target="_blank" rel="nofollow" href="#ulink_062580ca-6e9c-5e9f-aa32-d242b838df65">[1]
Vgl. https://edpb.europa.eu/about-edpb/about-edpb_de (zuletzt aufgerufen am: 29.01.2020).
Dokumente des EDSA finden sich unter https://edpb.europa.eu/our-work-tools/our-documents_de (zuletzt aufgerufen am: 29.01.2020).
Die DSGVO besteht aus elf Kapiteln mit insgesamt 99 Artikeln sowie 173 Erwägungsgründen. In Deutschland erfolgt die Einteilung der meisten Gesetze in Paragrafen. Die wichtigsten Beispiele für Gesetze, die ebenfalls in Artikel unterteilt sind, sind das Grundgesetz (GG), das Scheckgesetz (ScheckG), das Wechselgesetz (WG) und das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG), welches am 26.04.2019 in Kraft getreten ist.
Die meisten völkerrechtlichen Verträge sowie Rechtsakte des Europarats und der EU, z. B. die Europäische Menschenrechtskonvention (EMRK), der EU-Vertrag und die DSGVO, sind in Artikel gegliedert.
Die sog. Erwägungsgründe (ErwG) geben die Ziele, die mit der Formulierung der Artikel der DSGVO verfolgt wurden, wieder. Sie sind nicht die eigentlichen Rechtsnormen, aber sie sind hilfreich für die Interpretation und das Verständnis der DSGVO.
Die DSGVO gilt für die voll oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder in einem derartigen System gespeichert werden sollen.
Begriffsbestimmung
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Kurz gesagt ist eine natürliche Person ein Mensch, im Gegensatz zur juristischen Person (Firma, Verein).
Die DSGVO gilt nicht für personenbezogene Daten Verstorbener (ErwG 27 DSGVO):
ErwG 27 DSGVO
Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten können Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen.
Die DSGVO gilt sowohl für eine elektronische Datenverarbeitung, auch wenn diese nur aus einem einzigen Rechner besteht, als auch bei einem nach bestimmten Kriterien geordneten Karteisystem (in Papierform, nicht automatisierte Verarbeitung). Hier spricht man vom sog. sachlichen Anwendungsbereich gem. Art. 2 Abs. 1 DSGVO.
Geschützt werden durch die DSGVO die Grundrechte und Grundfreiheiten natürlicher Personen und „insbesondere“ deren Recht auf Schutz personenbezogener Daten. In erster Linie richtet sich der Schutz des Einzelnen gegen Gefahren für sein Persönlichkeitsrecht, die von einer Verarbeitung seiner personenbezogenen Daten ausgehen. Die DSGVO gilt gem. Art. 2 Abs. 2 lit. c nicht für die Verarbeitung zu persönlichen und familiären Zwecken (Haushaltsausnahme). Das heißt also, die Anwendung der DSGVO umfasst sowohl personenbezogene Daten als auch die automatisierte oder manuelle Verarbeitung von personenbezogenen Daten.
Die DSGVO unterscheidet in Kap. I – Allgemeine Bestimmungen zwischen einem sachlichen (Art. 2 DSGVO) und einem räumlichen Anwendungsbereich (Art. 3 DSGVO).
Begriffsbestimmung
Sachlicher Anwendungsbereich: ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (
Räumlicher Anwendungsbereich: die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union, unabhängig davon, ob die Verarbeitung in der Union stattfindet (
Kapitel I – Allgemeine Bestimmungen
In den Artt. 1–4 DSGVO finden sich Regelungen zum Geltungsbereich, Definitionen, der Zweck und Begriffe. In Art. 4 DSGVO finden sich die Begriffsbestimmungen, die ausführliche Beschreibungen zu den Begrifflichkeiten aus der DSGVO enthalten.
Neu sind hier Erläuterungen zu den Begriffen Hauptniederlassung, Vertreter, Unternehmen und Unternehmensgruppe (Art. 4 Nr. 16–19 DSGVO). Wie bereits das BDSG kennt die DSGVO weiterhin kein Konzernprivileg.
An der grundsätzlichen eigenen Verantwortlichkeit jeder einzelnen Stelle ändert dies jedoch nichts. Auswirkungen hat das Vorliegen einer Unternehmensgruppe aber bei der nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO notwendigen Interessenabwägung im Rahmen der Entscheidung, ob ein Erlaubnistatbestand greift. Hierzu legt ErwG 48 DSGVO fest, dass die Übermittlung von Daten innerhalb einer Unternehmensgruppe ein berechtigtes Interesse darstellt. Diese Feststellung wird auch als „kleines Konzernprivileg“ bezeichnet.
|
|
|
| Das aus dem Aktienrecht bekannte Konzernprivileg {Konzernprivileg} war im deutschen Datenschutzrecht bisher nicht anerkannt. Mit der DSGVO wird der Datenaustausch im Konzern auf der Grundlage von Einwilligungen (Art. 7 DSGVO) oder dem Instrument der Auftragsverarbeitung (Art. 28 DSGVO) erschwert, allerdings durch Art. 6 Abs. 1 DSGVO auch erleichtert. Der konzerninterne Datenaustausch kann als „berechtigtes Interesse“ angesehen werden. Der ErwG 48 DSGVO erkennt für den Konzern „interne Verwaltungszwecke“ als ein berechtigtes Interesse an, welches allerdings entsprechend zu belegen und zu dokumentieren ist. | |
Begriffsbestimmung
Die Anonymisierung {Anonymisierung} ist das Verändern personenbezogener Daten derart, dass diese Daten nicht mehr einer Person zugeordnet werden können. Bei der Pseudonymisierung {Pseudonymisierung} wird der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym (zumeist eine mehrstellige Buchstaben- oder Zahlenkombination, auch Code genannt) ersetzt, um die Feststellung der Identität der betroffenen Person auszuschließen (vgl. § 3 Abs. 6a BDSG a. F. bzw. § 46 Nr. 5 BDSG).
Die DSGVO kennt den Begriff Anonymisierung nicht. Gleichwohl können personenbezogene Daten anonymisiert werden, um damit den Schutz der personenbezogenen Daten zu gewährleisten. Es ist nachvollziehbar, warum die DSGVO diesen Begriff nicht (mehr) regelt: Mit anonymisierten Daten ist eine natürliche Person nicht mehr identifizierbar.
