Rechtsakt für den unionsinternen Datenschutz. Als solcher gestaltet sie auch den Europäischen Datenschutzbeauftragten institutionell und kompetenzmäßig näher aus (Art. 41 ff.). Daneben werden umfangreiche Standards gesetzt zur Erhebung, Verarbeitung und Weitergabe personenbezogener Daten, zu Informationspflichten und Rechtsschutzmöglichkeiten zu Gunsten Betroffener sowie zu Sicherheitsvorkehrungen und Kontrollmechanismen (u.a. auch behördliche Datenschutzbeauftragte).
488
Sämtliche Regelungen zum Datenschutz mit externer Reichweite sind nunmehr in der DSGVO zusammengefasst. Sie lässt sich als umfangreiche Konkretisierung des im Primärrecht formulierten Grundrechts auf Schutz personenbezogener Daten verstehen. Bevor die Regelungen der DSGVO am 25.5.2018 Geltung erlangt haben (s. o. Rn. 483), war ihr Vorgängerrechtsakt, nämlich die Datenschutz-RL 95/46/EG, wirksam.
489
Überdies existiert eine kaum überschaubare Menge weiteren Sekundärrechts mit datenschutzrechtlichem Bezug. Zu nennen für den Bereich der Gefahrenabwehr und Strafverfolgung ist dabei zuvörderst die neue Datenschutz-RL für den Sicherheitsbereich 2016/680 (in Kraft getreten am 24.5.2016), die den Rahmenbeschluss 2008/977/JHA ersetzt hat. Besonders im Bereich des europäischen Sicherheitsrechts (z.B. → Europol oder → Polizeiliche Zusammenarbeit [PZ]) sowie im → Europäischen Aufenthalts-, Ausländer- und Asylrecht (dort v.a. in den von der Agentur eu-Lisa betriebenen IT-Großsystemen) sind Konflikte zwischen dem Schutz personenbezogener Daten und der Aufrechterhaltung öffentlicher Sicherheit geradezu systemimmanent. Die einschlägigen Rechtsakte versuchen hier einen angemessenen Interessenausgleich zu schaffen. Dies gelingt freilich nicht immer. So hat der EuGH (Urt. v. 8.4.2015, C-293/12) die Vorratsdatenspeicherungs-RL 2006/24/EG u.a. wegen Verstoßes gegen Art. 8 GRCh für ungültig erklärt.
3. Völkerrecht
490
Außerhalb der EU ist auf völkerrechtlicher Ebene das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (SEV Nr. 108, in Kraft getreten am 1.10.1985) zu nennen, das am 28.1.1981 durch den → Europarat aufgelegt wurde und auch offen für Drittstaaten ist. Es verpflichtet zur Einhaltung internationaler Mindeststandards im Bereich des Datenschutzes. Inzwischen haben alle Mitgliedstaaten des Europarats dieses Abkommen ratifiziert, außerdem sind Kap Verde, Mauritius, Mexiko, der Senegal, Tunesien und Uruguay beigetreten. Ergänzt wurde es durch ein Zusatzprotokoll vom 8.11.2001 (SEV Nr. 181, in Kraft getreten am 1.7.2004), das bislang (Stand: Juli 2018) jedoch nicht von allen Vertragsstaaten ratifiziert worden ist. Dieses Zusatzprotokoll soll u.a. das Übereinkommen für einen Beitritt der EU öffnen, was jedoch erst nach dessen Ratifikation in sämtlichen Vertragsstaaten möglich ist.
491
Unter Beteiligung der EU sind völkerrechtliche Regelungen zum Datenschutz v.a. in speziellen Abkommen zu finden, die jedoch nicht zum Zwecke eines einheitlichen Datenschutzstandards vereinbart wurden, sondern schon aufgrund ihrer Regelungsmaterie datenschutzrechtliche Relevanz aufweisen. Dies sind v.a. Abkommen zur Datenübermittlung zwischen der EU und Drittstaaten, wie sie typischerweise zur Gewährleistung internationaler Sicherheit geschlossen werden. Als Beispiel können Übereinkünfte zur gegenseitigen Fluggastdatenübermittlung genannt werden (etwa das Abkommen mit den USA vom 11.8.2012, Abl. 2012, L 215).
