99
Ein kursorischer Blick auf die Umsetzungs- und Ergänzungsgesetze anderer Mitgliedstaaten reicht, um festzustellen, dass für verarbeitende Stellen hinter den Vorschriften der Verordnung wie bereits im Geltungszeitraum der Richtlinie ein Dickicht von mitgliedstaatlichen Datenschutzgesetzen liegt deren Anwendbarkeit im Einzelfall zu prüfen ist.
77 Siehe zu den Öffnungsklauseln Kap. 1 Rn. 8. 78 Siehe oben Rn. 12ff. und 24ff. 79 Vgl. Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 10ff. und 64. 80 BeckOK-DS/Gusy/Eichenhofer, § 1 BDSG Rn. 101a. 81 In der Begründung steht zum Beispiel, dass § 1 Abs. 4 S. 1 (sic) Nr. 3 BDSG (2018) dem § 1 Abs. 5 S. 2 BDSG (bis 2018) entspricht, BT-Drs. 18/11325 S. 80. Selbst wenn man dies als eine Bezugnahme auf § 1 Abs. 4 S. 2 Nr. 3 BDSG (2018) umdeutet, ist diese Aussage inhaltlich offensichtlich falsch. 82 Vgl. Calliess/Ruffert/Calliess, Art. 2 AEUV Rn. 13ff. 83 Siehe oben Rn. 34ff. 84 Siehe oben Rn. 49ff. 85 Eine Anwendbarkeit der Verordnung auf nicht-öffentliche Stellen nach Art. 3 Abs. 3 DSGVO wird in der Praxis nur vorkommen, wenn eine nicht-öffentliche Stelle Daten am Ort einer diplomatischen oder konsularischen Vertretung eines EU-Mitgliedstaates außerhalb der EU verarbeitet (vgl. Erwägungsgrund 25). Kurioserweise würde bei unkritischer Anwendung des § 1 Abs. 4 S. 2 Nr. 3 BDSG (2018) i.V.m. Art. 3 Abs. 3 DSGVO z.B. für die Datenverarbeitung eines peruanischen Unternehmens in der französischen Botschaft in Lima das BDSG (2018) gelten. 86 So auch Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 15.
V. Anwendungsbereich sonstiger ausfüllender Normen
100
Neben mitgliedstaatlichen Datenschutzgesetzen können andere mitgliedstaatliche Normen für die datenschutzrechtliche Beurteilung relevant werden.
101
So stellt zum Beispiel Art. 6 Abs. 1 lit. c DSGVO im Sinne einer Rechtsgrundverweisung auf die Erfüllung einer rechtlichen Verpflichtung ab, „der der Verantwortliche unterliegt“.87
102
Auch für die Wirksamkeit einer datenschutzrechtlichen Einwilligung wird in Sondersituationen auf mitgliedstaatliches Recht verwiesen. Dies ist bei der Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft nach Art. 8 Abs. 1 S. 3 DSGVO und bei der Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 2 lit. a DSGVO der Fall.
103
Diese ergänzenden Normen folgen ihren eigenen Anwendbarkeitsregeln, die im Einzelfall zu prüfen sind.
87 Siehe auch Art. 14 Abs. 5 lit. c und 28 Abs. 3 lit. a DSGVO, die ähnliche Verweise enthalten.
Kapitel 4 Datenschutzrechtliche Grundsätze
Übersicht
I. Bedeutung und Funktion der Datenschutzgrundsätze
1
Das Datenschutzrecht ist geprägt von mehreren fundamentalen Grundsätzen, die sozusagen das Leitbild des Gesetzgebers bildeten für die Ausgestaltung der datenschutzrechtlichen Pflichten. Diese Grundsätze liegen deshalb sämtlichen einzelnen in der DSGVO (und auch den Begleitgesetzen und den bereichsspezifischen Sondervorschriften) enthaltenen Pflichten zugrunde.
2
Der EU-Gesetzgeber hat diesen Grundsätzen mit Art. 5 DSGVO eine eigenständige Vorschrift gewidmet und sie dadurch quasi „vor die Klammer“ gezogen.1 Für diejenigen, die sich erstmals mit dem Datenschutzrecht beschäftigen, bietet Art. 5 DSGVO deshalb eine gute Einstiegslektüre – beschreibt er doch in Kurzform den Pflichtenkanon nach der DSGVO.
Beispiel
In Art. 5 Abs. 1 lit. a DSGVO ist der Grundsatz der „Rechtmäßigkeit“ festgeschrieben – dieser bildet die Grundlage für die spezifischen Vorschriften, die Details dazu regeln, wann eine Verarbeitung personenbezogener Daten erlaubt ist, also insbesondere Art. 6 DSGVO, der konkrete Bedingungen für die Zulässigkeit einer Datenverarbeitung normiert.
3
Diese Verarbeitungsgrundsätze haben gleichwohl eine Praxisrelevanz: So messen die Gerichte diesen Grundsätzen bei ihren Entscheidungen durchaus Bedeutung zu. In einer Entscheidung des LG Bonn2 sind sie für das Gericht sogar Hauptprüfungsmaßstab für die Frage der Zulässigkeit der streitgegenständlichen Datenerhebungen. Dies ist Beleg dafür, dass einigen dieser Grundsätze unter der DSGVO ein stärkeres Gewicht zukommt als nach dem BDSG a.F. – namentlich z.B. dem Grundsatz der Datenminimierung (auch wenn das Gericht hier noch den „alten“ Begriff der Datensparsamkeit nach § 3a BDSG a.F. verwendet), der nach altem Recht als reiner Programmsatz kaum rechtliche Konsequenzen nach sich gezogen hätte.
1 Vgl. Strassemeyer, K&R 2020, 176, 177. 2 LG Bonn, Beschl. v. 29.5.2018 – 10 O 171/18, ZD 2018, 588.