DSGVO - BDSG - TTDSG

III. Neues deutsches Datenschutzrecht

56

Die DSGVO hat Anwendungsvorrang vor dem deutschen Datenschutzrecht, schafft aber durch zahlreiche Öffnungsklauseln auch Regelungsbefugnisse für die Mitgliedstaaten. Diese verbleibenden Regelungsbereiche können und müssen von den Stellen der deutschen Legislative entsprechend der Kompetenzregelungen der Art. 70ff. GG mit Leben gefüllt werden. Insofern bleibt es in der föderalen deutschen Struktur bei einer zweigeteilten Zuständigkeit mit einer Bundeskompetenz, die zum Erlass des BDSG geführt hat. Neben der Bundeskompetenz besteht auch eine Länderkompetenz, die zum Erlass von Landesdatenschutzgesetzen genutzt werden kann.207

1. Bundesdatenschutzgesetz – Gesetzgebungsprozess

57

Die DSGVO wurde am 14.4.2016 vom Parlament beschlossen und ist am 25.5.2018 in Kraft getreten. Der Bundesgesetzgeber hatte daher ein sehr enges Zeitfenster, um diesen grundlegenden Umbruch im Datenschutzrecht der Union im nationalen Recht umzusetzen. Im Herbst 2016 leakte ein erster Referentenentwurf des BMI zur Neuregelung des deutschen Datenschutzrechts. Am 23.11.2016 wurde dann der erste offizielle Referentenentwurf des BMI veröffentlicht,208 der als gemeinsamer Entwurf der Bundesregierung am 1.2.2017 in den Gesetzgebungsprozess eingebracht und am 27.4.2017 vom Bundestag als Teil des DSAnpUG-EU209 und als erstes mitgliedstaatliches Datenschutzgesetz zur Umsetzung der DSGVO verabschiedet wurde.210 Der Bundesrat hat dem DSAnpUG-EU am 12.5.2017 zugestimmt. Gemäß Art. 8 Abs. 1 DSAnpUG-EU trat das BDSG zeitgleich mit der DSGVO am 25.5.2018 in Kraft. Der Prozess zur Anpassung des bereichsspezifischen Datenschutzrechts war damit jedoch noch nicht abgeschlossen. Große Bereiche des fachspezifischen deutschen Datenschutzrechts wurden mit dem (Artikel-)Gesetz zur Umsetzung der RL (EU) 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die VO 2016/678 geregelt.211

2. Struktur des BDSG

58

Die Struktur des BDSG weicht erheblich von der Struktur des BDSG a.F. ab. Es gliedert sich in 4 Teile mit jeweils bis zu 7 Kapiteln.

59

Der erste Teil enthält gemeinsame Bestimmungen für den zweiten und dritten Teil, wie den Anwendungsbereich und Begriffsbestimmungen (erstes Kapitel), die Verarbeitung personenbezogener Daten durch öffentliche Stellen und die Videoüberwachung (zweites Kapitel), Regelungen für die oder den Bundesbeauftragte(n) für den Datenschutz und die Informationsfreiheit (viertes Kapitel), die Vertretung im Europäischen Datenschutzausschuss und die Zusammenarbeit der Aufsichtsbehörden (fünftes Kapitel) und Regelungen zu datenschutzrechtlichen Rechtsbehelfen (sechstes Kapitel).

60

Der zweite Teil enthält Regelungen zur Anpassung des deutschen Datenschutzrechts an die DSGVO im Hinblick auf Rechtsgrundlagen der Verarbeitung (erstes Kapitel), Rechte der Betroffenen (zweites Kapitel), Pflichten von Verantwortlichen und Auftragsverarbeitern (drittes Kapitel), Datenschutzaufsicht über nichtöffentliche Stellen (viertes Kapitel), Sanktionen für Datenschutzverstöße (fünftes Kapitel) und Rechtsbehelfe (sechstes Kapitel).

61

Der dritte Teil enthält Regelungen zur Anpassung des deutschen Datenschutzrechts an die Richtlinie EU 2016/680, nämlich zum Anwendungsbereich, zu Begriffsbestimmungen und Grundsätzen (erstes Kapitel), zu Rechtsgrundlagen der Verarbeitung (zweites Kapitel), Rechten der Betroffenen (drittes Kapitel), Pflichten von Verantwortlichen und Auftragsverarbeitern (viertes Kapitel), Datenübermittlungen an Drittstaaten und internationale Organisationen (fünftes Kapitel), zur Zusammenarbeit der Aufsichtsbehörden (sechstes Kapitel) und zu Haftung und Sanktionen (siebtes Kapitel).

62

Der vierte Teil des BDSG enthält nur die Regelung des § 85 BDSG für den Sonderfall, dass eine Verarbeitung weder dem zweiten, noch dem dritten Teil zugeordnet werden kann.

