DSGVO - BDSG - TTDSG

Kapitel 1 Allgemeine Bestimmungen

Art. 1 Gegenstand und Ziele

(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

(3) Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Mit der Norm korrespondieren die Erwägungsgründe 9–13.

Literatur: Bizer, Postmortaler Persönlichkeitsschutz?, NVwZ 1993, 653; Böhm/Brams, Die Rechtsprechung der Arbeitsgerichte unter der Datenschutz-Grundverordnung, NZA-RR 2020, 449, 453; Breuer, „Wasch mir den Pelz, aber mach mich nicht nass!“ Das zweite Gutachten des EuGH zum EMRK-Beitritt der Europäischen Union, EuR 2015, 330; Buchner, Grundsätze und Rechtmäßigkeit der Datenverarbeitung unter der DS-GVO, DuD 2016, 155; Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006; Bull, Zweifelsfragen um die informationelle Selbstbestimmung – Datenschutz als Datenkäse, NJW 2006, 1617; Büllesbach/Garstka, Meilensteine auf dem Weg zu einer datenschutzgerechten Gesellschaft, CR 2005, 720; Busse, Wechselwirkungen zwischen BDSG und UWG – Auswirkungen auf das Direktmarketing, RDV 2005, 260; Calliess/Ruffert (Hrsg.), EUV/AEUV, 5. Aufl., München 2016; Culmsee, Postmortaler Datenschutz und postmortale Datennutzung, in: Taeger (Hrsg.), Law as a Service (LaaS) – Recht im Internet- und Cloud-Zeitalter, Edewecht 2013, S. 413; Eckhardt/Kramer/Mester, Auswirkungen der geplanten EU-DS-GVO auf den deutschen Datenschutz, DuD 2013, 623; Ehlers, Europäische Grundrechte und Grundfreiheiten, 4. Aufl., Berlin 2015; Ehmann, Prinzipien des Deutschen Datenschutzrechts – unter Berücksichtigung der Datenschutz-Richtlinie der EG vom 24-10-1995 – (1 Teil), RDV 1998, 235; Ernst, Abmahnungen auf Grund von Normen außerhalb des UWG, WRP 2004, 1333; Faber, Verrechtlichung – ja, aber immer noch kein „Grundrecht“ – Zwanzig Jahre informationelles Selbstbestimmungsrecht, RDV 2003, 278; Förster/Fast, Vererbbarkeit von Daten und digitalen Rechten, ZAP 2020, 1011; Frenz, Annäherung von europäischen Grundrechten und Grundfreiheiten, NVwZ 2011, 961; Galetzka, Datenschutz und unlauterer Wettbewerb, K&R 2015, 77; Gedert, Wettbewerbswidrigkeit datenschutzrechtlicher Verstöße, in: Hammermeister/Reich/Rose (Hrsg.), Information – Wissen – Kompetenz, Oldenburg 2004, S. 17; Gola, Neues Recht – neue Fragen: Einige aktuelle Interpretationsfragen zur DSGVO, K&R 2017, 145; Haase, Rechtsfragen des digitalen Nachlasses, in: Taeger (Hrsg.), Law as a Service (LaaS) – Recht im Internet- und Cloud-Zeitalter, Edewecht 2013, S. 379; Halfmeier, Die neue Datenschutzverbandsklage, NJW 2016, 1126; Heil, Neues Wettbewerbsrecht – Wechselwirkungen zwischen UWG und Datenschutz, RDV 2004, 205; Hoeren/Lütkemeier, Unlauterer Wettbewerb durch Datenschutzverstöße, in: Sokol (Hrsg.), Neue Instrumente im Datenschutz, Düsseldorf 1999, S. 118; Hoffmann-Riem, Der grundrechtliche Schutz der Vertraulichkeit und Integrität, JZ 2008, 1009; Holznagel/Schumacher, Auswirkungen des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme auf RFID-Chips, MMR 2009, 3; Hornung, Ein neues Grundrecht, CR 2008, 299; Huppertz/Ohrmann, Wettbewerbsvorteile durch Datenschutzverletzungen?, CR 2011, 449; Jarass, Elemente einer Dogmatik der Grundfreiheiten II, EuR 2000, 705; Jarass, Charta der Grundrechte der Europäischen Union: GRCh, 3. Aufl., München 2016; Klas/Möhrke-Sobolewski, Digitaler Nachlass – Erbenschutz trotz Datenschutz, NJW 2015, 3473; Knoop, Digitaler Nachlass – Vererbbarkeit von Konten (Minderjähriger), NZFam 2016, 966; von Koen, Die EU-Grundrechtscharta: Anwendbarkeit und Auslegung, EuR 2012, 3; Köhler, Die DS-GVO – eine neue Einnahmequelle für gewerbsmäßige Abmahner?, ZD 