© 2016 Deutscher Bundestag PE 6 - 3000 - 108/14

Fragen zur Datenschutzgrundverordnung

Ausarbeitung

Unterabteilung Europa
Fachbereich Europa



Ausarbeitungen und andere Informationsangebote des Fachbereichs Europa geben nicht die Auffassung des Deutschen
Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung
 der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Der Deutsche Bundestag behält sich die
Rechte der Veröffentlichung und Verbreitung vor. Beides bedarf der Zustimmung der Leitung
der Abteilung P, Platz der Republik 1, 11011 Berlin.

Fachbereich Europa Ausarbeitung
PE 6 - 3000 - 108/14

Seite 2

Aktenzeichen: PE 6 - 3000 - 108/14
Abschluss der Arbeit: 2. Juni 2014
Fachbereich: PE 6: Fachbereich Europa



Fachbereich Europa Ausarbeitung
PE 6 - 3000 - 108/14

Seite 3

Inhaltsverzeichnis

1. Historie der Pläne für eine Datenschutzgrundverordnung 4
1.1. Hintergrund 4
1.2. Bisheriger Werdegang des DVO-Vorschlags 4

2. Rechtsgrundlagen der geplanten
Datenschutzgrundverordnung 5

3. Weiterer Zeitplan für die Umsetzung einer
Datenschutzgrundverordnung 6

3.1. Erste Lesung des Rates 6
3.2. Zweite Lesung des EP 6
3.3. Zweite Lesung des Rates 7
3.4. Vermittlung 7
3.5. Dritte Lesung des Parlaments und des Rates 8

4. Erforderliche Änderungen im europäischen und
deutschen Recht bei einer Umsetzung der geplanten
Datenschutzgrundverordnung 8

5. Argumente im Rahmen der Diskussion um eine
Datenschutzgrundverordnung 9

5.1. Grundrechtliche Aspekte 9
5.2. Anwendungsbereich 10
5.3. Zulässigkeit der Datenverarbeitung 10
5.4. Durchführung der Datenverarbeitung 11
5.5. Nationale Datenschutzbehörden 12
5.6. Rechtsschutz 12
5.7. Haftung und Sanktionen 13



Fachbereich Europa Ausarbeitung
PE 6 - 3000 - 108/14

Seite 4

1. Historie der Pläne für eine Datenschutzgrundverordnung

1.1. Hintergrund

Am 25. Januar 2012 hat die Europäische Kommission angesichts des technologischen Fortschritts
bei der Datenverarbeitung und im Datenverkehr ein Legislativpaket zur Aktualisierung und Modernisierung
 des Rechtsrahmens zum Schutz personenbezogener Daten vorgeschlagen (Datenschutzpaket
).1 Die neuen Datenschutzregeln bestehen aus

  dem Vorschlag der Kommission für eine Verordnung des Europäischen Parlaments und
des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
 und zum freien Datenverkehr (Datenschutz-Grundverordnung-Vorschlag, DVO-
Vorschlag)2 und

  dem Vorschlag der Kommission für eine Richtlinie des Europäischen Parlaments und des
Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung
oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr
(Datenschutzrichtlinien-Vorschlag, DRL-Vorschlag)3.

Der DVO-Vorschlag soll im Verbund mit dem DRL-Vorschlag die bisherige Datenschutzrichtlinie
95/46/EG4 ersetzen und einen umfassenden Schutz personenbezogener Daten innerhalb der Europäischen
 Union gewährleisten. Dabei zielt der DVO-Vorschlag ab auf den Datenschutz zwischen
 Privaten, der DRL-Vorschlag auf den Datenschutz durch Hoheitsträger.

