Und Cookies enthalten oder stellen keine personenbezogene Daten dar?
Ohne explizite Zustimmung darf AFAIK keine einziges Cookie auf einem
Rechner dauerhaft gespeichert werden.

Viel Spass bei der Lektüre:

Titel: Verordnung (EU) 2016/679 des Europäischen Parlaments und des
Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur
Aufhebung der Richtlinie 95/46/EG
Kurztitel: Datenschutz-Grundverordnung
Bezeichnung:
(nicht amtlich) DSGVO, DS-GVO
Geltungsbereich: EWR
Rechtsmaterie: Datenschutzrecht
Grundlage: AEUV, insbesondere Art. 16 und Charta der Grundrechte der
Europäischen Union', insbesondere Art. 8
Verfahrensübersicht: Europäische Kommission
Europäisches Parlament
IPEX Wiki
Anzuwenden ab: 25. Mai 2018
Fundstelle: ABl. L 119 vom 4. Mai 2016, S. 1–88
Volltext Konsolidierte Fassung (nicht amtlich)
Grundfassung
Regelung ist in Kraft getreten und anwendbar.
Bitte den Hinweis zur geltenden Fassung von Rechtsakten der Europäischen
Union beachten!
Die Datenschutz-Grundverordnung (DSGVO oder DS-GVO; französisch
Règlement général sur la protection des données RGPD, englisch General
Data Protection Regulation GDPR) ist eine Verordnung der Europäischen
Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch
die meisten Verantwortlichen, sowohl private wie öffentliche, EU-weit
vereinheitlicht werden. Dadurch soll einerseits der Schutz
personenbezogener Daten innerhalb der Europäischen Union sichergestellt,
und auch andererseits der freie Datenverkehr innerhalb des Europäischen
Binnenmarktes gewährleistet werden.

Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie
95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr.

Zusammen mit der Richtlinie (EU) 2016/680 für den Datenschutz in den
Bereichen Polizei und Justiz[1] bildet die DSGVO seit dem 25. Mai 2018
den gemeinsamen Datenschutzrahmen in der Europäischen Union.[2] Sie ist
darüber hinaus seit dem 20. Juli 2018 auch in den Nicht-EU-Staaten des
Europäischen Wirtschaftsraumes (EWR) Island, Liechtenstein und Norwegen
geltendes Recht.[3]

Zu diesem Datenschutzrahmen trat im November 2018 die auch für die
Organe und Stellen der Europäischen Union verbindliche Verordnung (EU)
2018/1725.


Inhaltsverzeichnis
1 Unmittelbare Geltung; nationale Sonderregelungen
2 Inhalt
2.1 Aufbau der DSGVO
2.2 Bereiche der Neuregelung
2.2.1 Grundsätze der Verarbeitung personenbezogener Daten
2.2.1.1 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
2.2.1.2 Zweckbindung
2.2.2 Austausch personenbezogener Daten in der EU
2.2.3 Geltungsbereich
2.2.4 Marktortprinzip
2.2.5 Anforderungen an eine Einwilligung
2.2.6 Begrenzung der verarbeiteten Daten
2.2.7 Transparenz
2.2.8 Recht auf Vergessenwerden
2.2.9 Recht auf Datenübertragbarkeit
2.2.10 Sanktionen
2.2.11 Privacy by Design, Privacy by Default
2.2.12 Verpflichtung zur Bestellung betrieblicher und behördlicher
Datenschutzbeauftragter, Vertreter in der Europäischen Union
2.2.13 Öffnungsklauseln
3 Debatte über die DSGVO
3.1 Debatte über Entwürfe
3.2 Kritik am endgültigen Verordnungstext
4 Lobbyarbeit
5 Verfahren
6 Befürchtung der Schwächung durch das TiSA-Abkommen
7 Umsetzung in den Mitgliedstaaten
7.1 Deutschland
7.2 Österreich
8 Umsetzung und weltweite Folgeerscheinungen
9 Siehe auch
10 Literatur
10.1 Kommentare
10.2 Literatur
10.3 Dokumentation
11 Weblinks
11.1 Website der Europäischen Union
11.1.1 Europäischer Datenschutzausschuss
11.1.2 Information der Europäischen Kommission
11.2 Sonstige Webseiten
12 Einzelnachweise
Unmittelbare Geltung; nationale Sonderregelungen[Bearbeiten | Quelltext
bearbeiten]
Im Gegensatz zur Richtlinie 95/46/EG, die von den EU-Mitgliedstaaten in
nationales Recht umgesetzt werden musste, gilt die
Datenschutz-Grundverordnung seit dem 25. Mai 2018 unmittelbar in allen
EU-Mitgliedstaaten. Die Mitgliedstaaten bringen jedoch durch
Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten
gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und
Informationsfreiheit in Einklang (Art. 85 und Art. 86 der Verordnung).
Für diese und andere Rechtsvorschriften ist die
Datenschutz-Grundverordnung bereits seit deren Inkrafttreten am 24. Mai
2016 maßgeblich. Den Mitgliedstaaten ist es sonst grundsätzlich nicht
erlaubt, den von der Verordnung festgeschriebenen Datenschutz durch
nationale Regelungen abzuschwächen oder zu verstärken. Allerdings
enthält die Verordnung verschiedene Öffnungsklauseln, die es den
einzelnen Mitgliedstaaten ermöglichen, bestimmte Aspekte des
Datenschutzes auch im nationalen Alleingang zu regeln. Daher wird die
Datenschutz-Grundverordnung auch als „Hybrid“ zwischen Richtlinie und
Verordnung bezeichnet.[4]

Regelungsbedarf gibt es damit sowohl im Hinblick auf die
Öffnungsklauseln der Datenschutz-Grundverordnung als auch wegen des
Bedarfs der Bereinigung nationalen Datenschutzrechts. Diese Ziele sollen
in Deutschland auf Bundesebene mit der Neufassung des
Bundesdatenschutzgesetzes und der Änderung weiterer Gesetze erreicht
werden.[5] Das Gesetz vom 30. Juni 2017[5] hebt nationales
Datenschutzrecht auf oder überführt die bei Inkrafttreten der
Datenschutz-Grundverordnung unwirksamen Regelungen des bisherigen
Bundesdatenschutzgesetzes in andere Gesetzesbereiche, es passt
Regelungen an und schafft teils neue Vorschriften für den Datenschutz.
Bereits bei der Diskussion um die diversen Referentenentwürfe des
Bundesinnenministeriums, das bei der Gesetzgebung federführend war,
haben Datenschützer die unzureichende Berücksichtigung der Erfahrungen
der letzten Jahre bemängelt.[6] Juristen bezweifeln die Vereinbarkeit
des angepassten Bundesdatenschutzgesetzes mit europäischem Recht.[7]

Inhalt[Bearbeiten | Quelltext bearbeiten]
Die Datenschutz-Grundverordnung ist Teil der EU-Datenschutzreform,
welche die Europäische Kommission am 25. Januar 2012 vorgestellt hat.[8][9]

Aufbau der DSGVO[Bearbeiten | Quelltext bearbeiten]
Die DSGVO besteht aus 99 Artikeln in elf Kapiteln:

Kapitel 1 (Artikel 1 bis 4): Allgemeine Bestimmungen (Gegenstand und
Ziele, sachlicher und räumlicher Anwendungsbereich, Begriffsbestimmungen)
Kapitel 2 (Artikel 5 bis 11): Grundsätze und Rechtmäßigkeit (Grundsätze
und Rechtmäßigkeit der Verarbeitung personenbezogener Daten, Bedingungen
für die Einwilligung, Verarbeitung besonderer Kategorien
personenbezogener Daten)
Kapitel 3 (Artikel 12 bis 23): Rechte der betroffenen Person
(Transparenz und Modalitäten, Informationspflichten des Verantwortlichen
und Auskunftsrecht der betroffenen Person zu personenbezogenen Daten,
Berichtigung und Löschung – das „Recht auf Vergessenwerden“ –
Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall
einschließlich Profiling, Beschränkungen)
Kapitel 4 (Artikel 24 bis 43): Verantwortlicher und Auftragsverarbeiter
(Allgemeine Pflichten, Sicherheit personenbezogener Daten,
Datenschutz-Folgenabschätzung und vorherige Konsultation,
Datenschutzbeauftragter, Verhaltensregeln und Zertifizierung)
Kapitel 5 (Artikel 44 bis 50): Übermittlungen personenbezogener Daten an
Drittländer oder an internationale Organisationen
Kapitel 6 (Artikel 51 bis 59): Unabhängige Aufsichtsbehörden
Kapitel 7 (Artikel 60 bis 76): Zusammenarbeit und Kohärenz, Europäischer
Datenschutzausschuss
Kapitel 8 (Artikel 77 bis 84): Rechtsbehelfe, Haftung und Sanktionen
Kapitel 9 (Artikel 85 bis 91): Vorschriften für besondere
Verarbeitungssituationen (u. a. Verarbeitung und Freiheit der
Meinungsäußerung und Informationsfreiheit, Datenverarbeitung am
Arbeitsplatz, Zugang der Öffentlichkeit zu amtlichen Dokumenten,
Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu
wissenschaftlichen oder historischen Forschungszwecken und zu
statistischen Zwecken, bestehende Datenschutzvorschriften von Kirchen
und religiösen Vereinigungen oder Gemeinschaften)
Kapitel 10 (Artikel 92 bis 93): Delegierte Rechtsakte und
Durchführungsrechtsakte
Kapitel 11 (Artikel 94 bis 99): Schlussbestimmungen (u. a. Aufhebung der
Richtlinie 95/46/EG und Inkrafttreten der DSGVO)
Vor den 99 Artikeln sind 173 Erwägungsgründe (ErwG) angeführt, die zur
Auslegung der Artikel mit herangezogen werden.[10][11]

Bereiche der Neuregelung[Bearbeiten | Quelltext bearbeiten]
Viele Bereiche des Datenschutzes werden durch die DSGVO nicht neu
geregelt. Insbesondere bleibt der Begriff der „personenbezogenen Daten“
in Art. 4 weiterhin weit gefasst:

„personenbezogene Daten“ [sind] alle Informationen, die sich auf eine
identifizierte oder identifizierbare natürliche Person (im Folgenden
„betroffene Person“) beziehen; als identifizierbar wird eine natürliche
Person angesehen, die direkt oder indirekt, insbesondere mittels
Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu
Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren
besonderen Merkmalen, die Ausdruck der physischen, physiologischen,
genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen
Identität dieser natürlichen Person sind, identifiziert werden kann; …
Weiterhin gilt ebenfalls, dass die Verarbeitung personenbezogener Daten
nur aufgrund eines Erlaubnistatbestands zulässig ist. Diese sind in Art.
6 aufgeführt, wovon mindestens einer erfüllt sein muss:

Die betroffene Person hat ihre Einwilligung gegeben;
die Verarbeitung ist für die Erfüllung eines Vertrags oder zur
Durchführung vorvertraglicher Maßnahmen erforderlich;
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung
erforderlich;
die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen;
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die
im öffentlichen Interesse liegt;
die Verarbeitung ist zur Wahrung der berechtigten Interessen des
Verantwortlichen oder eines Dritten erforderlich.
Im letzten Fall ist eine Interessensabwägung gegenüber den Interessen
der betroffenen Person erforderlich.

Zusammenfassend gilt:

„Die DSGVO ändert die Konzeption und weitgehend auch die
Detailregelungen des geltenden Datenschutzrechts nicht grundlegend.
Vielmehr werden vielfach Bestimmungen der EG-Datenschutzrichtlinie 95/46
übernommen, die die Grundlage des Bundesdatenschutzgesetzes bilden.
Andererseits gibt es aber auch zahlreiche neue datenschutzrechtliche
Vorgaben, deren Erfüllung allein schon hinsichtlich des immens erhöhten
Bußgeldrahmens korrekter Beachtung bedarf.“[12]
Zu folgenden Themenbereichen liefert die DSGVO Neuregelungen oder
grundsätzliche Präzisierungen:

Grundsätze der Verarbeitung personenbezogener Daten[Bearbeiten |
Quelltext bearbeiten]
Die DSGVO führt in Art. 5 explizit folgende sechs Grundsätze für die
Verarbeitung personenbezogener Daten auf:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime
Zwecke)
Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […]
notwendige Maß beschränkt“)
Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit
[unrichtige] personenbezogene Daten unverzüglich gelöscht oder
berichtigt werden“)
Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die
die Identifizierung der betroffenen Personen nur so lange ermöglicht,
wie es […] erforderlich ist“)
Integrität und Vertraulichkeit („angemessene Sicherheit der
personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder
unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust,
unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)
Der Verantwortliche muss die Einhaltung all dieser Grundsätze
nachweisen. Die Nichteinhaltung dieser Grundsätze und der
Rechenschaftspflicht kann mit einem angemessenen Bußgeld in Höhe von bis
zu 20 Millionen EUR oder im Fall eines Unternehmens von bis zu 4 %
seines gesamten weltweit erzielten Jahresumsatzes geahndet werden (Art.
83 Abs. 5 lit. a).

Diese Grundsätze stellen die Programmatik der Verordnung dar.[13] Die
Regelung war fast wortlautgleich Teil der Datenschutzrichtlinie (Art. 6
Richtlinie 95/46/EG) und als diese bis 1998 in nationale Gesetzgebung
umzusetzen.[14] Sie sind mehr als symbolische Wiederholungen der Art. 16
AEUV, Art. 8 GRCh oder „Transmissionsriemen“ zwischen diesen
Bestimmungen und der Verordnung – dies belegt insbesondere die hohe
Bußgeldbewehrung der Nichteinhaltung der Bestimmung.[15]

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben,
Transparenz[Bearbeiten | Quelltext bearbeiten]
→ Hauptartikel: Rechtmäßigkeit und Treu und Glauben
Der Dreiklang Rechtmäßigkeit, Verarbeitung nach Treu und Glauben,
Transparenz bedingt einander.[16]

Der Rechtmäßigkeits-Grundsatz lässt sich weit und eng auslegen. Eine
enge Auslegung bezieht sich auf die Zulässigkeit der Verarbeitung (Frage
nach den „Ob?“), eine weitere Auslegung[17] stellt die Frage nach dem
„Wie?“. Die herrschende Meinung[18][19][20] legt die Vorschrift eng aus,
stellt jedoch fest, dass der ErwG 40 in dieser Hinsicht nicht eindeutig ist.