2018, 337; Köhler/Bornkamm/Feddersen, Gesetz gegen den unlauteren Wettbewerb, 36. Aufl., München 2018; Krüger/Rauscher (Hrsg.), Münchener Kommentar zur ZPO, 5. Aufl., München 2016; Kühling/Martini u.a., Die Datenschutzgrundverordnung und das nationale Recht – Erste Überlegungen zum innerstaatlichen Regelungsbedarf, Münster 2016; Kuner/Bygrave/Docksey (Hrsg.), The EU General Data Protection Regulation (GDPR), Oxford 2018; Kutscha, Das Computer-Grundrecht“ – eine Erfolgsgeschichte?, DuD 2012, 391; Laoutoumai/Hoppe, Setzt die DSGVO das UWG Schachmatt?, K&R 218, 53; Laue, Öffnungsklauseln in der DS-GVO – Öffnung wohin?, ZD 2016, 463; von Lewinski, Geschichte des Datenschutzrechts von 1600 bis 1977, in: Arndt et al. (Hrsg.), Freiheit – Sicherheit – Öffentlichkeit, Heidelberg 2008, S. 196; Luch, Das neue „IT-Grundrecht“, MMR 2011, 75; Ludwigs/Sikora, Der Vorrang des Unionsrechts unter Kontrollvorbehalt des BVerfG, EWS 2016, 121; Martini, Der digitale Nachlass und die Herausforderung postmortalen Persönlichkeitsschutzes im Internet, JZ 2012, 1145; Meyer, Cookies & Co – Datenschutz und Wettbewerbsrecht, WRP 2002, 1028; Moos, Entwicklung des Datenschutzrechts im Jahr 2016, K&R 2017, 566; Naczinsky, Die digitale Vorsorge des Erblassers, ZEV 2020, 665; Ohly/Sosnitza, Gesetz gegen den unlauteren Wettbewerb, 7. Aufl., München 2016; Piltz, Die Datenschutz Grundverordnung, K&R 2016, 557; Podszun/de Toma, Die Durchsetzung des Datenschutzes durch Verbraucherrecht, Lauterkeitsrecht und Kartellrecht, NJW 2016, 2987; Ritter/Schwichtenberg, Die Reform des UKlaG zur Eliminierung des datenschutzrechtlichen Vollzugsdefizits – neuer Weg, neue Chancen?, VuR 2016, 95; Roback, Neue Abmahnrisiken im Datenschutzrecht, GRUR-Prax 2016, 139; Roßnagel, Editorial, DuD 2016, 553; Roßnagel, Modernisierung des Datenschutzrechts – Empfehlung eines Gutachtens für den Bundesinnenminister, RDV 2002, 61; Schindel, Das Recht auf Information (freedom of information) als Kontrollrecht des Bürgers gegenüber der Staatsmacht, DuD 1989, 591; Schmitt, Datenschutzverletzungen als Wettbewerbsverstöße, WRP 2019, 27; Schmitz/Jastrow, Das Informationsfreiheitsgesetz des Bundes, NVwZ 2005, 984; Schnabel, Der Schutz personenbezogener Daten bei informationsfreiheitsrechtlichen Ansprüchen nach § 11 HmbIFG, DuD 2012, 520; Schneider, Rückgewinnung von Stromkunden – Datenschutzvorschriften als Marktverhaltensregeln, NJW 2012, 3315; Schneider/Härting, Warum wir ein neues BDSG brauchen – Kritischer Beitrag zum BDSG und dessen Defiziten, ZD 2011, 63; Schulz, Das neue IT-Grundrecht – staatliche Schutzpflichten und Infrastrukturverantwortung, DuD 2012, 395; Spiecker/Eisenbarth, Kommt das „Volkszählungsurteil“ nun durch den EuGH? – Der Europäische Datenschutz nach Inkrafttreten des Vertrags von Lissabon, JZ 2011, 169; Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl., München 2015; Stögmüller, Vertraulichkeit und Integrität informationstechnischer Systeme in Unternehmen, CR 2008, 435; Streinz/Michl, Die Drittwirkung des europäischen Datenschutzgrundrechts (Art. 8 GRCh) im deutschen Privatrecht, EuZW 2011, 384; Streinz, „Recht auf Vergessenwerden“ zwischen Unionsrecht und Verfassungsrecht, DuD, 353, 354; Weichert, Datenschutz im Wettbewerbs- und Verbraucherrecht, VuR 2006, 377; Weichert, Wem gehören die privaten Daten?, in: Taeger/Wiebe (Hrsg.) Informatik – Wirtschaft – Recht, Festschrift für Wolfgang Kilian zum 65. Geburtstag, Baden-Baden 2004, S. 281; Wendel, Der EMRK-Beitritt als Unionsrechtsverstoß, NJW 2015, 921; Wolff, UWG und DS-GVO: Zwei separate Kreise?, ZD 2018, 248.

