DS-GVO/BDSG. David Klein
2013; ders. Primärrechtliche Vorgaben für eine Reform des Datenschutzrechts, RDV 2015, 10; Roßnagel Modernisierung des Datenschutzrechts für eine Welt allgegenwärtiger Datenverarbeitung, MMR 2005, 71; Schantz Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, 1841; Schneider/Härting Wird der Datenschutz nun endlich internettauglich? – Warum der Entwurf einer Datenschutz-Grundverordnung enttäuscht, ZD 2012, 199; Schmidt Datenschutz für „Beschäftigte“ – Grund und Grenzen bereichsspezifischer Regelung, 2017; Simitis Die informationelle Selbstbestimmung – Grundbedingung einer verfassungskonformen Informationsordnung, NJW 1994, 398; ders. Datenschutz und die Europäische Gemeinschaft, RDV 1990, 3; Stentzel Das Grundrecht auf ...?, PinG 2015, 185 ff.; Streinz/Michl Die Drittwirkung des europäischen Datenschutzgrundrechts (Art. 8 GRCh) im deutschen Privatrecht, EuZW 2011, 384; Sydow/Kring Die Datenschutzgrundverordnung zwischen Technikneutralität und Technikbezug, ZD 2014, 271; Tinnefeld Sapere aude! Über Informationsfreiheit, Privatheit und Raster, NJW 2007, 625; dies. Meinungsfreiheit durch Datenschutz – Voraussetzung einer zivilen Rechtskultur, ZD 2015, 22; Weichert „Sensitive Daten“ revisited, DuD 2017, 538; Whitman The Two Western Cultures of Privacy: Dignity Versus Liberty, The Yale Law Journal 2004, 115; Wuermeling Handelshemmnis Datenschutz, 2000.
I. Art. 1 – Allgemeines
1
Art. 1 bestimmt den Regelungsgegenstand und die Ziele der DS-GVO. Diese stimmen mit dem amtlichen Titel der DS-GVO überein, wonach der Sekundärrechtsakt Recht „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“ beinhaltet. Der Verordnungsgeber hat sich anders als zuvor für die Verordnung als Rechtsakt entschieden, damit innerhalb der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist.[1] Diese löst die DSRL ab, knüpft aber inhaltlich ausdrücklich an sie an.[2] Dieser Aspekt ist nicht gering zu schätzen, weil der Inhalt der DS-GVO bei Auslegungskonflikten innerhalb seiner in Art. 1 definierten Schutzziele zu interpretieren und auszulegen ist.
II. Gegenstand der DS-GVO (Abs. 1)
2
Die DS-GVO verfolgt mit ihren Vorschriften zwei Ziele: Neben dem Schutz natürlicher Personen durch die Verarbeitung personenbezogener Daten ist dies der freie Verkehr personenbezogener Daten in der Union. Der Dualismus des Regelungsgegenstands entspricht Art. 16 Abs. 2 S. 1 AEUV. Die Ziele der DSRL, welche durch die Grundverordnung ersetzt wird, besitzen zwar nach wie vor Gültigkeit.[3] Doch nicht nur hinsichtlich der Wahl des Rechtsakts zur Regelung des Datenschutzes und des freien Datenverkehrs unterscheiden sich die beide Sekundärrechtsakte, sondern auch in ihrer Kompetenzgrundlage. Die damalige Befugnis zum Erlass von Maßnahmen stand im Zusammenhang mit dem Binnenmarkt, was in Bezug auf den Datenschutz als Persönlichkeitsschutz nicht vollumfänglich der Fall ist, für die Regelung der Datenverarbeitung als Harmonisierungsmaßnahme aber problemlos greift.[4] Dem Abbau von Handelshemmnissen dient auch die DS-GVO.[5] Auf die Binnenmarktdimension des Datenschutzrechts verweist das Ziel des freien Datenverkehrs.[6] Das reibungslose Funktionieren des Binnenmarkts erfordert, dass der freie Verkehr personenbezogener Daten in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird.[7]
3
