Die EU-Datenschutz-Grundverordnung (DSGVO) löst die Datenschutzrichtlinie 95/46/EG von 1995 (im Folgenden: Datenschutzrichtlinie) ab. Im Unterschied zur Datenschutzrichtlinie gilt die DSGVO unmittelbar in der gesamten Europäischen Union (Art. 288 Abs. 2 AEUV).
 

Die Grundsätze des „Verbots mit Erlaubnisvorbehalt“, der „Datenvermeidung und Datensparsamkeit“, der „Zweckbindung“ und der „Transparenz“ prägen auch die Datenschutz-Grundverordnung. Auch zur Datenübermittlung ins Ausland finden sich aufgrund der besonderen Bedeutung für die Rechte des Einzelnen an seinen personenbezogenen Daten detaillierte Regelungen. Für die Verarbeitung personenbezogener Daten normiert Art. 6 DSGVO als allgemeinen Grundsatz ein sogenanntes Verbot mit Erlaubnisvorbehalt.

Die Verarbeitung von Daten ist demnach nur zulässig, wenn eine Einwilligung oder
eine andere in dieser Vorschrift normierte Ausnahme vorliegt. vorliegt.

Dies ist der Fall, wenn
■■die Verarbeitung für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene
Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist,
die auf Antrag der betroffenen Person erfolgen;
■■die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der
der Verantwortliche unterliegt;
■■die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person
oder einer anderen natürlichen Person zu schützen;
■■wenn sie im öffentlichen Interesse oder zur Erfüllung hoheitlicher Aufgaben erforderlich
ist oder
■■sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich
ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen
Person nicht überwiegen. Dieser Rechtfertigungsgrund gilt nicht für Behörden.

​

Das bereits im Bundesdatenschutzgesetz (BDSG) verankerte Prinzip der Datensparsamkeit
findet sich nunmehr als eines der zentralen Prinzipien des Datenschutzes in der
Datenschutz-Grundverordnung wieder. Nach Art. 5 Abs. 1 lit. c DSGVO muss die Verarbeitung personenbezogener Daten dem
Zweck angemessen und sachlich relevant sowie auf das für den Zweck der Datenverarbeitung
notwendige Maß beschränkt sein.

Die Datenschutz-Grundverordnung sieht in Art. 5 Abs. 1 lit. b DSGVO eine enge Zweckbindung vor.

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden.

Zudem sind grundsätzlich nur solche Änderungen des Verarbeitungszwecks erlaubt, die mit dem ursprünglichen Erhebungszweck vereinbar sind (Art. 5 Abs. 1 lit. b sowie Art. 6 Abs. 4 DSGVO). Dabei stellt die Datenschutz-Grundverordnung in Art. 6 Abs. 4 Kriterien auf, die bei der Beurteilung der Vereinbarkeit einer Zweckänderung zu berücksichtigen sind. Hierzu zählen u. a. die Verbindung zwischen den Zwecken, der Gesamtkontext, in dem die Daten erhoben wurden, die Art der personenbezogenen Daten, mögliche Konsequenzen der zweckändernden Verarbeitung für den Betroffenen oder das Vorhandensein von angemessenen Sicherheitsmaßnahmen wie eine Pseudonymisierung oder Verschlüsselung. Letzteres führt zu einer vorsichtigen Privilegierung der Weiterverarbeitung pseudonymisierter bzw. verschlüsselter Daten, was für datenschutzgerechte Big-Data-Anwendungen von Bedeutung ist.

Datensicherheit:

Als zentrales Prinzip des Datenschutzes wurde auch die Gewährleistung von Datensicherheit gesetzlich verankert (Art. 5 Abs. 1 lit. f und Art. 32 DSGVO).
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, der Umstände und Zweck der Datenverarbeitung, aber auch der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umzusetzen. Dabei muss das Sicherheitslevel im Verhältnis zum Risiko angemessen sein.
Geboten sein kann danach unter anderem eine Pseudonymisierung oder Verschlüsselung, sowie die Fähigkeit, Vertraulichkeit, Integrität und Verfügbarkeit und Belastbarkeit der Systeme zu gewährleisten (vgl. Nr. 4).