1.2. Bisheriger Werdegang des DVO-Vorschlags

Der DVO-Vorschlag wurde von der Kommission am 27. Januar 2012 an den Rat und an das Europäische
 Parlament (EP) übermittelt. Nach der Stellungnahme Europäischer Datenschutzbeauf-

1 Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss
 und den Ausschuss der Regionen vom 25. Januar 2012, „Der Schutz der Privatsphäre in einer vernetzten
 Welt. Ein europäischer Datenschutzrahmen für das 21. Jahrhundert“, KOM(2012) 9 endg., online abrufbar
 unter http://eur-lex.europa.eu/legalcontent
/DE/TXT/PDF/?uri=CELEX:52012DC0009&qid=1401264678155&from=DE.

2 KOM(2012)11 endg., online abrufbar unter http://eur-lex.europa.eu/legalcontent
/DE/TXT/PDF/?uri=CELEX:52012PC0011&qid=1401265331608&from=DE.

3 Vorschlag KOM(2012)10 endg., online abrufbar unter http://eur-lex.europa.eu/legalcontent
/DE/TXT/PDF/?uri=CELEX:52012PC0010&qid=1401265448185&from=DE.

4 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher
Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. ABl. Nr. L 281/31. online
 abrufbar unter http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:01995L0046-
20031120&qid=1401267165005&from=DE.



Fachbereich Europa Ausarbeitung
PE 6 - 3000 - 108/14

Seite 5

tragter vom 7. Mai 20125, der Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses
 vom 23. Mai 20126 sowie der Stellungnahme des Ausschusses der Regionen vom
10. Oktober 20127 hat das EP am 21.10.2013 der Aufnahme von Verhandlungen mit dem Ministerrat
 über die neue EU-Datenschutzgrundverordnung zugestimmt.8

Eine Einigung im Rat sowie zwischen dem Rat und dem EP zu den beiden Vorschlägen konnte
bislang nicht erreicht werden. Das EP hat zuletzt am 12. März 2014 in erster Lesung eine legislative
 Entschließung zum Kommissionsvorschlag angenommen.9 Das EP hat hierin zahlreiche Änderungen
 vorgeschlagen und die Kommission aufgefordert, es erneut zu befassen, falls sie beabsichtigt
, den Vorschlag des EP entscheidend zu ändern oder durch einen anderen Text zu ersetzen
. Der Kommissionsvorschlag war mehrfach Gegenstand der Beratungen im Rat. Eine Einigung
ist bisher nicht erzielt worden. Jedoch wird bei der Tagung des Rates „Justiz und Inneres“ (JI-Rat)
am 5./6. Juni 2014 eine allgemeine Ausrichtung angestrebt.10

2. Rechtsgrundlagen der geplanten Datenschutzgrundverordnung

Der Verordnungsvorschlag stützt sich auf Art. 16 des Vertrages über die Arbeitsweise der Europäischen
 Union (AEUV). In Art. 16 Abs. 1 AEUV ist das Recht auf Schutz personenbezogener Daten
normiert, welches in Art. 8 der Charta der Grundrechte der Europäischen Union (GRCh) näher
ausgestaltet wird. Vor dem Hintergrund dieser materiellen Normen bildet Art. 16 Abs. 2 AEUV
die Rechtsgrundlage für den Erlass von Datenschutzvorschriften. Danach kann die Union den

55 Zusammenfassung der Stellungnahme des EDSB vom 7. März 2012 zum Datenschutzreformpaket. ABl. Nr. C
192/7, online abrufbar unter http://eur-lex.europa.eu/legalcontent
/DE/TXT/PDF/?uri=CELEX:52012XX0630%2801%29&from=DE.

6 Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses vom 23. Mai 2012 zu dem „Vorschlag für
eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung
 personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)“,
KOM(2012) 11 endg., 2012/011 (COD), ABl. Nr. C 229/90, online abrufbar unter http://eur-lex.europa.eu/legalcontent
/DE/TXT/PDF/?uri=CELEX:52012AE1303&from=DE.

7 Stellungnahme des Ausschusses der Regionen: „Datenschutzpaket“ vom 10.Oktober 2012. ABl. C 391/127, online
 abrufbar unter http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52012AR0625&from=DE.

