Überblick zur DSGVO – DSGVO erklärt

Lesezeit: ca. 5 Minuten

Ab dem 25.05.2018 gilt die EU-Datenschutzgrundverordnung (DSGVO) mit neuen datenschutzrechtlichen Regelungen. Das Gesetz war bereits 04.05.2016 veröffentlicht worden und ist sowohl für Unternehmen als auch für Behörden anwendbar.

Auf nationaler Ebene werden damit das bisher geltende Bundesdatenschutzgesetz (BDSG) und auch alle Landesdatenschutzgesetze abgelöst. Bei zukünftigen Fragen zum Datenschutz werden Anwender in Unternehmer und Behörden immer zuerst in die DSGVO schauen.

Öffnungsklauseln DSGVO

An vielen Stellen hat der europäische Gesetzgeber aber Öffnungsklauseln vorgesehen. Auf Basis dieser Öffnungsklauseln hat der nationale Gesetzgeber die Möglichkeit, ergänzende nationaleRegelungen zu schaffen.

Aus diesem Grund hat der Bundestag mit Zustimmung des Bundesrates ein Gesetz zur Anpassung des Datenschutzrechtes an die EU-Gesetzgebung vorgesehen. Mit dem etwas sperrigen Titel „Datenschutz-Anpassungs- und Umsetzungsgesetz EU – DSAnpUG-EU“ hat der deutsche Gesetzgeber versucht, die entsprechenden Lücken auszufüllen.

Datenschutz-Anpassungs- und Umsetzungsgesetz EU

Das Datenschutz-Anpassungs- und Umsetzungsgesetz EU hat dabei drei Teile. Im ersten Teil sind die gemeinsamen Bestimmungen vorgesehen, im zweiten Teil die Durchführungsbestimmungen für die DSGVO und im dritten Teil wird eine Richtlinie umgesetzt, die datenschutzrechtliche Regelungen für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten und deren zuständige öffentliche Stellen vorsieht.

Wichtig ist dabei in der Praxis, dass alle Regelungen nach § 45 bis § 84 „BDSG neu“, wie das Datenschutz-Anpassungs- und Umsetzungsgesetz EU auch abgekürzt genannt wird, nicht als Ergänzung zur DSGVO gelten, sondern einen eigenen Regelungsbereich betreffen.

Für Unternehmen und Behörden, die der DSGVO unterliegen, sind daher nur die §§ 1 bis 44 BDSG neu relevant.

Nicht alle Bundesländer haben es geschafft, rechtzeitig zum 25.05.2018 für das Landesrecht datenschutzrechtliche Regelungen vorzusehen. Es ist aber davon auszugehen, dass zeitnah alle Bundesländer entsprechende Regelungen schaffen.

Öffnungsklausel Beschäftigtendatenschutz

Ein typisches Beispiel für die Anwendung der Öffnungsklausel ist der sogenannte „Beschäftigtendatenschutz“. Hier findet sich in Art. 88 DSGVO die grundsätzliche Regelung. § 26 BDSG neu hat dann die Einzelheiten zu der Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses festgelegt.

Die Rangfolge ist in der Rechtsanwendung allerdings von Bedeutung. Die DSGVO ist höherrangiges Recht. Nationale Vorschriften, sei es im BDSG neu oder in Landesdatenschutzgesetzen, dürfen den Regelungen der DSGVO nicht widersprechen.

Diskussion um die Videoüberwachung

Hier gibt es bereits Diskussionen um die Neuregelung zur Videoüberwachung, die im § 4 BDSG neu zu finden ist. Die Datenschutzkonferenz, der Zusammenschluss der Bundes- und Landesdatenschutzbeauftragten, hält die Regelung in § 4 BDSG neu für europarechtswidrig und empfiehlt den Anwendern, nicht die vom Bundesgesetzgeber veröffentlichte Regelung anzuwenden.

Hier gewinnt die Frage der Rangfolge und der Normenhierarchie praktische Bedeutung. Da im Zweifel die Aufsichtsbehörden auch die zuständige Stelle sind, die Bußgelder verhängt, empfehlen wir für die praktische Anwendung, sich eher der Rechtsauffassung der Datenschutzkonferenz anzuschließen.

Aufbau der DSGVO

Die Datenschutzgrundverordnung enthält am Beginn insgesamt 173 Erwägungsgründe. Hier ist der politische Wille für einzelne Regelungen in der DSGVO festgehalten.

Mittlerweile gibt es diverse Veröffentlichungen, die die Erwägungsgründe konkret verschiedenen Artikeln zuordnen. Beispielsweise auf der Internetseite www.DSGVO-Gesetz.de finden sich die Regelungen der europäischen Verordnung, die jeweils passenden Erwägungsgründe und zugeordnet auch der passende Paragraf des BDSG neu.

In Kapitel 1, den Allgemeinen Bestimmungen, finden sich die Regelungen zum Anwendungsbereich der DSGVO und die Begriffsbestimmungen.

