur teilweise erreicht worden. Die Verordnung beinhaltet an vielen Stellen Öffnungsklauseln, welche die Mitgliedstaaten dazu verpflichten bzw. ihnen gestatten, eigene nationale Regelungen zu treffen. Soweit sich eine Datenverarbeitung im Rahmen dieser Öffnungsklauseln bewegt, ist daher auch zu prüfen, welches mitgliedstaatliche Recht neben der Verordnung zur Anwendung kommt.77

85

Eine allgemeine Kollisionsnorm wie in Art. 4 DSRL sucht man in der Verordnung vergebens. Es bleibt daher den Mitgliedstaaten überlassen, festzulegen, wann eine nationale Regelung gilt.

Nationale Regelungen in Deutschland

86

Für öffentliche Stellen des Bundes und der Länder ergibt sich der sachliche Anwendungsbereich aus § 1 Abs. 1 S. 1, Abs. 8 BDSG bzw. aus den Landesdatenschutzgesetzen und der räumliche Anwendungsbereich aus § 1 Abs. 4 S. 1 BDSG. Für öffentliche Stellen ist der Anwendungsbereich gegenüber der DSGVO deutlich erweitert. Die Regelung in § 1 Abs. 8 BDSG dient daher dazu, die DSGVO für öffentliche Stellen insoweit für entsprechend anwendbar zu erklären.

87

§ 1 Abs. 5 BDSG bestimmt deklaratorisch, dass das BDSG keine Anwendung findet, soweit EU-Recht und insbesondere die DSGVO unmittelbar gelten.

88

Soweit dies nicht der Fall ist, ist das BDSG auf die Verarbeitung durch nichtöffentliche Stellen sachlich gemäß § 1 Abs. 1 S. 2 BDSG und persönlich und räumlich gemäß § 1 Abs. 4 S. 2 BDSG anwendbar.

89

Zur Bestimmung des sachlichen Anwendungsbereichs für die Verarbeitung durch nichtöffentliche Stellen wiederholt § 1 Abs. 1 S. 2 BDSG den Wortlaut des Art. 2 Abs. 1 und kombiniert ihn mit dem Wortlaut der Haushaltsausnahme aus Art. 2 Abs. 2 lit. c). Zur Auslegung und Anwendung dieser Vorschrift kann daher auf die entsprechenden Ausführungen zu Art. 2 DSGVO verwiesen werden.78 Zu beachten ist allerdings, dass das BDSG gemäß § 1 Abs. 2 S. 1 BDSG im Verhältnis zu anderen Rechtsvorschriften des Bundes (mit Ausnahme des VwVfG des Bundes, § 1 Abs. 3) subsidiär ist.

90

Die Regelung zum persönlichen und räumlichen Anwendungsbereich des BDSG für nichtöffentliche Stellen in § 1 Abs. 4 BDSG darf als verunglückt bezeichnet werden und sieht sich teilweise dem Vorwurf ausgesetzt, europarechtswidrig zu sein.79

91

§ 1 Abs. 4 S. 2 Nr. 1 erklärt das BDSG unter Wiedereinführung des Territorialitätsprinzips für nichtöffentliche Stellen für anwendbar, wenn der Verantwortliche oder der Auftragsverarbeiter personenbezogene Daten im Inland verarbeitet, obwohl die DSGVO in Art. 3 und Erwägungsgrund 22 vom Kriterium des Ortes der Datenverarbeitung bewusst Abstand genommen hat.80 Das Merkmal der „Verarbeitung im Inland“ ist aus § 1 Abs. 5 S. 2 BDSG a.F. bekannt und wurde im Geltungszeitraum der Richtlinie richtlinienkonform dahingehend ausgelegt, dass die Belegenheit der Verarbeitungsmittel entscheidend ist. Da die richtlinienkonforme Auslegung entfällt, seit die Richtlinie nicht mehr gilt, ist unklar, ob der deutsche Gesetzgeber das Merkmal der „Verarbeitung im Inland“ auch in Zukunft als „Belegenheit der Verarbeitungsmittel“ verstanden wissen will. Die Gesetzesbegründung bietet hierüber keinen Aufschluss, da sie schon aufgrund offensichtlich fehlerhafter Bezugnahmen kaum verständlich ist und auch inhaltlich falsch zu sein scheint.81

92

§ 1 Abs. 4 S. 2 Nr. 1 kann dazu führen, dass die DSGVO für nichtöffentliche Stellen zur Anwendung kommt, wo die Verordnung nicht anwendbar ist (z.B. aufgrund der Verwendung eines in Deutschland belegenen Servers für eine Datenverarbeitung ohne sonstigen Bezug zur EU). Insoweit wäre es ein eigenständiges mitgliedstaatliches Gesetz. Als solches könnte es unanwendbar sein, wenn der Unionsgesetzgeber mit Art. 3 DSGVO die räumliche Reichweite des Datenschutzrechts im Hinblick auf die Regelungsbereiche der Verordnung abschließend regeln wollte. Denn das Datenschutzrecht ist Gegenstand der geteilten Zuständigkeit zwischen der Union und den Mitgliedstaaten und es gilt gemäß Art. 2 Abs. 2 S. 2 AEUV, dass die Mitgliedstaaten nur gesetzgeberisch tätig werden können, sofern und soweit die Union ihre Zuständigkeit nicht ausgeübt hat.82 Die Prüfung, ob ein solcher Fall gegeben ist, bedarf einer vertieften europarechtlichen Analyse und kann hier nicht vorgenommen werden.

93

Geht man in einem konkreten Fall davon aus, dass das BDSG aufgrund von § 1 Abs. 4 S. 2 Nr. 1 auf die Datenverarbeitung durch nichtöffentliche Stellen als eigenständiges mitgliedstaatliches Gesetz anwendbar ist, ergibt sich zudem das Problem, dass zur Rechtsfindung auf die Vorschriften der Verordnung nicht zurückgegriffen werden kann (§ 1 Abs. 8 BDSG gilt in diesem Fall nicht) und das BDSG damit lückenhaft und unverständlich bleibt. Ob das BDSG insoweit noch den aus dem Rechtsstaatsprinzip folgenden Geboten der Normenklarheit und Bestimmtheit entspricht, darf bezweifelt werden.

94

Nach § 1 Abs. 4 S. 2 Nr. 2 ist das BDSG für nicht-öffentliche Stellen räumlich anwendbar, sofern die Verarbeitung der Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung des Verantwortlichen oder Auftragnehmers erfolgt. Dies entspricht im Wesentlichen der Regelung des Art. 3 Abs. 1 DSGVO unter Beschränkung auf Niederlassungen in Deutschland. Zur Auslegung und Anwendung dieser Vorschrift kann daher auf die entsprechenden Ausführungen zu Art. 3 Abs. 1 DSGVO verwiesen werden.83

95

Nach § 1 Abs. 4 S. 2 Nr. 3 ist das BDSG für nicht-öffentliche Stellen, die nicht in der Union und nicht im Europäischen Wirtschaftsraum niedergelassen sind, anwendbar, sofern sie in den Anwendungsbereich der Verordnung fallen.

96

Auch wenn es an einer ausdrücklichen Bezugnahme fehlt, ist dies im Ergebnis ein Rechtsgrundverweis auf Art. 3 Abs. 2 und Abs. 3 DSGVO. Zur Auslegung und Anwendung dieser Vorschrift kann daher auf die entsprechenden Ausführungen zu Art. 3 Abs. 2 DSGVO verwiesen werden.84 In der Praxis ist in erster Linie die Bezugnahme auf das in Art. 3 Abs. 2 Nr. 1 und 2 DSGVO beschriebene Marktortprinzip von Bedeutung.85

