Czytaj książkę: «DSGVO - BDSG - TTDSG», strona 5

Czcionka:

d) Trilog und Verabschiedung der DSGVO

Am 24.7.2015 begann der sogenannte informelle Trilog zur Verhandlung der finalen Fassung der DSGVO. Der informelle Trilog ist anders als der formelle Trilog nicht in Art. 294 AEUV normiert und unterscheidet sich davon maßgeblich.130 Der informelle Trilog ist im Unionsrecht nicht als zwingendes Element des Gesetzgebungsverfahrens vorgesehen. Entsprechend muss er anders als der formelle Trilog auch nicht zwischen der zweiten und dritten Lesung im Parlament durchgeführt werden. Zudem gibt es im informellen Trilog keine Frist, innerhalb derer die Verhandlungen mit einem Ergebnis abgeschlossen werden müssten.131 Der informelle Trilog ist ein Verfahren, bei dem der Rat und das Parlament, unter Vermittlung der Kommission,132 über die finale Fassung eines Rechtsaktes weitgehend frei von prozeduralen Vorgaben verhandeln.133 Die drei Entwürfe der DSGVO divergierten in wichtigen Kernfragen mitunter erheblich (siehe dazu Rn. 22 bis 32).134 Am 17.12.2015 einigten sich Rat und Parlament schließlich auf die finale Entwurfsfassung der DSGVO.135 Diese wurde am 14.4.2016 gemäß Art. 294 Abs. 7 lit. a AEUV vom Parlament verabschiedet, am 4.5.2016 im Amtsblatt der Union veröffentlicht und trat gemäß Art. 99 DSGVO am 25.5.2018 in Kraft.

2. Struktur und wesentliche Inhalte der DSGVO

Die DSGVO gliedert sich in 11 Kapitel und 99 Artikel, denen 173 Erwägungsgründe vorangestellt sind. 51 Artikel regeln das materielle und 48 das formelle, organisatorische und kompetenzrechtliche Datenschutzrecht.136

Kapitel 1 (Allgemeine Bestimmungen) enthält Regelungen zur Zielbestimmung und zum Anwendungsbereich sowie Begriffsbestimmungen. Kapitel 2 (Grundsätze) regelt Grundsätze der Datenverarbeitung und Erlaubnistatbestände. Kapitel 3 (Rechte der betroffenen Person) enthält unter anderem Regelungen zu Informationspflichten, Auskunftsrechten, dem Recht auf Löschung und Vergessenwerden sowie das Recht auf Datenübertragbarkeit. Kapitel 4 (Verantwortlicher und Auftragsverarbeiter) regelt insbesondere die Voraussetzungen der Auftragsverarbeitung, das Verzeichnis von Verarbeitungstätigkeiten, den technisch-organisatorischen Datenschutz, Meldepflichten bei Datenschutzvorfällen, die Datenschutzfolgenabschätzung und den Datenschutzbeauftragten. Kapitel 5 (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen) enthält den Rechtsrahmen für internationale Datenübermittlungen. Kapitel 6 (Unabhängige Aufsichtsbehörden) regelt Aufgaben und Befugnisse der Aufsichtsbehörden. Kapitel 7 (Zusammenarbeit und Kohärenz) bildet den Rechtsrahmen für die Abstimmung der Aufsichtsbehörden in der Union und den europäischen Datenschutzausschuss. Kapitel 8 (Rechtsbehelfe, Haftung und Sanktionen) enthält Regelungen zu Rechtsbehelfen, Schadensersatz und Bußgeldern. Kapitel 9 (Vorschriften für besondere Verarbeitungssituationen) regelt den Datenschutz in Abgrenzung zur Meinungs- und Informationsfreiheit. Kapitel 10 (Delegierte Rechtsakte und Durchführungsrechtsakte) enthält Befugnisse der Kommission zum Erlass delegierter Rechtsakte. Kapitel 11 (Schlussbestimmungen) regelt die Aufhebung der DSRl, das Verhältnis der DSGVO zu anderen Regelungskomplexen und das Inkrafttreten.

