Hauptinhalt

Allgemeines zur neuen Rechtslage

Bereits im Januar 2012 hat die Europäische Kommission eine umfassende Reform des Datenschutzrechts vorgeschlagen. Nach vielen Verhandlungen und einem umfangreichen Rechtssetzungsverfahren wurden am 27. April 2016 die beiden zentralen Regelwerke zur Neuordnung des europäischen Datenschutzrechts verabschiedet: die Datenschutz-Grundverordnung und die Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung.

Zentraler Unterschied zwischen diesen beiden Regelwerken ist, dass die Datenschutz-Grundverordnung seit 25. Mai 2018 unmittelbar gilt, es also keines weiteren Umsetzungsaktes in nationales Recht mehr bedarf. Möglich sind lediglich ergänzende nationale Regelungen, soweit die Verordnung hierfür Öffnungsklauseln vorsieht oder Regelungsaufträge beinhaltet. Dagegen gilt die Datenschutz-Richtlinie grundsätzlich nicht direkt. Vielmehr waren die nationalen Gesetzgeber gehalten, bis zum 6. Mai 2018 die Rechtsvorschriften zu erlassen, die erforderlich sind, um den Vorgaben der Richtlinie nachzukommen.

Die Datenschutz-Grundverordnung wird im Freistaat Sachsen durch das Sächsische Datenschutzdurchführungsgesetz ergänzt. Das Sächsische Datenschutzgesetz ist seit dem 25. Mai 2018 nicht mehr für die Regelungsmaterien der Datenschutz-Grundverordnung und des Sächsischen Datenschutzdurchführungsgesetzes anwendbar. Allerdings ist es noch nicht vollständig außer Kraft getreten, vielmehr soll es zunächst weiterhin für die Verarbeitung personenbezogener Daten durch öffentliche Stellen anwendbar bleiben, soweit diese im Anwendungsbereich der Datenschutz-Richtlinie tätig werden. Auch die Verarbeitung personenbezogener Daten im Rahmen der parlamentarischen Aufgabenwahrnehmung des Sächsischen Landtags wird sich zunächst weiter auf das Sächsische Datenschutzgesetz stützen. Spätestens am 31. Dezember 2019 soll es dann jedoch vollständig außer Kraft treten.

Anwendungsbereich von Datenschutz-Grundverordnung und Datenschutz-Richtlinie

Datenschutz-Grundverordnung und Datenschutz-Richtlinie unterscheiden sich in ihrem Anwendungsbereich wie folgt:

Datenschutz-Grundverordnung

Der sachliche Anwendungsbereich der Datenschutz-Grundverordnung ist in Artikel 2 geregelt. Danach gilt die Verordnung für die automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Der Begriff des Dateisystems wird in Artikel 4 Nummer 6 der Datenschutz-Grundverordnung definiert. Darunter ist jede strukturierte Sammlung personenbezogener Daten zu verstehen, die nach bestimmten Kriterien zugänglich ist. In der Kommentarliteratur werden dabei überwiegend zwei Zuordnungskriterien wie z. B. Aktenzeichen, Jahreszahl oder Name als ausreichend erachtet. Dabei wird der Anwendungsbereich der Datenschutz-Grundverordnung technikneutral sehr groß gefasst. Auch Schriftstücke oder Zettel mit personenbezogenen Daten, die noch unsortiert in einer Ablage aufbewahrt werden, fallen bereits dann unter den Anwendungsbereich der Datenschutz-Grundverordnung, wenn sie später in eine entsprechende Akte einsortiert werden sollen. Lediglich Akten oder Aktensammlungen, die nicht nach bestimmten Kriterien geordnet sind, fallen nicht in den Anwendungsbereich der Verordnung (vgl. Erwägungsgrund 15 der Datenschutz-Grundverordnung).

Darüber hinaus wird der Anwendungsbereich der Datenschutz-Grundverordnung in Artikel 2 Absatz 2 negativ abgegrenzt. Insbesondere fallen nicht in den Anwendungsbereich:

  • Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen (z. B. Tätigkeit der Abgeordneten im Landtag, Tätigkeit des Landesamtes für Verfassungsschutz),
  • Tätigkeiten, die die gemeinsame Außen- und Sicherheitspolitik der Mitgliedstaaten betreffen (Anwendungsbereich von Titel V, Kapitel 2 des Vertrags der Europäischen Union),
  • ausschließlich persönliche oder familiäre Tätigkeiten natürlicher Personen,
  • die Verarbeitung personenbezogener Daten im Anwendungsbereich der Datenschutz-Richtlinie.

Datenschutz-Richtlinie

Auch die Datenschutz-Richtlinie legt ihren Anwendungsbereich in Artikel 2 fest. Nach Absatz 1 gilt die Richtlinie für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden für die Zwecke des Artikels 1 Absatz 1 Datenschutz-Richtlinie, demnach also

  • zum Zwecke der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder
  • der Strafvollstreckung,
  • einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

Im Übrigen gilt die Datenschutz-Richtlinie wie die Datenschutz-Grundverordnung für die automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, sind auch vom Anwendungsbereich der Richtlinie ausgenommen.