Betroffenenrecht:

Dabei normiert zunächst Art. 12 DSGVO Anforderungen an die Transparenz der Informationen, an die Kommunikation und die Modalitäten für die Ausübung der Rechte der betroffenen Person.
Art. 13f. DSGVO sehen einen umfangreichen Katalog proaktiver Benachrichtigungen vor, wobei danach differenziert wird, ob die Daten bei der betroffenen Person erhoben werden (Art. 13 DSGVO) oder nicht (Art. 14 DSGVO). Dies betrifft unter anderem Kontaktdaten des Verantwortlichen, die Verarbeitungszwecke sowie die Rechtsgrundlage, gegebenenfalls die Empfänger oder Kategorien von Empfängern sowie die Absicht der Übermittlung in ein Drittland, aber auch die Dauer der Speicherung, beziehungsweise die Kriterien für die Festlegung dieser Dauer. Der Betroffene ist zudem über seine Rechte zu informieren.

Art. 15 DSGVO regelt das Auskunftsrecht der Betroffenen. Die betroffene Person hat das Recht, eine Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist das der Fall, hat sie ein Recht auf Auskunft über diese Daten sowie über Informationen unter anderem über die Verarbeitungszwecke, deren Herkunft, Empfänger, über die Dauer der Speicherung sowie über ihre Rechte.
Die betroffene Person hat zudem das Recht, die Berichtigung sowie im Hinblick auf den Zweck die Vervollständigung sie betreffender unzutreffender personenbezogener Daten zu verlangen (Art. 16 DSGVO).
Daneben haben die Betroffenen nach Art. 17 DSGVO (mit bestimmten Ausnahmen) das Recht, die Löschung ihrer Daten zu verlangen – zum Beispiel wenn diese zu dem Zweck, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich sind oder die dazu erteilte Einwilligung widerrufen wurde. Eine Ausnahme besteht zum Beispiel, soweit die Verarbeitung zur Ausübung der freien Meinungsäußerung erforderlich ist.

ist. Als besondere Ausformung des Löschungsanspruches besteht nun auch ein „Recht auf Vergessenwerden“ (Art. 17 Abs. 2 DSGVO), wenn die verantwortliche Stelle die zu löschenden Daten öffentlich gemacht hat. Dann muss sie vertretbare Schritte unternehmen, um die Stellen, die diese Daten verarbeiten, zu informieren, dass die betroffene
Person von ihnen die Löschung aller Links zu diesen Daten oder von Kopien oder Replikationen
verlangt. Diese Vorschrift ist von besonderer Bedeutung für den Betrieb von Internet-Suchmaschinen.
Die betroffene Person kann in bestimmten Fällen auch die Einschränkung der Verarbeitung
verlangen (Art. 18 DSGVO) – zum Beispiel, wenn der Verantwortliche die Daten nicht mehr länger, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt oder die betroffene Person Widerspruch
gegen die Verarbeitung eingelegt hat und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Die Einschränkung der Verarbeitung entspricht damit begrifflich im Wesentlichen
der Sperrung im Sinne von §§ 20 Abs. 3, 35 Abs. 3 BDSG.

