Eine Trennung zwischen öffentlichen und privaten Bereichen sah die Richtlinie nicht vor, wurde aber beispielsweise im Mitgliedstaat Deutschland weiterhin vorgenommen.45 Eine unterschiedliche Behandlung von Drittstaaten, also solchen, die nicht Mitglieder der Gemeinschaft waren, wurde aus der Richtlinie ebenfalls deutlich.46 Die Unterscheidung zwischen Mitgliedstaaten und Drittstaaten bedeutete, dass besondere Anforderungen gelten sollten, sobald personenbezogene Daten die Grenzen der Europäischen Gemeinschaft verlassen sollten.47 Die Überwachung der Einhaltung der Datenschutzgesetze wurde jeweils den Mitgliedstaaten überlassen, die hierfür unabhängige Kontrollstellen einrichten sollten.48 Diese sollten jedoch bei der Überwachung nicht alleine gelassen werden. So wurde ergänzend und beratend nach Art. 29 und 30 DSRL ein unabhängiges europäisches Gremium eingeführt, das die Aufgabe hatte, Durchführungsdefizite aufzudecken und zu adressieren, die EU-Kommission zu beraten und das Schutzniveau in nichteuropäischen Staaten zu bewerten.49 Dieses Gremium war die sogenannte „Artikel 29-Datenschutzgruppe“.50
2. Artikel-29-Datenschutzgruppe
Die Artikel-29-Datenschutzgruppe hat sich verschiedentlich zur Einwilligung, auch im medizinischen Kontext, geäußert.51 Damit hat sie Grundsteine für die Auslegung der Kriterien der Einwilligung gelegt. Die Datenschutzgruppe bestand gem. Art. 29 Abs. 2 DSRL aus je einem Vertreter der einzelnen Mitgliedstaaten, dem Europäischen Datenschutzbeauftragten und einem Vertreter der EU-Kommission. Die Stellungnahmen und Empfehlungen der Datenschutzgruppe waren nicht verbindlich.52
Die Stellungnahmen, Empfehlungen und Arbeitspapiere der Artikel-29-Datenschutzgruppe konnten jedoch einen wesentlichen Beitrag zur einheitlichen Anwendung der DSRL leisten.53
Seit Anwendbarkeit der DSGVO hat der Europäische Datenschutzausschuss (EDSA) als unabhängiges Organ der EU das Gremium als Nachfolger abgelöst54 und am 25. Mai 2018 gem. Art. 68 Abs. 1 DSGVO die Aufgabe übernommen, die einheitliche Anwendung der Datenschutzvorschriften zu fördern.55 Viele der Strukturen des EDSA ähneln denen des Vorgängerausschusses, allerdings haben einige Kompetenzerweiterungen stattgefunden.56 Obwohl der EDSA weiterhin ebenfalls hauptsächlich unverbindliche Stellungnahmen, Leitlinien und Empfehlungen ausarbeitet57, kann er nun in besonderen Situationen im Rahmen der sog. Streitbeilegung zwischen den europäischen Datenschutzaufsichtsbehörden verbindliche Beschlüsse erlassen.58
3. EuGH-Rechtsprechung im Datenschutzbereich
Eine der Entwicklungslinien im Europarecht ist die Rechtsprechung des EuGH.59 Das europäische Datenschutzrecht wird aufgrund seines jungen Alters allerdings von einer überschaubaren Menge an einschlägigen EuGH-Entscheidungen begleitet.60 Gleichwohl hat sich hat sich der Gerichtshof als „Bollwerk des Datenschutzes“61 positioniert; die Entscheidungen werden regelmäßig auch von den Tagesmedien aufgegriffen und sind von teilweise erheblicher Brisanz in der Praxis.62
Ein Bruchteil dieser Entscheidungen betrifft jedoch Gesundheitsdaten. Beispielsweise hat der EuGH im Fall Lindqvist63 im Jahr 2003 entschieden, dass der Begriff der Gesundheitsdaten weit auszulegen ist und
„dass er sich auf alle Informationen bezieht, die die Gesundheit einer Person unter allen Aspekten — körperlichen wie psychischen — betreffen.“64
Die weite Auslegung wurde später durch das Gericht (EuG) dahingehend präzisiert, dass aus einer Beschreibung über eine „persönliche Einschränkung“ die Offenlegung von Gesundheitsdaten oder medizinischen Daten nicht hervorgeht.65 Daraus ist zu schließen, dass zumindest eine gewisse hinreichende Konkretisierung bei Gesundheitsdaten erforderlich ist.
