29
Zudem wurde die Komplexität der Verzeichnisse von Verarbeitungstätigkeiten reduziert sowie die Betroffenenrechte gestärkt und differenzierter ausgestaltet.112 Insbesondere wurde das Erfordernis der Transparenz präzisiert, das Recht auf Datenübertragbarkeit aus Art. 18 des Kommissionsentwurfs ersatzlos gestrichen113 und die Bezeichnung „Recht auf Vergessenwerden“ in Pflicht zum Löschen geändert.114 Für die Datenschutzfolgenabschätzung sieht der Parlamentsentwurf die Durchführung einer initialen vorherigen Risikoanalyse vor.115 Für die Ausnahme vom Anwendungsbereich der DSGVO im Rahmen der sogenannten Haushaltsausnahme wurde der Zusatz „ohne jede Gewinnerzielungsabsicht“ gestrichen (siehe Art. 2 Rn. 4).116 Der territoriale Anwendungsbereich des Marktortprinzips wurde in dem Parlamentsentwurf weiter als im Kommissionsentwurf gefasst, indem in Art. 3 Abs. 2 lit. a Parlamentsentwurf aufgenommen wurde, dass auch unentgeltliche Waren- oder Dienstleistungen vom Anwendungsbereich umfasst werden (siehe Art. 3 Rn. 21ff.).
c) Ratsentwurf
30
Als letztes der drei Organe der Union beschloss der Europäische Rat am 11.6.2015 seinen Entwurf der DSGVO, den Ratsentwurf.117 Der Europäische Rat setzt sich aus den Staats- und Regierungschefs der Mitgliedstaaten zusammen118 und vertritt naturgemäß die Interessen der Mitgliedstaaten.119 Entsprechend ist es konsequent, dass der Ratsentwurf die Befugnisse der Kommission noch stärker einschränkt und stattdessen mehr Öffnungsklauseln zum Erlass mitgliedstaatlicher Regelungen vorsieht.120 Der Ratsentwurf sieht delegierte Rechtsakte der Kommission nur noch für die Ausgestaltung von Zertifizierungsverfahren vor.121 Weitergehende Rechtsetzungsbefugnisse der Kommission wurden sämtlich gestrichen.122
31
Innerhalb des Rates wurde über das Durchsetzungsregime der DSGVO intensiv diskutiert. Entsprechend der Position des Parlaments sah auch der Rat den Ansatz des Kommissionsentwurfs mit einer starken Kommission kritisch.123 Lange Diskussionen im Rat zu diesem Punkt führten im Ergebnis zu einer nur marginal vom Parlamentsentwurf abweichenden Entwurfsfassung.124 Entsprechend dem Parlamentsentwurf sieht auch der Ratsentwurf zudem vor, dass Regelungen zu Befugnissen der Aufsichtsbehörden sich nicht unmittelbar aus der DSGVO ergeben, sondern nach Maßgabe nationaler Regelungen gelten sollten, damit die DSGVO in Einklang mit den stark divergierenden Regelungen des mitgliedstaatlichen Verfahrensrecht durchgesetzt werden kann.125
32
Nach dem Ratsentwurf sollten zudem durch die Einführung von Art. 1 Abs. 2a Ratsentwurf weitgehende Kompetenzen der Mitgliedstaaten zum Erlass nationaler Regelungen geschaffen werden, die „zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt“.126 So weitreichende Befugnisse der Mitgliedstaaten zum Erlass von datenschutzrechtlichen Regelungen im Bereich der öffentlichen Verwaltung wurden in den Trilogverhandlungen dann jedoch nicht in den finalen Entwurf der DSGVO übernommen.