Übersicht

I. Allgemeines
1. Zweck der Vorschrift

1

Art. 1 DSGVO zieht eine Beschreibung von Gegenstand und Ziel der DSGVO als Programmsatz „vor die Klammer“. Sowohl die Gegenstands-, als auch die Zielbeschreibung sind dualistisch ausgerichtet und umfassen den Schutz natürlicher Personen, den Grundrechtsschutz und den Schutz der Grundfreiheiten einerseits sowie den Schutz des freien Verkehrs personenbezogener Daten andererseits. Diese Dualität der Gegenstands- und Zielbeschreibung ist bereits in Art. 16 Abs. 2 AEUV als Kompetenznorm für den Erlass der DSGVO angelegt. Art. 1 DSGVO ist damit zentrale Norm und Maßstab bei der Auslegung der Regelungen der DSGVO.1

2. Entstehungsgeschichte

2

Die Regelung in Art. 1 DSGVO knüpft inhaltlich an Art. 1 DSRl an,2 der Mitgliedstaaten zum Schutz der Grundrechte und Grundfreiheiten, insbesondere zum Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten verpflichtete und ihnen untersagte, den freien Datenverkehr zwischen den Mitgliedstaaten aus diesen Gründen zu beschränken. Damit schreibt die Norm bewusst Ziele und Grundsätze der DSRl fort, die auch unter der DSGVO Bestand haben.3

3

Art. 1 DSGVO gehört zu den Normen der DSGVO, die im Gesetzgebungsverfahren am wenigsten umstritten waren.4 Schon der erste Kommissionsentwurf5 enthielt die Formulierung, die letztlich verabschiedet worden ist. Der Rat hatte zwischenzeitlich eine Ergänzung und eine entsprechende Formulierung eines Art. 1 Abs. 2a DSGVO vorgeschlagen,6 um größere Flexibilität der Mitgliedstaaten zum Erlass spezifischer Datenschutzregelungen für die Verarbeitung personenbezogener Daten im öffentlichen Interesse oder zur Ausübung hoheitlicher Gewalt zu schaffen.7 Dieser Vorschlag wurde im Rahmen der Trilogverhandlungen dann jedoch in Art. 6 Abs. 2 DSGVO integriert.8 Art. 1 DSGVO umfasst das „Doppelziel des europäischen Datenschutzrechts“.9 Während am Anfang des Gesetzgebungsprozesses die Gewährleistung des freien Verkehrs personenbezogener Daten im Vordergrund stand,10 hat sich dieses Rangverhältnis jedoch im Laufe des Gesetzgebungsverfahrens relativiert, sodass in der finalen Version der Grundrechtsschutz nunmehr gleichrangig danebensteht.11

3. Verhältnis zu anderen Vorschriften

4

Aus Art. 1 DSGVO ergeben sich in Ergänzung zu Art. 2 DSGVO Teilaspekte des sachlichen Anwendungsbereichs der DSGVO, indem dieser auf den Schutz natürlicher Personen verengt wird. Aus Art. 1 DSGVO ergeben sich zudem allgemeine Auslegungsgrundsätze,12 die jedoch nicht abschließend sind und unter anderem durch die Grundsätze für die Verarbeitung personenbezogener Daten in Art. 5 DSGVO (siehe Art. 5 Rn. 8ff.) sowie die Erwägungsgründe ergänzt werden. So befassen sich insbesondere die ErwG 1 bis 13 mit dem Grundrechtsschutz, dem Datenschutzniveau in den Mitgliedstaaten und dem freien Verkehr personenbezogener Daten.