3. Gesetzgebungskompetenz

63

Eine ausdrückliche Regelung der legislativen Zuständigkeit findet sich für den Datenschutz nicht, sodass seine Normierung weder auf eine klare Kompetenz der Länder noch des Bundes gestützt werden kann. Will man diese ermitteln, so muss nach dem konkreten Regelungszusammenhang gefragt werden und dieser muss in die Zuständigkeitsregelungen gem. Art. 70ff. GG eingeordnet werden.212 Es gilt hierbei gem. Art. 30, 70 Abs. 1 GG der Grundsatz der Länderkompetenz. Abweichungen sind zulässig, soweit zu schaffende, datenschutzrechtliche Regelungen einen Zusammenhang zu einer Kompetenz des Bundes aufweisen.213 Zur Regelung des Datenschutzes für die Datenverarbeitung durch nichtöffentliche Stellen kann sich der Bund hierbei insbesondere auf seine Kompetenz zur konkurrierenden Gesetzgebung gem. Art. 74 Abs. 1 Nr. 1, Nr. 11 und Nr. 14 GG berufen, da eine einheitliche Regelung des Datenschutzrechts zur Wahrung der Rechts- und Wirtschaftseinheit erforderlich ist.214

64

Die Zuständigkeit des Bundes für den Erlass von Datenschutzvorschriften für Stellen der Judikative ergibt sich aus seiner Zuständigkeit für die Gerichtsverfassung und das gerichtliche Verfahren gem. Art. 74 Abs. 1 Nr. 1 GG. Für die Kompetenz zur Regelung des Datenschutzes in der öffentlichen Verwaltung gibt es darüber hinaus keine unmittelbar passende Kompetenzgrundlage. Regelungen des materiellen Datenschutzrechts dienen primär nämlich nicht der organisatorischen Anleitung der Verwaltung bei der Ausübung ihrer Tätigkeit, sondern dem Schutz der Betroffenen vor den Gefahren der Datenverarbeitung. Eine Bundeskompetenz kann sich daher nicht aus der Zuständigkeit für die Regelung des Verwaltungsverfahrens ergeben,215 sondern nur aus einer Annexkompetenz zu Art. 73 und 74 GG, wenn öffentliche Stellen personenbezogene Daten im Zusammenhang mit einer Materie verarbeiten, für die eine Bundeskompetenz besteht.216 Eine Ausnahme hiervon ergibt sich für die Bestellung eines Datenschutzbeauftragten des Bundes als besonderer Kontrollinstanz. In dieser Funktion unterscheidet sich der Bundesdatenschutzbeauftragte von den übrigen Behörden und öffentlichen Stellen des Bundes. Dennoch ist er diesen als Bestandteil der Organisationsgewalt des Bundes soweit angenähert, dass sich eine Zuständigkeit zur Regelung seiner Kompetenzen aus Art. 86 GG ergibt.217

4. Neue Datenschutzgesetze der Länder

65

Im Rahmen ihrer Zuständigkeiten haben sich auch die Länder für den Erlass eigener Datenschutzgesetze entschieden und entsprechend dem ursprünglichen deutschen Regelungsumfeld mit dem BDSG a.F. und den LDSG a.F. Gesetzgebungsverfahren zum Erlass neuer Landesdatenschutzgesetze auf den Weg gebracht. Sie gehen dabei durchaus unterschiedliche Wege. Teilweise passen die Länder das Datenschutzrecht mit dem neuen Landesdatenschutzgesetz an die DSGVO an und setzen zugleich die Rl 2016/680 um. Manche Länder teilen Anpassung und Umsetzung auf zwei Gesetze getrennt auf. Außerdem sind auf Landesebene zahlreiche Fachgesetze mit datenschutzrechtlichen Regelungen anzupassen.

66

Die Bundesländer haben Landesdatenschutzgesetze in Anpassung an die DSGVO und teilweise zur Umsetzung der Rl 680/2016 verabschiedet:

Baden-Württemberg

Landesdatenschutzgesetz (LDSG) vom 12.6.2018218

Bayern

Bayerisches Datenschutzgesetz (BayDSG) vom 15.5.2018,219 geändert durch § 6 Gesetz v. 18.5.2018220

Berlin

Gesetz zum Schutz personenbezogener Daten in der Berliner Verwaltung (Berliner Datenschutzgesetz – BlnDSG) vom 13.6.2018221

Brandenburg

Gesetz zum Schutz personenbezogener Daten im Land Brandenburg (Brandenburgisches Datenschutzgesetz – BbgDSG) vom 8.5.2018222

Bremen

Bremische Ausführungsgesetz zur EU-Datenschutz-Grundverordnung vom 11.5.2018223

Hamburg

Hamburgischen Datenschutzgesetz (HmbDSG) vom 18.5.2018224

Hessen

Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) vom 3.5.2018225

Mecklenburg-Vorpommern

Datenschutzgesetz für das Land Mecklenburg-Vorpommern (Landesdatenschutzgesetz – DSG M-V) vom 22.5.2018226

Niedersachsen

Niedersächsische Datenschutzgesetz (NDSG) vom 16.5.2018227

Nordrhein-Westfalen

Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) vom 17.5.2018228

Rheinland-Pfalz

Landesdatenschutzgesetz (LDSG) vom 8.5.2018229

Saarland

Saarländisches Datenschutzgesetz, vom 16.5.2018230

Sachsen

Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) vom 26.4.2018231

Sachsen-Anhalt

Gesetz zum Schutz personenbezogener Daten der Bürger (Datenschutzgesetz Sachsen-Anhalt – DSG LSA), in der Fassung des Gesetzes vom 21.2.2018232