Ziele der DSGVO

In Artikel 1 ist Gegenstand und sind die Ziele der DSGVO festgelegt. Dort heißt es in Abs. 1:

„Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.“

Hier wird das Spannungsfeld deutlich, in dem die DSGVO steht. Zum einen geht es um den Schutz der personenbezogenen Daten bei der Verarbeitung, zum anderen soll aber auch der freie Verkehr von Daten sichergestellt werden. Im Gesetzgebungsverfahren wurde eine schlagwortartige Formulierung verwendet, dass „Daten das neue Öl einer Informationsgesellschaft“ sind.

Der europäische Gesetzgeber hat sich deutlich anders positioniert als beispielsweise die USA. Im Vordergrund der DSGVO steht der Schutz personenbezogener Daten.

Im Zweifel wird diesem Schutz Priorität vor dem freien Verkehr von Daten gegeben. Hier ist der politische Ansatz der USA anders und setzt den Schwerpunkt auf den freien Verkehr der Daten.

Langfristig ist sicherlich in globaler Hinsicht von Bedeutung, wie sich die asiatischen Staaten beim Datenschutz positionieren. Aktuell lässt sich aber beobachten, dass aufgrund des großen europäischen Marktes die neuen datenschutzrechtlichen Regelungen weltweite Wirkung entfalten.

Anwendungsbereich der DSGVO

Beim sachlichen Anwendungsbereich ist insbesondere bei der Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung von persönlichen oder familiären Tätigkeiten eine Ausnahme vorgesehen (Art. 2 Abs. 2 lit.c DSGVO).

Räumlicher Anwendungsbereich DSGVO

Beim räumlichen Anwendungsbereich sind zunächst alle Unternehmen und Behörden betroffen, die ihren Sitz in der Europäischen Union haben. Daneben sieht Art. 3 Abs. 2 DSGVO vor, dass bei der Verarbeitung personenbezogener Daten von in der EU aufhältigen Personen ebenfalls eine Anwendung der DSGVO erfolgt, wenn betroffenen Personen in der EU Waren oder Dienstleistungen angeboten werden oder wenn das Verhalten betroffener Personen beobachtet wird, die sich in der EU aufhalten.

Dies führt zu einem sehr weiten Anwendungsbereich der DSGVO und trifft beispielsweise alle Handy-Apps, die im europäischen Markt angeboten werden oder auch alle Internetseiten, die beispielsweise Waren und Dienstleistungen im europäischen Markt anbieten.

Begriffsbestimmungen der DSGVO

Bei den Begriffsbestimmungen in Art. 4 sind zwei Definitionen zunächst herauszugreifen. In Art. 4 Ziff. 1 DSGVO ist der Begriff „personenbezogene Daten“ definiert. Dabei werden als personenbezogene Daten alle Informationen gesehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Bei der Frage, wann eine Person identifizierbar ist, wird auf direkte oder indirekte Möglichkeiten der Zuordnung zu einer Kennung, wie einem Namen, einer Kennnummer oder Standortdaten, abgestellt. Weitere Aspekte können zur Identifikation hinzugenommen werden.

Insgesamt ist, auch mit Blick auf die europäische Rechtsprechung, die beispielsweise IP-Adressen als personenbezogene Daten sieht, von einem weiten Anwendungsbereich auszugehen.

Nach unseren Beobachtungen durchziehen personenbezogene Daten die meisten Bereiche eines Unternehmens und die überwiegende Bereiche einer Behörde. Bei Behörden wird in fast jedem Kontext mit Bürgerdaten oder Daten von Mitarbeitern hantiert.

Aus datenschutzrechtlicher Sicht ist dabei nicht von Bedeutung, ob es um wenige oder viele Daten geht. Die DSGVO sieht keine Mindestmenge vor, ab der es zu einer Anwendung der neuen datenschutzrechtlichen Regelungen kommt.

Bereits kleinste Datenmengen und Datensammlungen führen zu einer Anwendung der DSGVO. Eingangs muss nur geprüft werden, ob personenbezogene Daten vorliegen. Wenn dies bejaht wird, kommt eine Anwendung der DSGVO infrage.

Die zweite Begriffsbestimmung, die abweichend von der bisherigen deutschen Rechtslage neue Aspekte aufruft, ist die Definition der „Verarbeitung“ in Art. 4 Ziff. 2 DSGVO. Die DSGVO geht von einem umfassenden Verarbeitungsbegriff aus.

Eine Verarbeitung ist nicht nur die konkrete Nutzung, das Erheben, das Erfassen oder die Organisation und Ordnung von personenbezogenen Daten. Auch die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung sowie das Löschen und die Vernichtung sind eine Verarbeitung.

Es gibt die politische Zielrichtung, möglichst alle Verwendungen und Verwendungsarten von personenbezogenen Daten der DSGVO zuzuordnen. In der praktischen Umsetzung führt jede Nutzung von personenbezogenen Daten durch die Informationstechnologie zu einer datenschutzrechtlichen Verarbeitung.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 4,50 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Cookies werden von unserer Seite nur gesetzt, wenn Sie akzeptieren anklicken. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen