Datenschutz-Grundverordnung

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Flagge der Europäischen Union
Basisdaten der
Verordnung (EU) 2016/679
Titel: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
Kurztitel:
(nicht amtlich)
DS-GVO,
DSGVO
Kurztitel: Datenschutz-Grundverordnung
Rechtsnatur: Verordnung
Geltungsbereich: EWR (schließt die Europäische Union ein)
Rechtsmaterie: Datenschutzrecht
Veröffentlichung: Nicht-amtliche konsolidierte Fassung

Verordnung berichtigt durch:

Inkrafttreten: 24. Mai 2016
Anzuwenden ab: 25. Mai 2018
Bitte den Hinweis zur geltenden Gesetzesfassung beachten!

Die Datenschutz-Grundverordnung (DSGVO; englisch: General Data Protection Regulation, GDPR; französisch: Règlement général sur la protection des données, RGPD) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Die Verordnung ersetzt die aus dem Jahre 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

Zusammen mit der sog. JI-Richtlinie für den Datenschutz in den Bereichen Polizei und Justiz[1] bildet die DSGVO seit dem 25. Mai 2018 den gemeinsamen Datenschutzrahmen in der Europäischen Union.[2]

Unmittelbare Geltung; nationale Sonderregelungen[Bearbeiten | Quelltext bearbeiten]

Im Gegensatz zur Richtlinie 95/46/EG, die von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden musste, gilt die Datenschutz-Grundverordnung unmittelbar in allen EU-Mitgliedstaaten ab dem 25. Mai 2018. Die Mitgliedstaaten bringen jedoch durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang (Art. 85 und 86 der Verordnung). Für diese und andere Rechtsvorschriften ist die Datenschutz-Grundverordnung bereits seit ihrem Inkrafttreten am 24. Mai 2016 maßgeblich. Den Mitgliedstaaten ist es sonst grundsätzlich nicht erlaubt, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken. Allerdings enthält die Verordnung verschiedene Öffnungsklauseln, die es den einzelnen Mitgliedstaaten ermöglichen, bestimmte Aspekte des Datenschutzes auch im nationalen Alleingang zu regeln. Daher wird die Datenschutz-Grundverordnung auch als „Hybrid“ zwischen Richtlinie und Verordnung bezeichnet.[3]

Regelungsbedarf gibt es damit sowohl im Hinblick auf die Öffnungsklauseln der Datenschutz-Grundverordnung als auch wegen des Bedarfs der Bereinigung nationalen Datenschutzrechts. Diese Ziele sollen in Deutschland auf Bundesebene mit der Neufassung des Bundesdatenschutzgesetzes und der Änderung weiterer Gesetze erreicht werden.[4] Das Gesetz vom 30. Juni 2017[4] hebt nationales Datenschutzrecht auf oder überführt die bei Inkrafttreten der Datenschutz-Grundverordnung unwirksamen Regelungen des bisherigen Bundesdatenschutzgesetzes in andere Gesetzesbereiche, es passt Regelungen an und schafft teils neue Vorschriften für den Datenschutz. Bereits bei der Diskussion um die diversen Referentenentwürfe des Bundesinnenministeriums, das bei der Gesetzgebung federführend war, haben Datenschützer die unzureichende Berücksichtigung der Erfahrungen der letzten Jahre bemängelt.[5] Juristen bezweifeln die Vereinbarkeit des angepassten Bundesdatenschutzgesetzes mit europäischem Recht.[6]

Inhalt[Bearbeiten | Quelltext bearbeiten]

Die Datenschutz-Grundverordnung ist Teil der EU-Datenschutzreform, welche die Europäische Kommission am 25. Januar 2012 vorgestellt hat.[7]

Aufbau der DSGVO[Bearbeiten | Quelltext bearbeiten]

Die DSGVO besteht aus 99 Artikeln in elf Kapiteln:

  • Kapitel 1 (Artikel 1 bis 4): Allgemeine Bestimmungen (Gegenstand und Ziele, sachlicher und räumlicher Anwendungsbereich, Begriffsbestimmungen)
  • Kapitel 2 (Artikel 5 bis 11): Grundsätze und Rechtmäßigkeit (Grundsätze und Rechtmäßigkeit der Verarbeitung personenbezogener Daten, Bedingungen für die Einwilligung, Verarbeitung besonderer Kategorien personenbezogener Daten)
  • Kapitel 3 (Artikel 12 bis 23): Rechte der betroffenen Person (Transparenz und Modalitäten, Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten, Berichtigung und Löschung – das „Recht auf Vergessenwerden“ –, Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling)
  • Kapitel 4 (Artikel 24 bis 43): Verantwortlicher und Auftragsverarbeiter (Allgemeine Pflichten, Sicherheit personenbezogener Daten, Datenschutz-Folgenabschätzung und vorherige Konsultation, Datenschutzbeauftragter, Verhaltensregeln und Zertifizierung)
  • Kapitel 5 (Artikel 44 bis 50): Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
  • Kapitel 6 (Artikel 51 bis 59): Unabhängige Aufsichtsbehörden
  • Kapitel 7 (Artikel 60 bis 76): Zusammenarbeit und Kohärenz, Europäischer Datenschutzausschuss
  • Kapitel 8 (Artikel 77 bis 84): Rechtsbehelfe, Haftung und Sanktionen
  • Kapitel 9 (Artikel 85 bis 91): Vorschriften für besondere Verarbeitungssituationen (u. a. Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit, Datenverarbeitung am Arbeitsplatz, Zugang der Öffentlichkeit zu amtlichen Dokumenten, Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken, bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften)
  • Kapitel 10 (Artikel 92 bis 93): Delegierte Rechtsakte und Durchführungsrechtsakte
  • Kapitel 11 (Artikel 94 bis 99): Schlussbestimmungen (u. a. Aufhebung der Richtlinie 95/46/EG und Inkrafttreten der DSGVO)

Vor den 99 Artikeln sind 173 Erwägungsgründe angeführt, die zur Auslegung der Artikel mit herangezogen werden.[8][9]

Bereiche der Neuregelung[Bearbeiten | Quelltext bearbeiten]

Viele Bereiche des Datenschutzes werden durch die DSGVO nicht neu geregelt. Insbesondere bleibt der Begriff der „personenbezogenen Daten“ im Artikel 4 weiterhin weit gefasst:

„personenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; …

Weiterhin gilt ebenfalls, dass die Verarbeitung personenbezogener Daten nur aufgrund eines Erlaubnistatbestands zulässig ist. Diese sind im Artikel 6 aufgeführt:

  • Die betroffene Person hat ihre Einwilligung gegeben;
  • die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich;
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich;
  • die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen;
  • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt;
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.