Schleswig-Holstein

Schleswig-Holsteinisches Gesetz zum Schutz personenbezogener Daten (Landesdatenschutzgesetz – LDSG) vom 2.5.2018233

Thüringen

Thüringer Datenschutzgesetz (ThürDSG) vom 6.6.2018.234

1 Grundlegend aus Anlass des Aufbaus einer staatlichen Datenbank in den USA die verfassungsrechtliche Studie von Westin, Privacy and Freedom. Zur Folgediskussion in Deutschland etwa R. Kamlah, Right of Privacy; Kilian/Lenk/Steinmüller, Datenschutz – Juristische Grundfragen beim Einsatz elektronischer Datenverarbeitungsanlagen in Wirtschaft und Verwaltung; Podlech, DVR 1972/73, 149; die Geschichte des Persönlichkeitsschutzes vor den Risiken der (analogen) Datenverarbeitung lässt sich wesentlich weiter zurückverfolgen; siehe zur Entwicklung des Datenschutzrechts von 1600 bis 1977 von Lewinski, in: Arndt et al., Freiheit – Sicherheit – Öffentlichkeit, S. 196. 2 Roßnagel/Müller, CR 2004, 625, 627f. 3 Vgl. dazu auch Taeger, in: FS Kilian, S. 241. 4 Datenschutzgesetz vom 7.10.1970, Hess. GVBl. I, S. 625. 5 Gesetz über die Organisation der elektronischen Datenverarbeitung im Freistaat Bayern vom 12.10.1970, GVBl., S. 457. 6 Datalagen (1973:289) verabschiedet am 11.5.1973, in Kraft getreten am 1.6.1974. 7 http://www.justice.gov/opcl/privstat.htm. 8 Lov om personregistre, dazu Leopold, DuD 2000, 471. 9 Tinnefeld/Buchner/Petri/Hof, Einführung in das Datenschutzrecht, S. 79. 10 Steinmüller/Lutterbeck/Mallmann/Harbort/Kolb/Schneider, Grundfragen des Datenschutzes, Gutachten im Auftrag des BMI, Juli 1971, BT-Drs. 6/3826, S. 5; dazu Steinmüller, RDV 2007, 158. 11 Dazu Steinmüller, RDV 2007, 158. 12 Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz – BDSG) vom 27.1.1977, BGBl. I, S. 201; dazu Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 26ff. 13 BVerfG, 15.12.1983 – 1 BvR 209/83, 1 BvR 484/83, 1 BvR 420/83, 1 BvR 362/83, 1 BvR 269/83, 1 BvR 440/83, BVerfGE 65, 1 – Volkszählungsurteil. 14 Kühling/Sackmann, ZD 2020, 24, 25. 15 Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen über eine Digitale Agenda für Europa, KOM(2010)245 endgültig. 16 Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen über eine Strategie für einen digitalen Binnenmarkt für Europa, COM(2015)192 final. 17 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation). 18 Vorschlag der Kommission vom 10.1.2017 für eine Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation), COM(2017)10 final (ePrivacy-VO-KOM-E); dazu Selmayr/Ehmann, in: Ehmann/Selmayr, DS-GVO, Art. 1 Rn. 103ff.; Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 95 Rn. 3. 19 Dazu Kühling, CR 2020, 199. 20 Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications), Brüssel v. 10.2.2021, ST_6087_2021_INIT. 21 Siehe etwa die Pressemitteilung des BfDI v. 10.2.2021 („in schwerer Schlag für den Datenschutz“). 22 BGBl. I, S. 1982. 23 Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen – Gestaltung der digitalen Zukunft Europas, 19.2.2020, COM(2020) 67 final. 24 Dazu Jüngling, MMR 2020, 440. 25 Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen – Eine europäische Datenstrategie, 19.2.2020, COM(2020) 66 final. 26 COM(2020) 66 final, S. 29. 27 Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über europäische Daten-Governance (Daten-Governance-Gesetz), 25.11.2020, COM(2020) 767 final. 28 Dazu Preuß, ZD 2015, 217, 218ff.; Ziekow, Datenschutz und evangelisches Kirchenrecht; Germann, ZevKR 2003, 446; Fachet, RDV 1996, 177; Claessen, DuD 1995, 8; Lorenz, DVBl. 2001, 428. 29 Dazu Ziegenhorn/Drossel, K&R 2016, 230. 30 Dazu Gürtler, RDV 2012, 126. 31 Boehm, JA 2009, 435; Kuner, European Data Protection Law: Corporate Compliance and Regulation; Taeger, Grenzüberschreitender Datenverkehr und Datenschutz in Europa; Taeger, EWS 1995, 69. 