5

Der Anwendungsbereich des BDSG als Gesetz zur Regelung des Datenschutzrechts im Rahmen der Öffnungsklauseln der DSGVO ergibt sich aus § 1 BDSG (siehe § 1 BDSG Rn. 4ff.). Eine allgemeine mit Art. 1 DSGVO vergleichbare Zielbestimmung und Gegenstandsbeschreibung gibt es für das BDSG jedoch nicht.13

II. Gegenstand und Inhalt der Verordnung (Abs. 1)

6

Art. 1 Abs. 1 DSGVO fasst den Inhalt von Art. 1 Abs. 1 und Abs. 2 DSGVO im Sinne einer dualistischen Gegenstandsbestimmung zusammen, die den Schutz natürlicher Personen und den freien Verkehr personenbezogener Daten umfasst, und ist damit vorangestellte „Programmnorm“14 der DSGVO.

1. Datenschutz – Begriff

7

Ohne diesen selbst zu verwenden, umschreibt Art. 1 Abs. 1 DSGVO den Begriff „Datenschutz“ ähnlich einer Legaldefinition15 als Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Damit wird an dem tradierten, aber missverständlichen Begriff „Datenschutz“ festgehalten. Ursprünglich verstand man darunter noch, dem eigentlichen Wortsinn entsprechend, den Schutz von Daten allgemein. Als Folge einer Begriffsverschiebung werden für die ursprüngliche Bedeutung heute die Begriffe „Datensicherheit“ bzw. „Datensicherung“ verwendet.16 Unter Datenschutz versteht man heute dagegen den Schutz von Persönlichkeitsrechten.

2. Schutz natürlicher Personen und freier Datenverkehr

8

Regelungen zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sind in der DSGVO Legion. So enthält etwa Art. 6 Abs. 1 DSGVO Anforderungen an die Rechtfertigung der Verarbeitung personenbezogener Daten, Art. 7 Abs. 1 Bedingungen der Einwilligung (siehe Art. 7 Rn. 38ff.), Art. 9 Abs. 2 DSGVO Anforderungen an die Verarbeitung besonderer Kategorien personenbezogener Daten (siehe Art. 9 Rn. 17ff.) und Art. 13, 14 DSGVO begründen Informationspflichten des Verantwortlichen (siehe Art. 13 Rn. 1ff. und Art. 14 Rn. 1ff.).

9

Entgegen der Formulierung in Art. 1 Abs. 1, 2. Alt. DSGVO enthält die DSGVO jedoch keine unmittelbaren Regelungen zum freien Datenverkehr.17 Stattdessen finden sich Regelungen zur Rechtfertigung des Datenumgangs (Art. 5ff. DSGVO), zu Rechten der Betroffenen gegenüber dem Verantwortlichen (Art. 12ff. DSGVO), (Organisations-)Pflichten von Verantwortlichen und Auftragsverarbeitern (Art. 24ff. DSGVO), Drittstaatenübermittlungen (Art. 44ff. DSGVO), zur Datenschutzaufsicht (Art. 51ff. DSGVO), zu Rechtsbehelfen, Haftung und Sanktionen (Art. 77ff. DSGVO) sowie zu besonderen Verarbeitungssituationen (Art. 85ff. DSGVO). Der im Ergebnis leerlaufende Verweis auf Regelungen zum (freien) Verkehr personenbezogener Daten innerhalb der Union findet sich lediglich in Art. 1 Abs. 1 und 3 DSGVO. Indem die DSGVO das europäische Datenschutzrecht vereinheitlicht und Unterschiede in der Harmonisierung des Datenschutzrechts ausgleicht, schafft sie allerdings selbst die Voraussetzungen für einen freien Datenverkehr.18 Der Konzeption des europäischen Datenschutzrechts liegt nämlich das Verständnis zugrunde, dass unterschiedliche Schutzniveaus in den Mitgliedstaaten zu Hemmnissen für den freien Verkehr personenbezogener Daten führen.19 Diese werden durch die DSGVO abgebaut.

3. Zielkonflikt

10

Die DSGVO verfolgt, entsprechend der Tradition des europäischen Datenschutzrechts, das dualistische Ziel, einerseits natürliche Personen bei der Verarbeitung personenbezogener Daten zu schützen und andererseits den freien Verkehr personenbezogener Daten zu stärken. In der Regelung kristallisiert sich damit das Spannungsverhältnis zwischen dem Persönlichkeitsrechts- und Datenschutz einerseits und dem Binnenmarktprinzip andererseits20 als systemimmanenter Zielkonflikt. Freier Verkehr personenbezogener Daten erfordert nämlich den Abbau von Verkehrsbeschränkungen. Der Schutz personenbezogener Daten hingegen ein restriktives Vorgehen beim Verkehr mit personenbezogenen Daten und damit Beschränkungen des freien Verkehrs. Auch die DSGVO schränkt den freien Verkehr personenbezogener Daten teils erheblich ein.21 Der Betroffene soll nämlich stets wissen, wer welche Information über ihn gespeichert hat, zu welchen Zwecken diese Information verwendet wird und wer diese Information erhält. Über diese Aspekte soll er zudem möglichst umfassend selbst bestimmen können. Ohne seine Einwilligung ist der Umgang mit und der Verkehr von seinen personenbezogenen Daten nur im Rahmen restriktiv gefasster Erlaubnistatbestände zulässig. Der Verkehr personenbezogener Daten kann unter Beachtung dieser datenschutzrechtlichen Prinzipien nicht absolut frei sein.