33
Der Ratsentwurf verfolgte als übergeordnetes Ziel einen risikobasierten Ansatz, um einen adäquaten Ausgleich zwischen dem Schutzerfordernis der Betroffenen und dem administrativen Aufwand der Verantwortlichen zu erreichen.127 In diesem Kontext wurde ebenfalls das Recht auf Datenübertragbarkeit ersatzlos gestrichen und das Auskunftsrecht so beschränkt, dass es zwar unentgeltlich, dafür aber nur in „angemessenen Abständen“ wahrgenommen werden kann.128 Informationspflichten des Verantwortlichen gegenüber den Betroffenen wurden in dem Ratsentwurf erweitert und Mitteilungspflicht in Bezug auf die Berichtigung, Löschung oder Einschränkung eingeführt.129
d) Trilog und Verabschiedung der DSGVO
34
Am 24.7.2015 begann der sogenannte informelle Trilog zur Verhandlung der finalen Fassung der DSGVO. Der informelle Trilog ist anders als der formelle Trilog nicht in Art. 294 AEUV normiert und unterscheidet sich davon maßgeblich.130 Der informelle Trilog ist im Unionsrecht nicht als zwingendes Element des Gesetzgebungsverfahrens vorgesehen. Entsprechend muss er anders als der formelle Trilog auch nicht zwischen der zweiten und dritten Lesung im Parlament durchgeführt werden. Zudem gibt es im informellen Trilog keine Frist, innerhalb derer die Verhandlungen mit einem Ergebnis abgeschlossen werden müssten.131 Der informelle Trilog ist ein Verfahren, bei dem der Rat und das Parlament, unter Vermittlung der Kommission,132 über die finale Fassung eines Rechtsaktes weitgehend frei von prozeduralen Vorgaben verhandeln.133 Die drei Entwürfe der DSGVO divergierten in wichtigen Kernfragen mitunter erheblich (siehe dazu Rn. 22 bis 32).134 Am 17.12.2015 einigten sich Rat und Parlament schließlich auf die finale Entwurfsfassung der DSGVO.135 Diese wurde am 14.4.2016 gemäß Art. 294 Abs. 7 lit. a AEUV vom Parlament verabschiedet, am 4.5.2016 im Amtsblatt der Union veröffentlicht und trat gemäß Art. 99 DSGVO am 25.5.2018 in Kraft.
2. Struktur und wesentliche Inhalte der DSGVO
35
Die DSGVO gliedert sich in 11 Kapitel und 99 Artikel, denen 173 Erwägungsgründe vorangestellt sind. 51 Artikel regeln das materielle und 48 das formelle, organisatorische und kompetenzrechtliche Datenschutzrecht.136
36
Kapitel 1 (Allgemeine Bestimmungen) enthält Regelungen zur Zielbestimmung und zum Anwendungsbereich sowie Begriffsbestimmungen. Kapitel 2 (Grundsätze) regelt Grundsätze der Datenverarbeitung und Erlaubnistatbestände. Kapitel 3 (Rechte der betroffenen Person) enthält unter anderem Regelungen zu Informationspflichten, Auskunftsrechten, dem Recht auf Löschung und Vergessenwerden sowie das Recht auf Datenübertragbarkeit. Kapitel 4 (Verantwortlicher und Auftragsverarbeiter) regelt insbesondere die Voraussetzungen der Auftragsverarbeitung, das Verzeichnis von Verarbeitungstätigkeiten, den technisch-organisatorischen Datenschutz, Meldepflichten bei Datenschutzvorfällen, die Datenschutzfolgenabschätzung und den Datenschutzbeauftragten. Kapitel 5 (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen) enthält den Rechtsrahmen für internationale Datenübermittlungen. Kapitel 6 (Unabhängige Aufsichtsbehörden) regelt Aufgaben und Befugnisse der Aufsichtsbehörden. Kapitel 7 (Zusammenarbeit und Kohärenz) bildet den Rechtsrahmen für die Abstimmung der Aufsichtsbehörden in der Union und den europäischen Datenschutzausschuss. Kapitel 8 (Rechtsbehelfe, Haftung und Sanktionen) enthält Regelungen zu Rechtsbehelfen, Schadensersatz und Bußgeldern. Kapitel 9 (Vorschriften für besondere Verarbeitungssituationen) regelt den Datenschutz in Abgrenzung zur Meinungs- und Informationsfreiheit. Kapitel 10 (Delegierte Rechtsakte und Durchführungsrechtsakte) enthält Befugnisse der Kommission zum Erlass delegierter Rechtsakte. Kapitel 11 (Schlussbestimmungen) regelt die Aufhebung der DSRl, das Verhältnis der DSGVO zu anderen Regelungskomplexen und das Inkrafttreten.
37
Inhaltlich baut die DSGVO stark auf der DSRl auf,137 enthält aber auch neue Elemente, mit denen das europäische Datenschutzrecht an die Anforderungen moderner Datenverarbeitung angepasst werden soll. In der Literatur wird jedoch kritisiert, dass wichtige Aspekte einer Modernisierung des Datenschutzrechts, wie der Datenschutz im Konzern, bei der DSGVO nicht berücksichtigt wurden.138 Der sachliche Anwendungsbereich folgt aus Art. 2 Abs. 1 DSGVO und erfasst entsprechend dem Anwendungsbereich der DSRl jede – auch teilweise – automatisierte Datenverarbeitung (siehe Art. 2 Rn. 6ff.). Der räumliche Anwendungsbereich folgt aus Art. 3 DSGVO und erfasst sowohl Stellen, die Daten im Rahmen der Tätigkeit einer europäischen Niederlassung in oder außerhalb der Union verarbeiten (Abs. 1) oder solche, die zwar außerhalb der Europäischen Union agieren, allerdings