Im letzten Fall ist eine Interessensabwägung gegenüber den Interessen der betroffenen Person erforderlich.

Zusammenfassend gilt:

„Die DSGVO ändert die Konzeption und weitgehend auch die Detailregelungen des geltenden Datenschutzrechts nicht grundlegend. Vielmehr werden vielfach Bestimmungen der EG-Datenschutzrichtlinie 95/46 übernommen, die die Grundlage des BDSG bilden. Andererseits gibt es aber auch zahlreiche neue datenschutzrechtliche Vorgaben, deren Erfüllung allein schon hinsichtlich des immens erhöhten Bußgeldrahmens korrekter Beachtung bedarf.“[10]

Zu folgenden Themenbereichen liefert die DSGVO Neuregelungen oder grundsätzliche Präzisierungen:

Grundsätze der Verarbeitung personenbezogener Daten[Bearbeiten | Quelltext bearbeiten]

Die DSGVO führt im Artikel 5 explizit folgende sechs Grundsätze für die Verarbeitung personenbezogener Daten auf:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
  • Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)
  • Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“)
  • Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“)
  • Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)

Ungehemmter Austausch personenbezogener Daten in der EU[Bearbeiten | Quelltext bearbeiten]

Der Austausch personenbezogener Daten in der EU darf nicht (mehr) mit dem Argument abgelehnt werden, dass der Datenschutz innerhalb der EU verschieden gehandhabt wird. Artikel 1, Absatz (3) formuliert:

„Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“

Geltungsbereich[Bearbeiten | Quelltext bearbeiten]

Die DSGVO unterscheidet (im Gegensatz etwa zum deutschen BDSG) nicht zwischen der Verarbeitung personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen – für alle Verarbeiter gilt dasselbe Recht. Trotzdem fallen bestimmte Arten der Verarbeitung personenbezogener Daten laut Artikel 2 nicht unter die Verordnung. Die Erwägungsgründe (16) und (18) erläutern dies näher:

„(16) Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten.“
„(18) Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten. Diese Verordnung gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.“

Marktortprinzip[Bearbeiten | Quelltext bearbeiten]

Hauptartikel: Marktortprinzip

Das europäische Datenschutzrecht gilt auch für außereuropäische Unternehmen, soweit diese ihre Waren oder Dienstleistungen im europäischen Markt anbieten.

Anforderungen an eine Einwilligung[Bearbeiten | Quelltext bearbeiten]

Prinzipiell sind die Anforderungen an eine wirksame Einwilligung gegenüber dem deutschen BDSG reduziert: Die Schriftform ist nicht mehr die Regel, auch eine stillschweigende Einwilligungserklärung ist nach Erwägungsgrund (32) zulässig, wenn sie eindeutig ist. Da aber andererseits dies vom Verarbeiter nachzuweisen ist, wird die Schriftform doch gängig bleiben. Für besondere personenbezogene Daten ist sie weiterhin vorgeschrieben.

Begrenzung der verarbeiteten Daten[Bearbeiten | Quelltext bearbeiten]

Die etwa im deutschen BDSG festgeschriebene allgemeine Datensparsamkeit wird durch den Grundsatz der (zweckbezogenen) Datenminimierung ersetzt. Die DSGVO beschränkt damit nicht die Big-Data-Massenverarbeitung.

Transparenz[Bearbeiten | Quelltext bearbeiten]

Der Erwägungsgrund (39) hebt den Grundsatz der Transparenz jeglicher Datenverarbeitung für die betroffenen Personen hervor. Mehrere Artikel verlangen entsprechende Maßnahmen:

  • Nach Artikel 15 hat jede Person das Recht auf Auskunft über alle sie betreffenden Daten.
  • Die Informationen darüber sind laut Artikel 12 in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu liefern.
  • Nach Artikel 13 und 14 muss jeder betroffenen Person bei einer Datenerhebung umfangreich Auskunft u. a. über Zweck, Empfänger und Verantwortliche der Datenverarbeitung, Dauer der Datenspeicherung, Rechte zur Berichtigung, Sperren und Löschen und Verwendung der Daten für Profiling-Zwecke gegeben werden. Wenn sich der Zweck ändert, ist die betroffene Person aktiv zu informieren.
  • Nach Artikel 16 hat die betroffene Person ein Recht auf Berichtigung falscher Daten sowie laut Artikel 18 ein Recht auf Einschränkung („Sperrung“) der Datenverarbeitung, wenn Richtigkeit oder Grundlage der Datenverarbeitung bestritten werden.

Die Effektivität all dieser Rechte hängt allerdings an der unausgesprochenen Voraussetzung, dass betroffene Personen selbst verpflichtet sind, sich aktiv darum zu kümmern, von wem und wie ihre Daten verarbeitet werden, und ihre Rechte einzufordern. Dies wird von Kritikern als nicht realistisch angesehen.[11]

Darüber hinaus soll die DSGVO laut Erwägungsgrund (13) auch Transparenz und Rechtssicherheit für die verarbeitenden Unternehmen bewirken, „einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen“.