Die Regelung des Datenschutzrechts in Form der DS-GVO kann auch als Anpassung an die Veränderung im Primärrecht verstanden werden. Art. 16 Abs. 1 AEUV als Entsprechung des Art. 8 Abs. 1 GRCh normieren seit dem Jahr 2009 gemeinsam das Recht auf Datenschutz auf Primärrechtsebene. Art. 16 Abs. 2 AEUV wurde erst durch den Vertrag von Lissabon eingefügt und ist die Grundlage der DS-GVO.[8] Die Grundverordnung dient also nicht mehr nur der Verwirklichung des Binnenmarkts, sondern gleichermaßen unmittelbar dem Schutz des von Art. 8 GRCh und Art. 16 Abs. 1 AEUV verbürgten Grundrechts.[9]
4
Im Ergebnis fasst Abs. 1 die beiden Folgeabsätze als eine Art „Programmnorm“ zusammen, indem er feststellt, dass die DS-GVO insgesamt die inhaltlich gleichen Ziele, den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten als auch den freien Verkehr mit solchen Daten, regelt.[10]
III. Schutz der Grundrechte und Grundfreiheiten (Abs. 2)
5
Nach Abs. 2 verfolgt die DS-GVO in Übereinstimmung mit Art. 1 Abs. 1 DSRL den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und hebt dabei deren Recht auf Schutz der sie betreffenden Daten hervor. Aufgrund des unmittelbaren Zusammenhangs zwischen dem grundrechtlichen Schutz personenbezogener Daten im AEU-Vertrag mit der die EU-Kompetenz begründenden Norm Art. 16 Abs. 2 AEUV kann eine Schutzpflicht, die mithin zum Erlass eines Datenschutzkonzepts verpflichtet, abgeleitet werden.[11] Die DS-GVO dient der Erfüllung dieser Schutzpflicht.
6
Der Schutz der sie betreffenden personenbezogenen Daten ist ein Grundrecht jeder natürlichen Person ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsortes.[12] Die DS-GVO verfolgt ausdrücklich den Schutz dieses Grundrechts. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht.[13] Das Primärrecht sieht in Art. 8 Abs. 2 S. 1 GRCh eine Einschränkung vor, wonach Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen. Das damit kodifizierte Verbot mit Erlaubnisvorbehalt, das Recht auf Auskunft (Art. 8 Abs. 2 S. 2 GRCh) sowie die Überwachung des Datenschutzes durch eine unabhängige Stelle (Art. 8 Abs. 3 GRCh) finden in der DS-GVO ihre sekundärrechtliche Konkretisierung.
7
Die Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten richten sich sowohl gegen öffentliche als auch gegen private Datenverarbeiter.[14]
IV. Freier Datenverkehr (Abs. 3)
8
Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes der von der Datenverarbeitung Betroffenen weder eingeschränkt noch verboten werden (Abs. 3). Insoweit darf der Datenschutz nach Abs. 3 keine innereuropäische Verkehrsbeschränkung begründen. Diese Behauptung hält einer Überprüfung aber nicht stand. Tatsächlich beinhaltet die DS-GVO zahlreiche datenflussbeschränkende Normen in Form von diversen Auflagen und strengen Rechtmäßigkeitsvoraussetzungen.[15] Das Schutzziel, so wie es auch in Art. 1 Abs. 2 DSRL geregelt war, hat durch die zwischenzeitliche Normierung einer Kompetenzgrundlage im AEUV ihre ursprüngliche Funktion, über den Binnenmarktbezug zur Rechtssetzungsbefugnis beizutragen, verloren und nimmt nun eine unklare Stellung ein.[16]
9
Gewährleistet die DS-GVO ein hohes Datenschutzniveau, darf der Verkehr personenbezogener Daten innerhalb der Union weder beschränkt noch untersagt werden.[17] Dazu besteht auch keine Veranlassung. Der Unionsgerichtsbarkeit nach ist das Schutzziel des freien Datenverkehrs durch Vereinheitlichung herzustellen, aber hierbei ein hohes datenschutzrechtliches