32 OECD, 23.9.1980, C(80)58/Final. 33 Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Einführung Rn. 43; Gürtler, RDV 2012, 126, 127. 34 Burkert, in: Roßnagel, Hdb. DSR, Kap. 2.3, Rn. 31; Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Einführung Rn. 42ff. 35 Die Leitlinie benannte bspw. 15 Prinzipien, die alle in die DSRl übernommen wurden, siehe auch Hoeren, ZD 2016, 459, 461; Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Einführung Rn. 43; Gürtler, RDV 2012, 126, 127. 36 OECD Privacy Framework, 2013, S. 3, OECD, 11.6.2013, C(2013)79. 37 OECD Privacy Framework, 2013, S. 4f. 38 Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, S. 99. 39 UN General Assembly, Guidelines for the Regulation of Computerized Personal Data Files, 14 December 1990. 40 Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Einführung Rn. 44; Gürtler, RDV 2012, 126 127f. 41 von Lewinski, in: Auernhammer, DSGVO BDSG, Einleitung Rn. 43f.; Tinnefeld/Buchner/Petri/Hof, Einführung in das Datenschutzrecht, S. 82f. 42 Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28.1.1981; siehe zur Entwicklung des Datenschutzes in Europa, Westphal, in: Bauer/Reimer, Handbuch Datenschutzrecht, S. 53, 56ff. 43 Gesetz zu dem Übereinkommen vom 28.1.1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 13.3.1985, BGBl. II, S. 538. 44 https://www.coe.int/de/web/conventions/full-list/-/conventions/treaty/108/signatures?p_auth=M1NH23F8 (zuletzt abgerufen am 16.12.2020). 45 Zilkens, RDV 2007, 196, 196; Weichert, in: Däubler/Klebe/Wedde/Weichert, BDSG, Einleitung Rn. 76. 46 Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, RL 95/46 EG. 47 Westphal, in: Bauer/Reimer, Handbuch Datenschutzrecht, S. 53, 56; Brühann, RDV 1996, 12, 12; Weichert, in: Däubler/Klebe/Wedde/Weichert, BDSG, Einleitung Rn. 76. 48 Brühann, RDV 1996, 12, 13; von Lewinski, in: Auernhammer, DSGVO BDSG, Einleitung Rn. 8ff. 49 Selmayr/Ehmann, in: Ehmann/Selmayr, DS-GVO, Art. 1 Rn. 15; Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Einführung Rn. 46ff.; Zilkens, RDV 2007, 196, 196. 50 Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Einführung Rn. 46. 51 Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, S. 123. 52 Dazu Gola/Klug, Grundzüge des Datenschutzrechts, S. 26ff. 53 Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15.3.2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG. 54 Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25.11.2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz. 55 BGBl. I, S. 2954. 56 Tinnefeld/Buchner/Petri/Hof, Einführung in das Datenschutzrecht, S. 81. 57 BVerfG, 5.12.1983 – 1 BvR 209/83, 1 BvR 484/83, 1 BvR 420/83, 1 BvR 362/83, 1 BvR 269/83, 1 BvR 440/83, BVerfGE 65, 1 – Volkszählungsurteil. 58 Gola/Schomerus, BDSG, Einleitung Rn. 7. 59 BGBl. I, S. 904. 60 Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, RL 95/46/EG. 61 Brühann, RDV 1996, 12, 13. 62 Dazu Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, S. 120. 63 Gola/Schomerus, BDSG, Einleitung Rn. 11. 64 Gola/Schomerus, BDSG, Einleitung Rn. 11. 65 Gola/Schomerus, BDSG, Einleitung Rn. 12. 66 BGBl. I 2001, S. 904. 67 Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts. Gutachten im Auftrag des Bundesministers des Innern, S. 13; dazu Kilian, CR 2002, 921. 68 Darstellung bei Moos, in: Taeger/Wiebe, Inside the Cloud, S. 79. 69 Dazu Grentzenberg/Schreibauer/Schuppert, K&R 2009, 368; Moos, in: Taeger/Wiebe, Inside the Cloud, S. 79. 70 BGBl. I, S. 2254. 71 Moos, in: Taeger/Wiebe, Inside the Cloud, S. 79. 72 Dazu Grentzenberg/Schreibauer/Schuppert, K&R 2009, 535, 535ff.; Hanloser, MMR 2009, 594. 73 BGBl. I, S. 2814. 74 Dazu Grenzenberg/Schreibauer/Schuppert, K&R 2009, 535, 541f.; Moos, K&R 2009, 154, 160. 