Recht auf Vergessenwerden[Bearbeiten | Quelltext bearbeiten]

Das Recht auf Vergessenwerden, das in der Überschrift des Artikel 17 ausdrücklich so genannt wird, ist eines der zentralen Rechte der DSGVO. Es umfasst einerseits, dass eine betroffene Person das Recht hat, das Löschen aller sie betreffenden Daten zu fordern, wenn die Gründe für die Datenspeicherung entfallen. Darüber hinaus muss aber auch der Verarbeiter andererseits selbst aktiv die Daten löschen, wenn es keinen Grund mehr für eine Speicherung und Verarbeitung gibt.

Recht auf Datenübertragbarkeit[Bearbeiten | Quelltext bearbeiten]

Als eine eher marktsteuernde Regelung verlangt Artikel 20, dass eine betroffene Person das Recht hat, die Daten, die sie betreffen und die sie selbst dem Verantwortlichen übergeben hat, in einem „strukturierten, gängigen und maschinenlesbaren Format zu erhalten“, auch und insbesondere für den Zweck, sie anderen „ohne Behinderung durch den Verantwortlichen“ zu übermitteln.

Sanktionen[Bearbeiten | Quelltext bearbeiten]

Für die effektive Durchsetzung des Datenschutzrechts sind nun weitaus höhere Bußgelder als bisher möglich. Zudem können die Datenschutzaufsichtsbehörden künftig durchsetzbare Anordnungen und Bußgelder nicht nur gegen private Datenverarbeiter, sondern auch gegenüber Behörden erlassen, wenn das im nationalen Recht vorgesehen ist.

Die Höhe der Bußgelder für Ordnungswidrigkeiten ist nun in bestimmten Fällen nach Artikel 83 Absatz (5) auf bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes festgelegt (im Vergleich dazu sah das deutsche BDSG bisher ein maximales Bußgeld von 300.000 Euro vor).

Die Mitgliedsstaaten können darüber hinaus weitere Sanktionsmöglichkeiten vorsehen. Zum Beispiel kann laut Erwägungsgrund 149 vorgesehen werden, Gewinne aufgrund des Verstoßes gegen die DSGVO einzuziehen.

Privacy by Design, Privacy by Default[Bearbeiten | Quelltext bearbeiten]

Im Erwägungsgrund (78) werden die Begriffe „data protection by design“ und „data protection by default“ eingeführt, üblicherweise als „Privacy by Design“ und „Privacy by Default“ bezeichnet. Diese Grundsätze bedeuten, dass die Technik der Datenverarbeitung von vorneherein darauf entworfen („design“) und ausgerichtet ist und die Voreinstellungen („defaults“) so ausgewählt sind, dass den Grundsätzen des Datenschutzes Genüge getan wird. Ein solches dokumentiertes Vorgehen kann dabei helfen, die Einhaltung der DSGVO nachzuweisen.

Verpflichtung zur Bestellung betrieblicher und behördlicher Datenschutzbeauftragter[Bearbeiten | Quelltext bearbeiten]

Die DSGVO sieht nun europaweit die Bestellung von Datenschutzbeauftragten vor, zumindest bei allen öffentlichen Stellen und solchen privaten Unternehmen, bei denen besonders risikoreiche Datenverarbeitungen erfolgen. Damit wird ein Mindeststandard für die Einrichtung dieser Stellen erreicht.

Deutschlandlastige Artikel Dieser Artikel oder Absatz stellt die Situation in Deutschland dar. Hilf mit, die Situation in anderen Staaten zu schildern.

Kleinunternehmer und kleine Unternehmen müssen keinen Datenschutzbeauftragten stellen, es sei denn, einer der nachfolgenden Punkte trifft zu.[12]

  • Es sind regelmäßig mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 Satz 1 BDSG(neu)).
  • Verantwortlicher ist eine öffentliche Stelle oder Behörde (Art. 37 Abs. 1 lit. a DSGVO).
  • Die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Verurteilungen (Art. 37 Abs. 1 lit. c DSGVO).
  • Es ist eine Datenschutz-Folgenabschätzung durchzuführen (§ 38 Abs. 1 Satz 2 BDSG(neu)).
  • Die Kerntätigkeit ist die umfangreiche oder systematische Überwachung von betroffenen Personen (Art. 37 Abs. 1 lit. c DSGVO).

Der Begriff der „umfangreichen Verarbeitung“ und die Voraussetzungen für eine Datenschutz-Folgenabschätzung werden im Erwägungsgrund 91 etwas genauer beschrieben, damit bestimmte freie Berufe wie Rechtsanwälte und Ärzte, aber etwa auch Apotheker (als „Angehörige eines Gesundheitsberufes“) in der Regel keinen Datenschutzbeauftragten stellen müssen.

Öffnungsklauseln[Bearbeiten | Quelltext bearbeiten]

Die DSGVO sieht vor, dass durch nationales Recht an vielen Stellen eine Erweiterung oder detaillierte Festlegung des Datenschutzrechtes erfolgt. Dies erfolgt über so genannte „Öffnungsklauseln“, von denen die DSGVO – je nach Zählweise – 50 bis 60 enthält. Einige verlangen eine Rechtshandlung der Mitgliedsstaaten, die Mehrzahl erlaubt jedoch die Ausnutzung von Spielräumen durch nationale Vorschriften. Der Handlungsspielraum ist grundsätzlich insofern begrenzt, als dass die Harmonisierung des Datenschutzes durch die DSGVO nicht unterlaufen werden darf.

Ein Beispiel für eine Öffnungsklausel findet sich etwa im Datenschutz von Beschäftigten: Artikel 88 Abs. 1 sieht eine Öffnungsklausel vor, nach der die Mitgliedsstaaten „spezifischere Vorschriften zur Gewährleistung der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“ vorsehen können. Es ist umstritten, ob diese Formulierung ein Abweichen vom Schutzniveau der allgemeinen Vorschriften zulässt.[13]

Weitere Öffnungsklauseln finden sich u. a.

