Praxishandbuch DSGVO

Kapitel 1 Grundlagen des Umgangs mit der DSGVO

Übersicht

I. Die Anwendung der DSGVO und der nationalen Begleitgesetze

1

Die DSGVO wurde häufig in einem Satz dadurch charakterisiert, dass sie keine Revolution, sondern eher eine Evolution des Datenschutzrechts mit sich gebracht habe. Das stimmt in vielen Bereichen, z.B. weil die der DSGVO zugrundeliegenden Datenschutzprinzipien1 bereits aus der DSRL bekannt waren und weil u.a. einige Zulässigkeitsvorschriften2 fast wortgleich aus der DSRL übernommen worden waren.

2

Es ist aber auch richtig, dass die DSGVO in mehreren Bereichen bedeutsame Änderungen bewirkt hat. Zwei prominente Beispiele hierfür sind die signifikant erhöhten Bußgelder3 und die starke Ausprägung der Verpflichtungen zur Implementierung eines Datenschutz-Managementsystems,4 das in dem von der DSGVO verlangten Reifegrad vorher nur in sehr wenigen Unternehmen konsequent umgesetzt war.

1. Stand der Umsetzung in den Unternehmen

3

Jedes Unternehmen, das in relevantem Umfang personenbezogene Daten verarbeitet, musste und muss sich deshalb intensiv mit den Regelungen befassen und in spezifischen DSGVO-Umsetzungsprojekten oder im Rahmen laufender Kontrollen die Relevanz für die eigene Datenverarbeitung ermitteln und notwendige Anpassungsmaßnahmen ableiten und ergreifen.5 Nach unseren Erfahrungen ist es zwar so, dass die allermeisten Unternehmen ihre DSGVO-Umsetzungsprojekte mittlerweile abgeschlossen haben. Es ist aber auch nicht zu verkennen, dass bei weitem nicht alle Unternehmen bereits eine 100 %ige DSGVO-Konformität erreicht haben. Nach einer Umfrage des Branchenverbandes Bitkom aus dem September 2019 hätten zwar 67 % der Unternehmen Maßnahmen zur Umsetzung der DSGVO ergriffen; es seien eineinhalb Jahre nach Inkrafttreten der neuen Regelungen aber nur 25 % der Unternehmen vollständig DSGVO-konform.6 Darüber hinaus muss aus einem statischen Datenschutz-Managementsystem, das im Rahmen eines DSGVO-Umsetzungsprojekts entsteht, ein dynamisches System werden, das sich laufend optimiert. Anderenfalls ist eine nachhaltige DSGVO-Compliance gerade nicht gewährleistet.7 Es ist daher wichtig, sich fortwährend zu vergegenwärtigen, dass der Übergang zur DSGVO auch einen systematischen Schwenk mit sich gebracht hat, der in zeitlicher und in inhaltlicher Hinsicht ebenfalls fortwährend bewältigt werden muss.

2. Zeitliche Geltung

4

In zeitlicher Hinsicht war der Übergang weniger problematisch, weil es eine klare Stichtagsregelung gibt: Bis zum 24.5.2018 war das alte Recht vollumfänglich anwendbar; erst seit dem 25.5.2018 gilt die DSGVO. Dort wo die DSGVO also Erleichterungen gegenüber der ehemaligen Rechtslage bewirkt hat, z.B. durch den Verzicht auf das ehemals in § 11 Abs. 2 S. 2 BDSG a.F. normierte Schriftformerfordernis, dürfen diese erst seit dem Stichtag in rechtssicherer Weise in Anspruch genommen werden.

5

Ungeachtet dessen bedeutet dies nicht, dass das alte Recht ab sofort keine Rolle mehr spielt. Gerade in derzeit noch laufenden Gerichtsverfahren müssen Sachverhalte häufig noch nach altem Recht – und ggf. parallel auch nach der DSGVO–beurteilt werden. Ein aktuelles Beispiel bildet das Gerichtsverfahren in Sachen Planet49: Der EuGH hat in seiner Entscheidung8 einleitend festgestellt, dass der Ausgangsrechtsstreit nach der Zurückverweisung an den vorlegenden BGH u.U. auf Grundlage der nach der letzten mündlichen Verhandlung zur Geltung gekommenen DSGVO entschieden werden müsse und die Vorlagefragen daher sowohl nach Maßgabe der DSRL als auch der DSGVO zu beantworten waren.