492
Daneben existieren gewisse Vorgaben für den Datentransfer zwischen der EU und ihren Mitgliedstaaten auf der einen sowie Drittstaaten auf der anderen Seite. Diese sind jedoch weder dem Völkervertrags- noch -gewohnheitsrecht zuzuordnen, sondern basieren allenfalls auf Verwaltungsabkommen, politischen Absichtserklärungen oder unverbindlichen Zusicherungen – also soft law. Dazu zählen auch die mit den USA getroffenen und unter den Namen „Safe Harbor“ und „Privacy Shield“ bekannt gewordenen Vereinbarungen (dazu Rn. 502 f.). Ihren Rechtscharakter erlangten diese allerdings erst durch entsprechende Entscheidungen der → Europäischen Kommission; unionsrechtlich gesehen handelt es sich also richtigerweise um Sekundärrecht, nicht um Völkerrecht.
D › Datenschutz, Europäischer (Björn Schiffbauer) › III. Insbesondere die Datenschutz-Grundverordnung (DSGVO)
1. Allgemeines
493
Die DSGVO hat am 25.5.2018 die Datenschutz-RL vollständig abgelöst und sich zudem spürbar auf das Datenschutzrecht der Mitgliedstaaten ausgewirkt. Mit ihr wird eine Vollharmonisierung des Datenschutzrechts in den Mitgliedstaaten angestrebt. Als Reaktion der deutschen Rechtsordnung sind weite Teile des deutschen Bundesdatenschutzgesetzes und auch der Landesdatenschutzgesetze überarbeitet und überlagert worden, weil die DSGVO insoweit Anwendungsvorrang genießt (→ Anwendungsvorrang des EU-Rechts). In Systematik und Terminologie knüpft die DSGVO an die Datenschutz-RL an; inhaltlich vollzieht sie jedoch einen erheblichen Entwicklungsschritt.
2. Anwendungsbereich
494
Ihren sachlichen Anwendungsbereich bestimmt die DSGVO in Art. 2. Sie betrifft das gesamte Unionsrecht mit Außenwirkung unter Ausklammerung der GASP, für welche die Datenschutz-RL für Polizei und Strafjustiz 2016/680 gilt. Die DSGVO entfaltet unmittelbare Rechtswirkungen sowohl auf die Beziehungen zwischen nationalen Hoheitsträgern und Privatpersonen als auch – und zwar in erheblichem Maße – im horizontalen Verhältnis zwischen Privatpersonen untereinander. Für den innerunionalen Rechtskreis ist zudem weiterhin speziell VO (EG) Nr. 45/2001 und weiteres besonderes Sekundärrecht anwendbar. Schließlich bestimmt Art. 95 DSGVO, dass sie die RL 2002/58/EG (sog. ePrivacy-RL) nicht überlagert. Sofern kein speziellerer Sekundärrechtsakt einschlägig ist, kommt es für den sachlichen Anwendungsbereich der DSGVO entscheidend darauf an, ob die Verarbeitung personenbezogener Daten betroffen ist. Die entsprechenden Legaldefinitionen finden sich in Art. 4 DSGVO.
495
Bemerkenswert ist der räumliche Anwendungsbereich der DSGVO (Art. 3). Denn sie stellt zwar auch auf die Niederlassung eines Verantwortlichen ab (Art. 3 Abs. 1). Darüber hinaus manifestiert sie aber nicht nur das bereits durch den EuGH in Sachen Google Spain (C-131/12) bestätigte Marktortprinzip, sondern zieht dessen Kreise noch weiter als es der EuGH vorgegeben hat (Art. 3 Abs. 2). Das Marktortprinzip stellt nicht auf den Sitz eines Unternehmens oder den Ort der Datenverarbeitung ab, sondern auf den bloßen Bezug eines relevanten Verhaltens zum → Binnenmarkt. Es ist etwa aus dem Wettbewerbs- und Kartellrecht bekannt und wird u.a. im Internationalen Privatrecht herangezogen (z.B. Art. 6 Rom-II-VO, dazu → Justizielle Zusammenarbeit in Zivilsachen [JZZ]). Datenschutzrechtlich gewendet kommt es für die Anwendbarkeit der DSGVO bei Verantwortlichen ohne Niederlassung in der Union darauf an, ob innerhalb der EU Waren oder Dienstleistungen angeboten werden (Art. 3 Abs. 2 Buchst. a) oder ob die Datenverarbeitung der Beobachtung des Verhaltens einer Person in der EU dient (Art. 3 Abs. 2 Buchst. b). Insbesondere letztere Variante wird jedenfalls bei transnational agierenden Unternehmen mit Datenverarbeitungsschwerpunkten (z.B. Google, Facebook, Apple, Microsoft) zu einer universellen (und wohl auch nicht ineffektiven, s.