Begleitgesetze, die den direkten und unmittelbaren Geltungsanspruch der DSGVO unberührt lassen. Die Adressaten der DSGVO einschließlich der mit personenbezogenen Daten umgehenden Unternehmen sind direkt an die Pflichten aus der DSGVO gebunden.
4. Zusammenspiel mit anderen Regelwerken
7
Die DSGVO verfolgt dabei aber keinen Vollharmonisierungsansatz in dem Sinne, dass es keinerlei Datenschutzvorschriften in anderen Regelwerken auf europäischer oder nationaler Ebene mehr geben kann und soll. Zwar wurde die DSRL gemäß Art. 94 Abs. 1 DSGVO zeitlich zum 25.5.2018 aufgehoben, damit sind aber keineswegs alle Parallelgesetze beseitigt. Im Gegenteil bettet sich die DSGVO in ein Regelungsgeflecht aus manchen neuen und manchen weitergeltenden Datenschutzregelungen ein. Hieraus entsteht eine nicht zu unterschätzende Komplexität.
a) Begleitgesetze auf Basis von Öffnungsklauseln
8
Zunächst enthält die DSGVO selbst eine Reihe sogenannter „Öffnungsklauseln“, in denen sie den Mitgliedstaaten gestattet, spezifizierende oder abweichende Regelungen zu treffen. Beispiele hierfür sind Art. 8 Abs. 1 UAbs. 2 DSGVO, wonach die Mitgliedstaaten eine Absenkung der Altersgrenze für Einwilligungen von Minderjährigen von 16 auf bis zu 13 Jahren vorsehen dürfen; und Art. 37 Abs. 4 S. 1, 2. HS DSGVO, der es den Mitgliedstaaten gestattet, von Art. 37 Abs. 1 DSGVO abweichende Voraussetzungen für die Pflicht zur Bestellung eines Datenschutzbeauftragten vorzusehen.
9
In vielen Mitgliedstaaten sind entsprechende Gesetzgebungsverfahren bereits abgeschlossen, die der Inanspruchnahme dieser insgesamt ca. 80 Öffnungsklauseln dienen. Der deutsche Gesetzgeber war hierbei besonders schnell: Das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU vom 30.6.2017) war bereits am 5.7.2017 im Bundesgesetzblatt verkündet worden.9
10
Das Artikelgesetz enthält unter anderem als Art. 1 das BDSG, welches die Begleitvorschriften zur DSGVO enthält, die auf deren Öffnungsklauseln gestützt sind.10 Gemäß Art. 8 Abs. 1 DSAnpUG-EU trat das BDSG parallel zur DSGVO am 25.5.2018 in Kraft.
11
Am 29.11.2019 ist in Deutschland das Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU) in Kraft getreten. Es handelt sich ebenfalls um ein Artikelgesetz, durch das – allerdings überwiegend nur terminologische – Änderungen an diversen Einzelgesetzen vorgenommen wurden, um so die Datenschutzregelungen in diesen Gesetzen mit den Begrifflichkeiten der DSGVO zu harmonisieren.
b) Spezialgesetzliche Datenschutzregelungen in Richtlinien und Gesetzen
12
Explizit nicht durch die DSGVO abgelöst wurde die RL 2002/58/EG.11 In Art. 95 DSGVO wird folgerichtig das Verhältnis der Regelungswerke zueinander geregelt, und zwar in dem Sinne, dass die RL 2002/58/EG vorrangig vor der DSGVO gilt, soweit sie besondere Pflichten enthält, die dasselbe Ziel wie die DSGVO-Pflichten verfolgen. Die RL 2002/58/EG ist also in ihrem Anwendungsbereich lex specialis zur DSGVO.
