Datenschutzgrundverordnung für Dummies. Christian Szidzek
was die DSGVO regelt. Der eigentliche Verordnungstext beginnt nämlich erst bei Art. 1.
Als Erwägungsgründe bezeichnet man Erläuterungen, die Gesetzestexten vorangestellt werden, um die Überlegungen nachvollziehbar zu machen, die zum Erlass der sich dann anschließenden und wirklich rechtsverbindlichen Regelungen geführt haben.
Sich die Erwägungsgründe durchzulesen, ist hilfreich, weil sie einen Eindruck vermitteln, warum der Verordnungsgeber welche Regeln erlassen hat. Leider enthalten die Erwägungsgründe der DSGVO aber keine Verweise auf die Vorschriften, auf die sie sich beziehen und umgekehrt. Das macht es nicht gerade leicht.
Wenn Sie mit dem Text der DSGVO arbeiten, suchen Sie sich am besten eine Edition, bei der den jeweiligen Artikeln der DSGVO die dazugehörenden Erwägungsgründe zugeordnet sind. Im Internet finden Sie verschiedene solcher Editionen über die einschlägigen Suchmaschinen. So wissen Sie immer gleich, was sich der Verordnungsgeber so dachte, als er bestimmte Vorschriften in die Verordnung aufgenommen hat.
Verordnungstext
Die DSGVO besteht aus 99 Artikeln. Wenn wir Ihnen in diesem Dummies-Buch nun den gesamten Text der DSGVO abdruckten, würden Sie sich zu Recht darüber ärgern, dass Sie viel Geld bezahlt haben für einen Verordnungstext, der in sämtliche Sprachen der Mitgliedstaaten übersetzt frei im Internet verfügbar ist. Aus diesem Grund sehen wir mit Ihrem mutmaßlichen Einverständnis an dieser Stelle davon ab. Wenn Sie sich aber näher mit der DSGVO befassen wollen, kommen Sie nicht daran vorbei, sich einen Verordnungstext zuzulegen und dort den einen oder anderen wichtigen Hinweis zu kommentieren.
Sie finden den Volltext auf der EUR-Lex-Seite der EU unter:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32016R0679
oder Sie geben einfach die Suchbegriffe DSGVO, Text, EUR-Lex in eine beliebige Suchmaschine ein und werden auch so fündig.
Unmittelbare Anwendbarkeit
Da es sich bei der DSGVO um eine Verordnung der EU handelt, müssen die Vorschriften in jedem Mitgliedstaat genauso angewendet werden, als hätte der Mitgliedstaat das Gesetz selbst erlassen. Das unterscheidet die Verordnung von der Richtlinie. Mit Inkrafttreten der DSGVO gab es aber außer der Vereinheitlichung noch einen weiteren Paradigmenwechsel: Die DSGVO ist nämlich zusätzlich auch noch vorrangig vor nationalem Recht anzuwenden. Das war bis zu ihrem Erlass anders. Bis dahin galt das sogenannte Subsidiaritätsprinzip. Das damalige Datenschutzrecht war erst dann anzuwenden, wenn es keine anderen Gesetze gab, auf die man sich stützen konnte. Erst wenn es eine Regelungslücke gab, kam das Datenschutzrecht zur Anwendung. Das Datenschutzrecht der DSGVO ist jetzt immer vorrangig anzuwenden, und Gesetze von Nationalstaaten, die im Widerspruch zu den Regelungen der DSGVO stehen, dürfen nicht mehr weiter angewendet werden. Das ist auch der Grund, weshalb die Gesetzgeber der Mitgliedstaaten im Jahr 2020 noch immer mit Hochdruck daran arbeiten, Hunderte von nationalstaatlichen Gesetzen anzupassen, die sich mit der DSGVO nicht in Einklang bringen lassen. Nur in Ausnahmefällen und wenn die DSGVO es ausdrücklich erlaubt, können die Mitgliedstaaten speziellere Gesetze erlassen. Da die DSGVO 69 sogenannte Erfüllungsklauseln beinhaltet, also Regelungen, bei denen dem nationalen Gesetzgeber der Mitgliedstaaten erlaubt wird, konkretisierende Gesetze zu erlassen, müssen Sie auch immer zugleich noch einen ergänzenden Blick in die Ausführungsgesetze Ihres jeweiligen Mitgliedstaats werfen. Wenn dort ergänzende Gesetze erlassen worden sind, müssen Sie auch diese einhalten.