Es ist festzustellen, dass insbesondere der Grundsatz der Verarbeitung
nach Treu und Glauben noch weiter zu fassen ist, als in der deutschen
Rechtsprechung üblich, so sprechen die anderen Sprachversionen
beispielsweise von „fairness“ (englisch, nicht etwa von „good faith“),
„loyauté“ (französisch, Anständigkeit, nicht etwa „bonne foi“),
„correttezza“ (italienisch, Richtigkeit, nicht etwa „buona fede“) und
„behoorlijkheid“ (niederländisch, Angemessenheit, nicht etwa „goede
trouw“).[21]

Transparenz stellt hier die Umsetzung der beiden vorgenannten Grundsätze
dar: Es muss einerseits retrospektiv nachvollziehbar sein, der
Datenverarbeitung Schritt für Schritt zu folgen. Dies hatte bereits 1983
das Bundesverfassungsgericht im Volkszählungsurteil festgestellt.[22]
Der Transparenzgedanke der Verordnung geht jedoch über diese reine
Rückschau hinaus. Es muss vielmehr vorausblickend möglich sein, nicht
nur den Prozess der Verarbeitung zu überblicken und verstehen, sondern
auch den Zusammenhang und damit auch bspw. den Grund der Verarbeitung
und den Zeitpunkt und Grund der Übermittlung an Dritte. (ErwG 39)

Zweckbindung[Bearbeiten | Quelltext bearbeiten]
Zweckgebundene Daten und das Konzept ihrer konformen Verwendung tragen
zu Transparenz, Rechtssicherheit und Vorhersehbarkeit bei, die
Grundsätze zielen darauf ab, die Betroffenen zu schützen, indem sie
Beschränkungen für die Verwendung ihrer Daten durch die dafür
Verantwortlichen festlegen und die Angemessenheit der Verarbeitung
stärken.[23] Der Grundsatz orientiert sich wie die anderen Grundsätze
der Verordnung an höherrangigem Recht. Art. 8 EMRK zielt auf den Schutz
des Privatlebens ab und verlangt eine Rechtfertigung für jeden Eingriff
in die Privatsphäre. Entsprechend entwickelte der EGMR den „Test zur
Bemessung der Erwartung an die Privatheit“.[24][25] Das Gericht weitete
diesen Schutz und Test, einschließlich des Schutzes personenbezogener
Daten, schrittweise von Fällen der Sammlung und Archivierung
personenbezogener Daten durch Geheimdienste[26][27] auf die jüngsten
Fälle aus, in denen das Gericht diese Garantien auf das
Arbeitsumfeld[28] und auf öffentliche Räume[29] noch vor dem
Inkrafttreten der Verordnung aus der EMRK ableitete und anwandte.
Entsprechend weitreichend ist der Grundsatz der Zweckbindung.

Damit die Zweckbindung überhaupt realisiert werden kann, muss der Zweck
festgelegt, eindeutig und legitim sein (Art. 5 Abs. 1 lit. b).
Entsprechend muss der Zweck bereits zum Zeitpunkt der Erhebung
feststehen (ErwG 39), eine allgemeine Angabe wie „geschäftsmäßige
Verarbeitung“ oder „Bankgeschäfte“ reichen der herrschenden Meinung nach
nicht aus.[30][31][32] Vielmehr muss der Zweck „so klar zum Ausdruck
gebracht werden, dass Zweifel daran, ob und in welchem Sinne der
Verantwortliche der Verarbeitung den Zweck festgelegt hat,
ausgeschlossen sind“.[32]

Austausch personenbezogener Daten in der EU[Bearbeiten | Quelltext
bearbeiten]
Der Austausch personenbezogener Daten in der EU darf nicht (mehr) mit
dem Argument abgelehnt werden, dass der Datenschutz innerhalb der EU
verschieden gehandhabt wird. Art. 1 Abs. 3 formuliert:

„Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen
des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener
Daten weder eingeschränkt noch verboten werden.“
Geltungsbereich[Bearbeiten | Quelltext bearbeiten]
Die DSGVO unterscheidet (im Gegensatz etwa zum deutschen
Bundesdatenschutzgesetz a. F.) nicht zwischen der Verarbeitung
personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen
– für alle Verantwortlichen gilt dasselbe Recht. Trotzdem fallen
bestimmte Arten der Verarbeitung personenbezogener Daten laut Art. 2
nicht unter die Verordnung. Die Erwägungsgründe 16 und 18 erläutern dies
näher:

„(16) Diese Verordnung gilt nicht für Fragen des Schutzes von
Grundrechten und Grundfreiheiten und des freien Verkehrs
personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in
den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale
Sicherheit betreffende Tätigkeiten.“
„(18) Diese Verordnung gilt nicht für die Verarbeitung von
personenbezogenen Daten, die von einer natürlichen Person zur Ausübung
ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne
Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen
wird. Als persönliche oder familiäre Tätigkeiten könnte auch das Führen
eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die
Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher
Tätigkeiten gelten. Diese Verordnung gilt jedoch für die
Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die
Verarbeitung personenbezogener Daten für solche persönlichen oder
familiären Tätigkeiten bereitstellen.“
Marktortprinzip[Bearbeiten | Quelltext bearbeiten]
→ Hauptartikel: Marktortprinzip
Das europäische Datenschutzrecht gilt auch für außereuropäische
Unternehmen oder Organisationen, soweit diese ihre Waren oder
Dienstleistungen im europäischen Markt anbieten. Dies bedeutet, dass die
DSGVO nicht nur Anwendung findet, wenn die Datenverarbeitung im Gebiet
der Union oder durch einen im Gebiet der Union ansässigen Anbieter
stattfindet, sondern nach Art. 3 der Verordnung auch, wenn die
Datenverarbeitung mit einem Angebot in Zusammenhang steht, das sich an
Personen im Unionsgebiet richtet. Die genaue Bestimmung, wann ein
solches Ausrichten vorliegt, ist bisher im Datenschutzrecht nicht
eindeutig geklärt.

Anforderungen an eine Einwilligung[Bearbeiten | Quelltext bearbeiten]
Prinzipiell sind die Anforderungen an eine wirksame Einwilligung
gegenüber dem deutschen Bundesdatenschutzgesetz a. F. reduziert: Die
Schriftform ist nicht mehr die Regel, auch eine stillschweigende
Einwilligungserklärung ist nach Erwägungsgrund (32) zulässig, wenn sie
eindeutig ist. Da aber andererseits dies vom Verantwortlichen
nachzuweisen ist, wird die Schriftform doch gängig bleiben. Für
besondere personenbezogene Daten ist sie weiterhin vorgeschrieben. In
der Praxis werden beispielsweise Consent-Banner verwendet.

Begrenzung der verarbeiteten Daten[Bearbeiten | Quelltext bearbeiten]
Die etwa im deutschen Bundesdatenschutzgesetz a. F. festgeschriebene
Datensparsamkeit wird durch den Grundsatz der (zweckbezogenen)
Datenminimierung ersetzt.

