DSGVO - BDSG - TTDSG

2. Internationales Datenschutzrecht

8

Wie bei der Normierung des nationalen Datenschutzrechts ist auch auf internationaler Ebene die technische Entwicklung Schrittmacher des Datenschutzrechts.30 Die globale Vernetzung und die Entstehung des Internets sind nicht an nationale Grenzen gebunden und machen eine internationale Regulierung des Datenschutzrechts erforderlich.31

a) OECD

9

Bereits 1980 wurden von der OECD „Leitlinien für den Schutz des Persönlichkeitsrechts und den grenzüberschreitenden Verkehr personenbezogener Daten“ verabschiedet.32 Diese enthalten materielle und verfahrensrechtliche Regelungen des Datenverkehrs im privaten und im öffentlichen Sektor sowie Regeln für die grenzüberschreitende Datenübermittlung.33 Bedeutung kommt ihnen insbesondere durch die Etablierung des Datenschutzrechts als Gegenstand internationaler Regulierung zu.34 Zudem hatten die Regelungen prägenden Einfluss auf zahlreiche Regelungen zum Datenschutz in OECD-Mitgliedstaaten.35 Die Leitlinie wurde 2013 erstmals von einem Multistakeholder-Expertengremium mit dem Ziel angepasst, die gesellschaftlichen und volkswirtschaftlichen Veränderungen stärker zu berücksichtigen.36 Zur Umsetzung dieses Ziels wurden zwei wesentliche Maßnahmen gewählt. Einerseits ist ein risikobasierter Ansatz zur praktischen Umsetzung des Schutzes der Privatsphäre implementiert worden. Andererseits wurden große Anstrengungen unternommen, durch neue Konzepte die Verbesserung von Interoperabilität zu erreichen und so der globalen Dimension des Datenschutzes Rechnung zu tragen.37

b) Vereinte Nationen

10

Auch die Vereinten Nationen haben sich der automatisierten Datenverarbeitung angenommen und 1985 einen ersten Richtlinienentwurf zum Datenschutz durch die UN-Menschenrechtskommission erarbeitet.38 1990 wurden die „Richtlinien zur Verarbeitung personenbezogener Daten in automatisierten Dateien“ verabschiedet.39 Sie enthalten allgemeine Empfehlungen für die Gestaltung des Datenschutzrechts unter Beachtung des Grundsatzes der Datenrichtigkeit, der Zweckbestimmung und der Beachtung der Rechte der Betroffenen40 im privaten und im öffentlichen Sektor. Wie bei den OECD-Leitlinien handelt es sich jedoch nicht um bindendes Völkerrecht, sodass sich keine Umsetzungspflicht für nationale Gesetzgeber ergibt.41

c) Europarat

11

Die erste völkerrechtlich verbindliche Normierung des Datenschutzrechts ist die Europäische Datenschutzkonvention,42 die 1981 verabschiedet, den Mitgliedstaaten zur Ratifizierung vorgelegt und 1985 mit der Verabschiedung des Ratifizierungsgesetzes43 in Deutschland geltendes Recht wurde. Mit Stand Dezember 2020 ist die Konvention von 55 Staaten ratifiziert worden.44 Sie regelt den Datenschutz bei der automatischen Verarbeitung personenbezogener Daten natürlicher Personen und enthält Prinzipien des Datenschutzes, wie den Grundsatz der rechtmäßigen Datenerhebung nach Treu und Glauben (Art. 5a), den Zweckbindungsgrundsatz der Datenerhebung und Verarbeitung (Art. 5b und 5c), den Grundsatz der richtigen Datenerhebung (Art. 5d), den Grundsatz der Anonymisierung (Art. 5e) sowie den Grundsatz der Datensicherheit (Art. 7). In Art. 12 werden zudem Regelungen zum grenzüberschreitenden Datenverkehr getroffen.