  • in Artikel 9 Abs. 2 und Abs. 4 zur Festlegung besonderer Bedingungen für die Verarbeitung besonderer Arten personenbezogener Daten, wie Gesundheitsdaten oder Daten zu sexuellen Vorlieben;
  • in Artikel 10 zur Erlaubnis der Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten;
  • in Artikel 28 für rechtliche Grundlagen der Auftragsdatenverarbeitung;
  • in Artikel 37 zur Bestellung von Datenschutzbeauftragten, abweichend von den in Artikel 37 festgelegten Voraussetzungen;
  • in Artikel 85 zum Ausgleich des Spannungsfelds zwischen Datenschutz und Meinungsfreiheit oder der Regelung eines Presseprivilegs;
  • in Artikel 87 für die Regelung der Verarbeitung nationaler Kennziffern oder andere Kennzeichen von allgemeiner Bedeutung;
  • in Artikel 89 für die Regelung von Ausnahmen von Betroffenenrechten bei Verarbeitungen für wissenschaftliche, historische, statistische oder archivarische Zwecke;

Debatte über die DSGVO[Bearbeiten | Quelltext bearbeiten]

Seit dem Vorschlag des Gesetzgebungsentwurfs der Europäischen Kommission hatte es umfassende Debatten im Rahmen des Gesetzgebungsverfahrens gegeben. Insbesondere das Europäische Parlament hatte durch zahlreiche öffentliche Anhörungen viele der geäußerten Kritikpunkte aufgegriffen und im Rahmen des von Jan Philipp Albrecht als Berichterstatter verhandelten Kompromisses einfließen lassen. Auch im Ministerrat waren unterschiedlichste Standpunkte eingeflossen. Aus beiden Vorlagen wurde im Rahmen der Trilogverhandlungen am 15. Dezember 2015 ein finaler Verordnungstext erarbeitet, der am Ende nahezu einstimmig vom Plenum des Europäischen Parlaments sowie den Innen- und Justizministern der EU-Mitgliedstaaten angenommen wurde und zum 25. Mai 2016 formal in Kraft trat. Die während der mehr als vier Jahre dauernden Verhandlungen aufgeworfenen Kritikpunkte unterschiedlicher Seiten der Debatte werden nachstehend ausschnittsweise zusammengefasst:

Debatte über Entwürfe[Bearbeiten | Quelltext bearbeiten]

Zwischenzeitliche Entwürfe sahen vor, dass ein interner Datenschutzbeauftragter und interne Dokumentationspflichten nur für Unternehmen mit mehr als 250 Mitarbeitern verpflichtend sind. Dies – so Kritiker – hätte den Datenschutz in Deutschland und Österreich geschwächt.[14] Die endgültige Fassung sieht eine verpflichtende Benennung des internen Datenschutzbeauftragten bei Behörden und bei Verantwortlichen vor, deren Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen oder in der umfangreichen Verarbeitung sensibler Daten besteht (Art. 37 Abs. 1). Die Mitgliedstaaten sind aber befugt, strengere Regelungen zu erlassen (Art. 37 Abs. 4). Die internen Dokumentationspflichten gelten nicht für Unternehmen mit weniger als 250 Mitarbeitern, sofern die Datenverarbeitung kein Risiko für die Betroffenen birgt, nur gelegentlich erfolgt und nicht die Verarbeitung sensibler Daten einschließt (Art. 30 Abs. 5).

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) erwartet, dass die Abschaffung des internen Datenschutzbeauftragten zu Kostensteigerungen aufgrund wachsender Bürokratie führe. Unternehmen müssten intern eine Stelle für die Behördenkommunikation einrichten und bei der Einführung neuer Software mit Verzögerungen rechnen, weil die Landesämter für Datenschutz personell nicht gut genug ausgestattet seien. 66 unabhängige Verbraucher- und Datenschutzorganisationen forderten Jean-Claude Juncker im April 2015 auf, den „Goldstandard des europäischen Datenschutzes“ zu erhalten.[15]

Der BvD bemängelte ferner fehlende klare Regeln für den Datentransfer aus der EU in Drittstaaten (z. B. USA) und forderte eine EU-weite Bestellung betrieblicher Datenschutzbeauftragter.[16]

Andererseits wird das Institut der Weitergabe von Verbraucherdaten an Konkurrenten (Datenportabilität) nicht nur Anbieter wie Facebook betreffen, sondern auch für kleinere Unternehmen gelten.[14]

Der deutsche Bundesrat erhob am 30. März 2012 Subsidiaritätsrüge gegen den Verordnungsvorschlag. Die Länderkammer war der Auffassung, dass der Vorschlag mit dem Subsidiaritätsprinzip nicht im Einklang stehe und deshalb gegen Art. 5 Abs. 3 EUV verstoße.[17] Nach dieser Vorschrift darf die Europäische Union in den Bereichen, die nicht in ihre ausschließliche Zuständigkeit fallen, nur tätig werden, sofern und soweit die Ziele der in Betracht gezogenen Maßnahmen von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern wegen ihres Umfangs oder ihrer Wirkungen auf EU-Ebene besser zu verwirklichen sind.

Von vielen Seiten wurde die oft vage und unklare Formulierung des Entwurfs kritisiert. Im Entwurf sollten auch viele elementare Regelungen nicht in der Grundverordnung, sondern in „delegierten Rechtsakten“ durch die EU-Kommission eingefügt werden.

