DSGVO - BDSG - TTDSG. Группа авторов
Art. 3 Rn. 19ff.).
38
Aus Art. 5 DSGVO folgen grundlegende Prinzipien, wie die Verarbeitung nach dem Grundsatz von Treu und Glauben, der Grundsatz der Transparenz, Direkterhebung, Zweckbindung, Erforderlichkeit, Datenvermeidung und Datensparsamkeit. Der DSGVO liegt der Grundsatz des Verbots der Datenverarbeitung mit Erlaubnisvorbehalt zugrunde.139 Aus Art. 6 Abs. 1 UAbs. 1 lit. a bis lit. f DSGVO ergeben sich die Voraussetzungen der Rechtfertigung einer Datenverarbeitung. Dies sind die Einwilligung des Betroffenen, die Erforderlichkeit für die Erfüllung eines Vertrages oder einer gesetzlichen Verpflichtung sowie die Notwendigkeit für den Schutz lebenswichtiger Interessen und die Erforderlichkeit für eine Aufgabe im öffentlichen Interesse oder eigener berechtigter Interessen der datenverarbeitenden Stelle.
39
Die Verarbeitung personenbezogener Daten von Kindern unter 16 Jahren durch Anbieter von Diensten der Informationsgesellschaft setzt gem. Art. 8 Abs. 1 Satz 2 DSGVO die Einwilligung des gesetzlichen Vertreters voraus. Die Voraussetzungen der Verarbeitung besonderer Kategorien personenbezogener Daten folgt aus Art. 9 DSGVO und entspricht im Wesentlichen Art. 8 DSRl.140 Neu ist jedoch, dass biometrische Daten zur eindeutigen Identifizierung als besondere Kategorie personenbezogener Daten gelten (siehe Art. 9 Rn. 14). Ergänzende Pflichten der datenverarbeitenden Stelle umfassen u.a. die Dokumentation (siehe Art. 30), die Datenschutz-Folgenabschätzung (siehe Art. 35 Rn. 1ff.) und die Meldung von Datenschutzvorfällen an Aufsichtsbehörden (siehe Art. 33).141 Die Bestellung eines Datenschutzbeauftragten ist unter den Voraussetzungen gemäß Art. 37 DSGVO für Verantwortliche und Auftragsverarbeiter in allen Mitgliedstaaten nach der DSGVO verpflichtend (siehe Art. 37 Rn. 8ff.).142
40
Im Hinblick auf die Rechte der Betroffenen enthält Art. 17 DSGVO das Recht auf Löschung und auf Vergessenwerden. Bei Letzterem handelt es sich faktisch um ein erweitertes Recht auf Löschung, das insbesondere auf das Medium Internet zugeschnitten ist (siehe Art. 17 Rn. 4ff.). Es soll einem Kontrollverlust der Betroffenen über Daten, die dieser in das Internet gestellt hat, entgegenwirken143 und verpflichtet die verantwortliche Stelle, zumutbare Maßnahmen zu unternehmen, um Dritte auf ein Löschungsbegehren hinzuweisen.144 Das neue Recht auf Datenübertragbarkeit ergibt sich aus Art. 20 DSGVO und ist darauf gerichtet, bei einem Wechsel des Diensteanbieters einmal zur Verfügung gestellte Daten in einem gängigen Format sich selbst „zur Mitnahme“ bereitgestellt oder dem neuen Dienstleister zur Verfügung gestellt zu bekommen.145
41
Der Beschäftigtendatenschutz ist in der DSGVO nicht besonders geregelt. Eine Datenverarbeitung in Beschäftigungsverhältnissen ist daher unionsrechtlich grundsätzlich an den allgemeinen Voraussetzungen gem. Art. 6 Abs. 1 UAbs. 1 DSGVO zu messen. Art. 88 DSGVO enthält jedoch eine Öffnungsklausel und ermöglicht es den Mitgliedstaaten, eigene Regelungen zum Beschäftigtendatenschutz zu erlassen (siehe Art. 88 Rn. 10ff.). Der deutsche Gesetzgeber hat davon mit § 26 BDSG Gebrauch gemacht.
42
Die Datenschutzaufsicht steht gem. Art. 51 DSGVO in der Verantwortung der Mitgliedstaaten (siehe Art. 51 Rn. 6). Diese können vorsehen, dass die Aufsicht durch eine oder mehrere Aufsichtsbehörden ausgeführt wird. Die föderale Struktur der deutschen Aufsichtsbehörden kann und wird daher beibehalten werden.146 Die Befugnisse der Aufsichtsbehörden werden durch die DSGVO präzisiert und erweitert.147 Für die unionsweite und grenzüberschreitende Datenschutzaufsicht wird mit der DSGVO das Kohärenzverfahren gemäß Art. 60ff. DSGVO eingeführt.