3. Datenschutzrichtlinie

12

Noch Anfang der 1990er Jahre differierte das Datenschutzniveau innerhalb der Union erheblich und wurde damit ein Hindernis für den innereuropäischen Handel.45 Dies war Anlass für den europäischen Gesetzgeber, den Schutz personenbezogener Daten in der DSRl46 zu normieren.47 In der Folge haben die Mitgliedstaaten nationale Umsetzungsgesetze erlassen und so jedenfalls theoretisch einen europäischen Informationsbinnenmarkt mit einem einheitlichen Datenschutzniveau geschaffen (siehe Art. 1 Rn. 50ff.). Praktisch divergierte das Schutzniveau innerhalb der Union dennoch stark. Begründet war das neben der unterschiedlichen Ausgestaltung des Datenschutzrechts in den nationalen Datenschutzgesetzen insbesondere in der teils erheblich divergierenden Auslegung und Durchsetzungspraxis.

13

Die DSRl sollte in einem Rechtsakt die Grundsätze zum Schutz personenbezogener Daten zusammenzufassen und damit die Grundlage der Normierung des Datenschutzrechts in den Mitgliedstaaten schaffen,48 um das Datenschutzrecht auf möglichst hohem Niveau in der Union zu vereinheitlichen.49 Die DSRl knüpfte dafür an die Grundsätze des Datenschutzes nach der Datenschutzkonvention des Europarates an50 und ordnete in ErwG 10 an, dass ihre Umsetzung nicht zu einer Absenkung des Schutzniveaus in den Mitgliedstaaten führen darf. Die DSRl strebte eine umfassende, aber nicht lückenlose Harmonisierung des Datenschutzrechts in der Union an und den Abbau rechtlicher Hindernisse für den freien Datenverkehr (ErwG 7).51 Die Normierung des Datenschutzrechts erfolgte in Ergänzung zur DSRl auf europäischer Ebene durch weitere Richtlinien, wie die ePrivacy-Richtlinie,52 die Richtlinie über die Vorratsdatenspeicherung53 und die Cookie-Richtlinie.54

4. Bundesdatenschutzgesetz 1977–2018

14

Schon lange vor Erlass der DSRl im Jahr 1995 war das Datenschutzrecht in Deutschland durch das BDSG a.F. und Datenschutzgesetze der Länder geregelt (siehe Rn. 4ff.). Das BDSG a.F. wurde 1977 verabschiedet und in drei Novellen wesentlich überarbeitet. Das Gesetz zur Fortentwicklung der Datenverarbeitung und des Datenschutzes55 aus dem Jahr 1990 entwickelte das BDSG auf der Basis des verfassungsrechtlichen Meilensteins des Datenschutzrechts,56 dem Volkszählungsurteil des Bundesverfassungsgerichts,57 weiter (zum Volkszählungsurteil siehe Art. 1 Rn. 25f.). Der Schwerpunkt lag hierbei auf der Überarbeitung der Regelungen des Datenschutzes im öffentlichen Bereich.58

15

Die zweite Überarbeitung des BDSG erfolgte im Jahr 2001 durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze,59 in dem der Gesetzgeber die Anforderungen der DSRl in deutsches Recht umsetzte.60 Dabei wurde aber im Grundsatz die Konzeption des BDSG a.F. beibehalten, sodass es auch relevante Unterschiede zur Konzeption des Datenschutzrechts in der DSRl gab, unter anderem die in der DSRl fehlende Differenzierung zwischen der Datenverarbeitung durch öffentliche und nichtöffentliche Stellen. Anders als das BDSG a.F. differenziert die DSRl auch nicht zwischen der verwendeten Technologie und erfasst automatisierte und nicht automatisierte Verarbeitung im gleichen Maße wie das BDSG a.F.61

16

Die Umsetzung der DSRl war gemäß Art. 32 Abs. 1 DSRl bis zum 24.10.1998 vorzunehmen. In Deutschland zog sie sich jedoch in die Länge und erfolgte im Jahr 2001, zweieinhalb Jahre nach Ablauf der Umsetzungsfrist und erst nach der Einleitung eines Vertragsverletzungsverfahrens durch die Europäische Kommission.62 Das war zum einen bedingt durch das Ende der Legislaturperiode, zum anderen durch die Forderung nach einer grundlegenden Modernisierung des Datenschutzrechts.63 Bei der Umsetzung beschränkte sich der Gesetzgeber dann nicht zuletzt aufgrund des Zeitdrucks weitgehend auf die Umsetzung der DSRl.64 Es wurden hierbei aber auch Grundsätze eines modernen Datenschutzrechts mit Elementen ökonomischer Anreize eingeführt, wie die Prinzipien der Datenvermeidung und der Datensparsamkeit (§ 3a BDSG), des Datenschutzes durch Technik oder eines Datenschutzaudits (§ 9a BDSG).65 Zur grundlegenden Reform des BDSG a.F. kam es im Rahmen der Umsetzung der DSRl durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze66 jedoch nicht. Die Forderung nach einer umfassenderen Modernisierung des Datenschutzrechts blieb bestehen.67