Transparenz[Bearbeiten | Quelltext bearbeiten]
Der Erwägungsgrund 39 hebt den Grundsatz der Transparenz jeglicher
Datenverarbeitung für die betroffenen Personen hervor. Mehrere Artikel
verlangen entsprechende Maßnahmen:

Nach Art. 15 hat jede Person ein Auskunftsrecht über die dort genannten
personenbezogenen Daten, die Gegenstand der Verarbeitung sind.[33]
Die Informationen darüber sind laut Art. 12 in „präziser, transparenter,
verständlicher und leicht zugänglicher Form in einer klaren und
einfachen Sprache“ zu liefern.
Nach Art. 13 und 14 muss jeder betroffenen Person bei einer
Datenerhebung in einer Datenschutzerklärung umfangreich Auskunft unter
anderem über Zweck, Empfänger und Verantwortliche der Datenverarbeitung,
Dauer der Datenspeicherung, Rechte zur Berichtigung, Sperren und Löschen
und Verwendung der Daten für Profiling-Zwecke gegeben werden. Wenn sich
der Zweck ändert, ist die betroffene Person aktiv zu informieren.
Nach Art. 16 hat die betroffene Person ein Recht auf Berichtigung
falscher Daten sowie laut Art. 18 ein Recht auf Einschränkung
(„Sperrung“) der Datenverarbeitung, wenn Richtigkeit oder Grundlage der
Datenverarbeitung bestritten werden.
Nach Art. 30 hat jeder Verantwortliche und gegebenenfalls sein Vertreter
ein Verzeichnis von Verarbeitungstätigkeiten, die ihrer Zuständigkeit
unterliegen, zu führen.
Die Effektivität all dieser Rechte ist allerdings von der
unausgesprochenen Voraussetzung abhängig, dass betroffene Personen
selbst verpflichtet sind, sich aktiv darum zu kümmern, von wem und wie
ihre Daten verarbeitet werden, und ihre Rechte einzufordern. Dies wird
von Kritikern als nicht realistisch angesehen.[34]

Darüber hinaus soll die DSGVO laut Erwägungsgrund 13 auch Transparenz
und Rechtssicherheit für die verarbeitenden Unternehmen bewirken,
„einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen“.

Recht auf Vergessenwerden[Bearbeiten | Quelltext bearbeiten]
Das Recht auf Vergessenwerden, das in der Überschrift des Art. 17
ausdrücklich so genannt wird, ist eines der zentralen Rechte der DSGVO.
Es umfasst einerseits, dass eine betroffene Person das Recht hat, das
Löschen aller sie betreffenden Daten zu fordern, wenn die Gründe für die
Datenspeicherung entfallen.

Es ist aber zu beachten, dass der Verantwortliche andererseits Daten von
sich aus schon löschen muss, wenn die Rechtsgrundlage für die weitere
Verarbeitung entfallen ist. Dem können gesetzliche
Aufbewahrungspflichten (z. B. für Buchungsbelege gemäß § 147
Abgabenordnung) entgegenstehen.

Recht auf Datenübertragbarkeit[Bearbeiten | Quelltext bearbeiten]
Als eine eher marktsteuernde Regelung verlangt Art. 20, dass eine
betroffene Person das Recht hat, die Daten, die sie betreffen und die
sie selbst dem Verantwortlichen übergeben hat, in einem „strukturierten,
gängigen und maschinenlesbaren Format zu erhalten“, auch und
insbesondere für den Zweck, sie anderen „ohne Behinderung durch den
Verantwortlichen“ zu übermitteln.

Sanktionen[Bearbeiten | Quelltext bearbeiten]
Für die effektive Durchsetzung des Datenschutzrechts sind nun weitaus
höhere Bußgelder als bisher möglich. Zudem können die
Datenschutzaufsichtsbehörden künftig durchsetzbare Anordnungen und
Bußgelder nicht nur gegen private Verantwortliche, sondern auch
gegenüber Behörden erlassen, wenn das im nationalen Recht vorgesehen ist.

Die Höhe der Bußgelder für Ordnungswidrigkeiten ist nun in bestimmten
Fällen nach Art. 83 Abs. 5 auf bis zu 20 Millionen Euro oder bis zu vier
Prozent des weltweiten Jahresumsatzes festgelegt (im Vergleich dazu sah
das deutsche Bundesdatenschutzgesetz a. F. bisher ein Bußgeld von bis zu
300.000 Euro vor).

Am 14. Oktober 2019 legte die DSK, die Konferenz der staatlichen
Datenschutzbeauftragten, ein Konzept zur Bußgeldbemessung bei Verstößen
nach der DSGVO vor[35]. Dieses Konzept soll für Unternehmen (nicht aber
für Vereine oder natürliche Personen) den Kriterienkatalog nach Art. 83
Abs. 2 DSGVO konkretisieren. Erreicht werden soll eine Harmonisierung
für rein deutsche Sachverhalte (nicht aber für grenzüberschreitende
Fälle). Das Werk soll nur bis zur Verabschiedung von entsprechenden
Leitlinien des Europäischen Datenschutzausschuss gelten. Das Konzept ist
kein Bußgeldkatalog, der die Gerichte bindet. Zur Darstellung (mit
kritischen Anmerkungen) siehe BRAK-Magazin Heft 6 aus 2020, S. 14 und
15[36].

Die Mitgliedstaaten können darüber hinaus weitere Sanktionsmöglichkeiten
vorsehen. Zum Beispiel kann laut Erwägungsgrund 149 vorgesehen werden,
Gewinne aufgrund des Verstoßes gegen die DSGVO einzuziehen.

Privacy by Design, Privacy by Default[Bearbeiten | Quelltext bearbeiten]
Nach den Grundsätzen Datenschutz durch Technikgestaltung („privacy by
design“, „data protection by design“) und durch datenschutzfreundliche
Voreinstellungen („privacy by default“, „data protection by default“)
muss die betroffene Person darauf vertrauen können, dass die
grundsätzlichen Datenschutzanforderungen von der ersten Nutzung an
gewahrt bleiben, und zwar auch dann, wenn die vorgegebenen
Voreinstellungen zunächst nicht geändert werden.[37] Die Konzepte
gehören zu den Kernelementen der Verordnung.[38]

Durch den Grundsatz privacy by design wird der Tatsache Rechnung
getragen, dass die Sicherstellung des Datenschutzes nicht allein durch
die Einhaltung von Vorschriften gewährleistet werden kann; die
Grundsätze des Datenschutzes müssen bereits vor Beginn der technischen
Planung in die Konzeptionierung von Verarbeitungsvorgängen integriert
werden.[39][40] Daher ergeben sich drei Handlungsfelder für „Datenschutz
durch Technikgestaltung“[41][42]:

Technik von Verarbeitungsvorgängen, z. B. durch das Softwaredesign: Was
technisch verhindert wird oder unterbunden werden kann oder technisch
nicht möglich ist, muss nicht mehr verboten und überwacht werden,[43]
Geschäftsabläufe, z. B. durch „Funktionstrennung“: Falls Daten lediglich
verarbeitet werden, daraus Trends und Zusammenhänge zu erkennen und
keine gewonnenen Informationen auf die betreffenden Personen unmittelbar
anzuwenden. Vielmehr sollen diese durch technische und organisatorische
Maßnahmen frühestmöglich anonymisiert werden,[44]
Gestaltung datenschutzfreundlicher Architektur, sowohl physisch (z. B.
durch das Vermeiden von personenbezogenen Daten auf Ordnerrücken) als
auch elektronisch.[45]
Beim Grundsatz privacy by default handelt es sich um eine
Spezialisierung des Grundsatzes „privacy by design“.[46][47] Er fußt
insbesondere auf dem „Privacy Paradox“,[48][49][50] wonach Benutzer
erklären, dass sie sich um ihre Daten und den Datenschutz sorgen, jedoch
so handeln, als ob dies nicht der Fall wäre. Die Gründe hierfür sind
Gegenstand der Forschung; angenommen werden Faulheit, Unkenntnis oder
eine intuitive, irrationale Abwägung der Vor- und Nachteile.[51] Ziel
ist, dass Verantwortliche Systeme bereitstellen, deren Voreinstellungen
bereits möglichst datenschutzfreundlich sind.[52] Benutzer eines Systems
sollen hierbei jedoch explizit nicht davor geschützt werden, freiwillig
und informiert datenschutzunfreundlichere Einstellungen vorzunehmen,
vielmehr sollen betroffene Personen befähigt werden, die Verarbeitung
personenbezogener Daten zu überwachen (ErwG 78).

