Basics zur Datenschutz-Grundverordnung (DS-GVO)

Ab dem heutigen Tag (25.05.2018) gilt auf europäischer Ebene die Datenschutz-Grundverordnung, Art. 99 II DS-GVO. Damit erfährt das Datenschutzrecht eine grundlegende Änderung, auch wenn die DS-GVO auf altbewährten Grundsätzen aufbaut und nur an wenigen Stellen wirklich neue Instrumente zum Schutz personenbezogener Daten bereithält. Die wichtigsten Basics zur Datenschutzreform, die zur juristischen Allgemeinbildung zählen, zeigt der folgende Beitrag auf:
I. Ablösung der Datenschutz-RL sowie mitgliedstaatlicher Abweichungen
Die DS-GVO löst die bisherige Datenschutz-RL 95/46/EG, die eine Vollharmonisierung des europäischen Datenschutzniveaus intendierte, aber nicht vollends erreichte, ab. Da die DS-GVO nach Art. 288 II AEUV unmittelbare Geltung in den Mitgliedstaaten entfaltet – anders als die Datenschutz-RL, bei der nach Art. 288 III AEUV ein zweistufiges Umsetzungsverfahren notwendig war – trägt sie in höherem Maße zur Vereinheitlichung des Datenschutzrechts bei. Zugleich werden auf diese Weise bislang bestehende mitgliedstaatliche Umsetzungsgesetze (in Deutschland das alte Bundesdatenschutzgesetz) abgeschafft. Denn im Anwendungsbereich einer europäischen Verordnung sind mitgliedstaatliche Abweichungen grds. nicht zulässig.
II. Begriff der „Grundverordnung“
Nun mag sich allerdings der geneigte Leser die Frage stellen, was sich hinter dem Begriff einer Grundverordnung versteckt. Da Art. 288 AEUV hier keinerlei Anhaltspunkte bietet, sprach schon so mancher von einer Art europäischem Sekundärrecht sui generis. Da insoweit allein schon wegen des Prinzips der begrenzten Einzelermächtigung Bedenken gegen ein solches Sekundärrecht eigener Art bestehen sollten, setzte sich die Erkenntnis durch, dass es sich zwar um eine Verordnung handelt, der europäische Verordnungsgeber aber Öffnungsklauseln für bestimmte Bereiche eingefügt hat, die mitgliedstaatliche Abweichungen ermöglichen.
Derartige Bereichsausnahmen sind etwa

• für den öffentlichen Sektor in Art. 23 DS-GVO (Pabst in Heidelberger Kommentar DS-GVO/BDSG, 2018, Art. 23 DS-GVO Rn. 3),
• für das Medienrecht in Art. 85 DS-GVO (Frey in Heidelberger Kommentar DS-GVO/BDSG, 2018, Art. 85 DS-GVO Rn. 2),
• für den Beschäftigungskontext in Art. 88 DS-GVO (dazu Thüsing/Traut in Heidelberger Kommentar DS-GVO/BDSG, 2018, Art. 88 DS-GVO Rn. 6) und
• für die Datenschutzvorschriften der Kirchen in Art. 91 DS-GVO (dazu Thüsing/Rombey in Heidelberger Kommentar DS-GVO/BDSG, 2018, Art. 91 DS-GVO Rn. 8) zu finden.

