Description: Katrin Riep 109 EU-Datenschutz-Grundverordnung sowie Entwicklungen im Landesdatenschutzrecht Sachsen-Anhalt LSA VERM 2/2018 Überblick zur EU-Datenschutz-Grundverordnung (DS-GVO) sowie wesentliche Entwicklungen im Landesdatenschutzrecht Sachsen-Anhalt Von Katrin Riep, Magdeburg Zusammenfassung Die gründliche Befassung mit der DS-GVO ist in allen Bereichen erforderlich, die mit personenbezogenen Daten arbeiten. Speziell unter Berücksichtigung der Verpflichtungen durch die Betroffenenrechte, kurzfristig erforderlicher Sofortmaßnahmen und der neu eingeführten Rechenschaftspflicht des Verantwortlichen sollte die DS-GVO zwingend dazu führen, dass der Datenschutz und das damit verbundene Datenschutzmanagementsystem dauerhaft in Unternehmen wie Behörden integriert wird. 1 Allgemeine Hinweise zum Geltungsbereich der DS-GVO Die DS-GVO (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richt- linie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 04.05.2016 S. 1 ff., L 314 vom 22.11.2016, S. 72,ABl. L 127 vom 23.05.2018, S. 2 ff.) ist seit Mai 2016 in Kraft und gilt nach dem zweijährigen Übergangszeitraum seit dem 25. Mai 2018 in allen Mitgliedsstaaten der EU gleichzeitig, unmittelbar und einheitlich (Art. 99 DS- GVO). Sie benötigt aufgrund ihres Rechtscharakters als Grundverordnung keines weiteren mitgliedschaftlichen Umsetzungsaktes. Bereits die Vorgängerregelung (RL 95/46/EG) war vollharmonisierend angelegt, konnte jedoch aufgrund der in der Zwischenzeit nach Inkrafttreten im Alltag und der Lebenswirklichkeit eingetretenen technischen Neuerungen (und u. a. daraus ergebenden Umgehungsmöglichkeiten), insbesondere für die großen Online-Unternehmen wie Google, Facebook etc. nur unzureichende Regelungen, v. a. eingrenzende Sanktionen, treffen. Die DS-GVO ist in Abgrenzung und zugleich engem Zusammenhang mit der zeit- gleich verabschiedeten sogenannten JI-RL (Richtlinie (EU) 2016/680 des Europäi- schen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Perso- nen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Auf- hebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. L 119 vom 04.05.2016, S. 89 ff.) zu betrachten. Um den sachlichen Anwendungsbereich der JI-RL von der DS-GVO abzugrenzen, ist die Regelung des Art. 2 Abs. 2 d DS-GVO in Verbindung mit den Erwägungsgründen (EG) Nr. 19 wesentlich. Für den behördlichen Bereich ist zum Verständnis wichtig, dass die Abgrenzung von der DS-GVO zur JI-RL nicht auf die Behördenzuständigkeit als Kriterium abstellt, sondern eine aufgabenbezogene Dieser Beitrag gibt die persönliche Auffassung der Autorin wieder und soll insbesondere im behördlichen Bereich die systematische Arbeit mit der Rechtsmaterie erleichtern. LSA VERM 2/2018 Katrin Riep EU-Datenschutz-Grundverordnung sowie Entwicklungen im Landesdatenschutzrecht Sachsen-Anhalt 110 Betrachtung erfolgt. Aus systematischen Gründen erfolgen zu diesem wesentlichen Aspekt nähere Ausführungen unter dem Punkt I.1 (Entwicklungen im Landesdaten- schutzrecht Sachsen-Anhalt). Aus dem oben genannten Rechtscharakter der DS-GVO als Grundverordnung er- gibt sich zudem, dass entgegenstehendes und prinzipiell auch gleichlautendes Recht generell im Sinne der DS-GVO auszulegen und anzuwenden ist. Die Rechtsnatur der 173 Erwägungsgründe der DS-GVO soll an dieser Stelle für den Anwender in der Praxis kurz verdeutlicht