17

Zuletzt wurde das BDSG a.F. 2009 durch drei Reformgesetze geändert.68 Die sog. BDSG-Novelle I69 erfolgte durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes vom 29.7.2009.70 Sie trat zum 1.4.2010 in Kraft und befasst sich mit Scoring, Rating und dem Recht der Auskunfteien. Die Novelle brachte Neuerungen des Datenschutzrechts insbesondere in vier Bereichen; so wurden Mitteilungs- und Erklärungspflichten bei automatisierten Einzelentscheidungen, Zulässigkeitsregeln für Scoring-Verfahren sowie die Übermittlung von Daten an Auskunfteien und Auskunftspflichten in Bezug auf Scoringwerte neu geregelt.71 Die zweite Novellierung des BDSG72 im Jahr 2009 erfolgte durch das Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14.8.2009.73 Sie trat in ihren wesentlichen Teilen zum 1.9.2009 in Kraft, in den durch Art. 5 des Änderungsgesetzes benannten Ausnahmen hingegen erst mit Wirkung zum 1.4.2010.

18

Durch die BDSG-Novelle II sollten ursprünglich die Voraussetzungen zur Durchführung eines freiwilligen Datenschutzaudits gemäß § 9a BDSG a.F. durch ein Datenschutzauditgesetz74 geschaffen werden. Hiervon wurde im Laufe des Gesetzgebungsverfahrens aber Abstand genommen. Die BDSG-Novelle II brachte jedoch Veränderungen für das sog. Listenprivileg gemäß § 28 Abs. 3 Sätze 2–5 BDSG a.F.,75 die Auftragsdatenverarbeitung gemäß § 11 BDSG a.F.76 sowie eine Erhöhung des Bußgeldrahmens für Datenschutzverstöße gemäß § 43 BDSG a.F.,77 die Neuregelung von Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten gemäß § 42a BDSG a.F.78 und die Einführung einer Regelung zum Arbeitnehmerdatenschutz in § 32 BDSG a.F.79

19

Die BDSG-Novelle III80 erfolgte durch Art. 5 des Gesetzes zur Umsetzung der Verbraucherkreditrichtlinie, des zivilrechtlichen Teils der Zahlungsdienstrichtlinie sowie zur Neuordnung der Vorschriften über das Widerrufs- und Rückgaberecht vom 29.7.2009.81 Sie enthielt unter anderem Regelungen zum Umgang mit personenbezogenen Daten im Zusammenhang mit der Kreditwürdigkeitsprüfung von Verbrauchern und Änderungen der Informationspflichten beim Abschluss bzw. der Ablehnung von Verbraucherdarlehensverträgen in § 29 BDSG.

II. Datenschutz-Grundverordnung

20

Die Verarbeitung personenbezogener Daten betrifft heute praktisch jeden Bereich der Gesellschaft und stellt für viele Wirtschaftsprozesse einen wesentlichen Faktor der Wertschöpfungskette dar. Das Datenschutzrecht und der damit verfolgte Ausgleich widerstreitender Interessen an der Freiheit des Datenverkehrs einerseits und dem Schutz natürlicher Personen vor den Gefahren der Datenverarbeitung andererseits ist damit elementar für unser soziales und wirtschaftliches Leben. Der Rechtsrahmen zur Bewertung damit verbundener Fragen aus DSRl und deren Umsetzung in mitgliedstaatlichen Datenschutzgesetzen, wie dem BDSG a.F., wird nun durch die DSGVO und deren Anpassungsgesetze abgelöst.