Inhaltlich baut die DSGVO stark auf der DSRl auf,137 enthält aber auch neue Elemente, mit denen das europäische Datenschutzrecht an die Anforderungen moderner Datenverarbeitung angepasst werden soll. In der Literatur wird jedoch kritisiert, dass wichtige Aspekte einer Modernisierung des Datenschutzrechts, wie der Datenschutz im Konzern, bei der DSGVO nicht berücksichtigt wurden.138 Der sachliche Anwendungsbereich folgt aus Art. 2 Abs. 1 DSGVO und erfasst entsprechend dem Anwendungsbereich der DSRl jede – auch teilweise – automatisierte Datenverarbeitung (siehe Art. 2 Rn. 6ff.). Der räumliche Anwendungsbereich folgt aus Art. 3 DSGVO und erfasst sowohl Stellen, die Daten im Rahmen der Tätigkeit einer europäischen Niederlassung in oder außerhalb der Union verarbeiten (Abs. 1) oder solche, die zwar außerhalb der Europäischen Union agieren, allerdings Waren oder Dienstleistungen europäischen Bürgern gegenüber anbieten oder deren Verhalten beobachten (Abs. 2) (siehe Art. 3 Rn. 19ff.).

Aus Art. 5 DSGVO folgen grundlegende Prinzipien, wie die Verarbeitung nach dem Grundsatz von Treu und Glauben, der Grundsatz der Transparenz, Direkterhebung, Zweckbindung, Erforderlichkeit, Datenvermeidung und Datensparsamkeit. Der DSGVO liegt der Grundsatz des Verbots der Datenverarbeitung mit Erlaubnisvorbehalt zugrunde.139 Aus Art. 6 Abs. 1 UAbs. 1 lit. a bis lit. f DSGVO ergeben sich die Voraussetzungen der Rechtfertigung einer Datenverarbeitung. Dies sind die Einwilligung des Betroffenen, die Erforderlichkeit für die Erfüllung eines Vertrages oder einer gesetzlichen Verpflichtung sowie die Notwendigkeit für den Schutz lebenswichtiger Interessen und die Erforderlichkeit für eine Aufgabe im öffentlichen Interesse oder eigener berechtigter Interessen der datenverarbeitenden Stelle.

Die Verarbeitung personenbezogener Daten von Kindern unter 16 Jahren durch Anbieter von Diensten der Informationsgesellschaft setzt gem. Art. 8 Abs. 1 Satz 2 DSGVO die Einwilligung des gesetzlichen Vertreters voraus. Die Voraussetzungen der Verarbeitung besonderer Kategorien personenbezogener Daten folgt aus Art. 9 DSGVO und entspricht im Wesentlichen Art. 8 DSRl.140 Neu ist jedoch, dass biometrische Daten zur eindeutigen Identifizierung als besondere Kategorie personenbezogener Daten gelten (siehe Art. 9 Rn. 14). Ergänzende Pflichten der datenverarbeitenden Stelle umfassen u.a. die Dokumentation (siehe Art. 30), die Datenschutz-Folgenabschätzung (siehe Art. 35 Rn. 1ff.) und die Meldung von Datenschutzvorfällen an Aufsichtsbehörden (siehe Art. 33).141 Die Bestellung eines Datenschutzbeauftragten ist unter den Voraussetzungen gemäß Art. 37 DSGVO für Verantwortliche und Auftragsverarbeiter in allen Mitgliedstaaten nach der DSGVO verpflichtend (siehe Art. 37 Rn. 8ff.).142

Im Hinblick auf die Rechte der Betroffenen enthält Art. 17 DSGVO das Recht auf Löschung und auf Vergessenwerden. Bei Letzterem handelt es sich faktisch um ein erweitertes Recht auf Löschung, das insbesondere auf das Medium Internet zugeschnitten ist (siehe Art. 17 Rn. 4ff.). Es soll einem Kontrollverlust der Betroffenen über Daten, die dieser in das Internet gestellt hat, entgegenwirken143 und verpflichtet die verantwortliche Stelle, zumutbare Maßnahmen zu unternehmen, um Dritte auf ein Löschungsbegehren hinzuweisen.144 Das neue Recht auf Datenübertragbarkeit ergibt sich aus Art. 20 DSGVO und ist darauf gerichtet, bei einem Wechsel des Diensteanbieters einmal zur Verfügung gestellte Daten in einem gängigen Format sich selbst „zur Mitnahme“ bereitgestellt oder dem neuen Dienstleister zur Verfügung gestellt zu bekommen.145

