rel="nofollow" href="#ulink_4b6b370c-afda-5939-b196-7774ece4c72c">
{Durchgriffswirkung}
Die Vereinheitlichung nationaler Gesetze zum Umgang mit personenbezogenen Daten ist das große Hauptanliegen der Datenschutzgrundverordnung. Entsprechend heißt es am Ende des Art. 99 DSGVO: „Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.“ Der bisherige Flickenteppich nationaler Regelungen gehört damit in vielen Teilen der Vergangenheit an. Als allgemeine Regelung mit unmittelbarer innerstaatlicher Geltung verfügt die DSGVO über eine „Durchgriffswirkung“. Diese grundsätzliche Vollharmonisierung ersetzt größtenteils nationales Datenschutzrecht.
Die DSGVO liegt in allen Sprachen der EU-Mitgliedstaaten[5] vor und alle Sprachfassungen sind gleich verbindlich. Zwangsläufig gibt es in den Übersetzungen auch Unterschiede. Die DSGVO wurde überwiegend in der englischen Sprachfassung im Gesetzgebungsverfahren verhandelt und man hat sich auf den Text der DSGVO in der englischen Fassung verständigt. Anhand der englischen Fassung ist es ggf. einfacher, bei Unklarheiten den Sinn und Zweck der Regelung zu erschließen.
|
|
|
| Es sollte zur Auslegung eine weitere aktuelle Sprachfassung der DSGVO in der Praxis herangezogen werden. Die englische Sprachfassung bietet sich hierfür an. | |
Gegenstand und Ziele
Die DSGVO enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten (Art. 1 Abs. 1 DSGVO).
Art. 1 Abs. 1 und 2 DSGVO
(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
Der freie Verkehr personenbezogener Daten in der EU darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden (Art. 1 Abs. 3 DSGVO).
Die DSGVO ist – wie bereits die alte Fassung des Bundesdatenschutzgesetzes (BDSG a. F.) – als Verbotsgesetz mit Erlaubnisvorbehalt ausgestaltet. Das bedeutet, dass der Umgang mit personenbezogenen Daten grundsätzlich untersagt ist – es sei denn, die Verordnung, eine andere gesetzliche Vorschrift oder eine Einwilligung des Betroffenen erlauben dies.
Die DSGVO gilt unmittelbar und direkt und ist im Gegensatz zum BDSG a. F. kein Auffanggesetz mehr. Sie hat Vorrang vor anderen Rechtsvorschriften der Mitgliedstaaten, sofern es keine ausdrückliche Möglichkeit für einzelstaatliche Regelungen (sog. Öffnungsklauseln) gibt.
Art. 6 Abs. 1 Satz 1 DSGVO
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […]
Was 2018 im Vergleich zum BDSG a. F. mit der DSGVO weggefallen ist
Auch wenn es im Hinblick auf die Regelungen der DSGVO unerheblich ist, was in alten Gesetzen galt, wird hier der Vollständigkeit halber und auch zum besseren Verständnis des geltenden Datenschutzrechts kurz darauf eingegangen.
Informationelle Selbstbestimmung
Die DSGVO kennt den Begriff „informationelle Selbstbestimmung“ als rechtsdogmatischen deutschen Sonderweg nicht. Das Europarecht spricht vom „Recht auf Datenschutz“ (Art. 8 Abs. 1 GRCh).
Das europäische Datenschutzgrundrecht ist ein europäischer Grundrechtsschutz. Das bedeutet, ein „Gang nach Karlsruhe“ – Ausnahme beim Arbeits- und Verwaltungsrecht – ist nicht mehr möglich. Urteile werden im Datenschutzrecht am Europäischen Gerichtshof (EuGH) gefällt.
Der EuGH mit Sitz in Luxemburg ist das oberste rechtsprechende Organ der EU. Nach Art. 19 Abs. 1 Satz 2 EUV sichert er „die Wahrung des Rechts bei der Auslegung und Anwendung der Verträge“. Zusammen mit dem Gericht der Europäischen Union bildet er das Gerichtssystem der EU, das im politischen System der EU die Rolle der Judikative einnimmt.[6]
Funktionsübertragung {Funktionsübertragung} § 11 BDSG a. F. ließ die sog. Auftragsdatenverarbeitung zu. Charakteristisch für diese war, dass sich die datenschutzrechtlich verantwortliche Stelle eines Dritten für die Durchführung bestimmter Datenverarbeitungsvorgänge bediente.
Bei der sog. Funktionsübertragung[7] wurde eine Stelle für eine andere dergestalt tätig, dass die „eingeschaltete“ Stelle für die andere einen bestimmten Auftrag wahrnimmt und dazu im eigenen Namen alle erforderlichen Entscheidungen trifft, aber dabei stets im Interesse des „Auftraggebers“ handeln muss.
Im Rahmen der DSGVO hat der Gesetzgeber einige Änderungen vorgesehen. Die Definitionen des Art. 4 Nr. 7 und 8 DSGVO lassen die ursprüngliche Unterscheidung zwischen Auftragsdatenverarbeitung und Funktionsübertragung, wie sie noch unter dem BDSG a. F. vorgenommen wurde, nicht mehr zu.
Was bisher unter einer Funktionsübertragung subsummiert wurde, ist nach der DSGVO entweder
| • | eine Auftragsverarbeitung (Art. 28 DSGVO) oder |
| • | eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) oder |
| • | eine „normale“ Übermittlung an einen anderen Verantwortlichen. |
Fußnoten:
Vgl. https://www.menschenrechtskonvention.eu (zuletzt aufgerufen am: 29.01.2020).
Vgl. https://rm.coe.int/1680078b38 (zuletzt aufgerufen am: 29.01.2020).
Mitgliedstaaten der EU: Belgien (1958), Bulgarien (2007), Dänemark (1973), Deutschland (1958), Estland (2004), Finnland (1995), Frankreich (1958), Griechenland (1981), Irland (1973), Italien (1958), Kroatien (2013), Lettland (2004), Litauen (2004), Luxemburg (1958), Malta