Anwendungsvorrang der Datenschutz-Grundverordnung

Da - wie oben bereits dargelegt - die Datenschutz-Grundverordnung unmittelbar, also ohne weiteren Umsetzungsakt gilt, ist sie innerhalb ihres Anwendungsbereiches das zentrale, maßgebliche Datenschutzrecht. Allerdings gibt es wie auch bisher weitere bundes- oder landesrechtliche Vorschriften über den Datenschutz. Im Freistaat Sachsen ergänzt insbesondere das Sächsische Datenschutzdurchführungsgesetz die Datenschutz-Grundverordnung um allgemeine datenschutzrechtliche Regelungen. Andere spezielle datenschutzrechtliche Regelungen, wie z. B. die Vorschriften zur Verarbeitung personenbezogener Daten im Sächsischen Beamtengesetz oder im Sächsischen Schulgesetz und den Schulordnungen sind erhalten geblieben oder wurden an die Vorgaben der Datenschutz-Grundverordnung angepasst.

Was heißt das aber nun konkret für die Rechtsanwendung? Hier einige Antworten:

  • Das Verständnis datenschutzrechtlicher Begriffe ergibt sich ausschließlich aus den Definitionen der Datenschutz-Grundverordnung (vgl. Artikel 4 Datenschutz-Grundverordnung).
  • Die Pflichten, die Ihnen als Verantwortlicher für die Verarbeitung personenbezogener Daten obliegen, sind in der Datenschutz-Grundverordnung verankert (vgl. insbesondere Artikel 5, 24 ff.32 ff. Datenschutz-Grundverordnung).
  • Gleichzeitig sind auch die Rechte der betroffenen Personen unmittelbar in der Datenschutz-Grundverordnung normiert. Ausnahmen von diesen Rechten enthält entweder die Datenschutz-Grundverordnung selbst oder diese können in engen Grenzen durch nationale Gesetze, Rechtsverordnungen oder Satzungen zugelassen sein, vgl. z. B. §§ 8 ff. des Sächsischen Datenschutzdurchführungsgesetzes.
  • Ausgangspunkt der Prüfung, ob eine Verarbeitung personenbezogener Daten rechtmäßig erfolgt, ist Artikel 6 Absatz 1 Datenschutz-Grundverordnung. Wie sich die Prüfungsreihenfolge im Zusammenspiel mit nationalen spezialgesetzlichen Regelungen gestaltet, ist in dieser Übersicht dargestellt.
  • Soweit die Verarbeitung auf einer Einwilligung der betroffenen Person beruht, ergeben sich die Bedingungen für die Einwilligung aus der Datenschutz-Grundverordnung (vgl. Artikel 7 und 8 Datenschutz-Grundverordnung). Als Rechtsgrundlage für die Verarbeitung durch eine Behörde kommt die Einwilligung in aller Regel nicht in Betracht (vgl. Erwägungsgründe 43 und 45 der Datenschutz-Grundverordnung).
  • Die Datenschutz-Grundverordnung schreibt vor, wann ein Datenschutzbeauftragter zu benennen ist und welche Aufgaben dieser hat (vgl. Artikel 37 ff. Datenschutz-Grundverordnung).
  • Aufgaben und Befugnisse der Aufsichtsbehörde ergeben sich unmittelbar aus der Datenschutz-Grundverordnung (vgl. Artikel 57 und 58 Datenschutz-Grundverordnung).

Die Datenschutz-Grundverordnung beinhaltet neben ihren 99 Artikeln auch insgesamt 173 Erwägungsgründe, die den Artikeln voranstehen. Die Erwägungsgründe dienen in erster Linie der Begründung der einzelnen Verordnungsnormen. Aus ihnen können direkt zwar keine Rechte und Pflichten abgeleitet werden, sie helfen jedoch bei der Auslegung der einzelnen Artikel und bestimmen so Zweck, Reichweite und Inhalt der einzelnen Artikel mit. Unter diesem Link  finden Sie eine Zusammenstellung, welche Erwägungsgründe für welche Artikel relevant sind.

Warum noch ein Sächsisches Datenschutzdurchführungsgesetz?

Natürlich stellt sich nun die Frage, warum es neben diesen umfassenden allgemeinen datenschutzrechtlichen Regelungen der Datenschutz-Grundverordnung auch noch ein Sächsisches Datenschutzdurchführungsgesetz gibt.

Hierfür gibt es mehrere Gründe:

  • Vorschriften, die sich im bisherigen Sächsischen Datenschutzgesetz bewährt haben, sollen auch künftig beibehalten werden. Ihnen werden also einige Paragrafen des Sächsischen Datenschutzdurchführungsgesetzes, wie zum Beispiel die Regelungen zu  den Grundsätzen der Datenverarbeitung oder zu besonderen Verarbeitungssituationen, bekannt vorkommen.
  • Ebenfalls in Anlehnung an das bisherige Recht sollten die Möglichkeiten der Datenschutz-Grundverordnung, die Rechte der Betroffenen einzuschränken, vor allem wenn es um Belange der öffentlichen Sicherheit und Ordnung, Geheimhaltungsvorschriften oder die Verfolgung von Straftaten und Ordnungswidrigkeiten geht, genutzt werden.
  • Die Datenschutz-Grundverordnung verpflichtet die nationalen Gesetzgeber, Regelungen zur Ausgestaltung einer völlig unabhängigen Aufsichtsbehörde zu erlassen. Diesem Regelungsauftrag wurde mit dem Sächsischen Datenschutzdurchführungsgesetz nachgekommen.
  • Das Sächsische Datenschutzdurchführungsgesetz sichert für die öffentlichen Stellen ein datenschutzrechtliches Vollregime. Durch die im parlamentarischen Verfahren aufgenommene Formulierung des § 2 Absatz 4 des Sächsischen Datenschutzdurchführungsgesetzes wird der Anwendungsbereich der meisten Artikel der Datenschutz-Grundverordnung auch auf die Verarbeitung personenbezogener Daten ausgeweitet, die nicht automatisiert oder in einem Dateisystem erfolgt.
zurück zum Seitenanfang