Aufbau der DSGVO
Die DSGVO besteht aus 99 Artikeln in elf Kapiteln:
Kapitel 1 (Artikel 1 bis 4): Allgemeine Bestimmungen (Gegenstand und Ziele, sachlicher und räumlicher Anwendungsbereich, Begriffsbestimmungen)
Kapitel 2 (Artikel 5 bis 11): Grundsätze und Rechtmäßigkeit (Grundsätze und Rechtmäßigkeit der Verarbeitung personenbezogener Daten, Bedingungen für die Einwilligung, Verarbeitung besonderer Kategorien personenbezogener Daten)
Kapitel 3 (Artikel 12 bis 23): Rechte der betroffenen Person (Transparenz und Modalitäten, Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten, Berichtigung und Löschung – das „Recht auf Vergessenwerden“ –, Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling)
Kapitel 4 (Artikel 24 bis 43): Verantwortlicher und Auftragsverarbeiter (Allgemeine Pflichten, Sicherheit personenbezogener Daten, Datenschutz-Folgenabschätzung und vorherige Konsultation, Datenschutzbeauftragter, Verhaltensregeln und Zertifizierung)
Kapitel 5 (Artikel 44 bis 50): Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
Kapitel 6 (Artikel 51 bis 59): Unabhängige Aufsichtsbehörden
Kapitel 7 (Artikel 60 bis 76): Zusammenarbeit und Kohärenz, Europäischer Datenschutzausschuss
Kapitel 8 (Artikel 77 bis 84): Rechtsbehelfe, Haftung und Sanktionen
Kapitel 9 (Artikel 85 bis 91): Vorschriften für besondere Verarbeitungssituationen (u. a. Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit, Zugang der Öffentlichkeit zu amtlichen Dokumenten, Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken, bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften)
Kapitel 10 (Artikel 92 bis 93): Delegierte Rechtsakte und Durchführungsrechtsakte
Kapitel 11 (Artikel 94 bis 99): Schlussbestimmungen (u. a. Aufhebung der Richtlinie 95/46/EG und Inkrafttreten der DSGVO)
Vor den 99 Artikeln sind 173 Erwägungsgründe angeführt, die zur Auslegung der Artikel mit herangezogen werden.
Bereiche der Neuregelung
Viele Bereiche des Datenschutzes werden durch die DSGVO nicht neu geregelt. Insbesondere bleibt der Begriff der „personenbezogenen Daten“ im Artikel 4 weiterhin weit gefasst:
„personenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; …
Weiterhin gilt ebenfalls, dass die Verarbeitung personenbezogener Daten nur aufgrund eines Erlaubnistatbestands zulässig ist. Diese sind im Artikel 6 aufgeführt:
Im letzten Fall ist eine Interessensabwägung gegenüber den Interessen der betroffenen Person erforderlich.
Zusammenfassend gilt:
„Die DSGVO ändert die Konzeption und weitgehend auch die Detailregelungen des geltenden Datenschutzrechts nicht grundlegend. Vielmehr werden vielfach Bestimmungen der EG-Datenschutzrichtlinie 95/46 übernommen, die die Grundlage des BDSG bilden. Andererseits gibt es aber auch zahlreiche neue datenschutzrechtliche Vorgaben, deren Erfüllung allein schon hinsichtlich des immens erhöhten Bußgeldrahmens korrekter Beachtung bedarf.“
Zu folgenden Themenbereichen liefert die DSGVO Neuregelungen oder grundsätzliche Präzisierungen:
Grundsätze der Verarbeitung personenbezogener Daten
Die DSGVO führt im Artikel 5 explizit folgende sechs Grundsätze für die Verarbeitung personenbezogener Daten auf:
Ungehemmter Austausch personenbezogener Daten in der EU
Der Austausch personenbezogener Daten in der EU darf nicht (mehr) mit dem Argument abgelehnt werden, dass der Datenschutz innerhalb der EU verschieden gehandhabt wird. Artikel 1, Absatz (3) formuliert:
„Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“
Geltungsbereich[
Die DSGVO unterscheidet (im Gegensatz etwa zum deutschen BDSG) nicht zwischen der Verarbeitung personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen – für alle Verarbeiter gilt dasselbe Recht. Trotzdem fallen bestimmte Arten der Verarbeitung personenbezogener Daten laut Artikel 2 nicht unter die Verordnung. Die Erwägungsgründe (16) und (18) erläutern dies näher:
„(16) Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten.“
„(18) Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten. Diese Verordnung gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.“
Marktortprinzip[
Das europäische Datenschutzrecht gilt auch für außereuropäische Unternehmen, soweit diese ihre Waren oder Dienstleistungen im europäischen Markt anbieten.
Anforderungen an eine Einwilligung
Prinzipiell sind die Anforderungen an eine wirksame Einwilligung gegenüber dem deutschen BDSG reduziert: Die Schriftform ist nicht mehr die Regel, auch eine stillschweigende Einwilligungserklärung ist nach Erwägungsgrund (32) zulässig, wenn sie eindeutig ist. Da aber andererseits dies vom Verarbeiter nachzuweisen ist, wird die Schriftform doch gängig bleiben. Für besondere personenbezogene Daten ist sie weiterhin vorgeschrieben.