13
Daraus folgt, dass auch die mitgliedstaatlichen Vorschriften zur Umsetzung der RL 2002/58/EG Vorrang haben vor der DSGVO; in Deutschland sind dies einige – aber nicht alle – Datenschutzregelungen im TKG, manche Datenschutzvorschriften im TMG und die Regelung in § 7 Abs. 2 und 3 UWG. Problematisch hierbei ist, dass die Datenschutzvorschriften in TKG und TMG keine 1:1-Umsetzungen der Richtlinienvorgaben sind. Sie enthalten vielmehr auch Regeln mit datenschutzrechtlicher Natur, die in der RL 2002/58/EG nicht vorgesehen sind- oder möglicherweise gerade keine Umsetzung der entsprechenden Vorschriften in der RL 2002/58/EG sind. Soweit dies der Fall ist, partizipieren solche überschießenden Regelungen nicht am Anwendungsvorrang und werden prinzipiell von der DSGVO verdrängt.
Praxishinweis
Aktuell ergibt sich hieraus eine besondere Problematik bei der Frage des rechtmäßigen Einsatzes von Cookies auf Unternehmens-Webseiten. Es bestehen unterschiedliche Ansichten darüber, ob die Regelungen im TMG eine ordnungsgemäße Umsetzung von Art. 5 Abs. 3 der RL 2002/58/EG darstellen. Die deutschen Datenschutzaufsichtsbehörden verneinen dies mit der Folge, dass sie insbesondere § 15 Abs. 3 TMG für unanwendbar halten und die Zulässigkeit am Maßstab der DSGVO messen.12
c) Datenschutzregelungen außerhalb des Anwendungsbereichs der DSGVO
14
Außerdem regelt die DSGVO auch im Übrigen den Datenschutz in der EU und den Mitgliedstaaten nicht vollständig. Teil des EU-Legislativpakets zum Datenschutz war nicht nur die DSGVO, sondern auch die RL 2016/680/EU13 im Bereich der Strafverfolgung. Die Vorgaben dieser Richtlinie bedürfen wiederum der Umsetzung ins nationale Recht; in Deutschland ist dies in Teil 3 des BDSG bereits erfolgt. Diese Regelungen stehen unbeeinflusst neben der DSGVO.
15
Der Vollständigkeit halber sei abschließend erwähnt, dass es auch datenschutzrechtliche Regelungsmaterien gibt, die weder in die Anwendungsbereiche der DSGVO noch der RL 2016/680/EU fallen, wie etwa im Bereich der Landesverteidigung. Für die Datenverarbeitung durch Unternehmen spielen diese Regelungen freilich allenfalls eine Nebenrolle.
d) Zwischenergebnis
16
Der vorstehende Überblick zeigt, dass es nunmehr ein schwieriger zu bewältigendes Regelungsgeflecht von DSGVO, Richtlinien und nationalen Begleit- und Umsetzungsgesetzen gibt. Gerade dort, wo nationale Datenschutzvorschriften nicht eindeutig und trennscharf einer Öffnungsklausel der DSGVO oder einer umzusetzenden Richtlinienvorgabe zugewiesen werden können, besteht eine unsichere Rechtslage.
1 Siehe Kap. 4 Rn. 3ff. 2 Siehe Kap. 5 Rn. 10ff. 3 Siehe Kap. 16 Rn. 87ff. 4 Siehe Kap. 10 Rn. 10ff. 5 Siehe hierzu Kap. 20. 6 Umfrage des Bitkom e.V.; Ergebnisse abrufbar unter: https://www.bitkom.org/Presse/Presseinformation/Zwei-Drittel-Unternehmen-DS-GVO-groesstenteils-umgesetzt, zuletzt abgerufen am 2.3.2021. 7 Siehe Kap. 10 Rn. 56. 8 EuGH, Urt. v. 1.10.2019– Rs. C-673/17, MMR 2019, 732, 734m. Anm Moos/Rothkegel. 9 BGBl. I 1944 v. 5.7.2017, S. 2097; vgl. zur Rechtslage in Österreich außerdem ausführlich Kap. 18. 10 Vgl. Kremer, CR 2017, 367, 371ff. 11 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. L 201 v. 31.7.2002, S. 37. 12 Konferenz der unabhängigen Datenschutzaufsichtsbehörden