Der Verantwortliche muss grundsätzlich allen Empfängern der Daten jede Berichtigung,
Löschung oder Einschränkung der Verarbeitung mitteilen (Art. 19 DSGVO). Anders als das Recht auf Vergessenwerden knüpft diese Verpflichtung an vorangegangenen Übermittlungen an konkrete Empfänger an.
Neu ist auch das Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Mit seiner Einführung
wird die Datensouveränität der betroffenen Person gestärkt. Das Recht auf Datenübertragung
gibt betroffenen Personen daher unter bestimmten Voraussetzungen einen Anspruch, eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zu erhalten. Der Nutzer hat damit das
Recht, Daten von einem Anbieter zu einem anderen „mitzunehmen“.
Die Regelungkann damit insbesondere bei Social Networks den Wechsel zu einem anderen Anbieter
erleichtern. Es gilt aber letztlich bei jeder automatisierten Verarbeitung personenbezogener
Daten auf der Basis einer Einwilligung oder einer Vertragsbeziehung mit dem Betroffenen, also auch für Verträge mit Energieversorgern, Banken oder Versicherungen. Die betroffene Person kann sich dabei aussuchen, ob sie die Daten selbst erhalten (und an einen neuen Verarbeiter weitergeben) will oder der bisherige Verarbeiter die Daten unmittelbar an den neuen Verarbeiter weitergeben muss. Das Recht auf Datenübertragbarkeit ist auf die Daten beschränkt, die die betroffene Person dem Verarbeiter zur Verfügung gestellt hat. Es gilt nicht für den öffentlichen Bereich.
Nach Art. 21 Abs. 1 DSGVO hat der Betroffene grundsätzlich ein allgemeines Widerspruchsrecht gegen eine an sich rechtmäßige Verarbeitung von personenbezogenen Daten, die im öffentlichen Interesse liegt, in Ausübung öffentlicher Gewalt oder aufgrund des berechtigten Interesses des Verantwortlichen oder eines Dritten erfolgte (Art. 6 Abs. 1 lit. e oder f DSGVO). Der Verantwortliche darf dann die Daten nur noch verarbeiten, wenn er zwingende berechtigte Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten des Betroffenen überwiegen. Ein voraussetzungsloses und uneingeschränktes Widerspruchsrecht besteht bei der Datenverarbeitung zum Zweck des Direktmarketings. Das gilt auch für das Profiling, soweit es mit der Direktwerbung zusammenhängt (Art. 21 Abs. 2 und 3 DSGVO). Der Betroffene ist ausdrücklich, in verständlicher Form und getrennt von jeglicher anderen Information auf das Widerspruchsrecht hinzuweisen (Art. 21 Abs. 4 DSGVO).

Sämtliche Betroffenenrechte können gemäß Art. 23 DSGVO durch nationale Gesetze beschränkt werden, sofern dies zur Wahrung bestimmter öffentlicher Interessen erforderlich ist. Dabei sind der Verhältnismäßigkeitsgrundsatz und der Wesensgehalt der Grundrechte zu beachten. Einschränkungen sind beispielsweise aus Gründen des Schutzes der nationalen und der öffentlichen Sicherheit, der Landesverteidigung, aber auch der Interessen der Steuerverwaltung oder zum Schutz der Unabhängigkeit der Gerichte möglich. Der Bundesgesetzgeber hat hiervon Gebrauch gemacht und in den §§ 32 bis 37 des neuen Bundesdatenschutzgesetzes (BDSG-neu) Einschränkungen der Betroffenenrechte vorgesehen. Diese sind im Lichte der DSGVO grundsätzlich eng auszulegen und am Maßstab des Art. 23 DSGVO zu messen. Ob und in welchem Umfang diese Regelungen aufgrund des Anwendungsvorrangs der DSGVO angewendet werden können, bleibt einer Entscheidung im jeweiligen konkreten Einzelfall vorbehalten.

​

Die Datenschutz-Grundverordnung strebt eine möglichst einheitliche Rechtsanwendung in der Europäischen Union an. Dies soll im Falle grenzüberschreitender Datenverarbeitungen im nicht-öffentlichen Bereich durch einen komplexen Kooperations- und Kohärenzmechanismus umgesetzt werden, an dessen Ende eine einheitliche Entscheidung der Aufsichtsbehörden der EU-Mitgliedstaaten zur Rechtsanwendung steht. Sie kann entweder im Wege der Einigung oder zwangsweise durch einen Europäischen Datenschutzausschuss herbeigeführt werden (siehe „Kohärenzverfahren“). Die deutschen Aufsichtsbehörden werden ebenso wie diejenigen der anderen EU-Mitgliedstaaten in diesen Mechanismen nur eine Stimme haben. Die deshalb in Europäischen Angelegenheiten notwendige Abstimmung der deutschen Aufsichtsbehörden hat der Bundesgesetzgeber in § 18 BDSG-neu geregelt.