Der Beschäftigtendatenschutz ist in der DSGVO nicht besonders geregelt. Eine Datenverarbeitung in Beschäftigungsverhältnissen ist daher unionsrechtlich grundsätzlich an den allgemeinen Voraussetzungen gem. Art. 6 Abs. 1 UAbs. 1 DSGVO zu messen. Art. 88 DSGVO enthält jedoch eine Öffnungsklausel und ermöglicht es den Mitgliedstaaten, eigene Regelungen zum Beschäftigtendatenschutz zu erlassen (siehe Art. 88 Rn. 10ff.). Der deutsche Gesetzgeber hat davon mit § 26 BDSG Gebrauch gemacht.

Die Datenschutzaufsicht steht gem. Art. 51 DSGVO in der Verantwortung der Mitgliedstaaten (siehe Art. 51 Rn. 6). Diese können vorsehen, dass die Aufsicht durch eine oder mehrere Aufsichtsbehörden ausgeführt wird. Die föderale Struktur der deutschen Aufsichtsbehörden kann und wird daher beibehalten werden.146 Die Befugnisse der Aufsichtsbehörden werden durch die DSGVO präzisiert und erweitert.147 Für die unionsweite und grenzüberschreitende Datenschutzaufsicht wird mit der DSGVO das Kohärenzverfahren gemäß Art. 60ff. DSGVO eingeführt.

3. Gesetzgebungskompetenz der Union

Durch den 2009 in Kraft getretenen Vertrag von Lissabon wurden die drei Säulen der Union, die Europäischen Gemeinschaften (EG), die Gemeinsame Außen- und Sicherheitspolitik (GASP) und die polizeiliche und justizielle Zusammenarbeit in Strafsachen (PJZS), weitgehend vereinigt. Gleichzeitig haben sich in datenschutzrechtlicher Hinsicht wichtige Änderungen ergeben. Art. 16 Abs. 2 AEUV148 regelt nun die Zuständigkeit für den Erlass von Datenschutzvorschriften umfassend und ordnet an, dass diese von Parlament und Rat im ordentlichen Gesetzgebungsverfahren gem. Art. 294 AEUV erlassen werden, was zu einer Zustimmungspflicht des Parlaments für sämtliche datenschutzrelevante Rechtsakte führt und dessen Kompetenzen erheblich vergrößert.149 Auch die DSGVO stützt sich auf die neu geschaffene europäische Kompetenz für das Datenschutzrecht. Inhaltlich erweitert der Vertrag von Lissabon die Kompetenzen der Union, indem diese nun die Verarbeitung personenbezogener Daten nicht nur für europäische Organe und Einrichtungen, sondern auch für die Mitgliedstaaten regeln kann.150 Über die kompetenzielle Neuordnung hinaus wurde mit dem Vertrag von Lissabon auch die Europäische Grundrechtecharta rechtsverbindlich, die in Art. 8 das Grundrecht auf den Schutz personenbezogener Daten enthält (zum europäischen Grundrechtsschutz s. Art. 1 Rn. 13ff.).151 Für die Entwicklung des Datenschutzrechts in seiner europäischen Dimension kommt dem Vertrag von Lissabon damit eine herausgehobene Stellung zu.

Die Kompetenz für den Erlass der Richtlinie folgt aus Art. 16 Abs. 2 AEUV, wonach das Europäische Parlament und der Rat die Kompetenz zur Rechtsetzung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten haben.152 Diese Kompetenz besteht gem. Art. 5 Abs. 3 EUV jedoch nur unter dem Vorbehalt der Subsidiarität.153 Eine gemeinschaftsrechtliche Regelung kann nur getroffen werden, wenn ihre Ziele durch eine Umsetzung auf mitgliedstaatlicher Ebene nicht erreicht werden können. Eine weitere Kompetenzbegrenzung folgt aus Art. 5 Abs. 4 EUV, wonach europäische Regelungen nur so weit zulässig sind, wie sie sich im Hinblick auf den Regelungszweck im Rahmen der Verhältnismäßigkeit bewegen.

