19
Die BDSG-Novelle III80 erfolgte durch Art. 5 des Gesetzes zur Umsetzung der Verbraucherkreditrichtlinie, des zivilrechtlichen Teils der Zahlungsdienstrichtlinie sowie zur Neuordnung der Vorschriften über das Widerrufs- und Rückgaberecht vom 29.7.2009.81 Sie enthielt unter anderem Regelungen zum Umgang mit personenbezogenen Daten im Zusammenhang mit der Kreditwürdigkeitsprüfung von Verbrauchern und Änderungen der Informationspflichten beim Abschluss bzw. der Ablehnung von Verbraucherdarlehensverträgen in § 29 BDSG.
II. Datenschutz-Grundverordnung
20
Die Verarbeitung personenbezogener Daten betrifft heute praktisch jeden Bereich der Gesellschaft und stellt für viele Wirtschaftsprozesse einen wesentlichen Faktor der Wertschöpfungskette dar. Das Datenschutzrecht und der damit verfolgte Ausgleich widerstreitender Interessen an der Freiheit des Datenverkehrs einerseits und dem Schutz natürlicher Personen vor den Gefahren der Datenverarbeitung andererseits ist damit elementar für unser soziales und wirtschaftliches Leben. Der Rechtsrahmen zur Bewertung damit verbundener Fragen aus DSRl und deren Umsetzung in mitgliedstaatlichen Datenschutzgesetzen, wie dem BDSG a.F., wird nun durch die DSGVO und deren Anpassungsgesetze abgelöst.
21
Die DSGVO tritt an die Stelle der DSRl und ist für die Mitgliedstaaten gemäß Art. 288 Abs. 2 AEUV unmittelbar anwendbares Recht.82 Mit der DSGVO erreicht die Harmonisierung des europäischen Datenschutzrechts eine neue Qualität, die aber u.a. durch zahlreiche Öffnungsklauseln und das weiterbestehende Fachrecht im öffentlichen Bereich der Mitgliedstaaten in Frage gestellt wird. Erstmals gibt es in der Rechtsform der Verordnung gemäß Art. 288 Abs. 2 AEUV unionsweit unmittelbar anwendbares Datenschutzrecht. Angesichts zunehmend globalisierter Datenverarbeitung, die sich schon lange nicht mehr durch nationalstaatliche Grenzen einschränken lässt, ein konsequenter, wichtiger und richtiger Schritt; mit Sicherheit aber nicht der letzte zur Weiterentwicklung des Datenschutzrechts der Union. Die Bedeutung der DSGVO für die europäische und weltweite Entwicklung des Datenschutzrechts kann nicht überschätzt werden.83
1. Meilensteine auf dem Weg zur DSGVO
22
Der Prozess zur Neuordnung des europäischen Datenschutzrechts begann schon viele Jahre vor der Verabschiedung der DSGVO. Die erste wichtige Manifestation dieses Prozesses war die Vorstellung des „Gesamtkonzepts für den Datenschutz in der EU“84 am 4.11.2010 durch die Kommission unter Führung der Kommissarin für Justiz, Grundrechte und Bürgerrechte Viviane Reding. Dieses Konzept sah vor, den Datenschutzstandard in der Union anzuheben und unionsweit zu vereinheitlichen, um die Wettbewerbsgleichheit in der Union zu fördern. Zudem sollte der Schutz der Betroffenen im Rahmen eines vollharmonisierten Regelungsumfelds vom Ort der Datenverarbeitung unabhängig gewährleistet werden.85 Das Konzept der Kommission sieht dafür sieben „Grundbausteine“ vor, nämlich 1. eine Einheitliche Rechtsgrundlage in der Rechtsform der Verordnung, 2. eindeutige Zuständigkeiten jeweils einer Aufsichtsbehörde, 3. ein einheitliches und hohes Schutzniveau, 4. Berücksichtigung der Besonderheiten von Polizei und Justiz, 5. Berücksichtigung der Besonderheiten von kleinen und mittleren Unternehmen, 6. ausgewogene Berücksichtigung sämtlicher Grundrechte und 7. Offenheit für technische Entwicklungen.86 Das Parlament begrüßte und unterstützte dieses Konzept ausdrücklich.87 Dennoch dauerte es danach noch fast sechs Jahre, bis eine Einigung der europäischen Institutionen erreicht und die DSGVO am 14.4.2016 durch das Parlament verabschiedet wurde.
a) Kommissionsentwurf
23
Am 25.1.2012 stellte die Kommission ihren Entwurf zur Regelung des europäischen Datenschutzrechts in einer Verordnung88 sowie den Vorschlag für eine Richtlinie für die behördliche Datenverarbeitung zu Zwecken der Aufklärung und Verhinderung von Straftaten89 vor. Mit diesen Regelungsvorschlägen sollte das europäische Datenschutzrecht grundlegend reformiert und an die Anforderungen moderner Datenverarbeitung angepasst werden.90 Der Kommissionsentwurf ist in wesentlichen Teilen in der finalen Fassung der DSGVO umgesetzt worden, sah sich aber auch intensiver Kritik ausgesetzt und wurde in zentralen Aspekten während des Gesetzgebungsverfahrens modifiziert.