21

Die DSGVO tritt an die Stelle der DSRl und ist für die Mitgliedstaaten gemäß Art. 288 Abs. 2 AEUV unmittelbar anwendbares Recht.82 Mit der DSGVO erreicht die Harmonisierung des europäischen Datenschutzrechts eine neue Qualität, die aber u.a. durch zahlreiche Öffnungsklauseln und das weiterbestehende Fachrecht im öffentlichen Bereich der Mitgliedstaaten in Frage gestellt wird. Erstmals gibt es in der Rechtsform der Verordnung gemäß Art. 288 Abs. 2 AEUV unionsweit unmittelbar anwendbares Datenschutzrecht. Angesichts zunehmend globalisierter Datenverarbeitung, die sich schon lange nicht mehr durch nationalstaatliche Grenzen einschränken lässt, ein konsequenter, wichtiger und richtiger Schritt; mit Sicherheit aber nicht der letzte zur Weiterentwicklung des Datenschutzrechts der Union. Die Bedeutung der DSGVO für die europäische und weltweite Entwicklung des Datenschutzrechts kann nicht überschätzt werden.83

1. Meilensteine auf dem Weg zur DSGVO

22

Der Prozess zur Neuordnung des europäischen Datenschutzrechts begann schon viele Jahre vor der Verabschiedung der DSGVO. Die erste wichtige Manifestation dieses Prozesses war die Vorstellung des „Gesamtkonzepts für den Datenschutz in der EU“84 am 4.11.2010 durch die Kommission unter Führung der Kommissarin für Justiz, Grundrechte und Bürgerrechte Viviane Reding. Dieses Konzept sah vor, den Datenschutzstandard in der Union anzuheben und unionsweit zu vereinheitlichen, um die Wettbewerbsgleichheit in der Union zu fördern. Zudem sollte der Schutz der Betroffenen im Rahmen eines vollharmonisierten Regelungsumfelds vom Ort der Datenverarbeitung unabhängig gewährleistet werden.85 Das Konzept der Kommission sieht dafür sieben „Grundbausteine“ vor, nämlich 1. eine Einheitliche Rechtsgrundlage in der Rechtsform der Verordnung, 2. eindeutige Zuständigkeiten jeweils einer Aufsichtsbehörde, 3. ein einheitliches und hohes Schutzniveau, 4. Berücksichtigung der Besonderheiten von Polizei und Justiz, 5. Berücksichtigung der Besonderheiten von kleinen und mittleren Unternehmen, 6. ausgewogene Berücksichtigung sämtlicher Grundrechte und 7. Offenheit für technische Entwicklungen.86 Das Parlament begrüßte und unterstützte dieses Konzept ausdrücklich.87 Dennoch dauerte es danach noch fast sechs Jahre, bis eine Einigung der europäischen Institutionen erreicht und die DSGVO am 14.4.2016 durch das Parlament verabschiedet wurde.

a) Kommissionsentwurf

23

Am 25.1.2012 stellte die Kommission ihren Entwurf zur Regelung des europäischen Datenschutzrechts in einer Verordnung88 sowie den Vorschlag für eine Richtlinie für die behördliche Datenverarbeitung zu Zwecken der Aufklärung und Verhinderung von Straftaten89 vor. Mit diesen Regelungsvorschlägen sollte das europäische Datenschutzrecht grundlegend reformiert und an die Anforderungen moderner Datenverarbeitung angepasst werden.90 Der Kommissionsentwurf ist in wesentlichen Teilen in der finalen Fassung der DSGVO umgesetzt worden, sah sich aber auch intensiver Kritik ausgesetzt und wurde in zentralen Aspekten während des Gesetzgebungsverfahrens modifiziert.

24

Kritisiert wurde insbesondere die zentrale und dominierende Rolle der Kommission bei der Normierung und Durchsetzung des Datenschutzrechts. Der Kommissionsentwurf sah an 26 Stellen Regelungen delegierter Rechtsakte nach Art. 290 AEUV vor,91 mit denen die Kommission hätte rechtsetzend tätig werden können. Delegierte Rechtsakte entsprechen in ihrer Funktion einer Verordnung im deutschen Recht.92 Diese Ermächtigungen sollten es ermöglichen, flexibel auf neue Entwicklungen in Technik und Recht zu reagieren.93 Der Umfang dieser Ermächtigungen wurde zu Recht kritisiert.94 Die Kommission wäre damit faktisch zur zentralen Institution der Regulierung und Kontrolle des europäischen Datenschutzrechts geworden. Die Kritik stützte sich auf Art. 290 Abs. 1 AEUV, wonach der Kommission die Kompetenz nur zur Ergänzung und Änderung „nicht wesentlicher Vorschriften“ sekundärrechtlicher Regelungen übertragen werden darf.95 Die Ermächtigungen in dem Kommissionsentwurf gingen allein durch ihre Zahl über dieses Maß hinaus. Parlament und Rat haben die Zahl der delegierten Rechtsakte in ihren Entwürfen stark reduziert (siehe dazu Rn. 27 und Rn. 30f.). In der finalen Fassung finden sich nur noch zwei Ermächtigungen für delegierte Rechtsakte.96