Im Verhandlungsbeschluss des Europäischen Parlaments waren die Kritikpunkte bereits weitgehend ausgeräumt.[18] Nachdem aber die ursprünglich angenommenen Datenschutzaspekte der Verordnung nach einem Pressebericht vom März 2015 von der zuständigen Arbeitsgruppe der EU in großen Teilen aufgeweicht wurden, kam es zu erneuter Kritik. So wird in einem Positionspapier der Arbeitsgruppe der Industrie das Sammeln von personenbezogenen Daten ohne festgelegte Zwecke erlaubt, ebenso wie die Weitergabe dieser Daten an Dritte.[19]

Kritik am endgültigen Verordnungstext[Bearbeiten | Quelltext bearbeiten]

Auch nach Verabschiedung der Datenschutz-Grundverordnung wird grundlegende Kritik, insbesondere von Seiten der Rechtswissenschaft geübt:

So bezeichnete der Leiter des Instituts für Informations-, Telekommunikations- und Medienrecht an der Universität Münster, Thomas Hoeren, die Datenschutz-Grundverordnung als „eines der schlechtesten Gesetze des 21. Jahrhunderts“.[20]

Der Leiter des Fachgebiets Öffentliches Recht mit Schwerpunkt Recht der Technik der Universität Kassel, Alexander Roßnagel, meinte, die Datenschutz-Grundverordnung ignoriere „alle modernen Herausforderungen für den Datenschutz wie Soziale Netzwerke, Big Data (Datenflut und ihre Beherrschung), Suchmaschinen, Cloud Computing, Ubiquitous computing (Durchdringung des Alltags und von Dingen durch Computer) und andere Technikanwendungen“.[21] In einer Studie wird der deutsche Gesetzgeber aufgefordert, die unübersichtliche Gemengelage aus neuen europäischen Regelungen und weitergeltendem deutschem Recht aufzulösen.[22]

Auch der Deutsche Anwaltverein (DAV) sieht im Hinblick auf die Verordnung insoweit Änderungsnotwendigkeit, als der nationale Gesetzgeber zum Schutz z. B. der berufsspezifischen Rechte und Pflichten der Rechtsanwälte (z. B.: Unabhängigkeit vor staatlichen Einflüssen, Anwaltsgeheimnis, absolute Treuepflicht des Rechtsanwaltes gegenüber seinem Mandanten) in der Verordnung ermöglichte Öffnungsklauseln nützen muss, um dieses weiterhin zu gewährleisten.[23] Der Anwaltsverein spricht im Zusammenhang mit der DSGVO von einer „Ausdünnung des deutschen Datenschutzrechts“.[24]

Die Forderung des DAV an den nationalen Gesetzgeber geht daher in drei Richtungen:

  • Keine Zugangsbefugnisse der Datenschutz-Aufsichtsbehörden ohne ausdrückliche vorherige Zustimmung der Anwaltskammer.[25]
  • Generelle und umfassende Erlaubnisklausel für anwaltliche Datenverarbeitung von personenbezogenen Daten im Rahmen der Mandate.[26]
  • Einschränkung der Auskunftspflichten – Auskunftsrechte.[27]

Lobbyarbeit[Bearbeiten | Quelltext bearbeiten]

Rund um die Verhandlungen der Datenschutz-Grundverordnung kritisierten EU-Abgeordnete massives Lobbying von Seiten der US-Regierung und von US-amerikanischen IT-Unternehmen. Technologieunternehmen aus den USA fürchten demnach den negativen Einfluss der Verordnung auf ihre Niederlassungen in Europa und übten entsprechenden Druck auf die Regierung von US-Präsident Obama aus. So forderte der amerikanische EU-Botschafter William E. Kennard in einer Rede in Brüssel am 4. Dezember 2012, dass die zentralen Forderungen der Verordnung gestrichen werden müssen: das Löschen sämtlicher Daten einer Person aus den Unternehmensdatenbanken auf Wunsch und die ausdrückliche Einverständniserklärung einer Person, bevor ihre Daten überhaupt gesammelt werden dürfen.[28]

Von amerikanischen Unternehmen wird ein California-Effekt durch die EU-Gesetzgebung befürchtet. Ähnlich wie strengere Umweltgesetze in Kalifornien den Mindeststandard in den USA schleichend anheben, wird erwartet, dass die höheren Standards in der EU das Datenschutzniveau für alle weltweit operierenden Unternehmen anheben würden. Während bisher in den USA lediglich Finanz- und Gesundheitsdaten einem gewissen Datenschutz unterliegen,[28] ist die Erfassung und das Zusammenführen sämtlicher anderer gesammelter Daten und deren unbegrenzte Aufbewahrung durch Privatunternehmen erlaubt. Amerikanische Bürgerrechtsorganisationen erhofften sich andererseits eine Steigerung des Datenschutzstandards in den USA und unterstützten daher die Pläne in der EU.

Die Plattform LobbyPlag.eu zeigt, dass viele Abänderungsanträge von Abgeordneten im EU-Parlament wortgleich aus Lobbypapieren von Unternehmen wie Amazon, eBay, der Lobbygruppe „Digitaleurope[28] mit den Mitgliedern Apple, Microsoft, Cisco, Intel, IBM, Oracle, Texas Instruments und Dell oder von der US-amerikanischen Handelskammer übernommen wurden. Unter anderem waren dies die Abgeordneten Malcolm Harbour (ECR), Andreas Schwab (CDU/EPP), Klaus-Heiner Lehne (EPP) oder Marielle Gallo (EPP). Andererseits weist die Plattform auch auf wortgleiche Übernahmen aus den Unterlagen von Datenschutzorganisationen wie Bits of Freedom und EDRi durch Abgeordnete wie Amelia Andersdotter (PPEU/Piraten) oder Eva Lichtenberger (EFA/Die Grünen) hin.[29]

Im zuständigen LIBE-Ausschuss des EU-Parlaments wurden schlussendlich über 3.100 Abänderungsanträge gegenüber dem Entwurf der EU-Kommission eingebracht. Generell setzten sich die meisten sozialdemokratischen und grünen Abgeordneten für eine Verstärkung oder Präzisierung des Entwurfs ein, während sich die meisten konservativen und liberalen Abgeordneten für eine Lockerung im Sinne der IT-Wirtschaft stark machten.