Dass die Grundsätze der Subsidiarität und Verhältnismäßigkeit durch die Union beim Erlass der DSGVO gewahrt sind, wird in der Literatur bezweifelt.154 Der europäische Datenschutzbeauftragte155 und der Wirtschafts- und Sozialausschuss156 sowie der Ausschuss der Regionen157 begrüßten an dem Entwurf der DSGVO die stärkere Berücksichtigung der Grundrechte und den Harmonisierungsgedanken,158 kritisierten aber,159 ebenso wie Vertreter der rechtswissenschaftlichen Literatur und Lobbyvertreter,160 die Verfassungsmäßigkeit des Regelungsinstruments der Verordnung selbst, die im Konflikt mit dem Subsidiaritätsgedanken stehe. Die Diskussion um die Kompetenz der Union zum Erlass der DSGVO gipfelte in einer Subsidiaritätsrüge des Bundesrates,161 die letztlich jedoch an dem erforderlichen Quorum von einem Drittel der Parlamente der Mitgliedstaaten scheiterte.162 Der Subsidiaritätsrüge schlossen sich nur Belgien, Frankreich, Italien und Schweden an.163

4. Verfassungsrechtliche Kritik

Das europäische Recht genießt im Rahmen der Kompetenzübertragung an die europäischen Institutionen Anwendungsvorrang vor dem deutschen Recht.164 Dies hat zur Konsequenz, dass die DSGVO nicht an den deutschen Grundrechten zu messen ist.165 Entsprechend wurde im Vorfeld der Verabschiedung der DSGVO kritisiert, dass mit der DSGVO 30 Jahre Rechtsprechung des BVerfG zum Datenschutzrecht obsolet würden.166 Dieses Schutzdefizit wird in materiellrechtlicher Hinsicht jedoch kompensiert, indem die DSGVO auf europäischer Ebene an dem Grundrecht auf Datenschutz gem. Art. 8 GrCh zu messen ist,167 das der Gewährleistung der informationellen Selbstbestimmung in der deutschen Grundrechtsdogmatik entspricht. Dennoch sieht sich die DSGVO erheblicher verfassungsrechtlicher Kritik ausgesetzt.168 Diese ist zum einen dadurch begründet, dass es auf europäischer Ebene keine Rechtsprechung gibt, die ein der Grundrechtsrechtsprechung des BVerfG entsprechendes Niveau erreicht.169 Zudem führt die Regelung des Datenschutzes auf europäischer Ebene dazu, dass den Betroffenen der Weg zu einer Verfassungsbeschwerde vor dem BVerfG erschwert ist, während es auf europäischer Ebene keinen Rechtsbehelf gibt, der den Betroffenen nach der Erschöpfung des Rechtsweges Rechtsschutz wegen der Verletzung von Grundrechten aus der GrCh bietet.170

Der Primärrechtsschutz wegen der Verletzung von Rechten nach der DSGVO ändert sich hingegen mit Inkrafttreten der DSGVO nicht, da die mitgliedstaatlichen Gerichte auch für die Anwendung des Gemeinschaftsrechts zuständig sind.171 Gegen Maßnahmen der Aufsichtsbehörden bleibt es daher bei der Zuständigkeit der Verwaltungsgerichte und gegen Datenschutzverstöße von Privaten kann Rechtsschutz vor den ordentlichen Gerichten erlangt werden.172 Ein entscheidender Unterschied ergibt sich jedoch im Fall der Erschöpfung des Rechtsweges, da die Entscheidungskompetenz des BVerfG eingeschränkt sein kann. Nach der Solange-Rechtsprechung des BVerfG überprüft dieses europäische Rechtsakte nämlich nicht am Maßstab des Grundgesetzes, solange die europäischen Gemeinschaften insbesondere durch die Rechtsprechung des EuGH einen Grundrechtsschutz gewährleisten, der in seinem Wesensgehalt mit dem der Grundrechte des GG vergleichbar ist.173