werden. Erwägungsgründe (EG) be- finden sich zwar außerhalb des eigentlichen Normtextes, dienen jedoch als fester Bestandteil einer Rechtsquelle als Auslegungskriterium der Praxis, da sie Rück- schlüsse über Zielsetzungen und Hintergründe für den Erlass des Rechtsaktes und der politischen Einigung vorab geben. Sie entfalten insofern im Ergebnis zwar keine direkte Bindungswirkung, stellen jedoch wichtige Orientierungshilfen im Rahmen der Auslegung dar [Paal, Pauly 2018, Einleitung RN 10]. Im Folgenden werden die wesentlichsten (in der behördlichen Praxis häufig rele- vanten) neuen bzw. modifizierten Regelungen inhaltlich kurz vorgestellt: 1) Erweiterung des räumlichen Anwendungsbereichs Der räumliche Anwendungsbereich der DS-GVO wird erheblich ausgedehnt auf da- tenverarbeitende Stellen auch außerhalb der EU, soweit sie personenbezogene Da- ten von in der Union befindlichen Personen verarbeiten und Waren oder Dienst- leistungen entgeltlich oder unentgeltlich in der EU anbieten (Art. 3 Abs. 2 lit. a DS-GVO) oder eine Verhaltensbeobachtung nach Art. 3 Abs. 2 lit. b DS-GVO statt- findet. Das sogenannte „Marktortprinzip“ nach Art. 3 Abs. 2 DS-GVO soll für gleiche Wettbewerbsbedingungen für alle in- und ausländischen Unternehmen sorgen, die auf dem europäischen Binnenmarkt tätig sind. Abzuwarten bleibt, ob in der zukünf- tigen Rechtspraxis durch diese beabsichtigte Schaffung einheitlicher Wettbewerbs- bedingungen z. B. im Bereich der IT-Wirtschaft die Stärkung nationaler oder euro- päischer Unternehmen gegenüber den Marktgiganten (Facebook, Google etc.) erreicht wird. [Albrecht 2018,Teil 8]. 2) Geschützte Rechte natürlicher Personen, neuer Verarbeitungsbegriff Regelungsziel der DS-GVO ist der Schutz personenbezogener Daten natürlicher Personen (Art. 1 DS-GVO). Der gewährte Schutz soll nicht auf die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen erweitert werden (s. a. EG 14 DS-GVO). Daten der Organe juristischer Personen sind zwar im Ergebnis wieder Daten von natürli- chen Personen (Organe der Gesellschaft wie Gesellschafter, Geschäftsführer, Auf- sichtsrat), jedoch haben diese Personen die Datenverarbeitung bei unmittelbarem Bezug zur juristischen Person als Daten der juristischen Person hinzunehmen (s. a. BGH vom 24.06.2003,VI ZR 3/03 und nun insoweit stringent: EG 14 Satz 2 DS- GVO). Der weit gefasste sachliche Anwendungsbereich (Art. 2 Abs. 1 DS-GVO) gibt vor, dass die DS-GVO neben der ganz oder teilweise automatisierten Datenverarbei- tung auch für die nicht automatisierte Verarbeitung personenbezogener Daten gilt, sofern diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Katrin Riep 111 EU-Datenschutz-Grundverordnung sowie Entwicklungen im Landesdatenschutzrecht Sachsen-Anhalt LSA VERM 2/2018 Unter Berücksichtigung des Wortlautes EG 15 wird deutlich, dass dieser extensive Anwendungsbereich u. a. in der behördlichen Praxis zu einer deutlichen Sensibilisie- rung im Sinne des Schutzzweckes der DS-GVO beitragen sollte. Sofern im bisherigen fachspezifischen Datenschutzrecht mit der Nennung der soge- nannten Trias „Erheben, Verarbeiten und Nutzen“ umfassend alle datenbezogenen Vorgänge gemeint waren, wird nun lediglich der Begriff „Verarbeiten“ unter Bezug auf Art. 4 Nr. 2 DS-GVO verwandt. Der bisher geltende engere Begriff „Verarbei- ten“ wurde grundsätzlich durch die nicht abschließend