75 Frey, in: Taeger/Wiebe, Inside the Cloud, S. 33, 36ff. 76 Gabel, in: Taeger/Wiebe, Inside the Cloud, S. 193, 203f. 77 Moos, in: Taeger/Wiebe, Inside the Cloud, S. 79, 82f. 78 Moos, in: Taeger/Wiebe, Inside the Cloud, S. 79, 83f. 79 Schmidt, RDV 2009, 193; Winteler, in: Taeger/Wiebe, Inside the Cloud, S. 469, 471ff. 80 Dazu Moos, in: Taeger/Wiebe, Inside the Cloud, S. 79, 85; Moos, K&R 2010, 166, 170. 81 BGBl. I, S. 2355; Inkrafttreten: 1.6.2010. 82 ABl. Nr. L 119, S. 1; Gola, RDV 2012, 60; Hornung, ZD 2012, 99, 100; Kehr, CB 2016, 421. 83 Albrecht, CR 2016, 88, 89; Kühling/Martini, EuZW 2016, 448; Schantz, NJW 2016, 1841. 84 EU-Komm., 4.11.2010, 2010/609 endgültig. 85 Dazu Wolff/Brink, in: Wolff/Brink, BeckOK DatenschutzR, Einleitung Rn. 11. 86 Dazu Reding, ZD 2012, 195. 87 Entschließung des Europäischen Parlaments vom 6.7.2011 zum Gesamtkonzept für den Datenschutz in der Europäischen Union, 2011/2025(INI). 88 EU-Komm., 25.1.2012, 2012/11 endgültig. 89 Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.5.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, EU-Komm., 25.1.2012, 2012/10, ABl. Nr. L 119/89; dazu Bäcker/Hornung, ZD 2012, 147; Kugelmann, DuD 2012, 581; Reif, RDV 2016, 205; Schwichtenberg, DuD 2016, 605; Weichert, Die EU-Rl für den Datenschutz bei Polizei und Justiz; Bäcker, in: Hill/Kugelmann/Martini, Perspektiven der digitalen Lebenswelt, S. 63. 90 Reding, ZD 2012, 195, 195ff.; kritisch dazu Wagner, DuD 2012, 676, 676: „Die Kommission verfolgt mit ihren Vorschlägen ... nicht einmal in erster Linie das Anliegen, den Datenschutz zu modernisieren.“ 91 Härting, BB 2012, 459, 460; Wagner, DuD 2012, 676, 677; Selmayr/Ehmann, in: Ehmann/Selmayr, DS-GVO, Einführung Rn. 56; daneben enthielt der Entwurf 22 Durchführungsrechtsakte i.S.d. Art. 291 Abs. 2 AEUV. 92 Zum deutschen Verständnis siehe Remmert, in: Maunz/Dürig, GG, Art. 80 Rn. 24ff. 93 Hornung, ZD 2012, 99, 105. 94 Härting, BB 2012, 459, 466; Wybitul/Fladung, BB 2012, 509, 515; Hornung, ZD 2012, 99, 105; Roßnagel, DuD 2012, 553; Dix, DuD 2012, 318, 321; Jaspers, DuD 2012, 571; Schild/Tinnefeld, DuD 2012, 312, 314; Kahler, RDV 2013, 69; Kranig, RDV 2013, 217; Hartung, ZD 2012, 99, 106; Gießen, CR 2012, 550; Simitis, in: Simitis, BDSG, Einleitung Rn. 256ff.; a.A. Sydow/Kring, ZD 2014, 271, 273; Pötters, RDV 2015, 10, 15. 95 A.A. Selmayr/Ehmann, in: Ehmann/Selmayr, DS-GVO, Einführung Rn. 56f., die darin „ein [sehr erfolgreiches] taktisches Vorgehen von Reding“ im Rahmen der Trilogverhandlung erkennen wollen; zumindest für praxisrelevante Bereiche befürwortend Pötters, RDV 2015, 10, 15. 96 Albrecht, CR 2016, 88, 96; Buchner, DuD 2016, 155, 160; Gola, in: Gola, DS-GVO, Einleitung Rn. 45. 97 Dazu Härting, BB 2012, 459, 461. 98 von Lewinski, DuD 2012, 564, 567. 99 So auch Hornung, ZD 2012, 99, 105; Ronellenfitsch, DuD 2012, 561, 563; von Lewinski, DuD 2012, 564, 567; Schild/Tinnefeld, DuD 2012, 312, 313; von der Europarechtswidrigkeit ausgehend Kahler, RDV 2013, 69; Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Einführung Rn. 78; kritisch zur Rolle der Kommission Herrmann, ZD 2012, 49, 50; Wagner, DuD 2012, 676, 677. 100 So bspw. BR-Drs. 52/12, Nr. 3; Ronellenfitsch, DuD 2012, 561, 562; Wagner, DuD 2012, 676, 677; noch weitgehender Franzen, DuD 2012, 322, 325f.; a.A. Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Einführung Rn. 76; Koós, ZD 2014, 9, 11. 101 LIBE-Bericht, 22.11.2013, A7-0402/2013, S. 4ff. 102 EU-Parl., 12.3.2014, P7_TA(2014)0212, ABl. C 378/399. 103 Albrecht, ZD 2013, 587, 590; Fechner/Riedl, in: Knyrim, Datenschutzgrundverordnung, S. 7, 14, die „nur“ 3133 Änderungsanträge zählen. 104 LIBE-Bericht, 22.11.2013, A7-0402/2013, S. 4ff. 105 LIBE-Bericht, 22.11.2013, A7-0402/001-207; der vorläufige Berichtsentwurf in der Fassung vom 16.1.2013 enthielt noch 350 Änderungsanträge; ausführlich zum Entwurf Roßnagel/Kroschwald, ZD 2014, 495. 