Aufgrund des durch die Datenschutz-Grundverordnung eingeführten sogenannten „One-Stop-Shop-Mechanismus“ ist es für Unternehmen, die Niederlassungen in mehreren EU-Mitgliedstaaten führen und dort Datenverarbeitung betreiben, einfacher als bisher, ihre datenschutzrechtlichen Angelegenheiten zu klären: Für diese Unternehmen wird bei grenzüberschreitenden Datenverarbeitungen nur die Aufsichtsbehörde an ihrem Hauptsitz zuständig sein, sodass sie einen zentralen Ansprechpartner haben. Dies entlastet die Unternehmen gegenüber den bisherigen Regelungen ganz erheblich.
Gleichzeitig bleibt dabei aber auch gewährleistet, dass sich der von der Datenverarbeitung Betroffene mit Beschwerden immer an die Datenschutzaufsichtsbehörde an seinem Wohnsitz wenden kann. Die grundsätzliche Architektur des One-Stop-Mechanismus ist durch die Definition einer federführenden Datenschutzbehörde am Sitz der Hauptniederlassung des Verantwortlichen gekennzeichnet, die als Hauptansprechpartner für die verantwortliche Stelle fungiert und ihr gegenüber das Datenschutzrecht durchsetzt. Sobald mehrere
Mitgliedstaaten betroffen sind, werden deren Datenschutzaufsichtsbehörden in den Abstimmungsmechanismus eingebunden (betroffene Behörden).
Einigen sich die federführende und die betroffenen Aufsichtsbehörden auf eine einheitliche
Vorgehensweise, ergeht ein entsprechender Beschluss an die Hauptniederlassung
des Verantwortlichen. Er hat die erforderlichen Maßnahmen zu treffen, um die Verarbeitungstätigkeiten
aller Niederlassungen innerhalb der Union mit dem Beschluss in Einklang zu bringen. Die federführende Aufsichtsbehörde ist über die Maßnahmen zu
unterrichten und unterrichtet wiederum ihrerseits die betroffenen Aufsichtsbehörden. Die Aufsichtsbehörde, bei der hierzu eine Beschwerde eingereicht worden ist, unterrichtet den Beschwerdeführer über den Beschluss. Wird eine Beschwerde eines Betroffenen abgewiesen oder abgelehnt, ergeht der Beschluss gegenüber dem Petenten durch die angerufene Aufsichtsbehörde. Das Unternehmen
wird lediglich darüber informiert. Wird einer Beschwerde nur zum Teil stattgegeben, ergehen zwei Beschlüsse – einer
durch die federführende Aufsichtsbehörde gegenüber dem Unternehmen und einer
der angerufenen Aufsichtsbehörde gegenüber dem Betroffenen.

Dort wo in One-Stop-Shop-Fällen kein Konsens zwischen federführender und mitbetroffenen
Aufsichtsbehörden im Verfahren der Zusammenarbeit erreicht werden kann,
normieren Art. 63, 65 DSGVO das sogenannte Kohärenzverfahren mit der Befugnis des
Europäischen Datenschutzausschusses, verbindliche Beschlüsse (Art. 65 Abs. 1 DSGVO) zu treffen, um die ordnungsgemäße und einheitliche Anwendung der Verordnung in Einzelfällen sicherzustellen. Das Verfahren hierzu ist in den Art. 65 Abs. 6, 60 Abs. 7 bis 9 DSGVO geregelt: Die federführende Aufsichtsbehörde trifft den endgültigen Beschluss auf der Grundlage des Beschlusses des Europäischen Datenschutzausschusses gegenüber der Hauptniederlassung des Verantwortlichen, der ihr EU-weit Folge zu leisten hat. Im Falle einer erfolglosen Beschwerde erlässt die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, den Beschluss gegenüber dem Beschwerdeführer. Zeitgleich mit dem Erlass des endgültigen Beschlusses gegenüber dem Verantwortlichen oder dem Beschwerdeführer wird ein etwaiger Beschluss des Europäischen Datenschutzausschusses auf dessen Webseite veröffentlicht.
Um zur einheitlichen Anwendung der Datenschutz-Grundverordnung beizutragen werden im sogenannten Kohärenzverfahren über die Klärung von Einzelfragen (One-Stop-Shop) hinaus aber auch gemeinsame Positionen, Stellungnahmen und Richtlinien bestimmt.

Weitere Information ist erhältlich in der Broschüre der Datenschutz Grundinformation.

Die Bundesbeauftragte für den Datenschutzund die Informationsfreiheit Postfach 14 68, 53004 BonnHausanschrift: Husarenstraße 30, 53117 BonnTel. +49 (0) 228 997799-0Fax +49 (0) 228 997799-550E-Mail: referat11@bfdi.bund.deInternet: http://www.datenschutz.bund.deAuflage: 5. Auflage, September 2017Diese Broschüre ist Teil der Öffentlichkeitsarbeit der BfDI.