Während in der Solange I-Entscheidung174 noch davon ausgegangen wurde, dass dieses Schutzniveau nicht erreicht ist, geht das BVerfG seit der Solange II-Entscheidung175 davon aus, dass ein entsprechendes Schutzniveau besteht. Eine Überprüfungskompetenz des BVerfG besteht in Anwendung dieser Grundsätze nur solche Rechtsakte, die aufgrund einer Öffnungsklausel in der DSGVO erlassen wurden176 und nach den Grundsätzen der Lissabon-Entscheidung für europäische Rechtsakte, die offensichtlich in den Kernbereich souveräner Staatlichkeit eingreifen,177 soweit diese strukturelle Bedeutung haben und vom EuGH unbeanstandet geblieben sind.178 Ein Verstoß gegen europäische Grundrechte kann danach nur indirekt im Wege des Vorabentscheidungsverfahrens gem. Art. 267 Abs. 3 AEUV durch eine Vorlage eines Fachgerichts vom EuGH auf einen Verstoß gegen europäische Grundrechte geprüft werden.179 Eine Pflicht zur Vorlage ergibt sich gem. Art. 267 Abs. 3 AEUV für Gerichte, deren Entscheidungen nicht mehr mit innerstaatlichen Rechtsmitteln angefochten werden können, insbesondere also für Entscheidungen des BVerwG und des BGH.180 Mit den Entscheidungen Recht auf Vergessen I181 und Recht auf Vergessen II182 relativiert das BVerfG diese Grundsätze und schafft die Möglichkeit der verfassungsrechtlichen Kontrolle deutscher Stellen am Maßstab der deutschen Grundrechte (Recht auf Vergessen I) mit der Vermutung, dass dadurch auch die Europäischen Grundrechte mitgewährleistet seien und der direkten Anwendung der Europäischen Grundrechte durch das BVerfG unter Berufung auf die Integrationsverantwortung nach Art. 23 Abs. 1 GG (Recht auf Vergessen II).183

Alternativ verbleibt die Möglichkeit einer Nichtigkeitsfeststellungsklage gem. Art. 263 Abs. 4 i.V.m. Art. 256 Abs. 1 AEUV,184 mit der die Nichtigkeit der Verordnung erklärt werden könnte.185 Die Klage setzt jedoch den regelmäßig nicht erbringbaren Nachweis voraus, dass der Kläger unmittelbar und individuell wegen besonderer Eigenschaften betroffen ist, die ihn aus dem Kreis aller übrigen Personen heraushebt.186

Als letzte Möglichkeit verbleibt nach einem Beitritt der EU zum Europarat die Möglichkeit einer Klage vor dem EGMR unter Berufung auf die EMRK. Die Verfahrensvoraussetzungen sind nicht besonders hoch, jedoch ist aufgrund der Überlastung des Gerichts mit einer langen Verfahrensdauer zu rechnen.187

5. Öffnungsklauseln

In der DSGVO sind je nach Zählweise bis zu 60 Öffnungsklauseln zum Erlass mitgliedstaatlichen Datenschutzrechts vorgesehen, mit denen Regelungen der DSGVO konkretisiert oder mit denen von der DSGVO abgewichen werden kann.188 Die DSGVO verbindet damit Elemente der Richtlinie, die mitgliedstaatlicher Umsetzung bedarf, und der Verordnung, die unmittelbar anwendbares Recht der Union ist, und ist insofern eine atypische bzw. hybride Form der Gesetzgebung in der Union.189 Neben der DSGVO bleibt das mitgliedstaatliche Datenschutzrecht daher eine relevante datenschutzrechtliche Rechtsquelle. Öffnungsklauseln finden sich in praktisch jedem Teil der DSGVO,190 ein Schwerpunkt liegt im Bereich der Datenverarbeitung zu journalistischen Zwecken, der Verarbeitung zu Forschungszwecken, der Verarbeitung von Gesundheitsdaten, der Geheimhaltungsregeln und dem Beschäftigtendatenschutz.191

