Datenschutz-Grundverordnung
Gegenstand der Datenschutz-Grundverordnung (DSGVO) sind nach Artikel 1 Absatz 1 DSGVO der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und der freie Verkehr solcher Daten. Das Ziel der Datenschutz-Grundverordnung besteht im Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere im Schutz ihrer personenbezogenen Daten. Gegenüber den öffentlichen Stellen stellt der Datenschutz ein klassisches Abwehrrecht des Einzelnen dar. Im Verhältnis zu den nicht-öffentlichen Stellen soll die natürliche Person vor einer rechtswidrigen Verarbeitung der auf sie beziehbaren Informationen geschützt werden.
Das Europäische Parlament hat am 14. April 2016 nach langjährigen Verhandlungen mit dem Rat und der Kommission einen neuen Rechtsrahmen für den Datenschutz in der gesamten Europäischen Union beschlossen. Dieser besteht aus zwei Gesetzen, nämlich der unmittelbar in allen Mitgliedstaaten anwendbaren
und der durch nationales Recht in den Mitgliedsstaaten umzusetzenden
Der Anwendungsbereich beider Rechtsvorschriften ist unterschiedlich: Während die Datenschutz-Grundverordnung (unmittelbar) auf den privaten und den größten Teil des öffentlichen Bereichs anwendbar ist, verpflichtet die Datenschutz-Richtlinie lediglich die Gesetzgeber der Mitgliedstaaten, die nationalen Rechtsvorschriften auf dem Gebiet der Polizei, der Strafverfolgung und des Justizvollzugs an die Richtlinie anzupassen.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat zu der am 14. April 2016 durch das Europäische Parlament verabschiedeten Europäischen Datenschutz-Grundverordnung (DSGVO) eine Broschüre herausgegeben.
Anwendungsvorrang der Datenschutz-Grundverordnung
Da die Datenschutz-Grundverordnung unmittelbar, also ohne weiteren deutschen oder sächsischen Umsetzungsakt (Rechtsvorschrift) gilt, ist sie innerhalb ihres Anwendungsbereichs die zentrale, maßgebliche Datenschutzvorschrift. Allerdings enthält die Datenschutz-Grundverordnung viele sogenannte Öffnungsklauseln, die es den Mitgliedstaaten vor allem im öffentlichen Bereich erlauben, die bestehenden Rechtsvorschriften beizubehalten und auch neue Rechtsvorschriften zu schaffen. Deshalb gibt es weitere bundes- oder landesrechtliche Vorschriften über den Datenschutz. Im Freistaat Sachsen ergänzt insbesondere das Sächsische Datenschutzdurchführungsgesetz die Datenschutz-Grundverordnung um allgemeine oder auch ergänzende Regelungen im öffentlichen Bereich. Andere spezielle datenschutzrechtliche Regelungen, wie zum Beispiel die Vorschriften zur Verarbeitung personenbezogener Daten im Sächsischen Beamtengesetz oder im Sächsischen Schulgesetz und den Schulordnungen, sind ebenfalls (angepasst) beibehalten worden.
Was heißt das konkret für die Rechtsanwendung?
- Das Verständnis datenschutzrechtlicher Begriffe ergibt sich ausschließlich aus den Definitionen der Datenschutz-Grundverordnung (Artikel 4 DSGVO).
- Die Pflichten, die ein Verantwortlicher bei der Verarbeitung personenbezogener Daten hat, sind insbesondere in den Artikeln 5, 24 ff., 32 ff. DSGVO geregelt.
- Gleichzeitig sind auch die Rechte der betroffenen Person unmittelbar in den Artikeln 12 bis 22 DSGVO geregelt. Beschränkungen dieser Rechte enthält entweder die Datenschutz-Grundverordnung selbst oder bestimmte, nach Artikel 23 DSGVO zulässige Rechtsvorschriften der Mitgliedsstaaten, zum Beispiel die §§ 7 bis 10 des Sächsischen Datenschutzdurchführungsgesetzes.