106 EU-Parl., 12.3.2014, P7_TA(2014)0212, ABl. C 378/399. 107 Albrecht, CR 2016, 88, 89; Schantz, NJW 2016, 1841. 108 Vgl. Albrecht, ZD 2013, 587, 590; positiv dazu Koós, ZD 2014, 9, 15; ebenso Roßnagel/Kroschwald, ZD 2014, 495, 496. 109 Dazu Roßnagel/Nebel/Richter, ZD 2015, 455, 455; Koós, ZD 2014, 9, 12ff. 110 Dazu Roßnagel/Kroschwald, ZD 2014, 495, 496. 111 Für die Mitgliedstaaten bestand so in bürokratisch und exekutiv strukturstarken Staaten die Gefahr einer Abwanderung der Hauptniederlassung; ausführlich zur federführenden Aufsichtsbehörde auch Nguyen, ZD 2015, 265, 266f. 112 Vgl. auch Bayerisches Landesamt für Datenschutzaufsicht, Trilog – Synopse der DS-GVO der Fassungen: der Europäischen Kommission, des Europäischen Parlaments und des Rats der Europäischen Union und des (Arbeits-)Ergebnisses der Trilogparteien, 11.1.2016, S. 264ff.; Albrecht, ZD 2013, 587, 590; Eckhardt/Kramer, DuD 2013, 287, 291. 113 Dazu Roßnagel/Kroschwald, ZD 2014, 495, 498. 114 Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Einführung Rn. 77, die dieses Recht innerhalb der Öffentlichkeit für grundsätzlich überbewertet halten; ähnlich Roßnagel/Kroschwald, ZD 2014, 495, 498. 115 Art. 32a DSGVO-ParlE.; dazu Veil, ZD 2015, 347, 350. 116 Kritisch Roßnagel/Kroschwald, ZD 2014, 495, 496; Roßnagel/Richter/Nebel, ZD 2013, 103, 104; Roßnagel, Datenschutz in einem informatisierten Alltag, S. 192ff. 117 EU-Rat, 11.6.2015, 9565/15, 2012/0011 (COD); ausführlich dazu Roßnagel/Richter/Nebel, ZD 2015, 455. 118 Ausführlich zur Zusammensetzung Kumin, in: Grabitz/Hilf/Nettesheim, EUVArt. 15 Rn. 5ff. 119 Albrecht, CR 2016, 88, 88; Schaar, ZD 2014, 313; Selmayr/Ehmann, in: Ehmann/Selmayr, DS-GVO, Einführung Rn. 48, die jeweils die „anfängliche deutsche Skepsis“ als einen Hauptgrund für den Verzug ausmachen; a.A. Svanberg, PinG 2013, 18, 18, der das Fokussieren auf zwei Rechtsakte (Rl und VO) als maßgeblich erachtet. 120 Kühling/Martini, EuZW 2016, 448; Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Einführung Rn. 81; Richter, DuD 2015, 735. 121 Art. 39a Abs. 7 DSGVO-RatsE. 122 Zustimmen Roßnagel/Richter/Nebel, ZD 2015, 455, 455. 123 Dazu Nguyen, ZD 2015, 265, 265. 124 Ausführliche Gegenüberstellung bei Nguyen, ZD 2015, 265, 266ff. 125 Kritisch Nguyen, ZD 2015, 265, 269. 126 Dazu Roßnagel, DuD 2017, 290, 291; siehe auch die ErwG 8, 16, 16a und 41 DSGVO-RatsE. 127 Ausführlich dazu Veil, ZD 2015, 347, 348f. 128 So ausdrücklich Art. 15 Abs. 1 DSGVO-RatsE. 129 Art. 17b DSGVO-RatsE. 130 Die einzigen Verfahrensregelungen finden sich in einer Gemeinsamen Erklärung des Europäischen Parlaments, des Rates und der Kommission v. 30.6.2007 zu den praktischen Modalitäten des neuen Mitentscheidungsverfahrens (Art. 251 EGV), Anlage XX GO-EP 2011, ABl. C 145/02, S. 5, insb. Nr. 7ff., Nr. 16ff., Nr. 21ff. 131 Vgl. ABl. C 145/02, S. 5 Nr. 8. 132 Vgl. ABl. C 145/02, S. 5 Nr. 17, Nr. 22 „Die Kommission unterstützt“. 133 Deutelmoser, NVwZ 2015, 1577, 1578 Fn. 3; kritisch mit umfassender Darstellung zu der gängigen Praxis Melzer, VerfBlog v. 1.12.2015. 134 Ähnlich Roßnagel/Nebel/Richter, ZD 2015, 455, 460; Nguyen, ZD 2015, 265, 270; zu einer detaillierten Gegenüberstellung siehe Bayerisches Landesamt für Datenschutzaufsicht, Trilog – Synopse der DS-GVO der Fassungen: der Europäischen Kommission, des Europäischen Parlaments und des Rats der Europäischen Union und des (Arbeits-)Ergebnisses der Trilogparteien, 11.1.2016. 135 EU-Parl. und EU-Rat, 28.1.2016, 5455/16, S. 2 Nr. 2, „Gesamtkompromisstext“; zum Verfahrensablauf der Datenschutzgrundverordnung siehe auch Schmitt, PerspektivePraxis 2015, 4, 5; abstrakt Krajewski/Rösslein, in: Grabitz/Hilf/Nettesheim, AEUV, Art. 294 Rn. 13ff. 136 Roßnagel, DuD 2016, 561, 561. 