25

Zudem sah der Kommissionsentwurf in Art. 57 ein Kohärenzverfahren für Maßnahmen mit grenzüberschreitender Wirkung vor,97 an dessen Spitze die Kommission stehen sollte. Sie hätte in ihrer Rolle zwar kein Entscheidungs- und Weisungsrecht gehabt, durch delegierte Rechtsakte hätte sie jedoch Verfahren und zugrunde liegendes Datenschutzrecht bestimmen können. Die Aufsichtsbehörden hätten damit bildlich gesprochen auf einem Teppich gestanden, den die Kommission jederzeit unter den Füßen hätte wegziehen können.98 Das Kohärenzverfahren hätte damit im Widerspruch zur Unabhängigkeit der Aufsichtsbehörden gestanden.99 Diese sollte aber auch nach dem Kommissionsentwurf gewährleistet werden.

26

Besonders in der deutschen Literatur wurde die Geltung der Verordnung neben dem nicht-öffentlichen auch für den öffentlichen Sektor kritisiert. Die Ausdehnung auf den öffentlichen Sektor wurde teilweise als Verstoß gegen das Subsidiaritätsprinzip aus Art. 5 Abs. 3 EUV gewertet, da Art. 16 Abs. 2 AEUV diesen nicht mitumfasse und es insofern an einer Ermächtigungsgrundlage für den europäischen Gesetzgeber fehle (siehe dazu Rn. 42ff.).100

b) Parlamentsentwurf

27

Das Parlament erarbeitete im federführenden Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE)101 von dem Kommissionsentwurf ausgehend den Parlamentsentwurf.102 Dabei wurde die kaum vorstellbare Zahl von 3999 Änderungsvorschlägen evaluiert und für den Entwurf berücksichtigt.103 Der finale Bericht104 wurde dem Parlament schließlich am 21.10.2013 durch den parlamentarischen Berichterstatter Jan Philipp Albrecht zur Entscheidung vorgelegt. Er sah 207 Änderungen105 an dem Kommissionsentwurf vor und wurde vom Parlament am 12.3.2014 in der vorgelegten Form beschlossen.106 Der Parlamentsentwurf erhielt dabei eine Zustimmung von über 95 %.107

28

Im Ergebnis sind nach dem Parlamentsentwurf die Befugnisse der Kommission eingeschränkt und zugunsten der Aufsichtsbehörden und Mitgliedstaaten ausgestaltet worden.108 In dem Parlamentsentwurf gibt es nur noch zehn Normen, die delegierte Rechtsakte der Kommission vorsehen.109 Stattdessen wurden Öffnungsklauseln für Rechtsakte der Mitgliedstaaten und Ermächtigung des Europäischen Datenschutzausschusses zum Erlass unverbindlicher Leitlinien eingefügt.110 Anstelle des One-Stop-Shop-Verfahrens (siehe dazu Art. 56 Rn. 1) in dem Kommissionsentwurf, nach dem sich Betroffene nur an die Aufsichtsbehörde am Ort der Hauptniederlassung hätten wenden können, wurde mit dem Parlamentsentwurf das Prinzip der federführenden Aufsichtsbehörde vorgeschlagen, das sich nun auch im finalen Text der DSGVO findet (siehe dazu Art. 56 Rn. 10ff.).111 In dem Parlamentsentwurf wurden entsprechend auch die Befugnisse des Europäischen Datenschutzausschusses ausgeweitet, der im Rahmen des Kohärenzverfahrens zwischen den Behörden vermittelt und Entscheidungskompetenz hat.