aufgezählten Unterfälle (Er- heben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung,Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung) ersetzt. Im Grunde sind damit alle Formen des Umgangs mit Daten angesprochen, um durch die extensive, nicht abschließende Aufzählung bewusst einen sehr weiten, zukunfts- tauglichen Schutzbereich zu schaffen. Neu ist der erweiterte Verarbeitungsbegriff nach Art. 4 Nr. 2 DS- GVO; die nicht abschließende Aufzählung möglicher Nutzungsvorgänge erfasst im Ergebnis jeden Umgang mit Daten (mit oder ohne Hilfe automatisierter Verfahren). Besondere Kategorien personenbezogener Daten sind nach Art. 9 Abs. 1 DS-GVO Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religi- öse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person (Art. 9 Abs. 1 DS-GVO). Die rechtmäßige Verarbeitung dieser besonders sensiblen Daten erfordert stets besondere Prüfungen (u. a.Art. 9 Abs. 2 und 35 DS-GVO). Nach Artikel 6 Abs. 1 DS-GVO gilt das bereits bekannte Grundmodell des Verbotes Jede Verarbeitung der Datenverarbeitung unter dem Vorbehalt einer gesetzlichen oder gewillkürten muss neben den grundsätzlichen Erlaubnis. Voraussetzungen Zur Rechtmäßigkeit der Datenverarbeitung benennt Art. 6 Abs. 1 DS-GVO sechs (Art. 5 DS-GVO) auch Rechtsgrundlagen. mindestens einer der Auf die Einwilligung nach Art. 6 Abs. 1 lit. a (hierzu s. a. Art. 4 Nr. 11 DS-GVO) wird in Art. 6 Abs. 1 der behördliche Bereich aufgrund der typischerweise fehlenden Freiwilligkeit im DS-GVO genannten Über-/Unterordnungsverhältnis zwischen Behörde und Bürger unter Beachtung des Rechtsgrundlagen EG 43 DS-GVO eher selten zurückgreifen können. Im Einzelfall muss im Bereich der genügen. Einwilligung stets Art. 7 DS-GVO beachtet werden, d. h. erforderlich ist eine ein- deutige, bestätigende Handlung, wobei bereits angekreuzte Kästchen oder die reine Untätigkeit nicht mehr ausreichend sein dürften. Insbesondere vorformulierte Ein- Voraussetzungen willigungserklärungen müssen nach Art. 7 Abs. 2 DS-GVO in verständlicher und einer wirksamen Ein- leicht zugänglicher Form und in einer klaren und einfachen Sprache verfasst sein willigung nach Art. 6 und klar unterscheidbar von anderen Erklärungen erfolgen. Auf die jederzeitige Wi- Abs. 1 lit. a,Art. 4 Nr. derrufsmöglichkeit nach Art. 7 Abs. 3 DS-GVO sowie die Rechtswirkungen eines 11,Art.7 f. DS-GVO ist Widerrufs ist hinzuweisen. Nach EG 32 DS-GVO ist grundsätzlich zwar auch eine u. a. das Merkmal der elektronische und mündliche Form der Einwilligung zulässig, jedoch wird die Praxis „Freiwilligkeit“, das aufgrund der sich stellenden Nachweisproblematik im Einzelfall (Art. 7 Abs. 1 DS- im behördlichen GVO und EG 42) hiervon eher absehen. Inwiefern die alten – vor Inkrafttreten der Verhältnis zum Bürger DS-GVO, also auf der Basis der Richtlinie 95/46 EG – erteilten Einwilligungen ggf. im nicht in jedem Fall zu Einzelfall neu eingeholt werden müssen, ist anhand EG 171 DS-GVO zu prüfen. bejahen ist (s. a. EG 43).
Types:
Origin: /Land/Sachsen-Anhalt/LVERMGEO
Tags: Magdeburg ? Sachsen-Anhalt ? Erlaubnisvorbehalt ? Europäischer Rat ? Datenaustausch ? EU-Binnenmarkt ? Datenverarbeitung ? Rechtsgrundlage ? Schutzrecht ? Technischer Fortschritt ?
License: all-rights-reserved
Language: Deutsch
Issued: 2019-01-08
Modified: 2019-01-08
Time ranges: 2019-01-08 - 2019-01-08
Accessed 1 times.