Begrenzung der verarbeiteten Daten
Die etwa im deutschen BDSG festgeschriebene allgemeine Datensparsamkeit wird durch den Grundsatz der (zweckbezogenen) Datenminimierung ersetzt. Die DSGVO beschränkt damit nicht die Massenverarbeitung.
Transparenz
Der Erwägungsgrund (39) hebt den Grundsatz der Transparenz jeglicher Datenverarbeitung für die betroffenen Personen hervor. Mehrere Artikel verlangen entsprechende Maßnahmen:
Die Effektivität all dieser Rechte hängt allerdings an der unausgesprochenen Voraussetzung, dass betroffene Personen selbst verpflichtet sind, sich aktiv darum zu kümmern, von wem und wie ihre Daten verarbeitet werden, und ihre Rechte einzufordern. Dies wird von Kritikern als nicht realistisch angesehen.
Darüber hinaus soll die DSGVO laut Erwägungsgrund (13) auch Transparenz und Rechtssicherheit für die verarbeitenden Unternehmen bewirken, „einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen“.
Recht auf Vergessenwerden
Das Recht auf Vergessenwerden, das in der Überschrift des Artikel 17 ausdrücklich so genannt wird, ist eines der zentralen Rechte der DSGVO. Es umfasst einerseits, dass eine betroffene Person das Recht hat, das Löschen aller sie betreffenden Daten zu fordern, wenn die Gründe für die Datenspeicherung entfallen. Darüber hinaus muss aber auch der Verarbeiter andererseits selbst aktiv die Daten löschen, wenn es keinen Grund mehr für eine Speicherung und Verarbeitung gibt.
Recht auf Datenübertragbarkeit
Als eine eher marktsteuernde Regelung verlangt Artikel 20, dass eine betroffene Person das Recht hat, sie betreffende Daten in einem „strukturierten, gängigen und maschinenlesbaren Format zu erhalten“, auch und insbesondere für den Zweck, sie anderen „ohne Behinderung durch den Verantwortlichen“ zu übermitteln.
Sanktionen
Für die effektive Durchsetzung des Datenschutzrechts sind nun weitaus höhere Bußgelder als bisher möglich. Zudem können die Datenschutzaufsichtsbehörden künftig durchsetzbare Anordnungen und Bußgelder nicht nur gegen private Datenverarbeiter, sondern auch gegenüber Behörden erlassen, wenn das im nationalen Recht vorgesehen ist.
Die Höhe der Bußgelder für Ordnungswidrigkeiten ist nun in bestimmten Fällen nach Artikel 83 Absatz (5) auf bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes festgelegt (im Vergleich dazu sah das deutsche BDSG bisher ein maximales Bußgeld von 300.000 Euro vor).
Die Mitgliedsstaaten können darüber hinaus weitere Sanktionsmöglichkeiten vorsehen. Zum Beispiel kann laut Erwägungsgrund 149 vorgesehen werden, Gewinne aufgrund des Verstoßes gegen die DSGVO einzuziehen.
Verpflichtung zur Bestellung betrieblicher und behördlicher Datenschutzbeauftragter
Die DSGVO sieht nun europaweit die Bestellung von Datenschutzbeauftragten vor, zumindest bei allen öffentlichen Stellen und solchen privaten Unternehmen, bei denen besonders risikoreiche Datenverarbeitungen erfolgen. Damit wird ein Mindeststandard für die Einrichtung dieser Stellen erreicht.
Kleinunternehmer und kleine Unternehmen müssen keinen Datenschutzbeauftragten stellen, es sei denn, einer der nachfolgenden Punkte trifft zu.
Der Begriff der „umfangreichen Verarbeitung“ und die Voraussetzungen für eine Datenschutz-Folgenabschätzung werden im Erwägungsgrund 91 etwas genauer beschrieben, damit bestimmte freie Berufe wie Rechtsanwälte und Ärzte, aber etwa auch Apotheker (als „Angehörige eines Gesundheitsberufes“) in der Regel keinen Datenschutzbeauftragten stellen müssen.
Öffnungsklauseln
Die DSGVO sieht vor, dass durch nationales Recht an vielen Stellen eine Erweiterung oder detaillierte Festlegung des Datenschutzrechtes erfolgt. Dies erfolgt über so genannte „Öffnungsklauseln“, von denen die DSGVO – je nach Zählweise – 50 bis 60 enthält. Einige verlangen eine Rechtshandlung der Mitgliedsstaaten, die Mehrzahl erlaubt jedoch die Ausnutzung von Spielräumen durch nationale Vorschriften. Der Handlungsspielraum ist grundsätzlich insofern begrenzt, als dass die Harmonisierung des Datenschutzes durch die DSGVO nicht unterlaufen werden darf.