97

Im Gegensatz zu § 1 Abs. 4 S. 2 Nr. 1 und 2 BDSG hat der Gesetzgeber bei § 1 Abs. 4 S. 2 Nr. 3 BDSG keine Einschränkung auf das Inland und somit keine Beschränkung auf Deutschland als Marktort vorgenommen. Weder muss sich die betroffene Person in Deutschland befinden, noch muss sich das Angebot von Waren und Dienstleistungen an Personen in Deutschland richten. Auch beobachtetes Verhalten muss nicht in Deutschland erfolgen. Solange die territorialen Anknüpfungspunkte in Art. 3 Abs. 2 DSGVO für irgendeinen Mitgliedstaat der Union gegeben sind, soll das BDSG gemäß § 1 Abs. 4 S. 2 Nr. 3 gelten. Dies führt zu offensichtlich unangemessenen Ergebnissen.86 Eine Kollision mit den Datenschutzgesetzen anderer Mitgliedstaaten ist vorprogrammiert. So hat eine konsequente Anwendung von § 1 Abs. 4 S. 2 Nr. 3 BDSG i.V.m. Art. 3 Abs. 2 lit. a DSGVO zum Beispiel zur Folge, dass für die Datenverarbeitung durch ein in Argentinien niedergelassenes Unternehmen im Zusammenhang mit einem Angebot, welches sich ausschließlich an Personen in Spanien richtet, das BDSG zu beachten wäre. Das spanische Datenschutzrecht wird in diesem Fall jedoch ebenfalls gelten.

98

Die geschilderten Anwendungsprobleme im Zusammenhang mit § 1 Abs. 4 S. 2 Nr. 1 und Nr. 3 BDSG können vorliegend nicht abschließend begutachtet werden. Der Praktiker, der hiervon betroffen ist, sollte die Bewertung dieser Probleme durch Literatur, Rechtsprechung und Verwaltungspraxis im Auge behalten.

99

Ein kursorischer Blick auf die Umsetzungs- und Ergänzungsgesetze anderer Mitgliedstaaten reicht, um festzustellen, dass für verarbeitende Stellen hinter den Vorschriften der Verordnung wie bereits im Geltungszeitraum der Richtlinie ein Dickicht von mitgliedstaatlichen Datenschutzgesetzen liegt deren Anwendbarkeit im Einzelfall zu prüfen ist.

77 Siehe zu den Öffnungsklauseln Kap. 1 Rn. 8. 78 Siehe oben Rn. 12ff. und 24ff. 79 Vgl. Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 10ff. und 64. 80 BeckOK-DS/Gusy/Eichenhofer, § 1 BDSG Rn. 101a. 81 In der Begründung steht zum Beispiel, dass § 1 Abs. 4 S. 1 (sic) Nr. 3 BDSG (2018) dem § 1 Abs. 5 S. 2 BDSG (bis 2018) entspricht, BT-Drs. 18/11325 S. 80. Selbst wenn man dies als eine Bezugnahme auf § 1 Abs. 4 S. 2 Nr. 3 BDSG (2018) umdeutet, ist diese Aussage inhaltlich offensichtlich falsch. 82 Vgl. Calliess/Ruffert/Calliess, Art. 2 AEUV Rn. 13ff. 83 Siehe oben Rn. 34ff. 84 Siehe oben Rn. 49ff. 85 Eine Anwendbarkeit der Verordnung auf nicht-öffentliche Stellen nach Art. 3 Abs. 3 DSGVO wird in der Praxis nur vorkommen, wenn eine nicht-öffentliche Stelle Daten am Ort einer diplomatischen oder konsularischen Vertretung eines EU-Mitgliedstaates außerhalb der EU verarbeitet (vgl. Erwägungsgrund 25). Kurioserweise würde bei unkritischer Anwendung des § 1 Abs. 4 S. 2 Nr. 3 BDSG (2018) i.V.m. Art. 3 Abs. 3 DSGVO z.B. für die Datenverarbeitung eines peruanischen Unternehmens in der französischen Botschaft in Lima das BDSG (2018) gelten. 86 So auch Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 15.