Lobbyplag erarbeitete eine Liste der Abgeordneten, die, gemessen an den von ihnen eingebrachten Änderungsanträgen, am nachdrücklichsten für weniger bzw. für mehr Datenschutz eintraten. Stand Anfang Juni 2013 brachte sich für die Aufweichung des Datenschutzes demnach Axel Voss (EPP/CDU) am stärksten ein, bei der Stärkung des Datenschutzes sah man Jan Philipp Albrecht (EFA/Die Grünen) an erster Stelle. Beide hatten in der Summe je 147 Änderungsanträge zugunsten der Abschwächung beziehungsweise Stärkung des Datenschutzes eingebracht.[30]

Unter Druck durch Teile der deutschen Wirtschaft, die fürchtete, im globalen Wettbewerb Nachteile durch die Grundverordnung zu erleiden, argumentierten auch Vertreter des Deutschen Innenministeriums, dass das Recht auf informationelle Selbstbestimmung einem harmonisierten Wettbewerb entgegenstünde.[31]

Verfahren[Bearbeiten | Quelltext bearbeiten]

Nach langen Verhandlungen scheiterte ein Entwurf der irischen Ratspräsidentschaft im Juni 2013 im EU-Ministerrat. Unter anderem meldeten die Vertreter Deutschlands, Großbritanniens und Frankreichs zahlreiche Bedenken an. Die anvisierte Positionierung vor der Sommerpause konnten damit sowohl Rat als auch Parlament nicht leisten. Am 21. Oktober 2013 nahm das Europäische Parlament im Innen- und Justizausschuss seine durch den Grünen-Europaabgeordneten Jan Philipp Albrecht als EP-Berichterstatter ausgearbeitete Verhandlungsposition mit überwältigender Mehrheit an[32] und bestätigte sie am 12. März 2014 durch das Plenum.[33]

Nachdem im Rat entscheidende Teile der Verordnung unter Ausschluss der Öffentlichkeit zu Gunsten eines schwächeren Datenschutzes verändert worden waren, sollten am 12. und 13. März 2015 die Justizminister der Mitgliedstaaten eine Einigung zum zweiten Kapitel der Verordnung erzielen, bevor die übrigen Kapitel verhandelt wurden.[19] Erst im Juni 2015 einigten sich die EU-Justizminister auf einen Entwurf der EU-Datenschutz-Grundverordnung.[34]

Am 24. Juni begannen die Abstimmungsverhandlungen zwischen Rat, Europäischem Parlament und Europäischer Kommission (sogenannter Trilog). Eine am 15. Dezember 2015 zwischen Parlament und Rat informell erzielte Einigung[35] wurde am 17. Dezember vom Innen- und Rechtsausschuss des Parlaments mit großer Mehrheit angenommen. Am 8. April 2016 beschloss der EU-Ministerrat die vorliegende Fassung[36][37]; das EU-Parlament nahm die Regelungen am 14. April ebenfalls an.[38]

Die Veröffentlichung im Amtsblatt der Europäischen Union erfolgte am 4. Mai 2016[39], weshalb sie gemäß Art. 99 Abs. 1 DSGVO am 24. Mai 2016 in Kraft trat und gemäß Art. 99 Abs. 2 ab dem 25. Mai 2018 anzuwenden ist. Ein Corrigendum (d. h. ein Beschluss zur Korrektur inhaltlicher Fehler) erging – beschränkt auf einige Sprachfassungen der DS-GVO (DE, ET, IT, HU) – am 27. Oktober 2016.[40]

Befürchtung der Schwächung durch das TiSA-Abkommen[Bearbeiten | Quelltext bearbeiten]

Unterlagen aus den Geheimverhandlungen zum Trade in Services Agreement (TiSA), die im November 2016 Greenpeace zugespielt wurden, belegen nach Aussage von Greenpeace, dass Lobbyisten versuchen, neben Netzneutralität und Bankenregulierung auch den Datenschutz nachhaltig zu schwächen und die Datenschutz-Grundverordnung faktisch unwirksam zu machen. Unternehmen sollen Kunden- und Nutzerdaten ins außereuropäische Ausland transferieren und dort ohne Zweckbindung weiterverarbeiten können.[41]

Anpassung des Datenschutzrechts der EU-Mitgliedsstaaten[Bearbeiten | Quelltext bearbeiten]

Deutschland[Bearbeiten | Quelltext bearbeiten]

Mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU vom 30. Juni 2017 wurde unter anderem das Bundesdatenschutzgesetz neu gefasst.[4] Seit Inkrafttreten der DSGVO zum 25. Mai 2018 empfiehlt sich Newsletter-Anbietern die Anwendung des Double-Opt-In-Verfahrens.[42]

Österreich[Bearbeiten | Quelltext bearbeiten]

Mit dem Datenschutz-Anpassungsgesetz 2018 hat Österreich das „Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG)“ geändert und an die Vorgaben der DSGVO angepasst.[43][44] Im April 2018 wurde im Nationalrat eine Abänderung der Novelle beschlossen. Demnach solle die Behörde den Strafkatalog der EU-DSGVO „so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird“.[45][46]

Literatur[Bearbeiten | Quelltext bearbeiten]

Kommentare[Bearbeiten | Quelltext bearbeiten]

Sonstige Bücher[Bearbeiten | Quelltext bearbeiten]

