Selbstbestimmung
Die DSGVO kennt den Begriff „informationelle Selbstbestimmung“ als rechtsdogmatischen deutschen Sonderweg nicht. Das Europarecht spricht vom „Recht auf Datenschutz“ (Art. 8 Abs. 1 GRCh).
Das europäische Datenschutzgrundrecht ist ein europäischer Grundrechtsschutz. Das bedeutet, ein „Gang nach Karlsruhe“ – Ausnahme beim Arbeits- und Verwaltungsrecht – ist nicht mehr möglich. Urteile werden im Datenschutzrecht am Europäischen Gerichtshof (EuGH) gefällt.
Der EuGH mit Sitz in Luxemburg ist das oberste rechtsprechende Organ der EU. Nach Art. 19 Abs. 1 Satz 2 EUV sichert er „die Wahrung des Rechts bei der Auslegung und Anwendung der Verträge“. Zusammen mit dem Gericht der Europäischen Union bildet er das Gerichtssystem der EU, das im politischen System der EU die Rolle der Judikative einnimmt.[6]
Funktionsübertragung {Funktionsübertragung} § 11 BDSG a. F. ließ die sog. Auftragsdatenverarbeitung zu. Charakteristisch für diese war, dass sich die datenschutzrechtlich verantwortliche Stelle eines Dritten für die Durchführung bestimmter Datenverarbeitungsvorgänge bediente.
Bei der sog. Funktionsübertragung[7] wurde eine Stelle für eine andere dergestalt tätig, dass die „eingeschaltete“ Stelle für die andere einen bestimmten Auftrag wahrnimmt und dazu im eigenen Namen alle erforderlichen Entscheidungen trifft, aber dabei stets im Interesse des „Auftraggebers“ handeln muss.
Im Rahmen der DSGVO hat der Gesetzgeber einige Änderungen vorgesehen. Die Definitionen des Art. 4 Nr. 7 und 8 DSGVO lassen die ursprüngliche Unterscheidung zwischen Auftragsdatenverarbeitung und Funktionsübertragung, wie sie noch unter dem BDSG a. F. vorgenommen wurde, nicht mehr zu.
Was bisher unter einer Funktionsübertragung subsummiert wurde, ist nach der DSGVO entweder
| • | eine Auftragsverarbeitung (Art. 28 DSGVO) oder |
| • | eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) oder |
| • | eine „normale“ Übermittlung an einen anderen Verantwortlichen. |
Fußnoten:
Vgl. https://www.menschenrechtskonvention.eu (zuletzt aufgerufen am: 29.01.2020).
Vgl. https://rm.coe.int/1680078b38 (zuletzt aufgerufen am: 29.01.2020).
Mitgliedstaaten der EU: Belgien (1958), Bulgarien (2007), Dänemark (1973), Deutschland (1958), Estland (2004), Finnland (1995), Frankreich (1958), Griechenland (1981), Irland (1973), Italien (1958), Kroatien (2013), Lettland (2004), Litauen (2004), Luxemburg (1958), Malta (2004), Niederlande (1958), Österreich (1995), Polen (2004), Portugal (1985), Rumänien (2007), Schweden (1995), Slowakei (2004), Slowenien (2004), Spanien (1986), Tschechische Republik (2004), Ungarn (2004), Vereinigtes Königreich (1973 bis zum Abschluss der Austrittsverhandlungen), Zypern (2004).
Reding: Sieben Grundbausteine der europäischen Datenschutzreform, ZD 2012, S. 195.
Vgl. https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1577440017618&uri=CELEX:32016R0679 (zuletzt aufgerufen am: 29.01.2020).
Unter https://curia.europa.eu finden sich sowohl Informationen zum EuGH selbst als auch zu seinen (aktuellen) Urteilen.
Vgl. https://www.baden-wuerttemberg.datenschutz.de/auftragsdatenverarbeitung-und-funktionsuebertragung/ (zuletzt aufgerufen am: 29.01.2020).
{Öffnungsklausel}
Seit der Veröffentlichung im EU-Amtsblatt hatten die einzelnen Länder bis zum 25.05.2018 Zeit, die EU-Verordnung mit ihrer nationalen Gesetzgebung in Einklang zu bringen. In bestimmten Bereichen hat die DSGVO durch gewisse Öffnungsklauseln Raum für den nationalen Gesetzgeber gelassen, den es vor Inkrafttreten der DSGVO zu regeln galt. Die Liste reichte von Gesundheit und Forschung über den Beschäftigtendatenschutz und den Datenschutzbeauftragten bis hin zu Berufsgeheimnissen. Auch die Bedeutung des Datenschutzrechts für Unternehmen und Betriebe im Detail, sprich für den für die Verarbeitung Verantwortlichen, zählt dazu.
|
|
|
| Die DSGVO ist nicht abschließend. Dabei öffnet sie nicht den Regelungsbereich für die EU-Länder, sie gibt diesen lediglich die Befugnis, einen vorgegebenen Spielraum zu nutzen. Diese Möglichkeiten werden daher auch „Spezifizierungsklauseln“ genannt. | |
Die DSGVO sieht „Kann“- und „Muss“-Öffnungsklauseln – je nach Zählweise zwischen 50 und 60 Klauseln – vor. Der deutsche Gesetzgeber in Bund und Ländern hat im Rahmen des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) vom 30.06.2017 bzw. im Rahmen des 2. DSAnpUG-EU vom 20.11.2019 (BGBl. 2019 I S. 1626) mit dem novellierten Bundesdatenschutzgesetz (BDSG) davon umfassend Gebrauch gemacht. Dabei war im deutschen Datenschutzrecht hinsichtlich des Anpassungsbedarfs zwischen dem öffentlichen und nicht öffentlichen Bereich zu unterscheiden.
|
|
|
| Die Regelungsmöglichkeiten können auch in anderen Gesetzen der Mitgliedstaaten ausgeübt werden, wie z. B. die Identifikationsnummer in Steuersachen (Steuer-ID) aus § 139a Abgabenordnung (AO). Es ist daher weiterhin zu prüfen, ob es nationale Vorgaben gibt, welche die Vorgaben der DSGVO ergänzen.[1] | |
Von den Öffnungsklauseln haben neben Deutschland u. a. Bulgarien, Dänemark, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, die Niederlande, Österreich, Rumänien, Schweden, Slowakei und das Vereinigte Königreich bereits Gebrauch gemacht.
In den EU-Mitgliedstaaten Luxemburg, Malta, Polen, Portugal, Slowenien, Spanien, Tschechische Republik, Ungarn und Zypern sind die Gesetzgebungsverfahren noch nicht abgeschlossen (Stand Januar 2020).