Die Umsetzung der Grundsätze erfolgt durch „geeignete technische und
organisatorische Maßnahmen“ (Art. 25 Abs. 1). Unter technischen
Maßnahmen sind alle Schutzversuche zu verstehen, die im weitesten Sinne
physisch umsetzbar sind oder die in Soft- und Hardware umgesetzt werden,
unter organisatorischen Maßnahmen solche Schutzversuche, die durch
Handlungsanweisung, Verfahrens- und Vorgehensweisen umgesetzt
werden.[53] Hierzu können beispielsweise das physikalische Löschen von
Daten[54], die kryptographische Verschlüsselung oder interne IT- und
Datenschutz-Regelungen gehören.[55][56]

Verpflichtung zur Bestellung betrieblicher und behördlicher
Datenschutzbeauftragter, Vertreter in der Europäischen Union[Bearbeiten
| Quelltext bearbeiten]
Die DSGVO sieht nun europaweit die Bestellung von
Datenschutzbeauftragten vor, zumindest bei allen öffentlichen Stellen
und solchen privaten Unternehmen, bei denen besonders risikoreiche
Datenverarbeitungen erfolgen. Damit wird ein Mindeststandard für die
Einrichtung dieser Stellen erreicht.


Dieser Artikel oder Absatz stellt die Situation in Deutschland dar.
Bitte hilf uns dabei, die Situation in anderen Staaten zu schildern.
Kleinunternehmer und kleine Unternehmen müssen keinen
Datenschutzbeauftragten stellen, es sei denn, einer der nachfolgenden
Punkte trifft zu.[57]

Es sind regelmäßig mindestens 20 Personen ständig mit der
automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38
Abs. 1 Satz 1 des Bundesdatenschutzgesetzes).
Verantwortlicher ist eine öffentliche Stelle oder Behörde (Art. 37 Abs.
1 lit. a DSGVO).
Die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer
Kategorien von Daten oder strafrechtlicher Verurteilungen (Art. 37 Abs.
1 lit. c DSGVO).
Es ist eine Datenschutz-Folgenabschätzung durchzuführen (§ 38 Abs. 1
Satz 2 des Bundesdatenschutzgesetzes).
Die Kerntätigkeit ist die umfangreiche oder systematische Überwachung
von betroffenen Personen (Art. 37 Abs. 1 lit. c DSGVO).
Der Begriff der „umfangreichen Verarbeitung“ und die Voraussetzungen für
eine Datenschutz-Folgenabschätzung werden im Erwägungsgrund 91 etwas
genauer beschrieben, damit bestimmte freie Berufe wie Rechtsanwälte und
Ärzte, aber etwa auch Apotheker (als „Angehörige eines
Gesundheitsberufes“) in der Regel keinen Datenschutzbeauftragten stellen
müssen.

Nicht in der Europäischen Union ansässige Verantwortliche, auf die die
Datenschutz-Grundverordnung Anwendung findet, müssen zudem einen
Vertreter in der Europäischen Union bestellen.

Öffnungsklauseln[Bearbeiten | Quelltext bearbeiten]
Die DSGVO sieht vor, dass durch nationales Recht an vielen Stellen eine
Erweiterung oder detaillierte Festlegung des Datenschutzrechtes erfolgt.
Dies erfolgt über so genannte „Öffnungsklauseln“, von denen die DSGVO –
je nach Zählweise – 50 bis 60 enthält. Einige verlangen eine
Rechtshandlung der Mitgliedstaaten, die Mehrzahl erlaubt jedoch die
Ausnutzung von Spielräumen durch nationale Vorschriften. Der
Handlungsspielraum ist grundsätzlich insofern begrenzt, als die
Harmonisierung des Datenschutzes durch die DSGVO nicht unterlaufen
werden darf.

Ein Beispiel für eine Öffnungsklausel findet sich etwa im Datenschutz
von Beschäftigten, also dem Beschäftigtendatenschutz

→ Hauptartikel: Beschäftigtendatenschutz
: Art. 88 Abs. 1 sieht eine Öffnungsklausel vor, nach der die
Mitgliedstaaten „spezifischere Vorschriften zur Gewährleistung der
Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener
Beschäftigtendaten im Beschäftigungskontext“ vorsehen können. Es ist
umstritten, ob diese Formulierung ein Abweichen vom Schutzniveau der
allgemeinen Vorschriften zulässt.[58]

Weitere Öffnungsklauseln finden sich u. a.

in Art. 9 Abs. 2 und Abs. 4 zur Festlegung besonderer Bedingungen für
die Verarbeitung besonderer Arten personenbezogener Daten, wie
Gesundheitsdaten oder Daten zu sexuellen Vorlieben;
in Art. 10 zur Erlaubnis der Verarbeitung von Daten über strafrechtliche
Verurteilungen und Straftaten;
in Art. 28 für rechtliche Grundlagen der Auftragsdatenverarbeitung;
in Art. 37 zur Bestellung von Datenschutzbeauftragten, abweichend von
den in Art. 37 festgelegten Voraussetzungen;
in Art. 85 zum Ausgleich des Spannungsfelds zwischen Datenschutz und
Meinungsfreiheit (Medienprivileg);
in Art. 87 für die Regelung der Verarbeitung nationaler Kennziffern oder
anderer Kennzeichen von allgemeiner Bedeutung;
in Art. 89 für die Regelung von Ausnahmen von Betroffenenrechten bei
Verarbeitungen für wissenschaftliche, historische, statistische oder
archivarische Zwecke;
Debatte über die DSGVO[Bearbeiten | Quelltext bearbeiten]
Seit dem Vorschlag des Gesetzgebungsentwurfs der Europäischen Kommission
hatte es umfassende Debatten im Rahmen des Gesetzgebungsverfahrens
gegeben. Insbesondere das Europäische Parlament hatte durch zahlreiche
öffentliche Anhörungen viele der geäußerten Kritikpunkte aufgegriffen
und im Rahmen des von Jan Philipp Albrecht als Berichterstatter
verhandelten Kompromisses einfließen lassen. Auch im Ministerrat waren
unterschiedlichste Standpunkte eingeflossen. Aus beiden Vorlagen wurde
im Rahmen der Trilogverhandlungen am 15. Dezember 2015 ein finaler
Verordnungstext erarbeitet, der am Ende nahezu einstimmig vom Plenum des
Europäischen Parlaments sowie den Innen- und Justizministern der
EU-Mitgliedstaaten angenommen wurde und zum 24. Mai 2016 formal in Kraft
trat. Die während der mehr als vier Jahre dauernden Verhandlungen
aufgeworfenen Kritikpunkte unterschiedlicher Seiten der Debatte werden
nachstehend ausschnittsweise zusammengefasst:

