1.1 Die Datenschutz-Grundverordnung
als Zeitenwende des Datenschutzes
in Deutschland und Europa
Seit dem 25. Mai 2018 gilt die Europäische Datenschutz-Grundverordnung (DSGVO). Am gleichen Tag sind zudem das geltende Bundesdatenschutzgesetz (BDSG) sowie weitreichende Änderungen der Datenschutzvorschriften im Zehnten Buch des Sozialgesetzbuches (SGB X)
und der Abgabenordnung (AO) in Kraft getreten. Am 26. November
2019 ist schließlich das Zweite Datenschutzanpassungs- und Umsetzungsgesetz EU in Kraft getreten, mit dem knapp 150 weitere Bundesgesetze an die DSGVO angepasst worden sind.
Damit wurde das gesamte Datenschutzrecht in Europa und in Deutschland auf eine völlig neue Grundlage gestellt, was nicht weniger als eine
Zeitenwende in der Geschichte des Datenschutzrechts darstellt. Das bisherige deutsche Datenschutzrecht war im Wesentlichen durch zwei Entwicklungen geprägt:
Einerseits fand es seine Grundlage in dem grundrechtlich garantierten Recht auf informationelle Selbstbestimmung, dessen Ausgestaltung maßgeblich durch das Bundesverfassungsgericht geprägt wurde. Lag der Schwerpunkt dabei zunächst bei der Abwehr staatlicher Eingriffe in das Grundrecht, spielt inzwischen der Ausgleich zwischen wirtschaftlichen Interessen an der Verarbeitung personenbezogener Daten und den Persönlichkeitsrechten der Menschen eine mindestens ebenso wichtige Rolle.
Andererseits basierte das bisherige Datenschutzrecht zu einem großen
Teil auf der in mitgliedstaatliches Recht umzusetzenden Richtlinie 95/46/EG (EG-Datenschutzrichtlinie). Diese ist am 25. Mai 2018 außer
Kraft getreten und durch die unmittelbar geltende DSGVO ersetzt worden. Das BDSG und die bereichsspezifischen Datenschutzvorschriften in Deutschland gelten nur noch ergänzend und insoweit, wie die DSGVO dies zulässt.
Zudem musste auch für die polizeiliche und justizielle Datenverarbeitung bis zum 6. Mai 2018 die Richtlinie (EU) 2016/680 umgesetzt
werden, die einen entsprechenden Rahmenbeschluss der EU aus dem Jahre 2008 ersetzt. Daher gilt auch in diesem Bereich ein europaweit stärker harmonisierter Rechtsrahmen, der weitgehend dem Standard der DSGVO nachempfunden ist.
DSGVO, BDSG und die bereichsspezifischen Datenschutzbestimmungen stellen die Regeln für die Verarbeitung personenbezogener Daten
auf. Jegliche Verarbeitung von personenbezogenen Daten bedarf einer ausdrücklichen Erlaubnis, sei es durch eine gesetzliche Regelung oder durch eine Einwilligung der einzelnen Person. All diese Gesetze enthalten Schutzregelungen für das Recht auf Datenschutz. Dazu gehören
nicht zuletzt die Rechte der von der Datenverarbeitung betroffenen Personen.
Die DSGVO und die nationalen Gesetze verpflichten die Datenverarbeiter also von vornherein, die rechtlichen „Spielregeln“ der Datenverarbeitung zu beachten und die Bürgerinnen und Bürger über die Verarbeitung ihrer Daten zu informieren. Sie weist aber auch den betroffenen Personen eine Reihe von Rechten zu.
Vorrangiges Ziel des Datenschutzes ist es, eine Gefährdung des Persönlichkeitsrechts aller von vorneherein durch das Aufstellen von Verarbeitungsregeln für personenbezogene Daten und über die Gestaltung
und den Einsatz von Informationstechnik zu verhindern.
Die DSGVO betont dabei die Bedeutung datenschutzfreundlicher IT-Systeme. Im Mittelpunkt steht dabei nicht nur der Grundsatz der Datenminimierung, dass also so wenige personenbezogene Daten wie möglich verarbeitet werden. Riesige Datenmengen sollen erst gar nicht entstehen. Die DSGVO enthält vielmehr auch den Grundsatz der datenschutzfreundlichen Verarbeitung, indem sie die Aspekte des
Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen in Art. 25 DSGVO in einen – auch mit Geldbußen – durchsetzbaren rechtlichen Rahmen gießt. Die technischen und
organisatorischen Maßnahmen, die nach Art. 32 DSGVO zu treffen sind, sollen die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten sowie die Belastbarkeit und Revisionsfähigkeit
der IT-Systeme sichern.
Die Datenschutzaufsicht ist mehr als eine begleitende und ggf. sanktionierende Kontrollinstanz. Einen Schwerpunkt ihrer Arbeit bildet mehr denn je die vorbeugende Beratung. Behörden und Unternehmen,
Bürgerinnen und Bürger sollten daher keine Scheu haben, bei den Datenschutzbehörden Rat zu suchen.
Angesichts der immer größer werdenden Flut unterschiedlichster Formen der Datenverarbeitung und Informationsgewinnung können aber auch Kontrollbehörden nicht überall sein. Alle Rechte und technischen
Möglichkeiten sind nur dann von Nutzen, wenn Bürgerinnen und Bürger sie kennen, von ihnen Gebrauch machen und sich auch selbst gegen einen möglichen Missbrauch ihrer Daten schützen.
Dabei können sie die Hilfe der Datenschutzbehörden in Anspruch nehmen. Auch die Verantwortung der Behörden und Unternehmen muss hier greifen. Sie sind aufgerufen, im Rahmen der Gesetze eigene selbstverpflichtende Regelungen innerhalb ihrer Branchen oder auch
im internationalen Rahmen zu entwickeln. Hierfür stellt die DSGVO