11

Klärungsbedürftig ist daher, was der europäische Gesetzgeber unter Freiheit des Verkehrs personenbezogener Daten versteht. Einen absoluten oder einen relativen Schutz unter Vorbehalt. Fraglich ist zudem, in welchem Verhältnis dieses Ziel zum Schutz natürlicher Personen steht. Der Wortlaut der Norm ist in diesem Punkt nicht eindeutig. Der Zielkonflikt lässt sich aber durch eine historisch-teleologische Auslegung auflösen. Der europäische Gesetzgeber versteht das Ziel Freiheit des Verkehrs personenbezogener Daten danach nicht absolut. Es geht nicht per se darum, Hemmnisse für den Datenverkehr insgesamt abzubauen und einen völlig freien Informationsfluss zu ermöglichen. Zwar soll mit den Regelungen des europäischen Datenschutzrechts ein einheitlicher Informationsbinnenmarkt geschaffen werden,22 dafür soll aber einem relativen Verständnis der Freiheit des Datenverkehrs folgend, der Verkehr personenbezogener Daten innerhalb der Union in den Grenzen des europäischen Datenschutzrechts gewährleistet werden. Über die Beschränkungen des europäischen Datenschutzrechts hinaus sollen zusätzliche Behinderungen vermieden werden.

12

Die Vorgängervorschrift des Art. 1 Abs. 2 DSRl formuliert entsprechend dem Regelungsinstrument der Richtlinie klarer, dass bei der Umsetzung der Richtlinie der Datenschutz durch die Mitgliedstaaten nur so gestaltet werden darf, dass dadurch der freie Verkehr personenbezogener Daten zwischen den Mitgliedstaaten selbst nicht eingeschränkt wird. Der freie Datenverkehr sollte also in den Grenzen, der in der DSRl angelegten Schranken, ohne zusätzliche Hemmnisse möglich sein. Zweck der Regelungen der DSGVO ist ausweislich der ErwG 3, 9 und 10 DSGVO die verstärkte Harmonisierung des Datenschutzrechts und die Vermeidung divergierender Anforderungen an den Datenschutz in den Mitgliedstaaten. Dies wird als Hemmnis für die Verwirklichung des Binnenmarktes gesehen und soll durch die DSGVO beseitigt werden.

III. Schutz der Grundrechte (Abs. 2)

13

Ausweislich Art. 1 Abs. 2 DSGVO schützt die DSGVO Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere das Recht auf Schutz personenbezogener Daten. Damit wird ein Ziel der dualistischen Gegenstands- und Zielbestimmung benannt23 und die grundrechtliche Gewährleistung des Datenschutzes konkretisiert, die sich insbesondere aus Art. 8 Abs. 1 GRCh ergibt.24 Der Schutzzweck der DSGVO geht aber über den Schutz des Rechts auf Datenschutz hinaus; erfasst werden Grundrechte und Grundfreiheiten insgesamt.25

1. Kein Schutz juristischer Personen

14

Die DSGVO schützt nur natürliche Personen.26 Nicht vom Schutzbereich der DSGVO erfasst sind juristische Personen.27 Dies entspricht der deutschen Rechtstradition und der Regelung in § 1 Abs. 1 BDSG a.F. sowie der Regelung in der Vorgängervorschrift des Art. 1 Abs. 1 DSRl. Ein erweitertes Verständnis in der mitgliedstaatlichen Ausgestaltung des Datenschutzrechts ist dadurch aber nicht ausgeschlossen, soweit damit der Schutz natürlicher Personen durch die DSGVO nicht in Frage gestellt wird.28 So hat Österreich bei der Umsetzung der DSRl in seinem Datenschutzgesetz den Schutzbereich auch auf juristische Personen erstreckt (§ 4 Nr. 3 öDSG a.F.). Dieser österreichische Sonderweg wird mit dem neuen österreichischen Datenschutzgesetz zur Ausfüllung der Öffnungsklauseln der DSGVO aber nicht fortgesetzt.