Debatte über Entwürfe[Bearbeiten | Quelltext bearbeiten]
Zwischenzeitliche Entwürfe sahen vor, dass ein interner
Datenschutzbeauftragter und interne Dokumentationspflichten nur für
Unternehmen mit mehr als 250 Mitarbeitern verpflichtend sind. Dies – so
Kritiker – hätte den Datenschutz in Deutschland und Österreich
geschwächt.[59] Die endgültige Fassung sieht eine verpflichtende
Benennung des internen Datenschutzbeauftragten bei Behörden und bei
Verantwortlichen vor, deren Kerntätigkeit in der Durchführung von
Verarbeitungsvorgängen oder in der umfangreichen Verarbeitung sensibler
Daten besteht (Art. 37 Abs. 1). Die Mitgliedstaaten sind aber befugt,
strengere Regelungen zu erlassen (Art. 37 Abs. 4). Die internen
Dokumentationspflichten gelten nicht für Unternehmen mit weniger als 250
Mitarbeitern, sofern die Datenverarbeitung kein Risiko für die
Betroffenen birgt, nur gelegentlich erfolgt und nicht die Verarbeitung
sensibler Daten einschließt (Art. 30 Abs. 5).

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD)
erwartet, dass die Abschaffung des internen Datenschutzbeauftragten zu
Kostensteigerungen aufgrund wachsender Bürokratie führe. Unternehmen
müssten intern eine Stelle für die Behördenkommunikation einrichten und
bei der Einführung neuer Software mit Verzögerungen rechnen, weil die
Landesämter für Datenschutz personell nicht gut genug ausgestattet
seien. 66 unabhängige Verbraucher- und Datenschutzorganisationen
forderten Jean-Claude Juncker im April 2015 auf, den „Goldstandard des
europäischen Datenschutzes“ zu erhalten.[60]

Der BvD bemängelte ferner fehlende klare Regeln für den Datentransfer
aus der EU in Drittstaaten (z. B. USA) und forderte eine EU-weite
Bestellung betrieblicher Datenschutzbeauftragter.[61]

Andererseits wird die Weitergabe von Verbraucherdaten an Konkurrenten
(Datenportabilität) nicht nur Anbieter wie Facebook betreffen, sondern
auch für kleinere Unternehmen gelten.[59]

Der deutsche Bundesrat erhob am 30. März 2012 Subsidiaritätsrüge gegen
den Verordnungsvorschlag. Die Länderkammer war der Auffassung, dass der
Vorschlag mit dem Subsidiaritätsprinzip nicht im Einklang stehe und
deshalb gegen Art. 5 Abs. 3 EUV verstoße.[62] Nach dieser Vorschrift
darf die Europäische Union in den Bereichen, die nicht in ihre
ausschließliche Zuständigkeit fallen, nur tätig werden, sofern und
soweit die Ziele der in Betracht gezogenen Maßnahmen von den
Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern
wegen ihres Umfangs oder ihrer Wirkungen auf EU-Ebene besser zu
implementieren sind.

Von vielen Seiten wurde die oft vage und unklare Formulierung des
Entwurfs kritisiert. Danach sollten auch viele elementare Regelungen
erst gar nicht in die Grundverordnung eingefügt, sondern diesen erst
durch gesonderte Rechtsakte der EU-Kommission Geltung verschafft werden.

Im Verhandlungsbeschluss des Europäischen Parlaments waren die
Kritikpunkte bereits weitgehend ausgeräumt.[63] Nachdem aber die
ursprünglich angenommenen Datenschutzaspekte der Verordnung nach einem
Pressebericht vom März 2015 von der zuständigen Arbeitsgruppe der EU in
großen Teilen aufgeweicht wurden, kam es zu erneuter Kritik. So wird in
einem Positionspapier der Arbeitsgruppe der Industrie das Sammeln von
personenbezogenen Daten ohne festgelegte Zwecke erlaubt, ebenso wie die
Weitergabe dieser Daten an Dritte.[64]

Kritik am endgültigen Verordnungstext[Bearbeiten | Quelltext bearbeiten]
Auch nach Verabschiedung der Datenschutz-Grundverordnung wird
grundlegende Kritik, insbesondere von Seiten der Rechtswissenschaft geübt:

So bezeichnete der Leiter des Instituts für Informations-,
Telekommunikations- und Medienrecht an der Universität Münster, Thomas
Hoeren, die Datenschutz-Grundverordnung als „eines der schlechtesten
Gesetze des 21. Jahrhunderts“.[65]

Der Leiter des Fachgebiets Öffentliches Recht mit Schwerpunkt Recht der
Technik der Universität Kassel, Alexander Roßnagel, meinte, die
Datenschutz-Grundverordnung ignoriere „alle modernen Herausforderungen
für den Datenschutz wie Soziale Netzwerke, Big Data (Datenflut und deren
Beherrschung), Suchmaschinen, Cloud Computing, Ubiquitous computing
(Durchdringung des Alltags und von Dingen durch Computer) und andere
Technikanwendungen“.[66] In einer Studie wird der deutsche Gesetzgeber
aufgefordert, die unübersichtliche Gemengelage aus neuen europäischen
Regelungen und fortgeltendem deutschen Recht aufzulösen.[67]

Auch der Deutsche Anwaltverein (DAV) sieht bei der DSGVO insoweit
Änderungsbedarf, als der nationale Gesetzgeber zum Schutz der
berufsspezifischen Rechte und Pflichten der Rechtsanwälte (z. B.:
Unabhängigkeit vor staatlichen Einflüssen, Anwaltsgeheimnis, absolute
Treuepflicht des Rechtsanwalts gegenüber seinem Mandanten) in der
Verordnung ermöglichte Öffnungsklauseln nutzen muss, um all dies
überhaupt weiter gewährleisten zu können.[68] Der DAV zog das Fazit
einer „Ausdünnung des deutschen Datenschutzrechts“.[69]

Die Forderung des DAV an den nationalen Gesetzgeber geht in drei Richtungen:

Keine Zugangsbefugnisse der Datenschutz-Aufsichtsbehörden ohne
ausdrückliche vorherige Zustimmung der Anwaltskammer.[70]
Generelle und umfassende Erlaubnisklausel für anwaltliche
Datenverarbeitung von personenbezogenen Daten im Rahmen der Mandate.[71]
Einschränkung der Auskunftspflichten und Auskunftsrechte.[72]
Lobbyarbeit[Bearbeiten | Quelltext bearbeiten]
Rund um die Verhandlungen der Datenschutz-Grundverordnung kritisierten
EU-Abgeordnete massives Lobbying von Seiten der US-Regierung und von
US-amerikanischen IT-Unternehmen. Technologie-Unternehmen aus den USA
fürchten demnach den negativen Einfluss der Verordnung auf ihre
Niederlassungen in Europa und übten entsprechenden Druck auf die
Regierung von US-Präsident Obama aus. So forderte der amerikanische
EU-Botschafter William E. Kennard in einer Rede in Brüssel am 4.
Dezember 2012, dass die zentralen Forderungen der Verordnung gestrichen
werden müssen: das Löschen sämtlicher Daten einer Person aus den
Unternehmensdatenbanken auf Wunsch und die ausdrückliche
Einverständniserklärung einer Person, bevor ihre Daten überhaupt
gesammelt werden dürfen.[73]

Von amerikanischen Unternehmen wird ein California-Effekt durch die
EU-Gesetzgebung befürchtet. Ähnlich wie strengere Umweltgesetze in
Kalifornien den Mindeststandard in den USA schleichend anheben, wird
erwartet, dass die höheren Standards in der EU das Datenschutzniveau für
alle weltweit operierenden Unternehmen anheben würden. Während bisher in
den USA lediglich Finanz- und Gesundheitsdaten einem gewissen
Datenschutz unterliegen,[73] ist die Erfassung und das Zusammenführen
sämtlicher anderer gesammelter Daten und deren unbegrenzte Aufbewahrung
durch Privatunternehmen erlaubt. Amerikanische
Bürgerrechtsorganisationen erhofften sich andererseits eine Steigerung
des Datenschutzstandards in den USA und unterstützten daher die Pläne in
der EU.