3. Gesetzgebungskompetenz der Union
43
Durch den 2009 in Kraft getretenen Vertrag von Lissabon wurden die drei Säulen der Union, die Europäischen Gemeinschaften (EG), die Gemeinsame Außen- und Sicherheitspolitik (GASP) und die polizeiliche und justizielle Zusammenarbeit in Strafsachen (PJZS), weitgehend vereinigt. Gleichzeitig haben sich in datenschutzrechtlicher Hinsicht wichtige Änderungen ergeben. Art. 16 Abs. 2 AEUV148 regelt nun die Zuständigkeit für den Erlass von Datenschutzvorschriften umfassend und ordnet an, dass diese von Parlament und Rat im ordentlichen Gesetzgebungsverfahren gem. Art. 294 AEUV erlassen werden, was zu einer Zustimmungspflicht des Parlaments für sämtliche datenschutzrelevante Rechtsakte führt und dessen Kompetenzen erheblich vergrößert.149 Auch die DSGVO stützt sich auf die neu geschaffene europäische Kompetenz für das Datenschutzrecht. Inhaltlich erweitert der Vertrag von Lissabon die Kompetenzen der Union, indem diese nun die Verarbeitung personenbezogener Daten nicht nur für europäische Organe und Einrichtungen, sondern auch für die Mitgliedstaaten regeln kann.150 Über die kompetenzielle Neuordnung hinaus wurde mit dem Vertrag von Lissabon auch die Europäische Grundrechtecharta rechtsverbindlich, die in Art. 8 das Grundrecht auf den Schutz personenbezogener Daten enthält (zum europäischen Grundrechtsschutz s. Art. 1 Rn. 13ff.).151 Für die Entwicklung des Datenschutzrechts in seiner europäischen Dimension kommt dem Vertrag von Lissabon damit eine herausgehobene Stellung zu.
44
Die Kompetenz für den Erlass der Richtlinie folgt aus Art. 16 Abs. 2 AEUV, wonach das Europäische Parlament und der Rat die Kompetenz zur Rechtsetzung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten haben.152 Diese Kompetenz besteht gem. Art. 5 Abs. 3 EUV jedoch nur unter dem Vorbehalt der Subsidiarität.153 Eine gemeinschaftsrechtliche Regelung kann nur getroffen werden, wenn ihre Ziele durch eine Umsetzung auf mitgliedstaatlicher Ebene nicht erreicht werden können. Eine weitere Kompetenzbegrenzung folgt aus Art. 5 Abs. 4 EUV, wonach europäische Regelungen nur so weit zulässig sind, wie sie sich im Hinblick auf den Regelungszweck im Rahmen der Verhältnismäßigkeit bewegen.
45
Dass die Grundsätze der Subsidiarität und Verhältnismäßigkeit durch die Union beim Erlass der DSGVO gewahrt sind, wird in der Literatur bezweifelt.154 Der europäische Datenschutzbeauftragte155 und der Wirtschafts- und Sozialausschuss156 sowie der Ausschuss der Regionen157 begrüßten an dem Entwurf der DSGVO die stärkere Berücksichtigung der Grundrechte und den Harmonisierungsgedanken,158 kritisierten aber,159 ebenso wie Vertreter der rechtswissenschaftlichen Literatur und Lobbyvertreter,160 die Verfassungsmäßigkeit des Regelungsinstruments der Verordnung selbst, die im Konflikt mit dem Subsidiaritätsgedanken stehe. Die Diskussion um die Kompetenz der Union zum Erlass der DSGVO gipfelte in einer Subsidiaritätsrüge des Bundesrates,161 die letztlich jedoch an dem erforderlichen Quorum von einem Drittel der Parlamente der Mitgliedstaaten scheiterte.162 Der Subsidiaritätsrüge schlossen sich nur Belgien, Frankreich, Italien und Schweden an.163
4. Verfassungsrechtliche Kritik
46
Das europäische Recht genießt im Rahmen der Kompetenzübertragung an die europäischen Institutionen Anwendungsvorrang vor dem deutschen Recht.164 Dies hat zur Konsequenz, dass die DSGVO nicht an den deutschen Grundrechten zu messen ist.165 Entsprechend wurde im Vorfeld der Verabschiedung der DSGVO kritisiert, dass mit der DSGVO 30 Jahre Rechtsprechung des BVerfG zum Datenschutzrecht obsolet würden.166 Dieses Schutzdefizit wird in materiellrechtlicher Hinsicht jedoch kompensiert, indem die DSGVO auf europäischer Ebene an dem Grundrecht auf Datenschutz gem. Art. 8 GrCh zu messen ist,167 das der Gewährleistung der informationellen Selbstbestimmung in der deutschen Grundrechtsdogmatik entspricht. Dennoch sieht sich die DSGVO erheblicher verfassungsrechtlicher Kritik ausgesetzt.168 Diese ist zum einen dadurch begründet, dass es auf europäischer Ebene keine Rechtsprechung gibt, die ein der Grundrechtsrechtsprechung des BVerfG entsprechendes Niveau erreicht.169 Zudem führt die Regelung des Datenschutzes auf europäischer Ebene dazu, dass den Betroffenen der Weg zu einer Verfassungsbeschwerde vor dem BVerfG erschwert ist, während es auf europäischer Ebene keinen Rechtsbehelf gibt, der den Betroffenen nach der Erschöpfung des Rechtsweges Rechtsschutz wegen der Verletzung von Grundrechten aus der GrCh bietet.170
47
Der Primärrechtsschutz wegen der Verletzung von Rechten nach