Ob angesichts dieser bestehenden Öffnungsklauseln eine wirkliche Vollharmonisierung erreicht werden kann, bleibt indes abzuwarten.
III. Zweck
Die DS-GVO bezweckt neben der erwähnten Vollharmonisierung ausweislich des Art. 1 DS-GVO sowohl den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, der Grundrechte und Grundfreiheiten als auch den freien Fluss personenbezogener Daten in der EU. Das mag auf den ersten Blick wie ein Widerspruch in sich klingen, erklärt sich aber dadurch, dass der Verordnungsgeber klarstellen wollte, dass die DS-GVO kein Totalverbot der Verarbeitung personenbezogener Daten enthält, sondern allein einen angemessenen Ausgleich dieser gegensätzlichen Positionen anstrebt (dazu Plath in Plath, DS-GVO/BDSG, 2. Aufl. 2016, Art. 1 DS-GVO Rn. 6).
IV. Inhalt der DS-GVO
Inhaltlich hebt die DS-GVO die Rechte der von der Verarbeitung personenbezogener Daten Betroffenen im Vergleich zur vorherigen Rechtslage an, zudem werden die Aufsichtsbehörden gestärkt und nicht zuletzt effektivere Sanktionsmaßnahmen geschaffen, die sich auf bis zu vier Prozent des Jahresumsatzes des gegen die DS-GVO verstoßenden Unternehmens oder bis zu 20 Mio. Euro belaufen können.
Dennoch gilt das bewährte Prinzip fort, wonach jede Verarbeitung personenbezogener Daten der Rechtfertigung bedarf und einem Verbot mit Erlaubnisvorbehalt unterliegt, das sich aus einer Zusammenschau der Art. 5 und Art. 6 DS-GVO ergibt. Liegt kein Erlaubnistatbestand vor, bleibt sie verboten.
Wichtige Erlaubnistatbestände listet insbesondere Art. 6 I 1 DS-GVO auf. Dabei sind allerdings viele Begriffe auslegungsbedürftig. Ebenso stellt die jederzeit widerrufbare Einwilligung die Praxis vor Herausforderungen.
„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“
Soweit es um besondere Kategorien äußerst sensibler Daten geht (etwa Gesundheitsdaten), greifen spezielle Regelungen (auch solche des Bundesdatenschutzgesetzes).
V. Kontrollverlust des BVerfG in Teilbereichen

Nach der wegweisenden Entscheidung des BVerfG im sog. Volkszählungsurteil, wonach jeder selbst das Recht hat, „über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“ (BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83 u.a., BVerfGE 65, 1, 43), hat sich das informationelle Selbstbestimmungsrecht fest im deutschen Grundrechtskanon etabliert. Soweit es allerdings allein um Regelungen der DS-GVO geht und nicht etwa um das ebenfalls ab dem heutigen Tag geltende neue Bundesdatenschutzgesetz, ist künftig der EuGH zuständig, auch wenn zugegebenermaßen die Aufsichtsbehörden primär über die Einhaltung der Datenschutzvorschriften wachen und auch vor deutschen Gerichten verhandeln können.
VI. Auflistung wichtiger Betroffenenrechte
Die – wie angesprochen gestärkten – Betroffenenrechte lassen sich wie folgt systematisieren:

• Besonders wichtig: Der Betroffene hat ein Recht auf Auskunft, vor allem was die über ihn gespeicherten Daten und die entsprechenden Verarbeitungszwecke betrifft (Art. 15 DS-GVO). Dadurch wird die DS-GVO allerdings auch ein gutes Stück weit bürokratischer.
• Der Betroffene hat ein Recht auf Berichtigung, was unrichtige oder unvollständige Daten anbelangt (Art. 16 DS-GVO).
• Der Betroffene hat ein Recht auf Löschung, soweit seine personenbezogenen Daten unrechtmäßig verarbeitetet wurden oder ihre Speicherung nicht mehr erforderlich ist (Art. 17 DS-GVO).
• Der Betroffene kann Widerspruch gegen die Verarbeitung einlegen (Art. 21 DS-GVO).

VII. Eine wirkliche Innovation
Eine wirkliche Neuerung enthält Art. 20 DS-GVO. Danach besteht ein Recht auf Datenportabilität. Demgemäß sollen Betroffene das Recht haben, ihre bei einem Verantwortlichen gespeicherten Daten auf einen anderen übertragen zu lassen. Dies soll u.a. den Wettbewerb unter den Verantwortlichen stärken und es den Betroffenen ermöglichen, den Verantwortlichen leichter zu wechseln. Zugeschnitten ist die Vorschrift ersichtlich auf Internetanbieter, insbesondere auf Social Media Plattformen. Ein Wechsel, etwa von Facebook zu Instagram oder Twitter, ist nun also unter Mitnahme der Daten einfacher möglich. Zugleich wird der ökonomisch genutzte Lock-In-Effekt, der Wechselhindernisse zu einem anderen Anbieter beschreibt, abgeschwächt.