3. Unmittelbare Geltung

6

Ein ganz maßgeblicher Unterschied des „neuen Datenschutzrechts“ gegenüber den alten Regelungen ergibt sich aus dem Rechtscharakter der DSGVO als einer Verordnung: Sie gilt als Verordnung gemäß Art. 288 Abs. 2 AEUV unmittelbar in jedem Mitgliedstaat und bedarf deshalb keiner Umsetzung durch die Mitgliedstaaten. Bei den zusätzlich erlassenen nationalen Datenschutzgesetzen handelt es sich deshalb auch nicht um Umsetzungsakte, sondern um (freiwillige) Begleitgesetze, die den direkten und unmittelbaren Geltungsanspruch der DSGVO unberührt lassen. Die Adressaten der DSGVO einschließlich der mit personenbezogenen Daten umgehenden Unternehmen sind direkt an die Pflichten aus der DSGVO gebunden.

4. Zusammenspiel mit anderen Regelwerken

7

Die DSGVO verfolgt dabei aber keinen Vollharmonisierungsansatz in dem Sinne, dass es keinerlei Datenschutzvorschriften in anderen Regelwerken auf europäischer oder nationaler Ebene mehr geben kann und soll. Zwar wurde die DSRL gemäß Art. 94 Abs. 1 DSGVO zeitlich zum 25.5.2018 aufgehoben, damit sind aber keineswegs alle Parallelgesetze beseitigt. Im Gegenteil bettet sich die DSGVO in ein Regelungsgeflecht aus manchen neuen und manchen weitergeltenden Datenschutzregelungen ein. Hieraus entsteht eine nicht zu unterschätzende Komplexität.

a) Begleitgesetze auf Basis von Öffnungsklauseln

8

Zunächst enthält die DSGVO selbst eine Reihe sogenannter „Öffnungsklauseln“, in denen sie den Mitgliedstaaten gestattet, spezifizierende oder abweichende Regelungen zu treffen. Beispiele hierfür sind Art. 8 Abs. 1 UAbs. 2 DSGVO, wonach die Mitgliedstaaten eine Absenkung der Altersgrenze für Einwilligungen von Minderjährigen von 16 auf bis zu 13 Jahren vorsehen dürfen; und Art. 37 Abs. 4 S. 1, 2. HS DSGVO, der es den Mitgliedstaaten gestattet, von Art. 37 Abs. 1 DSGVO abweichende Voraussetzungen für die Pflicht zur Bestellung eines Datenschutzbeauftragten vorzusehen.

9

In vielen Mitgliedstaaten sind entsprechende Gesetzgebungsverfahren bereits abgeschlossen, die der Inanspruchnahme dieser insgesamt ca. 80 Öffnungsklauseln dienen. Der deutsche Gesetzgeber war hierbei besonders schnell: Das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU vom 30.6.2017) war bereits am 5.7.2017 im Bundesgesetzblatt verkündet worden.9

10

Das Artikelgesetz enthält unter anderem als Art. 1 das BDSG, welches die Begleitvorschriften zur DSGVO enthält, die auf deren Öffnungsklauseln gestützt sind.10 Gemäß Art. 8 Abs. 1 DSAnpUG-EU trat das BDSG parallel zur DSGVO am 25.5.2018 in Kraft.

11

Am 29.11.2019 ist in Deutschland das Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU) in Kraft getreten. Es handelt sich ebenfalls um ein Artikelgesetz, durch das – allerdings überwiegend nur terminologische – Änderungen an diversen Einzelgesetzen vorgenommen wurden, um so die Datenschutzregelungen in diesen Gesetzen mit den Begrifflichkeiten der DSGVO zu harmonisieren.

b) Spezialgesetzliche Datenschutzregelungen in Richtlinien und Gesetzen

12

Explizit nicht durch die DSGVO abgelöst wurde die RL 2002/58/EG.11 In Art. 95 DSGVO wird folgerichtig das Verhältnis der Regelungswerke zueinander geregelt, und zwar in dem Sinne, dass die RL 2002/58/EG vorrangig vor der DSGVO gilt, soweit sie besondere Pflichten enthält, die dasselbe Ziel wie die DSGVO-Pflichten verfolgen. Die RL 2002/58/EG ist also in ihrem Anwendungsbereich lex specialis zur DSGVO.

