Betroffenen
6.2.3 Rechte von Aufsichtsbehörden
6.2.4 Erfahrungen mit Bußgeldern
6.2.5 Sonstige (Rechts-)Folgen
Adressen der Aufsichtsbehörden
Gesetzesgrundlagen
Abkürzungsverzeichnis
Stichwortverzeichnis
Vier Jahre lang wurde heftig diskutiert und debattiert. Am 15.12.2015 stieg „weißer Rauch“ in Brüssel auf. Es bestand nun endlich ein im Trilogverfahren abgestimmter Text der Datenschutzgrundverordnung (DSGVO). Im April 2016 erfolgte die Zustimmung seitens des EU-Rats und -Parlaments. Am 04.05.2016 wurde die DSGVO im Amtsblatt der Europäischen Union (EU) veröffentlicht, sie trat am 25.05.2016, am 20. Tag nach ihrer Veröffentlichung, in Kraft. Seit dem 25.05.2018 ist die DSGVO gültig und gilt direkt und unmittelbar für alle EU-Mitgliedstaaten.
Bild 1: Gesetzgebungsverfahren der DSGVO (Quelle: © 2020 Regina Mühlich)
„Ein Abschied von den Grundrechten“ titelte Prof. Dr. Johannes Masing, Richter des Ersten Senats des Bundesverfassungsgerichts, in der Süddeutschen Zeitung[1] in Reaktion auf den Anfang 2012 von der Europäischen Kommission veröffentlichten Entwurf der europäischen Datenschutzgrundverordnung. Gerade im Zeitalter von „Prism“ und „Tempora“ und einer offensichtlich außer Kontrolle geratenen NSA ergab sich erheblicher Konfliktstoff.
Es gab viele Kritiker der Vollharmonisierung des Datenschutzrechts durch die DSGVO und des angeblichen Paradigmenwechsels. Dabei wurde vielfach übersehen, dass bereits eine inhaltlich weitreichende sekundärrechtliche Europäisierung des Datenschutzrechts erfolgt war. Im Kern geschah dies mit der im Jahr 1995 verabschiedeten Datenschutzrichtlinie 95/46/EG. Sie erfasste sämtliche Datenverarbeitungsprozesse und schloss lediglich Datenverarbeitungen in familiären und rein persönlichen Zusammenhängen aus, wie es auch die DSGVO (Art. 2 Abs. 2 lit. c) aktuell regelt.
Es war dringend an der Zeit, das Datenschutzrecht zu reformieren und auf EU-Ebene zu vereinheitlichen – nachdem die Datenschutzregeln aus dem Jahr 1995, zu weiten Teilen und in vielerlei Hinsicht veraltet, in den einzelnen Ländern der Europäischen Gemeinschaft (EG) auch unterschiedlich umgesetzt wurden.
Was blieb, was veränderte sich? Welche Verbesserungen oder Herausforderungen brachte die DSGVO mit sich?
Eines jedenfalls steht fest: Von den Änderungen betroffen sind alle Unternehmen, Organisationen, Vereine, Behörden und Institute, unabhängig von deren Größe, Mitarbeiteranzahl, Umsatz oder Datensatzanzahl. Unternehmen außerhalb der EU sind ebenfalls davon betroffen.
|
|
|
| Die Begrifflichkeiten der DSGVO können nicht nur nach deutschem Verständnis ausgelegt werden. Genauso wenig kann man sich einfach an das BDSG a. F. anlehnen. Es empfiehlt sich, auch eine englische Sprachfassung der DSGVO parat zu haben. Die Sprachfassungen der DSGVO sind bereits zwei Mal textlich korrigiert worden – und zwar zum 27.10.2016 und zum 19.04.2018. Die ursprünglich veröffentlichte Textfassung der DSGVO vom 27.04.2016 ist damit nicht mehr korrekt. Daher ist unbedingt darauf zu achten, dass eine aktuelle, also eine bereits korrigierte, Textfassung der DSGVO verwendet wird. | |
Mit der DSGVO wurde das Datenschutzrecht innerhalb der EU und des Europäischen Wirtschaftsraums (EWR) – also für die Mitgliedstaaten der EU, Island, Liechtenstein und Norwegen – für den privaten und öffentlichen Bereich vereinheitlicht. Die Europäisierung des Datenschutzrechts bietet ein hohes Schutzniveau. Dieser hohe Datenschutzstandard gilt für fast 514 Mio. EU-Bürger[2], und es gilt gleiches Recht für alle.
Fußnoten:
Vgl. Masing: „Ein Abschied von den Grundrechten“, in: Süddeutsche Zeitung vom 09.01.2012, S. 10.
Vgl. https://de.statista.com/statistik/daten/studie/14035/umfrage/europaeische-union-bevoelkerung-einwohner/ (zuletzt aufgerufen am: 29.01.2020).
Die erste europäische verfassungsrechtliche Regelung für Datenschutz besteht in Art. 8 der Europäischen Menschenrechtskonvention des Europarats vom 04.11.1950. Dieser basiert auf Art. 12 zur Wahrung von Privat- und Familienleben der allgemeinen Erklärung der Menschenrechte der Vereinten Nationen (EMRK)[1] vom 10.12.1948. Alle Mitgliedstaaten des Europarats setzten die EMRK in ihr nationales Recht um oder haben sie übernommen.
Im Laufe der Jahre verabschiedete das Ministerkomitee des Europarats mehrere Entschließungen zum Schutz von personenbezogenen Daten. Das wohl wichtigste und von allen EU-Staaten ratifizierte Übereinkommen ist Nr. 108 von 1981[2]: das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten.
Die Sammlung Europäischer Verträge (SEV) Nr. 8 schützt den Menschen vor Missbrauch bei der Erhebung und Verarbeitung von personenbezogenen Daten und strebt eine Regelung des grenzüberschreitenden Datenverkehrs an. Die Grundsätze und Regelungen sind auch in den Texten der DSGVO enthalten.
Die verbindliche Regelung für die EU[3] bildet nun einen der folgenden sieben Grundsteine[4]:
| 1. | Einheitliche Rechtsgrundlage einer Verordnung (Rechtssicherheit, Wettbewerbsgleichheit, kein Forum Shopping) |
| 2. | Eindeutige Zuständigkeit einer einzelnen Datenschutzbehörde (One-Stop-Shop) |
| 3. | Einheitlich hohes Datenschutzniveau |
| 4. | Berücksichtigung der Besonderheiten von Polizei und Justiz in der Rechtsarchitektur |
| 5. | Besondere Aufmerksamkeit für kleinere und mittlere Unternehmen |
| 6. | Ausgewogene Berücksichtigung aller Grundrechte |
| 7. |
Offenheit des neuen Rechtsrahmens für zukünftige technologische und wirtschaftliche Entwicklungen
|