8 Europäisches Parlament, Bericht vom 22. November 2013 über den Vorschlag für eine Verordnung des Europäischen
 Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
 und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM(2012)0011 – C7-0025/2012 –
2012/0011(COD)), Ausschuss für bürgerliche Freiheiten, Justiz und Inneres, Berichterstatter: Jan Philipp Albrecht
, online abrufbar unter http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-
//EP//NONSGML+REPORT+A7-2013-0402+0+DOC+PDF+V0//DE.

9 Legislative Entschließung des Europäischen Parlaments vom 12. März 2014 zu dem Vorschlag für eine Verordnung
 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener
 Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM(2012)0011 – C7-
0025/2012 – 2012/0011(COD)). abrufbar in EuDoX unter
http://eudoxap01.bundestag.btg:8080/eudox/dokumentInhalt?id=111086&latestVersion=true&type=5.

10 Tagesordnung der 3319. Tagung des Rates der Europäischen Union (Justiz und Inneres) am 5. und 6. Juni 2014.
online abrufbar unter:
http://eudoxap01.bundestag.btg:8080/eudox/dokumentInhalt?id=114766&latestVersion=true&type=5.



Fachbereich Europa Ausarbeitung
PE 6 - 3000 - 108/14

Seite 6

Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die
Mitgliedstaaten regeln, wenn die Verarbeitung im Rahmen der Ausübung von Tätigkeiten erfolgt,
die in den Anwendungsbereich des Unionsrechts fallen. Auch Vorschriften für den freien
Verkehr personenbezogener Daten können auf dieser Grundlage erlassen werden.

Zusätzlich zu Art. 16 AEUV stützt die Kommission den Vorschlag auf Art. 114 Abs. 1 AEUV. Auf
Grundlage dieser Ermächtigungsnorm kann die Union Maßnahmen zur Angleichung der Rechtsund
 Verwaltungsvorschriften der Mitgliedstaaten treffen, welche die Errichtung und das Funktionieren
 des Binnenmarkts zum Gegenstand haben. Nach Ansicht der Kommission ist die
Bezugnahme auf Artikel 114 Absatz 1 AEUV für die Änderung der Richtlinie 2002/58/EG nur
insoweit notwendig, als diese Richtlinie auch den Schutz der berechtigten Interessen solcher
Teilnehmer vorsieht, bei denen es sich um juristische Personen handelt.11

3. Weiterer Zeitplan für die Umsetzung einer Datenschutzgrundverordnung

Der Vorschlag stützt sich auf Art. 16 AEUV. Dementsprechend findet das ordentliche Gesetzgebungsverfahren
 gem. Art. 289, 294 AEUV Anwendung. Dieses befindet sich derzeit in dem Stadium
, in dem die Festlegung des Standpunktes des Rates in erster Lesung bevorsteht. Die folgenden
Punkte stellen in chronologischer Reihenfolge die nächsten möglichen Verfahrensschritte dar.

3.1. Erste Lesung des Rates

Der Rat hat die Möglichkeit, einen eigenen Standpunkt in erster Lesung bezüglich der Datenschutzverordnung
 festzulegen. Wird diesem im Rat mit einer erforderlichen qualifizierten Mehrheit
 zugestimmt, so bedeutet dies im Umkehrschluss, dass der Rat dem Standpunkt des EP aus
erster Lesung nicht zustimmt. Dementsprechend nimmt der Rat in erster Lesung einen Standpunkt
 an, der dem Parlament mit den Gründen der Festlegung zugeleitet wird. Das Parlament
erhält auch eine Mitteilung der Kommission, in der diese ihren Standpunkt zum Standpunkt des
Rates erläutert und auch angibt, warum sie ihn unterstützt oder ablehnt (Art. 294 Abs. 5 und 6
AEUV).

3.2. Zweite Lesung des EP

Das Europäische Parlament kann den Standpunkt des Rates innerhalb von drei Monaten (mit
einer möglichen Verlängerung auf vier Monate) prüfen. Zunächst wird der federführende Ausschuss
 mit dem Standpunkt des Rates befasst. Dieser Ausschuss erstellt eine Empfehlung für die
zweite Lesung des Parlaments. Das Plenum stimmt über die Empfehlung, einschließlich möglicher
, aber beschränkter Abänderungsanträge, ab.