137 Schneider/Härting, ZD 2012, 199, 203; Svanberg, PinG 2013, 18, 19; Roßnagel, DuD 2016, 561, 561. 138 Herrmann, ZD 2012, 49, 50; Klug, RDV 2012, 129, 137; Schultze-Melling, ZD 2012, 97. 139 Siehe dazu die Kommentierung von Art. 6 Rn. 4ff. 140 Härting, BB 2012, 459, 463. 141 Zu den ergänzenden Pflichten der datenverarbeitenden Stelle ausführlich Lang, K&R 2012, 145, 147f. 142 Dazu Lang, K&R 2012, 145, 148; kritisch dazu Hornung, ZD 2012, 99, 100; Jasper, DuD 2012, 571, 574; Wybitul/Rauer, ZD 2012, 160, 163. 143 Reding, ZD 2012, 195, 198. 144 Moos, K&R 2011, 151, 156; Lang, K&R 2012, 145, 149; Jasper, DuD 2012, 571, 573; Wybitul/Rauer, ZD 2012, 160, 161. 145 Dazu Lang, K&R 2012, 145, 149; Richter, DuD 2012, 576, 578. 146 Schaar, DuD 2011, 756; von Lewinski, DuD 2012, 564, 566. 147 Dazu Hornung, ZD 2012, 99, 104f. 148 Konsolidierte Fassung des Vertrags über die Arbeitsweise der Europäischen Union, 9.5.2008, ABl. EU C 115/47. 149 Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Einführung Rn. 7; Reding, ZD 2012, 195. 150 Siehe dazu auch den 37. Tätigkeitsbericht des hessischen Datenschutzbeauftragten, http://www.datenschutz.hessen.de/download.php?download_ID=180%3Cbr%20/%3E&downloadentry_ID=308&downloadpage_ID=55. 151 Selmayr/Ehmann, in: Ehmann/Selmayr, DS-GVO, Art. 1 Rn. 27; Tinnefeld, ZD 2015, 22. 152 EU-Komm., 25.1.2012, 2012/11 endgültig, S. 6. 153 Dazu Hornung, ZD 2011, 51, 56. 154 Dix, DuD 2012, 318; Forst, NZA 2012, 364, 365; Ronellenfitsch, DuD 2012, 561, 562f.; Schild/Tinnefeld, DuD 2012, 312, 313; a.A. von Lewinski, DuD 2012, 564, 565. 155 Stellungnahme des EDSB zum Datenschutzreformpaket, 7.3.2012, ABl. C 192/7. 156 Stellungnahme des EWSA zum Datenschutzreformpaket, 23.5.2012, AC SOC/455. 157 Stellungnahme des AdR zum Datenschutzreformpaket, 10.10.2012, AC EDUC-V-022, ABl. C 391/127. 158 Vgl. EWSA, 23.5.2012, AC SOC/455, S. 1 Nr. 1.1; AdR, 10.10.2012, AC EDUC-V-022, S. 2 Nr. 1–3. 159 Vgl. EWSA, 23.5.2012, AC SOC/455, S. 1 Nr. 1.2ff.; AdR, 10.10.2012, AC EDUC-V-022, S. 2 Nr. 4ff. 160 Eckhardt, CR 2012, 195, 203; Roßnagel, DuD 2012, 553, 553; Ronellenfitsch, DuD 2012, 561, 562; Schild/Tinnefeld, DuD 2012, 312, 313; Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Einführung Rn. 74; Schneider/Härting, ZD 2012, 199, 203; Härting/Schneider, CRi 2013, 19, 19ff.; Selmayr/Ehmann, in: Ehmann/Selmayr, DS-GVO, Einführung Rn. 60; Reding, ZD 2012, 195, 196f.; ebenso Gola, in: Gola, DS-GVO, Einleitung Rn. 20. 161 BR-Drs. 52/12 (Beschluss). 162 Dazu Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Einführung Rn. 75; Nguyen, DuD 2013, 662; Nguyen, ZEuS 2012, 278, 280f. 163 Nguyen, ZEuS 2012, 278, 299. 164 Hofmann/Johannes, ZD 2017, 221; von Lewinski, DuD 2012, 564, 568. 165 Hornung, ZD 2012, 99, 100; Masing, NJW 2012, 2305, 2010; von Lewinski, DuD 2012, 564, 567. 166 So Masing, SZ v. 9.1.2012. 167 Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Einführung Rn. 36; Reding, ZD 2011, 1. 168 Lang, K&R 2012, 145, 150; Masing, SZ v. 9.1.2012. 169 Hornung, ZD 2012, 99, 100; Masing, SZ v. 9.1.2012; Schwartmann, RDV 2012, 55, 58; Wagner, DuD 2012, 303, 304. 170 Hornung, ZD 2012, 99, 100; Masing, SZ v. 9.1.2012; Schwartmann, RDV 2012, 55, 57. 171 Gola, RDV 2012, 60, 61. 172 Schwartmann, RDV 2012, 55, 56f.; von Lewinski, DuD 2012, 564, 568. 173 BVerfG, 22.10.1986 – 2 BvR 197/83, NJW 1987, 577 – Solange II. 174 BVerfG, 29.5.1974 – 2 BvL 52/7, NJW 1974, 1697 – Solange I. 175 BVerfG NJW, 22.10.1986 – 2 BvR 197/83, NJW 1987, 577 – Solange II. 176 von Lewinski, DuD 2012, 564, 568. 177 BVerfG, 30.6.2009 – 2 BvE 2/08, NJW 2009, 2267, 2271. 178 BVerfG, 6.7.2010 – 2 BvR 2661/06 NJW 2010, 3422 – Honeywell; dazu von Lewinski, DuD 2012, 564, 569. 