  • Jürgen Kühling, Manuel Klar, Florian Sackmann: Datenschutzrecht, 355 Seiten, 4. Aufl., Heidelberg 2018, ISBN 978-3-8114-4571-0
  • Jan Philipp Albrecht, Florian Jotzo: Das neue Datenschutzrecht der EU, Baden-Baden 2016 ISBN 978-3-8487-2804-6.
  • Alexander Roßnagel: Europäische Datenschutz-Grundverordnung – Vorrang des Unionsrechts - Anwendbarkeit des nationalen Rechts, Baden-Baden 2016, ISBN 978-3-8487-3074-2.
  • Stefan Schulz: Redaktionsschluss: die Zeit nach der Zeitung. München: Hanser, 2016. ISBN 3-446-25070-0. (Hier auch zu dem Zustandekommen der Verordnung und die Berichterstattung in den Medien dazu)
  • Gerald Spyra: Die Datenschutzgrundverordnung – Forderungen und Hinweise – Was gilt heute, was gilt morgen? TÜV Media GmbH, 2016. ISBN 978-3-7406-0106-5,  285 Seiten, DIN A4 quer, Wire-O-Spiralbindung
  • Gerald Spyra: Datenschutzgrundverordnung und BDSG – Überblick, Kontext und Erläuterungen für die Praxis TÜV Media GmbH, 2017. ISBN 978-3-7406-0253-6,  352 Seiten, DIN A4 quer, Wire-O-Spiralbindung
  • Niko Härting: Datenschutz-Grundverordnung – Das neue Datenschutzrecht in der betrieblichen Praxis, 2016, ISBN 978-3-504-42059-8
  • Jeannette Spary: Die neue Datenschutz-Grundverordnung – Überblick und Problemaufriss. In: Datenschutz Nachrichten. Nr. 1, 2012, S. 4–6.
  • Kevin Marschall: Erweiterte Informationspflichten in der DSGVO: Änderungen für die Unternehmen, Datenschutz-Berater (DSB) 11/2016. S. 230–232.
  • Kevin Marschall: Datenpannen – „neue“ Meldepflicht nach der europäischen DS-GVO?, Datenschutz und Datensicherheit (DuD) 03/2015. S. 183–189.
  • Werner Hülsmann: Der betriebliche und behördliche Datenschutzbeauftragte im Entwurf der EU-Datenschutz-Grundverordnung. In: Datenschutz Nachrichten. Nr. 1, 2012, S. 7–9.
  • Maxi Nebel, Alexander Roßnagel, Philipp Richter: Was bleibt vom Europäischen Datenschutzrecht? – Überlegungen zum Ratsentwurf der DS-GVO, Zeitschrift für Datenschutz (ZD) 10/2015, S. 455–460.
  • Kevin Marschall, Pinkas Müller: Der Datenschutzbeauftragte im Unternehmen zwischen BDSG und DSGVO – Bestellung, Rolle, Aufgaben und Anforderungen im Fokus europäischer Veränderungen, Zeitschrift für Datenschutz (ZD) 09/2016, S. 415–420.
  • Jürgen Kühling, Mario Martini: Die Datenschutz-Grundverordnung – Revolution oder Evolution im Datenschutzrecht im europäischen und  nationalen Datenschutzrecht? EuZW 2016, S. 448–454.
  • Peter Schantz: Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht NJW 2016, S. 1841–1847.