- Ausgangspunkt der Prüfung, ob eine Verarbeitung personenbezogener Daten rechtmäßig erfolgt, ist Artikel 6 Absatz 1 DSGVO.
- Soweit die Verarbeitung auf einer Einwilligung der betroffenen Person beruht, ergeben sich die Voraussetzungen einer Einwilligung aus den Artikeln 7 und 8 DSGVO. Als Rechtsgrundlage für die Verarbeitung durch eine Behörde kommt die Einwilligung nach den Erwägungsgründen 43 und 45 DSGVO in aller Regel nicht in Betracht.
- Die Datenschutz-Grundverordnung schreibt in Artikel 37 ff. DSGVO vor, wann ein Datenschutzbeauftragter zu benennen ist und welche Aufgaben er hat.
- Die Aufgaben und Befugnisse der Aufsichtsbehörde ergeben sich unmittelbar aus den Artikeln 57 und 58 DSGVO.
Die Datenschutz-Grundverordnung enthält neben ihren 99 Artikeln auch 173 sogenannte Erwägungsgründe. Sie dienen der Erläuterung und verbindlichen Auslegung der einzelnen Artikel. Sie bestimmen so Zweck, Reichweite und Inhalt der einzelnen Artikel mit. Auf datenschutz-wiki.de finden Sie eine Zusammenstellung, welche Erwägungsgründe für welche Artikel relevant sind.
Die Datenschutz-Grundverordnung findet nach Artikel 3 DSGVO Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Europäischen Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. Sie findet des Weiteren Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
Nach Artikel 2 Absatz 1 DSGVO erfasst der sachliche Anwendungsbereich der Datenschutz-Grundverordnung die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Unter »Dateisystem« ist nach Artikel 4 Nummer 6 DSGVO jede strukturierte Sammlung personenbezogener Daten zu verstehen, die nach bestimmten Kriterien zugänglich ist, zum Beispiel durch Aktenzeichen, Jahreszahlen, geographische Angaben oder alphabetische Ordnung. Nicht durch die Datenschutz-Grundverordnung, sondern durch § 2 Absatz 4 Satz 1, 1. Variante des Sächsischen Datenschutz-Durchführungsgesetzes wird auch die nichtautomatisierte Verarbeitung personenbezogener Daten außerhalb eines Dateisystems weitgehend der Datenschutz-Grundverordnung unterstellt. Mithin findet die Datenschutz-Grundverordnung im öffentlichen Bereich auf praktisch jede automatisierte und jede nichtautomatisierte Verarbeitung, auch etwa auf die ungeordnete »Zettelwirtschaft«, Anwendung.
Keine Anwendung findet die Datenschutz-Grundverordnung nach Artikel 2 Absatz 2 DSGVO auf Verarbeitungen
- im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt (zum Beispiel der Verfassungsschutz, obwohl auch hier durch das Sächsische Verfassungsschutzgesetz und durch § 2 Absatz 4 Satz 1, 2. Variante des Sächsischen Datenschutz-Durchführungsgesetzes eine weitgehende Anpassung an die Inhalte der Datenschutz-Grundverordnung durch den Gesetzgeber stattgefunden hat),
- im Rahmen der gemeinsamen Außen- und Sicherheitspolitik der Europäischen Union,
- zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, zum Beispiel die Anfertigung von Fotos von Familienangehörigen bei einer Familienfeier oder am Strand, die Führung eines Tagebuchs etc.,
- im Anwendungsbereich der Datenschutz-Richtlinie (EU) 2016/680, das heißt zum Beispiel bei der polizeilichen oder strafvollzuglichen Verarbeitung von personenbezogenen Daten zu polizeilichen oder strafvollzuglichen Zwecken.