Solange keine Urteile im Bereich des Gesundheitsdatenschutzes ergehen, die die neuen Regelungen der DSGVO interpretieren, muss auf die allgemeinen Auslegungsgrundsätze, mit denen der EuGH regelmäßig arbeitet, zurückgegriffen werden. Der EuGH orientiert sich bei der Auslegung von EU-Recht am Wortlaut der Norm und interpretiert diesen bei Unsicherheiten systematisch und teleologisch.66 Die teleologische Auslegung wiederum orientierte sich bisher an dem Spannungsfeld der Ziele der DSRL, dem freien Datenfluss im Binnenmarkt und dem Schutz der Rechte von Betroffenen.67 Bei widerstreitenden Interessen wurden die verschiedenen Grundrechtspositionen gegeneinander abgewogen.68
II. Allgemeines zur DSGVO
Die DSGVO trat nach einem politischen Prozess in Kraft, der fast zehn Jahre andauerte. Aus der DSRL mit 24 Artikeln und 72 Erwägungsgründen wurde eine Verordnung mit einem Umfang von 99 Artikeln und 173 Erwägungsgründen.69 Bereits vor ihrer Anwendbarkeit wurde sie die „größte Katastrophe des 21. Jahrhunderts“70 genannt oder als „Meilenstein und wichtiges Signal“71 bezeichnet.72 Ob sie sich als Jahrhundertwerk oder als gescheiterter Versuch herausstellt, bleibt abzuwarten, obwohl weder das eine noch das andere Extrem zu erwarten ist. Als Ergebnis von Kompromissen und Lobbyismus, liegt es doch – wie auch unter der DSRL – an den Mitgliedstaaten, die auf europäischer Ebene gemeinsam ausverhandelten, textgewordenen Vorsätze in die Praxis umzusetzen.
1. Entwicklung und Ziele der DSGVO
Bevor die DSGVO am 27. April 2016 in Kraft trat, war sie Gegenstand zahlreicher Verhandlungen und mehrerer Entwürfe. Das Streben nach einer umfassenden Überarbeitung des Rechtsrahmens für den Datenschutz lässt sich bis in das Jahr 2009 zurückverfolgen.73 Der Prozess zur Fortentwicklung der DSRL wurde bereits im Mai 2009 mit einer öffentlichen Konsultation durch die EU-Kommission eingeläutet.74 Es folgte unter anderem eine vergleichende Studie dazu, ob die DSRL weiterhin einen angemessenen Schutz personenbezogener Daten gewährleisten konnte, oder ob Änderungen erforderlich seien.75 Ziel war es, herauszufinden, ob die europäischen datenschutzrechtlichen Regelungen im Lichte der Digitalisierung, Technisierung und globalen Datenverarbeitungen einer Überarbeitung bedurften.76 Die Überarbeitung des Rechtsrahmens für Datenschutz war Teil des Stockholmer Programms für den Zeitraum 2010 bis 2014, das vom Europäischen Rat im Sommer 2009 gebilligt wurde.77
Die Untersuchungen der EU-Kommission mündeten Ende 2010 in die Mitteilung „Gesamtkonzept für den Datenschutz in der Europäischen Union“, in der Änderungsvorschläge der Datenschutzvorschriften angekündigt wurden.78 Nach Diskussionen und Studien zum Gesamtkonzept unterbreitete die EU-Kommission Ende 2012 ihren Vorschlag für eine neue Vorschrift, die „Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)“.79 Diese Verordnung sollte einen allgemeinen Rahmen für den Datenschutz in der EU schaffen.80 Gelingen sollte dies über das Instrument einer Verordnung, welche der Anwendung unterschiedlicher nationaler Datenschutzgesetze ein Ende setzen sollte.81 Die EU-Kommission verfolgte den Plan, das Gesetzgebungsverfahren hierfür bis Ende 2012 abzuschließen.82 Doch nie zuvor war ein Gesetzesvorhaben mit so vielen Änderungswünschen versehen und so breit debattiert.83 Das Verfahren nahm somit über vier Jahre Zeit in Anspruch, bis der Vorschlag der EU-Kommission in wesentlichen Punkten geändert wurde und die DSGVO in ihrer heutigen Fassung am 27. April 2016 angenommen wurde.84 Seit dem 25. Mai 2018 ist sie unmittelbar in allen Mitgliedstaaten anwendbar.85
2. Öffnungsklauseln als Besonderheit der DSGVO
Die Betitelung der DSGVO als Grundverordnung – wenn auch nur in der sog. „Kurzangabe des Gegenstands“86 – ist ein Novum. In der Datenbank der EU-Kommission ist keine vergleichbare Bezeichnung eines EU-Rechtsakts zu finden.87 Ursprünglich sollten zentrale Bestimmungen zwar dem Grunde nach in der Verordnung verankert werden, zusätzlich wollte die EU-Kommission jedoch über delegierte Rechts- und Durchführungsakte Konkretisierungen vornehmen.88 Die Bezeichnung als Grundverordnung ist angesichts der ca. 70 Öffnungsklauseln89 mit Spielräumen für nationale Gesetzgeber allerdings nach wie vor treffend und beschreibt die Verwässerung