Die Plattform LobbyPlag.eu zeigt, dass viele Abänderungsanträge von
Abgeordneten im EU-Parlament wortgleich aus Lobbypapieren von
Unternehmen wie Amazon, eBay, der Lobbygruppe „Digitaleurope“[73] mit
den Mitgliedern Apple, Microsoft, Cisco, Intel, IBM, Oracle, Texas
Instruments und Dell oder von der US-amerikanischen Handelskammer
übernommen wurden. Für die Abänderungen traten unter anderen die
Abgeordneten Malcolm Harbour (ECR), Andreas Schwab (CDU/EPP),
Klaus-Heiner Lehne (EPP) oder Marielle Gallo (EPP) ein. Andererseits
weist die Plattform auch auf wortgleiche Übernahmen aus den Unterlagen
von Datenschutzorganisationen wie Bits of Freedom und EDRi durch
Abgeordnete wie Amelia Andersdotter (PPEU/Piraten) oder Eva
Lichtenberger (EFA/Die Grünen) hin.[74]

Im zuständigen LIBE-Ausschuss des EU-Parlaments wurden schlussendlich
über 3.100 Abänderungsanträge gegenüber dem Entwurf der EU-Kommission
eingebracht. Generell setzten sich die meisten sozialdemokratischen und
grünen Abgeordneten für eine Verstärkung oder Präzisierung des Entwurfs
ein, während sich die meisten konservativen und liberalen Abgeordneten
für eine Lockerung im Sinne der IT-Wirtschaft stark machten.

LobbyPlag erarbeitete eine Liste der Abgeordneten, die, gemessen an den
von ihnen eingebrachten Änderungsanträgen, am nachdrücklichsten für
weniger bzw. für mehr Datenschutz eintraten. Bis Anfang Juni 2013
brachte sich für die Aufweichung des Datenschutzes demnach Axel Voss
(EPP/CDU) am stärksten ein, bei der Stärkung des Datenschutzes sah man
Jan Philipp Albrecht (EFA/Die Grünen) an erster Stelle. Beide hatten in
der Summe je 147 Änderungsanträge zugunsten der Abschwächung
beziehungsweise Stärkung des Datenschutzes eingebracht.[75]

Unter Druck durch Teile der deutschen Wirtschaft, die fürchtete, im
globalen Wettbewerb Nachteile durch die Grundverordnung zu erleiden,
argumentierten auch Vertreter des Deutschen Innenministeriums, dass das
Recht auf informationelle Selbstbestimmung einem harmonisierten
Wettbewerb entgegenstünde.[76]

Verfahren[Bearbeiten | Quelltext bearbeiten]
Nach langen Verhandlungen scheiterte ein Entwurf der irischen
Ratspräsidentschaft im Juni 2013 im EU-Ministerrat. Unter anderem
meldeten die Vertreter Deutschlands, Großbritanniens und Frankreichs
zahlreiche Bedenken an. Die anvisierte Positionierung vor der
Sommerpause konnten damit sowohl Rat als auch Parlament nicht leisten.
Am 21. Oktober 2013 nahm das Europäische Parlament im Innen- und
Justizausschuss seine durch den Grünen-Europaabgeordneten Jan Philipp
Albrecht als EP-Berichterstatter ausgearbeitete Verhandlungsposition mit
überwältigender Mehrheit an[77] und bestätigte sie am 12. März 2014
durch das Plenum.[78]

Nachdem im Rat entscheidende Teile der Verordnung unter Ausschluss der
Öffentlichkeit zu Gunsten eines schwächeren Datenschutzes verändert
worden waren, sollten am 12. und 13. März 2015 die Justizminister der
Mitgliedstaaten eine Einigung zum zweiten Kapitel der Verordnung
erzielen, bevor die übrigen Kapitel verhandelt wurden.[64] Erst im Juni
2015 einigten sich die EU-Justizminister auf einen Entwurf der
Datenschutz-Grundverordnung.[79]

Am 24. Juni begannen die Abstimmungsverhandlungen zwischen Rat,
Europäischem Parlament und Europäischer Kommission (sogenannter Trilog).
Eine am 15. Dezember 2015 zwischen Parlament und Rat informell erzielte
Einigung[80] wurde am 17. Dezember vom Innen- und Rechtsausschuss des
Parlaments mit großer Mehrheit angenommen. Am 8. April 2016 beschloss
der EU-Ministerrat die vorliegende Fassung[81][82] das EU-Parlament nahm
die Regelungen am 14. April ebenfalls an.[83]

Die Veröffentlichung im Amtsblatt der Europäischen Union erfolgte am 4.
Mai 2016,[84] weshalb sie gemäß Art. 99 Abs. 1 DSGVO am 24. Mai 2016 in
Kraft trat und gemäß Art. 99 Abs. 2 ab dem 25. Mai 2018 anzuwenden ist.
Ein Corrigendum (d. h. ein Beschluss zur Korrektur inhaltlicher Fehler)
erging – beschränkt auf einige Sprachfassungen der DSGVO (DE, ET, IT,
HU) – am 27. Oktober 2016.[85]

Befürchtung der Schwächung durch das TiSA-Abkommen[Bearbeiten |
Quelltext bearbeiten]
Unterlagen aus den Geheimverhandlungen zum Trade in Services Agreement
(TiSA), die im November 2016 Greenpeace zugespielt wurden, belegen nach
Aussage von Greenpeace, dass Lobbyisten versuchen, neben Netzneutralität
und Bankenregulierung auch den Datenschutz nachhaltig zu schwächen und
die Datenschutz-Grundverordnung faktisch unwirksam zu machen.
Unternehmen sollen Kunden- und Nutzerdaten ins außereuropäische Ausland
transferieren und dort ohne Zweckbindung weiterverarbeiten können.[86]

Umsetzung in den Mitgliedstaaten[Bearbeiten | Quelltext bearbeiten]

Angaben gemäß DSGVO an einer Überwachungskamera im öffentlichen Raum in
Hamburg
Deutschland[Bearbeiten | Quelltext bearbeiten]
Mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU vom 30. Juni
2017 wurde unter anderem das Bundesdatenschutzgesetz neu gefasst.[5] Mit
dem Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2.
DSAnpUG-EU wurden weitere weitreichende Anpassungen verabschiedet, unter
anderem wurde die Zahl, ab der ein Datenschutzbeauftragter zu bestellen
ist, von 10 auf 20 Personen angehoben, die ständig mit der Verarbeitung
von personenbezogenen Daten befasst sein müssen.[87] Seit Oktober 2021
liegt der Evaluierungsbericht des Bundesinnenministeriums zur Anpassung
des deutschen Datenschutzrechts an die DSGVO vor.[88]

Zuständige Behörden sind der bzw. die Bundesbeauftragte für den
Datenschutz und die Informationsfreiheit, die 16 Landesbeauftragten für
den Datenschutz sowie das bayerische Landesamt für Datenschutzaufsicht.
Für die öffentlich-rechtlichen Rundfunkanstalten handeln deren
Rundfunkdatenschutzbeauftragte als Aufsichtsbehörden nach Art. 51 DSGVO.