24
Kritisiert wurde insbesondere die zentrale und dominierende Rolle der Kommission bei der Normierung und Durchsetzung des Datenschutzrechts. Der Kommissionsentwurf sah an 26 Stellen Regelungen delegierter Rechtsakte nach Art. 290 AEUV vor,91 mit denen die Kommission hätte rechtsetzend tätig werden können. Delegierte Rechtsakte entsprechen in ihrer Funktion einer Verordnung im deutschen Recht.92 Diese Ermächtigungen sollten es ermöglichen, flexibel auf neue Entwicklungen in Technik und Recht zu reagieren.93 Der Umfang dieser Ermächtigungen wurde zu Recht kritisiert.94 Die Kommission wäre damit faktisch zur zentralen Institution der Regulierung und Kontrolle des europäischen Datenschutzrechts geworden. Die Kritik stützte sich auf Art. 290 Abs. 1 AEUV, wonach der Kommission die Kompetenz nur zur Ergänzung und Änderung „nicht wesentlicher Vorschriften“ sekundärrechtlicher Regelungen übertragen werden darf.95 Die Ermächtigungen in dem Kommissionsentwurf gingen allein durch ihre Zahl über dieses Maß hinaus. Parlament und Rat haben die Zahl der delegierten Rechtsakte in ihren Entwürfen stark reduziert (siehe dazu Rn. 27 und Rn. 30f.). In der finalen Fassung finden sich nur noch zwei Ermächtigungen für delegierte Rechtsakte.96
25
Zudem sah der Kommissionsentwurf in Art. 57 ein Kohärenzverfahren für Maßnahmen mit grenzüberschreitender Wirkung vor,97 an dessen Spitze die Kommission stehen sollte. Sie hätte in ihrer Rolle zwar kein Entscheidungs- und Weisungsrecht gehabt, durch delegierte Rechtsakte hätte sie jedoch Verfahren und zugrunde liegendes Datenschutzrecht bestimmen können. Die Aufsichtsbehörden hätten damit bildlich gesprochen auf einem Teppich gestanden, den die Kommission jederzeit unter den Füßen hätte wegziehen können.98 Das Kohärenzverfahren hätte damit im Widerspruch zur Unabhängigkeit der Aufsichtsbehörden gestanden.99 Diese sollte aber auch nach dem Kommissionsentwurf gewährleistet werden.
26
Besonders in der deutschen Literatur wurde die Geltung der Verordnung neben dem nicht-öffentlichen auch für den öffentlichen Sektor kritisiert. Die Ausdehnung auf den öffentlichen Sektor wurde teilweise als Verstoß gegen das Subsidiaritätsprinzip aus Art. 5 Abs. 3 EUV gewertet, da Art. 16 Abs. 2 AEUV diesen nicht mitumfasse und es insofern an einer Ermächtigungsgrundlage für den europäischen Gesetzgeber fehle (siehe dazu Rn. 42ff.).100
b) Parlamentsentwurf
27
Das Parlament erarbeitete im federführenden Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE)101 von dem Kommissionsentwurf ausgehend den Parlamentsentwurf.102 Dabei wurde die kaum vorstellbare Zahl von 3999 Änderungsvorschlägen evaluiert und für den Entwurf berücksichtigt.103 Der finale Bericht104 wurde dem Parlament schließlich am 21.10.2013 durch den parlamentarischen Berichterstatter Jan Philipp Albrecht zur Entscheidung vorgelegt. Er sah 207 Änderungen105 an dem Kommissionsentwurf vor und wurde vom Parlament am 12.3.2014 in der vorgelegten Form beschlossen.106 Der Parlamentsentwurf erhielt dabei eine Zustimmung von über 95 %.107
28
Im Ergebnis sind nach dem Parlamentsentwurf die Befugnisse der Kommission eingeschränkt und zugunsten der Aufsichtsbehörden und Mitgliedstaaten ausgestaltet worden.108 In dem Parlamentsentwurf gibt es nur noch zehn Normen, die delegierte Rechtsakte der Kommission vorsehen.109 Stattdessen wurden Öffnungsklauseln für Rechtsakte der Mitgliedstaaten und Ermächtigung des Europäischen Datenschutzausschusses zum Erlass unverbindlicher Leitlinien eingefügt.110 Anstelle des One-Stop-Shop-Verfahrens