Das Datenschutzrecht schützt immer nur das Individuum, wenn es um Informationen geht, die zu seiner Identität gehören und seiner Identifizierung als natürliche Person beitragen. Daher sind Angaben etwa zu Verstorbenen oder vollständig anonymisierte Daten (also Daten, die sich auch mit hohem Aufwand nicht mehr einer bestimmten Person zuordnen lassen) keine personenbezogenen Daten im Sinne von Artikel 4 Nummer 1 DSGVO. Auch Daten von öffentlichen oder nicht-öffentlichen Funktionsträgern genießen dann keinen Datenschutz, wenn es nicht um eine bestimmte Person, sondern ausschließlich um deren Funktion geht:
Beispiel 1: Fördermittelvergabe an einen Sportverein
Gegenüber einem Sportverein wird ein Fördermittelbescheid erlassen. Gesetzlicher Vertreter des Sportvereins ist der Vereinsvorsitzende, der im Bescheid auch namentlich als Vertreter des Vereins genannt wird.
In diesem Fall unterliegt die namentliche Nennung des Vereinsvorsitzenden nicht dem Schutz der Datenschutz-Grundverordnung. Die im Fördermittelbescheid enthaltenen Informationen (zum Beispiel dass Fördermittel in einer bestimmten Höhe ausgereicht werden, unter welchen Bedingungen die Fördermittelvergabe erfolgt, welche Pflichten den Fördermittelempfänger obliegen etc.) beziehen sich nicht auf den Vereinsvorsitzenden als Person sondern auf den Verein als juristische Person. Die namentliche Angabe des Vereinsvorsitzenden erfolgt in Bezug auf den Verein, da er sein Vertreter ist.
Beispiel 2: Ehrung von Vorsitzenden
Alle Vereinsvorsitzenden der sächsischen Sportvereine sollen in die Sächsische Staatskanzlei zu einem Empfang zur Würdigung ihres Engagements eingeladen werden. Es werden die Namen der Vereinsvorsitzenden und die Adressen der Vereine für die Einladung zusammengestellt.
In diesem Fall greift die Datenschutz-Grundverordnung, denn die personenbezogenen Informationen (zum Beispiel Namen des Vereinsvorsitzenden, Einladung in die Sächsische Staatskanzlei) beziehen sich nicht auf den Verein, sondern auf die Person des Vereinsvorsitzenden.
Fazit: Es kommt immer darauf an, mit welchem Bezug eine personenbezogene Information verarbeitet wird.
Zur Datenschutz-Grundverordnung gibt es (Stand: 10/2021) viele Kommentare. Sie erläutern die einzelnen Vorschriften und sind für Anwender/innen, insbesondere aber für die betrieblichen oder behördlichen Datenschutzbeauftragten, eine unentbehrliche Arbeitshilfe. Im Folgenden finden Sie – ohne Anspruch auf Vollständigkeit – eine Auflistung von Kommentaren. Für Anregungen und Ergänzungen bedanken wir uns.
- Gierschmann/Schlender/Stentzel/Veil: Datenschutz-Grundverordnung, 2. Auflage 2022 (noch nicht erschienen)
- Täger/Gabel, DSGVO - BDSG – TTDSG, 4. Auflage 2021 (noch nicht erschienen)
- Paal/Pauly, Datenschutz-Grundverordnung, 3. Auflage 2021
- Jahnel/Bergauer, Datenschutz-Grundverordnung, 1. Auflage 2021
- Schaffland/Holthaus, DS-GVO/BDSG, Loseblattsammlung, Stand 2021
- Schwartmann/Jaspers, Datenschutz-Grundverordnung, BDSG, 2. Auflage 2020
- Däubler/Wedde/Weichert/Sommer, EU-Datenschutz-Grundverordnung und BDSG, 2. Auflage 2020
- Simitis/Hornung/Spieker, DSGVO mit BDSG, 2. Auflage 2019
- Eßer/Kramer/von Lewinski, DSGVO/BDSG, 6. Auflage 2018
- Kühling/Buchner, Datenschutz-Grundverordnung, 2. Auflage 2018
- Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Auflage 2018
- Gola, Datenschutz-Grundverordnung, 2. Auflage 2018
- Plath, DSGVO, BDSG und DS-Bestimmungen von TMG u. TKG, 3. Auflage 2018
- Sydow, Europäische Datenschutz-Grundverordnung, 2. Auflage 2018
- Feiler/Forgó EU-DSGVO, 1. Auflage 2016