Datenschutz 2020. Regina Mühlich
wie z. B. Notare, Rechtsanwälte oder Steuerberater zu schaffen.
Kapitel X – Delegierte Rechtsakte und Durchführungsrechtsakte
In Kap. X sind folgende Abschnitte enthalten:
• | Artt. 92–93 DSGVO: Delegierte Rechtsakte und Durchführungsrechtsakte |
Seit Inkrafttreten des Lissabonvertrags sind delegierte Rechtsakte (Art. 290 AEUV) und Durchführungsrechtsakte (Art. 291 AEUV) als Formen von Rechtsakten etabliert.
Durch den Vertrag von Lissabon wurde die EU institutionell reformiert. Das Ziel des Vertrags ist es, die EU demokratischer, transparenter und effizienter zu machen. Der Vertrag wurde am 13.12.2007 unter portugiesischer Ratspräsidentschaft in Lissabon von den damals 27 EU-Mitgliedstaaten unterzeichnet und trat am 01.12.2009 in Kraft.
Kapitel XI – Schlussbestimmungen
In Kap. XI werden noch ein paar Rahmenbedingungen geregelt, die in Teilen seit dem Gültigwerden der DSGVO nicht mehr relevant sind. Sie finden sich in folgenden Abschnitten wieder:
• | Artt. 94–99 DSGVO: Schlussbestimmungen |
Dies sind z. B. die Außerkraftsetzung der Datenschutzrichtlinie, der Umbau der Artikel-29-Datenschutzgruppe (Näheres dazu und zu ihrem Nachfolger, dem Europäischen Datenschutzausschuss, vgl.
Einige Begrifflichkeiten bzw. Begriffsbestimmungen haben sich mit der DSGVO geändert (Art. 4 DSGVO; ErwG 26–37 DSGVO). Auf diese soll hier kurz eingegangen werden:
• | Verarbeitung: „jede[r] mit oder ohne Hilfe automatisierter Verfahren ausgeführt[e] Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten […]“ |
• | Einschränkung der Verarbeitung: „die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken“ – bisher unter dem Begriff „Sperrung“ geführt |
• | Auftragsverarbeiter {Auftragsverarbeiter}: „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ – es wird nicht mehr von einem AuftragsDATENverarbeiter gesprochen |
• |
Anonymisieren {Anonymisierung}: Diese Definition, die in § 3 Abs. 6 BDSG a. F. zu finden war, ist entfallen ( |
• | Beschäftigte {Beschäftigtenbegriff}: Eine Definition des Begriffs „Beschäftigter“ fehlt in der DSGVO. Da ein Beschäftigter immer auch eine natürliche Person ist, ist auch keine erforderlich. Ansonsten ist das BDSG im Rahmen des Beschäftigtendatenschutzes zu beachten, konkret § 26 Abs. 8 BDSG. |
• | Einwilligung {Einwilligungserklärung} der betroffenen Person: „[…] jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist […]“ |
• | Unternehmen: Die Definition des Begriffs „Unternehmen“ wurde in die DSGVO aufgenommen. Es ist eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform. Ein Unternehmen kann Verantwortlicher, Auftragsverarbeiter und Dritter sein. |
• | Unternehmensgruppe: Diese Definition ist ebenfalls neu und umfasst eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht (ErwG 37, 36 DSGVO). |
• | gemeinsam für die Verarbeitung Verantwortliche {gemeinsam Verantwortliche}(Joint Controllers) {Joint Controller} (Art. 26 Abs. 1 DSGVO, § 63 BDSG): Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel der Verarbeitung fest, gelten sie als gemeinsam Verantwortliche. |
Die DSGVO enthält 26 neue Begriffsbestimmungen. Diese Definitionen finden sich nicht nur im Verordnungstext, sondern auch in den Erwägungsgründen. Dabei sollte beachtet werden, dass die DSGVO zwar dieselben Wörter zur Definition eines Begriffs verwendet, diese aber nicht analog zum BDSG a. F. auszulegen sind. Hierfür gibt es v. a. zwei Gründe: Zum einen gab es im deutschen Datenschutzrecht für einige Begriffe Auslegungen, die sich trotz gleichen Wortlauts in den anderen EU-Staaten auch bisher nicht so wiedergefunden haben. Zum anderen darf bei neuen Begriffen nicht nur auf deutsches Rechtsverständnis abgestellt werden, denn diese sind europarechtskonform auszulegen.[1]
Fußnoten:
Vgl. Eckhardt, Jens/Kramer, Rudi (u. a.): DS-GVO-Kompendium, Bonn: VNR Verlag für die Deutsche Wirtschaft 2019.
1.6 Verbotsgesetz mit Erlaubnisvorbehalt
{Verbotsgesetz}
Die DSGVO regelt weiterhin die Frage, wann eine Verarbeitung personenbezogener Daten erlaubt ist. Es gilt immer noch das Prinzip des „Verbots mit Erlaubnisvorbehalt“, d. h., jede Form der Datenverarbeitung ist verboten – es sei denn, eine Rechtsgrundlage legitimiert die Datenverarbeitung oder die betroffene Person hat dafür ihre Einwilligung gegeben. Die bisherigen Grundprinzipien des Datenschutzrechts bleiben bestehen. Die Zulässigkeitsregelungen ändern sich im Detail und mit Artt. 4 Abs. 2, 12, 24 sowie 35 und 36 gibt es eine Neuausrichtung bzgl. Datenschutz durch Organisation und Dokumentation.
Artikel 6 DSGVO regelt als zentrale Vorschrift die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten {personenbezogene Daten, Verarbeitung} und listet die entsprechenden Voraussetzungen auf:
Art. 6 Abs. 1 DSGVO
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist […].
Bild 3: Verbot mit Erlaubnisvorbehalt (Quelle: © 2020 Regina Mühlich)
Begriffsbestimmung
Personenbezogene Daten {personenbezogene Daten} sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person (betroffene