Österreich[Bearbeiten | Quelltext bearbeiten]
Mit dem Datenschutz-Anpassungsgesetz 2018 hat Österreich das
Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten (Datenschutzgesetz, DSG) geändert und an die
DSGVO angepasst.[89][90] Im April 2018 wurde im Nationalrat eine
Abänderung der Novelle beschlossen. Demnach solle die Behörde den
Strafkatalog der DSGVO „so zur Anwendung bringen, dass die
Verhältnismäßigkeit gewahrt wird“.[91][92] Zuständige Behörde in
Österreich ist die Datenschutzbehörde mit Sitz in Wien.[93] Leiterin der
Behörde ist Andrea Jelinek.

Umsetzung und weltweite Folgeerscheinungen[Bearbeiten | Quelltext
bearbeiten]
Die Umsetzung der umfassenden Änderungen durch die
Datenschutz-Grundverordnung dauert bis heute noch immer an, obwohl die
DS-GVO bereits seit 25. Mai 2018 gilt.[94][95][96] Für 2020 ist von der
EU-Kommission auch die Evaluierung der DSGVO geplant (Art. 97 Abs. 1 DSGVO).

Einige große US-Medienverlage wie die der Chicago Tribune oder die Los
Angeles Times, so wurde bekannt, haben ihre Internetpräsenzen teilweise
für viele europäische Nutzer gesperrt.[97][98]

In Österreich hat die Immobilienverwaltung der Stadt Wien, Stadt Wien –
Wiener Wohnen, angekündigt, rund 200.000 Namensschilder an Klingeln zu
entfernen, da sie befürchtet, gegen die DSGVO zu verstoßen.[99] Diese
Ankündigung wurde im November 2018 wieder zurückgezogen.

In Deutschland wurden bis Ende 2018 in 41 Fällen Bußgeldbescheide
aufgrund von Datenschutzverstößen erlassen, davon alleine 33 in
Nordrhein-Westfalen. Die Bußgelder bewegen sich in niedriger Höhe, in
Nordrhein-Westfalen waren es insgesamt 15.000 Euro, in Baden-Württemberg
allerdings bei einer Einzelstrafe 80.000 Euro.[100] Neben den
Bußgeldverfahren haben mittlerweile aber auch mehrere Oberlandesgerichte
in Deutschland wettbewerbsrechtliche Ansprüche bei Verstößen gegen die
DSGVO bejaht (OLG Hamburg[101]; KG Berlin[102]; OLG Naumburg[103]; OLG
Stuttgart[104]).

Die französische Datenschutzbehörde CNIL verhängte im Januar 2019 nach
Beschwerden der Nichtregierungsorganisationen La Quadrature du Net aus
Frankreich und NOYB aus Österreich ein Bußgeld über 50 Millionen Euro
gegen Google LLC wegen mangelnder Transparenz bei den Informationen zur
Verwendung der erhobenen Daten[105] und zum Speicherzeitraum[106] und
weil die von Google eingeholte Einwilligung zur Anzeige personalisierter
Werbung ungültig sei.[107]

Nachdem im Jahr 2020 rund 160 Millionen Euro an DSGVO-Strafzahlungen
verhängt wurden[108], so waren es 2021 bereits über eine Milliarde
Euro.[109]

Kritiker beklagen Verzögerungen oder Fehlen oder Vermeidung von
Strafverfolgung durch das One-Stop-Shop-System, bei dem viele wichtige
Ermittlungen von den Behörden in Irland oder Luxemburg durchgeführt
werden müssen, da sich die meisten großen US-Technologieunternehmen in
diesen Ländern niedergelassen haben.[110] Im Rahmen der von der
Kommission von der Leyen propagierten „digitalen Souveränität“
beabsichtigen europäische Datenschutzbeauftragte, den
Strafverfolgungsmechanismus zu verbessern.[111]

Seit dem Inkrafttreten der DSGVO wurden auch in zahlreichen Staaten
außerhalb des EWR Datenschutzgesetze angepasst. Beispielsweise ist in
den USA am 1. Januar 2020 der California Consumer Privacy Act (CCPA) in
Kraft getreten.[112] In China trat im Jahr 2021 ein neues Gesetz zum
Schutz Persönlicher Daten (PIPL) in Kraft.[113] Weithin wird die DSGVO
als erstes umfassendes Datenschutzgesetz gesehen und gilt als
„weltweites Vorbild“.[114][115]

Die DSGVO hatte immense Folgen für den Online Werbemarkt, da sie das
Sammeln und Nutzen von personenbezogenen Daten für personalisierte
Werbung und Inhalte der verschiedenen Akteure erschwerte.[116]

AnsichtEntwicklerStatistikenStellungnahme zu Cookies

[...]
Wie sonst kann man den Satz denn verstehen? Ich habe das auch so
verstanden, dass man der Bericht über die Richtlinien eines Unternehmens
nur dann ein Verstoß sein kann, wenn die Richtlinien vorschreiben, dass
sie Dritten gegenüber geheim zu halten sind.

Leider keine, Grund ist, damit kein Außenstehender einfach so erfährt,
wie beschissen die Sicherheit dann wirklich gehandhabt wird.
Behörden und IT-Sicherheit passen in Deutschland nicht gut zusammen,
was die ganzen erfolgreichen Angriffe immer wieder zeigen.
Die Vergangenheit hat gezeigt, dass "viele Augen sehen mehr" oft
hilfreich ist.
Es hat seine Gründe, dass gerade closed-source Software öfter mal von
schweren Sicherheitsprobleme betroffen ist.
Das Konzept ist ganz einfach:
Man erarbeitet allgemein sinnvolle Konzepte und lässt diese - wie in
der Wissenschaft - von einem großen Personenkreis prüfen.
Ist es ein gescheites Konzept, wird es da kaum Gegenwind geben, ist es
das nicht, wird ein Shitstorm entstehen.

Wie gut "security by obcsurity" funktioniert, kann man immer wieder gut
an Microsoft sehen.

Joerg Lorenz, 2023-02-07 07:55:

[...]
Eben - genau das ist das Problem.

Allein die Abnahme durch regulierende Behörden garantiert wenig bis gar
nichts. Nicht selten wir da nur nach "Aktenlage" entschieden, d.h. den
zuständigen Stellen wird nur eine schriftliche Dokumentation vorgelegt,
was man zu tun gedenkt und das dann als "sicher" abgenommen. Die Behörde
ist dann per Definition kompetent, egal ob sie das fachlich wirklich
leisten kann oder nicht.