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABL. L 119/89 vom 4. Mai 2016
  2. Umsetzung der JI-Richtlinie in Deutschland Website des Bundesdatenschutzbeauftragten, abgerufen am 10. Juni 2018
  3. Jürgen Kühling, Mario Martini et al.: Die Datenschutz-Grundverordnung und das nationale Recht – Erste Überlegungen zum innerstaatlichen Regelungsbedarf, Münster 2016, S. 1.
  4. a b c Vorgangsablauf im DIP und Text des Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU - DSAnpUG-EU (BGBl. 2017 I S. 2097)
  5. Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI): Stellungnahme zum Entwurf eines Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU - DSAnpUG-EU. netzpolitik.org, 31. August 2016, abgerufen am 1. Februar 2017 (PDF).
  6. Bundesministerium des Innern: Stellungnahme zum Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU). netzpolitik.org, 31. August 2016, abgerufen am 1. Februar 2017 (PDF).
  7. Kommission schlägt umfassende Reform des Datenschutzrechts vor, um Nutzern mehr Kontrolle über ihre Daten zu geben und die Kosten für Unternehmen zu verringern (Memento vom 6. Oktober 2017 im Internet Archive). Ursprünglich in: europa.eu. Europäische Union, 25. Januar 2012, abgerufen am 25. Mai 2018 (Pressemitteilung der Europäischen Kommission).
    Falk Lüke: Reding stellt EU-Datenschutzreform vor. In: heise online. Heise Medien GmbH & Co. KG, 25. Januar 2012, abgerufen am 25. Mai 2018.
  8. Was muss ich wissen zur EU-Datenschutz Grundverordnung? Bitkom, 2016, S. 5, abgerufen am 2. Dezember 2017 (PDF; 234 kB).
  9. Deutscher Bundestag: Vorgaben der Verordnung (EU) Nr. 995/2010 Auslegungsgrundsätze des EuGH, 2016, Seite 5 (Abruf am 2. Dezember 2017)
  10. Peter Gola, Andreas Jaspers et al.: Datenschutzgrundverordnung im Überblick. DATAKONTEXT: München 2016. ISBN 978-3-89577-774-5, S. 22.
  11. Peter Gola, Andreas Jaspers et al.: Datenschutzgrundverordnung im Überblick. DATAKONTEXT: München 2016. ISBN 978-3-89577-774-5, S. 18: „Da Betroffene – wie durch Meinungsumfragen umfassend belegt – derartige Datenschutzklauseln überwiegend nicht lesen und diese Leseabneigung mit steigendem Umfang des Texts nicht nachlassen wird, …“
  12. David Engemann: Braucht ein Kleinunternehmer einen Datenschutzbeauftragten? Landesbeauftragte für Datenschutz und Informationsfreiheit NRW sowie der Händlerbund auf die Frage nach der Bestellung eines Datenschutzbeauftragten für Kleinunternehmer. 6. Februar 2018, abgerufen am 26. Februar 2018.
  13. dazu Riesenhuber, in: BeckOK Datenschutzrecht, Stand 01.02.2018, Art. 88, Rn. 67 ff. mwN.
  14. a b fm4: Die Neuordnung des Datenschutzes in Europa.
  15. Berufsverband der Datenschutzbeauftragten Deutschlands: EU-Pläne zum Datenschutz belasten Wirtschaft. (Memento des Originals vom 18. Mai 2015 im Internet Archive) i Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bvdnet.de In: BvDnet.de vom 10. Mai 2015.
  16. BvD: Datenschützer mahnen klare Regeln für den Datentransfer aus der EU in Drittstaaten an. BvD veröffentlicht Positionspapier zur EU-Datenschutzgrundverordnung. (Memento des Originals vom 15. Juli 2015 im Internet Archive) i Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bvdnet.de vom 13. Juli 2015.
  17. Pressemitteilung: Subsidiaritätsrüge zur europäischen Datenschutz-Grundverordnung. Bundesrat, 30. März 2012, abgerufen am 24. Februar 2015.
  18. Verhandlungsposition des Europäischen Parlamentes vom 21. Oktober 2013
  19. a b Svenja Bergt: Weichspüler für den Datenschutz. In: TAZ. 4. März 2015, abgerufen am 4. März 2015.
  20. Heise-Online: Rechtsexperte: Datenschutz-Grundverordnung als "größte Katastrophe des 21. Jahrhunderts"
  21. Neue Datenschutz-Grundverordnung der EU laut Experten ohne Wirkung. In: Heise.de. Abgerufen am 5. Oktober 2016.
  22. Studie: EU-Datenschutz-Grundverordnung verfehlt alle Ziele. Universität Kassel, abgerufen am 5. Oktober 2016.
  23. SN 39/16: Zur Öffnungsklausel der Datenschutz-Grundverordnung, Stellungnahme Nr.: 39/2016 des Deutschen Anwaltvereins durch den Ausschuss Berufsrecht zu den Öffnungsklauseln der Datenschutz-Grundverordnung (EU) 2016/679 vom 27. April 2016, Berlin, August 2016.
  24. Stellungnahme Nr.: 39/2016, S. 3.
  25. Inanspruchnahme der Öffnungsklauseln in Artikel 90 DSGVO iVm Artikel 58 Absatz 1 Buchstaben e und f DSGVO, „um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht zur Geheimhaltung von mandatsbezogenen Informationen in Einklang zu bringen“ (Stellungnahme Nr.: 39/2016, S. 3).
  26. Inanspruchnahme der Öffnungsklauseln in Artikel 6 Abs. 1 Satz 1 lit. e DSGVO, da die Verarbeitung personenbezogener Daten im öffentlichen Interesse gemäß Artikel 6 Abs. 1 Satz 1 Buchstabe e DSGVO liegt, wenn sie der anwaltlichen Berufsausübung dient (Stellungnahme Nr.: 39/2016, S. 5 ff).
  27. In Artikel 15 DSGVO sind Auskunftsrechte geregelt. Ein Auskunftsrecht soll nicht bestehen, „wenn und soweit die personenbezogenen Daten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen“ (Stellungnahme Nr.: 39/2016, S. 7).
  28. a b c Kevin J. O’Brien: Silicon Valley Companies Lobbying Against Europe’s Privacy Proposals. In: New York Times. 25. Januar 2013, abgerufen am 30. März 2013.
  29. Übersicht auf der Internetpräsenz von LobbyPlag.eu
  30. Amendments/Overview. In: Lobbyplag. Abgerufen am 11. Juni 2013.
  31. Uwe Ebbinghaus, Stefan Schulz, Thomas Thiel: Machtprobe mit Silicon Valley. 11. März 2014, abgerufen am 16. März 2014.
  32. Volker Briegleb, Stefan Krempl: EU-Parlament gibt grünes Licht für Datenschutzreform. In: heise.de. 21. Oktober 2013, abgerufen am 22. Oktober 2013.
  33. Markus Beckedahl: EU-Datenschutzgrundverordnung passiert erste Lesung im EU-Parlament. In: netzpolitik.org, 12. März 2014.
  34. EU-Datenschutzgrundverordnung: EU-Minister einigen sich auf Datenschutzreform. In: Die Zeit. 15. Juni 2015 (zeit.de [abgerufen am 16. Juni 2015]).
  35. Pressemitteilung der Europäischen Kommission vom 15. Dezember 2015.
  36. Rat der Europäischen Union: Standpunkt des Rates in erster Lesung im Hinblick auf den Erlass der VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
  37. Rat der Europäischen Union: Data protection reform: Council adopts position at first reading (Pressemitteilung vom 8. April 2016).
  38. Europäisches Parlament: Parlament verabschiedet EU-Datenschutzreform – EU fit fürs digitale Zeitalter (Pressemitteilung vom 14. April 2016).
  39. Amtsblatt der Europäischen Union vom 4. Mai 2016: Abl. EU 2016 L 119/1.
  40. Rat der Europäischen Union: Corrigendum zu 2012/0011 (COD), Nr. 12399/16 vom 27. Oktober 2016 (PDF).
  41. Andreas Albert und Nicolai Kwasniewski: „Wie ein Abkommen den Datenschutz durchlöchert“. In: Spiegel Online. 25. November 2016.
  42. marketing-boerse.de: Das Double-Opt-in ist die bessere Wahl, vom 16.11.2017, geladen am 28.05.2018
  43. Bundesgesetzblatt für die Republik Österreich: Datenschutz-Anpassungsgesetz 2018. 31. Juli 2017, abgerufen am 17. November 2017 (PDF).
  44. Wirtschaftskammer Österreich: EU-Datenschutz-Grundverordnung (DSGVO): Das Datenschutz-Anpassungsgesetz 2018. Wirtschaftskammer Österreich, 26. September 2017, abgerufen am 22. November 2017.
  45. Österreich spült sich EU-Regeln weich. In: orf.at. 25. April 2018, abgerufen am 26. April 2018.
  46. Keine Strafen: Österreich zieht neuem Datenschutz die Zähne. In: heise.de. 24. April 2018, abgerufen am 26. April 2018.
Rechtshinweis Bitte den Hinweis zu Rechtsthemen beachten!