29

Zudem wurde die Komplexität der Verzeichnisse von Verarbeitungstätigkeiten reduziert sowie die Betroffenenrechte gestärkt und differenzierter ausgestaltet.112 Insbesondere wurde das Erfordernis der Transparenz präzisiert, das Recht auf Datenübertragbarkeit aus Art. 18 des Kommissionsentwurfs ersatzlos gestrichen113 und die Bezeichnung „Recht auf Vergessenwerden“ in Pflicht zum Löschen geändert.114 Für die Datenschutzfolgenabschätzung sieht der Parlamentsentwurf die Durchführung einer initialen vorherigen Risikoanalyse vor.115 Für die Ausnahme vom Anwendungsbereich der DSGVO im Rahmen der sogenannten Haushaltsausnahme wurde der Zusatz „ohne jede Gewinnerzielungsabsicht“ gestrichen (siehe Art. 2 Rn. 4).116 Der territoriale Anwendungsbereich des Marktortprinzips wurde in dem Parlamentsentwurf weiter als im Kommissionsentwurf gefasst, indem in Art. 3 Abs. 2 lit. a Parlamentsentwurf aufgenommen wurde, dass auch unentgeltliche Waren- oder Dienstleistungen vom Anwendungsbereich umfasst werden (siehe Art. 3 Rn. 21ff.).

c) Ratsentwurf

30

Als letztes der drei Organe der Union beschloss der Europäische Rat am 11.6.2015 seinen Entwurf der DSGVO, den Ratsentwurf.117 Der Europäische Rat setzt sich aus den Staats- und Regierungschefs der Mitgliedstaaten zusammen118 und vertritt naturgemäß die Interessen der Mitgliedstaaten.119 Entsprechend ist es konsequent, dass der Ratsentwurf die Befugnisse der Kommission noch stärker einschränkt und stattdessen mehr Öffnungsklauseln zum Erlass mitgliedstaatlicher Regelungen vorsieht.120 Der Ratsentwurf sieht delegierte Rechtsakte der Kommission nur noch für die Ausgestaltung von Zertifizierungsverfahren vor.121 Weitergehende Rechtsetzungsbefugnisse der Kommission wurden sämtlich gestrichen.122

31

Innerhalb des Rates wurde über das Durchsetzungsregime der DSGVO intensiv diskutiert. Entsprechend der Position des Parlaments sah auch der Rat den Ansatz des Kommissionsentwurfs mit einer starken Kommission kritisch.123 Lange Diskussionen im Rat zu diesem Punkt führten im Ergebnis zu einer nur marginal vom Parlamentsentwurf abweichenden Entwurfsfassung.124 Entsprechend dem Parlamentsentwurf sieht auch der Ratsentwurf zudem vor, dass Regelungen zu Befugnissen der Aufsichtsbehörden sich nicht unmittelbar aus der DSGVO ergeben, sondern nach Maßgabe nationaler Regelungen gelten sollten, damit die DSGVO in Einklang mit den stark divergierenden Regelungen des mitgliedstaatlichen Verfahrensrecht durchgesetzt werden kann.125

32

Nach dem Ratsentwurf sollten zudem durch die Einführung von Art. 1 Abs. 2a Ratsentwurf weitgehende Kompetenzen der Mitgliedstaaten zum Erlass nationaler Regelungen geschaffen werden, die „zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt“.126 So weitreichende Befugnisse der Mitgliedstaaten zum Erlass von datenschutzrechtlichen Regelungen im Bereich der öffentlichen Verwaltung wurden in den Trilogverhandlungen dann jedoch nicht in den finalen Entwurf der DSGVO übernommen.

33

Der Ratsentwurf verfolgte als übergeordnetes Ziel einen risikobasierten Ansatz, um einen adäquaten Ausgleich zwischen dem Schutzerfordernis der Betroffenen und dem administrativen Aufwand der Verantwortlichen zu erreichen.127 In diesem Kontext wurde ebenfalls das Recht auf Datenübertragbarkeit ersatzlos gestrichen und das Auskunftsrecht so beschränkt, dass es zwar unentgeltlich, dafür aber nur in „angemessenen Abständen“ wahrgenommen werden kann.128 Informationspflichten des Verantwortlichen gegenüber den Betroffenen wurden in dem Ratsentwurf erweitert und Mitteilungspflicht in Bezug auf die Berichtigung, Löschung oder Einschränkung eingeführt.129