13

Daraus folgt, dass auch die mitgliedstaatlichen Vorschriften zur Umsetzung der RL 2002/58/EG Vorrang haben vor der DSGVO; in Deutschland sind dies einige – aber nicht alle – Datenschutzregelungen im TKG, manche Datenschutzvorschriften im TMG und die Regelung in § 7 Abs. 2 und 3 UWG. Problematisch hierbei ist, dass die Datenschutzvorschriften in TKG und TMG keine 1:1-Umsetzungen der Richtlinienvorgaben sind. Sie enthalten vielmehr auch Regeln mit datenschutzrechtlicher Natur, die in der RL 2002/58/EG nicht vorgesehen sind- oder möglicherweise gerade keine Umsetzung der entsprechenden Vorschriften in der RL 2002/58/EG sind. Soweit dies der Fall ist, partizipieren solche überschießenden Regelungen nicht am Anwendungsvorrang und werden prinzipiell von der DSGVO verdrängt.

Praxishinweis

Aktuell ergibt sich hieraus eine besondere Problematik bei der Frage des rechtmäßigen Einsatzes von Cookies auf Unternehmens-Webseiten. Es bestehen unterschiedliche Ansichten darüber, ob die Regelungen im TMG eine ordnungsgemäße Umsetzung von Art. 5 Abs. 3 der RL 2002/58/EG darstellen. Die deutschen Datenschutzaufsichtsbehörden verneinen dies mit der Folge, dass sie insbesondere § 15 Abs. 3 TMG für unanwendbar halten und die Zulässigkeit am Maßstab der DSGVO messen.12

c) Datenschutzregelungen außerhalb des Anwendungsbereichs der DSGVO

14

Außerdem regelt die DSGVO auch im Übrigen den Datenschutz in der EU und den Mitgliedstaaten nicht vollständig. Teil des EU-Legislativpakets zum Datenschutz war nicht nur die DSGVO, sondern auch die RL 2016/680/EU13 im Bereich der Strafverfolgung. Die Vorgaben dieser Richtlinie bedürfen wiederum der Umsetzung ins nationale Recht; in Deutschland ist dies in Teil 3 des BDSG bereits erfolgt. Diese Regelungen stehen unbeeinflusst neben der DSGVO.

15

Der Vollständigkeit halber sei abschließend erwähnt, dass es auch datenschutzrechtliche Regelungsmaterien gibt, die weder in die Anwendungsbereiche der DSGVO noch der RL 2016/680/EU fallen, wie etwa im Bereich der Landesverteidigung. Für die Datenverarbeitung durch Unternehmen spielen diese Regelungen freilich allenfalls eine Nebenrolle.

d) Zwischenergebnis

16

Der vorstehende Überblick zeigt, dass es nunmehr ein schwieriger zu bewältigendes Regelungsgeflecht von DSGVO, Richtlinien und nationalen Begleit- und Umsetzungsgesetzen gibt. Gerade dort, wo nationale Datenschutzvorschriften nicht eindeutig und trennscharf einer Öffnungsklausel der DSGVO oder einer umzusetzenden Richtlinienvorgabe zugewiesen werden können, besteht eine unsichere Rechtslage.

1 Siehe Kap. 4 Rn. 3ff. 2 Siehe Kap. 5 Rn. 10ff. 3 Siehe Kap. 16 Rn. 87ff. 4 Siehe Kap. 10 Rn. 10ff. 5 Siehe hierzu Kap. 20. 6 Umfrage des Bitkom e.V.; Ergebnisse abrufbar unter: https://www.bitkom.org/Presse/Presseinformation/Zwei-Drittel-Unternehmen-DS-GVO-groesstenteils-umgesetzt, zuletzt abgerufen am 2.3.2021. 7 Siehe Kap. 10 Rn. 56. 8 EuGH, Urt. v. 1.10.2019– Rs. C-673/17, MMR 2019, 732, 734m. Anm Moos/Rothkegel. 9 BGBl. I 1944 v. 5.7.2017, S. 2097; vgl. zur Rechtslage in Österreich außerdem ausführlich Kap. 18. 10 Vgl. Kremer, CR 2017, 367, 371ff. 11 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. L 201 v. 31.7.2002, S. 37. 12 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, Stand März 2019, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf, zuletzt abgerufen am 8.10.2020. 13 Richtlinie (EU) 2016/680 vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. EU L 119 v. 4.5.2016, S. 89.

II. Parallelität von DSGVO und „Altgesetzen“

17

Eine jedenfalls für eine längere Dauer fast noch komplexere Problematik besteht im Hinblick auf die nationalen Datenschutzregeln und Gesetze, die nach wie vor nicht an die DSGVO angepasst worden sind. Soweit solche nationalen Regelungen nicht entweder außerhalb des Anwendungsbereichs der DSGVO liegen oder spezialgesetzliche Richtlinienvorgaben umsetzen, sind sie nur noch in dem Umfang zugelassen und anwendbar, wie sie von Öffnungsklauseln der DSGVO gedeckt sind.

18

Auch wenn in Deutschland durch das 1. und das 2. DSAnpUG und das BDSG viele Datenschutzvorschriften in Spezialgesetzen bereits angepasst worden sind, stehen manche Anpassungen noch aus (wie z.B. beim TMG, welches durch das 2. DSAnpUG nicht geändert worden ist). Das führt dazu, dass weiterhin nationale Rechtsvorschriften fortbestehen, die nicht an die neue europäische Rechtslage angeglichen sind.

Beispiel

In seinem Urteil vom 14.2.2019 hat sich der EuGH u.a. mit der datenschutzrechtlichen Bereichsausnahme für die Medien befasst und Hinweise zur Vereinbarkeit des Medienprivilegs nach nationalem Recht mit dem europäischen Datenschutzrecht gegeben.14 Art. 85 DSGVO sieht analog der RL 95/46/EG zwar generell eine datenschutzrechtliche Privilegierung der Medien vor, soweit personenbezogene Daten „zu journalistischen Zwecken“ verarbeitet werden. Nach Art. 85 Abs. 2 DSGVO dürfen die Mitgliedstaaten hiernach Abweichungen oder Ausnahmen von Kapitel II (Grundsätze) aber nur vorsehen, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. Aus den Ausführungen des EuGH lässt sich ableiten, dass er eine umfassende Bereichsausnahme für zu weitgehend halten könnte, wenn dadurch z.B. sämtliche Rechte der betroffenen Personen ausgeschlossen sind.

19

Nationale Vorschriften können seit dem 25.5.2018 somit nicht mehr bedenkenlos weiter angewendet werden, so dass für die Unternehmen eine gewisse Rechtsunsicherheit entsteht. Sie müssen in jedem Einzelfall prüfen, ob und in welchem Umfang die Regelung von einer Öffnungsklausel der DSGVO oder einer spezialgesetzlichen EU-Richtlinie gedeckt ist. Nur in diesem Rahmen kann die jeweilige Vorschrift weiter angewendet werden. Außerhalb dieses Rahmens gilt der Anwendungsvorrang des EU-Rechts, so dass dann ggf. auf die Vorschriften der DSGVO zurückgegriffen werden muss.

Praxishinweis

Sobald für eine konkrete Rechtsfrage Normen verschiedener Gesetze relevant sind, sollte in einem ersten Schritt die Wirksamkeit dieser Normen und ihr Verhältnis zueinander anhand der vorstehend aufgeführten Maßstäbe geprüft werden.

14 EuGH, Urt. v. 14.2.2019 – C-345/17, ECLI:EU:C:2019:122.

III. Auslegung der DSGVO und der Begleitgesetze

20

Neben der Ermittlung der Anwendbarkeit der einschlägigen Datenschutzvorschriften besteht eine Herausforderung in ihrer richtigen Auslegung.

21

Sowohl die DSGVO als auch die ePrivacy-Richtlinie sind europäische Rechtsakte. Nur die europäischen Gerichte legen sie verbindlich aus. Nach Art. 267 Abs. 1 lit. a AEUV entscheidet der EuGH z.B. im Wege der Vorabentscheidung über die Auslegung der Verträge. Hingegen sind das BDSG, das TMG, das TKG und sonstige deutsche Gesetze mit datenschutzrechtlichem Regelungsgehalt nationale Rechtsakte, die primär von den deutschen Gerichten ausgelegt werden. Europäische Gerichte legen diese deutschen Gesetze nur dann aus, wenn es für europarechtliche Fragen relevant ist.15

22

Diese scheinbar trivialen Feststellungen haben spätestens seit Geltung der DSGVO erhebliche Implikationen für den Datenschutzpraktiker. Denn regelmäßig hängt die konkrete Ausgestaltung datenschutzrechtlich getriebener Maßnahmen von der Auslegung eines der oben genannten Gesetze ab. Dabei darf die deutsche Auslegungsmethodologie – wie es auch in der Literatur häufig passiert – nicht unreflektiert auf die DSGVO angewendet werden. Stattdessen sind die europäischen Vorgaben entsprechend der Methoden der europäischen Gerichte auszulegen.

Praxishinweis

Das Datenschutzrecht ist eine komplexe Materie. Nichtsdestoweniger sollte sich auch der Datenschutzpraktiker eine eigene Meinung dazu bilden, wie bestimmte Normen auszulegen sind. Denn weder die Datenschutzbehörden noch besonders profilierte Rechtswissenschaftler haben eine Deutungshoheit bezüglich der Auslegung von Normen.16 Zwar sollte das Unternehmen schon aus Haftungsgründen die entsprechenden Stellungnahmen seiner zuständigen Aufsichtsbehörde kennen und in Entscheidungen einbeziehen, doch muss der Anwender im Unternehmen nichtsdestoweniger eine eigene Wertung treffen. Diese Wertung sollte – jedenfalls bei wichtigen Fragestellungen – im Hinblick auf die Rechenschaftspflicht gemäß Art. 5 DSGVO17 auch dokumentiert werden.

1. Auslegung der DSGVO
a) Autonome Auslegung des Unionsrechts

23

Aus den Anforderungen sowohl der einheitlichen Anwendung des Unionsrechts als auch des Gleichheitsgrundsatzes hat der EuGH seit jeher gefolgert, dass die Begriffe einer Vorschrift des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen.18 Eine schlichte Übernahme bestimmter, im nationalen Recht etablierter Interpretationen verbietet sich also.

b) Auslegungsmethoden

24

Grundsätzlich wenden die europäischen Gerichte die gleichen Auslegungsmethoden an wie die deutsche Rechtswissenschaft. Neben der Auslegung auf Grundlage des Wortlauts finden also die systematische, die teleologische und die historische Auslegung Anwendung. Allerdings unterscheiden sich die Gewichtung und konkrete Anwendung dieser Methoden nennenswert von der deutschen Vorgehensweise. Darüber hinaus spielt regelmäßig das „effet-utile-Prinzip“ im Europarecht eine große Rolle.

aa) Wortlaut

25

Auch im europäischen Recht stellt die Interpretation des Wortlauts einer Norm die grundlegende Auslegungsmethode dar. Allerdings ist schon umstritten, ob sie auch die wichtigste ist.19 Jedenfalls stellt der Wortlaut prinzipiell den Ausgangspunkt und die Grenze der Auslegung von Normen dar.20 Nichtsdestoweniger hat der EuGH in einzelnen Entscheidungen Auslegungen entwickelt, die die Rechtswissenschaft eher als Rechtsfortbildung denn als Rechtsauslegung bewertet hat.21

26

Darüber hinaus sind bei der Auslegung des Wortlauts einer Norm des Unionsrechts die Besonderheiten des europäischen Rechts als supranationales und multilinguales Rechtssystem zu berücksichtigen. Die verschiedenen sprachlichen Versionen der europäischen Gesetze sind gleichrangig.22 Weder aus der Zahl der Bevölkerung, die eine gewisse Sprache spricht, noch aus sonstigen Umständen lässt sich herleiten, dass eine Sprachfassung gültiger ist als eine andere. Darüber hinaus legt der EuGH die unionsrechtlichen Begriffe unabhängig von der Verwendung dieser Begriffe in einzelnen Mitgliedstaaten aus.23

Praxishinweis

Bei der Auslegung der DSGVO sollten auch andere Sprachfassungen Berücksichtigung finden. Im Fall von Unstimmigkeiten sind beide Versionen gleich gültig. Der Wortlaut ist dann unstimmig. Widersprüche lassen sich nicht durch eine Auslegung der verschiedenen Sprachfassungen auflösen, sondern nur durch die Anwendung der anderen Auslegungsmethoden. Obwohl die Trilogverhandlungen auf Englisch geführt wurden, geht also die englische den anderen Sprachfassungen bei der Auslegung des Wortlauts nicht vor. Diese Tatsache kann alleine im Rahmen der teleologischen oder systematischen Auslegung Berücksichtigung finden.