Und auch das ist noch nicht ganz ausreichend. Es gilt noch die Richtlinie 2000/31/EG über den elektronischen Geschäftsverkehr, die von den Mitgliedstaaten in vielen Einzelgesetzen in nationales Recht umgesetzt wurde. Sie gilt für Regelungsbereiche, die von der DSGVO nicht abschließend geregelt sind. Das betrifft vor allem Vorschriften über Telekommunikation und Telemedien sowie den Umgang mit personenbezogenen Daten bei Diensten der Informationsgesellschaft. Irgendwann in weiter Ferne wird vielleicht einmal die längst schon für die Vergangenheit angekündigte E-Privacy-Verordnung erlassen werden, die sich dieser Themen annehmen soll. Ursprünglich war geplant, die E-Privacy-Verordnung gleichzeitig mit der DSGVO in Kraft treten zu lassen, da sich beide Verordnungen gegenseitig ergänzen sollten. Intensiver Lobby-Arbeit der Big-Data-Branche ist es zu verdanken, dass beide Verordnungen nun erst zeitlich versetzt in Kraft treten können. Wenn die E-Privacy-Verordnung eines Tags einmal in Kraft sein sollte, dann müssen Sie neben der DSGVO also auch diese beachten.
Und dann gibt es da noch Art. 40, der es erlaubt, rechtsverbindliche Verhaltensregeln für kleinere oder mittelständische Unternehmen zu erlassen, und es sogar Verbänden ermöglicht, solche Verhaltensregeln selbst auszuarbeiten. Um rechtsverbindlich zu werden, müssen die Verhaltensregeln jedoch zuvor von den Aufsichtsbehörden genehmigt werden. Aktuell hat sich hier allerdings noch nichts Nennenswertes getan. Beobachten sollten Sie das aber schon.
Sie sehen also, die DSGVO ist die Herrin des europäischen Datenschutzrechts, aber in der Praxis müssen Sie sich zusätzlich leider auch noch durch viele ergänzende und weitere konkretisierende Vorschriften quälen.
Am besten gehen Sie die Vorschriften in der folgenden Reihenfolge durch, wenn Sie nichts übersehen wollen.
Vorschriften der E-Privacy-VO als Spezialregelung (nach Inkrafttreten)
Vorschriften der DSGVO
Nationales Umsetzungsgesetz zur Richtlinie 2000/31/EG über den elektronischen Geschäftsverkehr
Ergänzende Gesetze Ihres Mitgliedstaats, die aufgrund von Öffnungsklauseln der DSGVO erlassen worden sind
Verhaltensregeln nach Art. 40 (soweit vorhanden)
Vertragliche Verpflichtungen im Rahmen einer Auftragsverarbeitung (siehe dazu Näheres in Kapitel 7 Zusammenarbeit von Unternehmen unter der Überschrift Die Auftragsverarbeitung
Adressaten
Adressaten von Vorschriften sind immer diejenigen, an die sich eine Vorschrift richtet. Wenn Sie Jude sind, braucht Sie das Neue Testament nicht zu interessieren, als Christ wäre das allerdings zu empfehlen, wenn Sie nicht in die Hölle kommen wollen. Das Fegefeuer soll ja inzwischen abgeschafft sein. Ebenso wenig muss Sie als Buddhist der Koran interessieren oder als Muslim die Veden. So ist es auch bei der EU-Gesetzgebung. Wenn Sie nicht Adressat der Vorschrift sind, braucht Sie die Vorschrift auch nicht weiter zu kümmern, es sei denn, Sie sind Lobbyist. Adressaten der DSGVO sind Verantwortliche und Auftragsverarbeiter.
Wann Sie Verantwortlicher sind und wann Sie zum Auftragsverarbeiter werden, erfahren Sie in Kapitel 4 Die Protagonisten. Im Wesentlichen geht es darum, dass Sie geschäftsmäßig irgendwie personenbezogene Daten verarbeiten und das nicht nur für private Zwecke tun.
Adressaten der DSGVO sind zunächst einmal
öffentliche und
nicht öffentliche Stellen
Öffentliche Stellen
Öffentliche Stelle ist nicht gleich jeder, der ein YouTube-Video veröffentlicht oder nachts im Suff peinliche Leserbriefe oder Kommentare schreibt.