179 Schwartmann, RDV 2012, 55 57; von Lewinski, DuD 2012, 564, 569. 180 Schwartmann, RDV 2012, 55, 57. 181 BVerfG, 6.11.2019 – 1 BvR 16/13, NJW 2020, 300. 182 BVerfG, 6.11.2019 – 1 BvR 276/17, NJW 2020, 314. 183 Zu den Entscheidungen Recht auf Vergessen I und Recht auf Vergessen II siehe Klass, ZUM 2020, 265; Kühling, NJW 2020, 275. 184 von Lewinski, DuD 2012, 564, 569. 185 Schwartmann, RDV 2012, 55, 58. 186 Schwartmann, RDV 2012, 55, 59. 187 von Lewinski, DuD 2012, 564, 569. 188 Gola, in: Gola, DS-GVO, Einleitung Rn. 45ff.; Hornung/Hofmann, ZD-Beil. 2017, 1, 17. Eine beschreibende Übersicht über die Anpassungen an die DSGVO und die Nutzung der Öffnungsklausel gibt Pohle, CRi 2018, 97. 189 Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Einführung Rn. 2; Schulze Lohoff/Bange, ZD 2019, 199, 200. 190 Zur Übersicht siehe Kühling/Martini u.a., Die Datenschutzgrundverordnung und das Nationale Recht, S. 14ff. 191 Gola, RDV 2012, 60, 62; Schild/Tinnefeld, DuD 2012, 312, 313. 192 Kühling/Martini u.a., Die Datenschutzgrundverordnung und das Nationale Recht, S. 1. 193 Kühling/Martini u.a., Die Datenschutzgrundverordnung und das Nationale Recht, S. 10f. 194 Kühling/Martini u.a., Die Datenschutzgrundverordnung und das Nationale Recht, S. 10f. 195 Buchner, DuD 2016, 155, 159f.; Kühling/Martini u.a., Die Datenschutzgrundverordnung und das Nationale Recht, S. 10f.; Laue, ZD 2016, 463, 464; Roßnagel, DuD 2017, 277, 278. 196 Kühling, NJW 2017, 1985, 1986; Piltz, BDSG, Einleitung, Rn. 1; Roßnagel, DuD 2017, 277, 278; Taeger, ZRP 2016, 72. 197 Kühling/Martini u.a., Die Datenschutzgrundverordnung und das Nationale Recht, S. 11f. 198 Piltz, BDSG, Einleitung Rn. 13; Taeger, ZRP 2016, 72, 72f. 199 Dazu von Lewinski/Pohl, ZD 2018, 17, 19; Moos/Rothkegel, ZD 2016, 561, 567f.; Schulz, zfm 2017, 91, 93; Taeger, ZRP 2016, 72, 72f. 200 von Lewinski/Pohl, ZD 2018, 17, 19; Schulz, zfm 2017, 91, 93; Taeger, ZRP 2016, 72, 72f. 201 BT-Drs. 18/11325, S. 101f. 202 Kühling/Martini, EuZW 2016, 448; Kühling, NJW 2017, 1985; Kühling/Martini u.a., Die Datenschutzgrundverordnung und das Nationale Recht, S. 1; Gola, in: Gola, DS-GVO, Einleitung Rn. 45; Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Einführung Rn. 2. 203 Roßnagel, DuD 2017, 277; Sydow, in: Sydow, EU-Datenschutzgrundverordnung, Einleitung Rn. 34. 204 Kühling, NJW 2017, 1985, 1986. 205 EuGH, 15.7.1964 – Rs. 6/64 – Costa/E.N.E.L.; Kühling/Martini u.a., Die Datenschutzgrundverordnung und das Nationale Recht, S. 3; Roßnagel, DuD 2017, 277; Wybitul, BB 2016, 1077, 1079. 206 Dazu Ruffert, in: Calliess/Ruffert, EUV/AEUV, Art. 1 AEUV Rn. 24. 207 Kühling, NJW 2017, 1985, 1987. 208 Referentenentwurf des BMI vom 23.11.2016 für ein Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU). 209 Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU). 210 Piltz, BDSG, Einleitung Rn. 3. 211 Siehe dazu Singelnstein, NStZ 2018, 681. 212 BT-Drs. 7/1072, S. 16; Simitis, in: Simitis, BDSG, § 1 Rn. 1; Weichert, in: Däubler/Klebe/Wedde/Weichert, BDSG, Einleitung Rn. 59. 213 Simitis, in: Simitis, BDSG, § 1 Rn. 4. 214 Gola/Klug, Grundzüge des Datenschutzrechts, S. 8. 215 Simitis, in: Simitis, BDSG, § 1 Rn. 8ff. 216 Simitis, in: Simitis, BDSG, § 1 Rn. 13. 217 Vgl. Simitis, in: Simitis, BDSG, § 1 Rn. 14ff. 218 GBl. 2018, S. 173. 219 GVBl. 2018, S. 230. 220 GVBl. 2018, S. 301. 221 GVBl. 2018, S. 418. 222 GVBl. 2018, Nr. 7, S. 1. 223 GBl. 2018, S. 131. 224 HmbGVBl. 2018, S. 145. 225 GVBl. 2018, S. 82. 226 GVOBl. M-V 2018, S. 193. 227 Nds. GVBl. 2018, S. 66. 228 GVBl. 2018, S. 243. 229 GVBl. 2018, S. 93. 230 Amtsbl. I 2018, S. 254. 231 SächsGVBl. S. 198, 199. 232 GVBl. LSA 2018, S. 10. 233 GVBl. 2018, S. 162. 234 GVBl. 2018, S. 22.