Zweck der Öffnungsklauseln ist es, unterschiedlichen Ausgangspositionen der Mitgliedstaaten Rechnung zu tragen und „alle auf dem Weg der Harmonisierung mitzunehmen“.192 Die Öffnungsklauseln lassen sich in allgemeine und spezifische Öffnungsklauseln einteilen. Allgemeine Öffnungsklauseln schaffen die Möglichkeit für eine Vielzahl mitgliedstaatlicher Regelungen, wie Art. 23 DSGVO, der eine Vielzahl von Abweichungsmöglichkeiten von den Betroffenenrechten ermöglicht.193 Spezifische Öffnungsklauseln lassen mitgliedstaatliche Regelungen nur in einem sehr eingeschränkten Bereich zu, wie Art. 8 Abs. 1 DSGVO für die Abweichung von der Altersgrenze für die Einwilligungsfähigkeit der DSGVO.194 Öffnungsklauseln schaffen die Befugnis der Mitgliedstaaten zur Konkretisierung, Ergänzung oder Modifikation der Regelungen der DSGVO.195 Neben echten Öffnungsklauseln, die eine Handlungsoption (fakultative Öffnungsklauseln) oder ein Handlungsgebot (obligatorische Öffnungsklauseln) enthalten,196 finden sich auch bloße Verweise auf Regelungen der Mitgliedstaaten oder der Union ohne Ermächtigung zur Regelung durch die Mitgliedstaaten (unechte Öffnungsklauseln).197

Soweit die DSGVO als Rechtsakt der Union einen Sachverhalt nicht abschließend regelt und in diesem ungeregelten Bereich eine mitgliedstaatliche Regelung existiert, die nicht im Widerspruch zur DSGVO oder anderen Regelungen des Unionsrechts steht, kann diese Regelung des mitgliedstaatlichen Rechts ergänzend zur DSGVO erlassen werden oder neben der DSGVO in Kraft bleiben.198 Insofern kann es über die explizit im Wortlaut der DSGVO abgebildeten Öffnungsklauseln hinaus implizite Öffnungsklauseln geben.199 Das Vorliegen einer impliziten Regelungslücke wird etwa für die Regelung zum Scoring in § 31 BDSG (siehe § 31 Rn. 42ff.) diskutiert.200 Der Bundesgesetzgeber hat sich für den Erlass von § 31 BDSG jedenfalls nicht auf eine explizite Öffnungsklausel in der DSGVO berufen.201

Das Konzept der sekundärrechtlichen Rechtsetzung mittels einer Verordnung mit Öffnungsklauseln ist so im Primärrecht eigentlich nicht vorgesehen. Faktisch wird mit der DSGVO damit ein nicht vorgesehener Zwitter geschaffen, der Elemente der Verordnung und der Richtlinie vereint.202 Für den Rechtsanwender ergibt sich daraus die praktische Herausforderung, Normen unterschiedlicher Hierarchieebenen anzuwenden und mögliche Konflikte zu einem Ausgleich zu bringen. Dies kann eine schwierige Aufgabe sein und Rechtsunsicherheiten schaffen, da für jede Regelung des deutschen Rechts geprüft werden muss, ob und wie weit sie neben der DSGVO angewendet werden kann.203

Systematisch ist dafür zunächst von der DSGVO auszugehen.204 Die DSGVO ist im Verhältnis zum Recht der Mitgliedstaaten das höherrangige Recht mit Anwendungsvorrang.205 Klarstellend ist dies entsprechend in § 1 Abs. 5 BDSG geregelt (siehe § 1 Rn. 35). Nur wenn und soweit die DSGVO eine Öffnung zur mitgliedstaatlichen Regelung vorsieht, kommt die Anwendung des mitgliedstaatlichen Rechts in Betracht. Im nächsten Schritt ist daher zu prüfen, ob es eine Regelung im mitgliedstaatlichen Recht gibt. Für diese Regelung muss dann geprüft werden, ob sie sich entsprechend der Prüfung von Schranken-Schranken in der Grundrechtsdogmatik im Rahmen der Öffnungsklausel bewegt. Soweit die mitgliedstaatliche Regelung über die Öffnung in der DSGVO hinausgeht, muss dies im Rahmen europarechtskonformer Auslegung206 korrigiert werden. Ggf. kann die Anwendung der mitgliedstaatlichen Norm auch insgesamt ausgeschlossen sein.