V. Anwendungsbereich sonstiger ausfüllender Normen

100

Neben mitgliedstaatlichen Datenschutzgesetzen können andere mitgliedstaatliche Normen für die datenschutzrechtliche Beurteilung relevant werden.

101

So stellt zum Beispiel Art. 6 Abs. 1 lit. c DSGVO im Sinne einer Rechtsgrundverweisung auf die Erfüllung einer rechtlichen Verpflichtung ab, „der der Verantwortliche unterliegt“.87

102

Auch für die Wirksamkeit einer datenschutzrechtlichen Einwilligung wird in Sondersituationen auf mitgliedstaatliches Recht verwiesen. Dies ist bei der Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft nach Art. 8 Abs. 1 S. 3 DSGVO und bei der Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 2 lit. a DSGVO der Fall.

103

Diese ergänzenden Normen folgen ihren eigenen Anwendbarkeitsregeln, die im Einzelfall zu prüfen sind.

87 Siehe auch Art. 14 Abs. 5 lit. c und 28 Abs. 3 lit. a DSGVO, die ähnliche Verweise enthalten.

Kapitel 4 Datenschutzrechtliche Grundsätze

Übersicht

I. Bedeutung und Funktion der Datenschutzgrundsätze

1

Das Datenschutzrecht ist geprägt von mehreren fundamentalen Grundsätzen, die sozusagen das Leitbild des Gesetzgebers bildeten für die Ausgestaltung der datenschutzrechtlichen Pflichten. Diese Grundsätze liegen deshalb sämtlichen einzelnen in der DSGVO (und auch den Begleitgesetzen und den bereichsspezifischen Sondervorschriften) enthaltenen Pflichten zugrunde.

2

Der EU-Gesetzgeber hat diesen Grundsätzen mit Art. 5 DSGVO eine eigenständige Vorschrift gewidmet und sie dadurch quasi „vor die Klammer“ gezogen.1 Für diejenigen, die sich erstmals mit dem Datenschutzrecht beschäftigen, bietet Art. 5 DSGVO deshalb eine gute Einstiegslektüre – beschreibt er doch in Kurzform den Pflichtenkanon nach der DSGVO.

Beispiel

In Art. 5 Abs. 1 lit. a DSGVO ist der Grundsatz der „Rechtmäßigkeit“ festgeschrieben – dieser bildet die Grundlage für die spezifischen Vorschriften, die Details dazu regeln, wann eine Verarbeitung personenbezogener Daten erlaubt ist, also insbesondere Art. 6 DSGVO, der konkrete Bedingungen für die Zulässigkeit einer Datenverarbeitung normiert.

3

Diese Verarbeitungsgrundsätze haben gleichwohl eine Praxisrelevanz: So messen die Gerichte diesen Grundsätzen bei ihren Entscheidungen durchaus Bedeutung zu. In einer Entscheidung des LG Bonn2 sind sie für das Gericht sogar Hauptprüfungsmaßstab für die Frage der Zulässigkeit der streitgegenständlichen Datenerhebungen. Dies ist Beleg dafür, dass einigen dieser Grundsätze unter der DSGVO ein stärkeres Gewicht zukommt als nach dem BDSG a.F. – namentlich z.B. dem Grundsatz der Datenminimierung (auch wenn das Gericht hier noch den „alten“ Begriff der Datensparsamkeit nach § 3a BDSG a.F. verwendet), der nach altem Recht als reiner Programmsatz kaum rechtliche Konsequenzen nach sich gezogen hätte.

1 Vgl. Strassemeyer, K&R 2020, 176, 177. 2 LG Bonn, Beschl. v. 29.5.2018 – 10 O 171/18, ZD 2018, 588.