Gemäß Art. 294 Abs. 7 AEUV sind vier mögliche Ergebnisse der zweiten Lesung des EP denkbar:

  Das Parlament billigt den Standpunkt des Rates, und der Rechtsakt ist angenommen.

11 Nr. 3.1. der Begründung zu KOM(2012) 11 endg., online abrufbar unter: http://eur-lex.europa.eu/legalcontent
/DE/TXT/PDF/?uri=CELEX:52012PC0011&qid=1401265331608&from=DE.



Fachbereich Europa Ausarbeitung
PE 6 - 3000 - 108/14

Seite 7

  Das Parlament trifft keine Entscheidung innerhalb der Frist. In diesem Falle ist der Rechtsakt
 in der durch den Rat in seiner ersten Lesung geänderten Fassung angenommen.

  Das Parlament lehnt mit der Mehrheit seiner Mitglieder den Standpunkt des Rates aus erster
 Lesung ab. In diesem Fall ist der Rechtsakt nicht angenommen und das Verfahren ist
beendet.

  Das Parlament schlägt mit der Mehrheit seiner Mitglieder Abänderungen am Standpunkt
des Rates aus erster Lesung vor und übermittelt dem Rat seinen Standpunkt für eine zweite
Lesung.

3.3. Zweite Lesung des Rates

Der Rat kann anschließend den Standpunkt des Parlaments aus zweiter Lesung innerhalb von
drei Monaten12 (mit einer möglichen Verlängerung auf vier Monate) prüfen. Die Kommission teilt
dem Rat auch ihren Standpunkt zu den Abänderungen des Parlaments aus zweiter Lesung mit.

Die für eine Annahme des Vorschlags in der zweiten Lesung des Rates erforderliche Mehrheit
hängt von der Stellungnahme der Kommission zu den Abänderungen des Parlaments ab. Abänderungen
, zu denen die Kommission eine befürwortende Stellungnahme abgibt, können im Rat
mit qualifizierter Mehrheit gebilligt werden. Abänderungen, zu denen die Kommission eine ablehnende
 Stellungnahme abgibt, erfordern eine einstimmige Billigung durch den Rat (Art. 294
Abs. 8 und 9 AEUV).

  Billigt der Rat alle Abänderungen des Parlaments, ist der Rechtsakt angenommen.
  Billigt der Rat nicht alle Abänderungen, beruft der Präsident des Rates einvernehmlich mit

dem Präsidenten des Parlaments eine Sitzung des Vermittlungsausschusses ein.

3.4. Vermittlung

Innerhalb von sechs Wochen (mit einer möglichen Verlängerung auf acht Wochen) ab der Weigerung
 des Rates, den Standpunkt des EP aus zweiter Lesung zu übernehmen, berufen der Präsident
 des Rates und der Präsident des EP den Vermittlungsausschuss gem. Art. 294 Abs. 10 AEUV
ein. Dieser kann innerhalb von sechs Wochen (mit einer möglichen Verlängerung auf acht Wochen
) auf Grundlage der Standpunkte des EP und des Rates in zweiter Lesung über einen gemeinsamen
 Entwurf zu entscheiden (Art. 294 Abs. 10 AEUV).

  Billigt der der Vermittlungsausschuss nicht den gemeinsamen Entwurf, wird der vorgeschlagene
 Rechtsakt hinfällig und das Verfahren ist beendet (Art. 294 Abs. 12 AEUV).

  Billigt der Vermittlungsausschuss den gemeinsamen Entwurf, wird der Entwurf dem Parlament
 und dem Rat für eine dritte Lesung übermittelt (Art. 294 Abs. 13 AEUV).

12 Fristbeginn ist der offizielle Eingang der Abänderungen des Europäischen Parlaments aus zweiter Lesung in
allen Amtssprachen offiziell.



Fachbereich Europa Ausarbeitung
PE 6 - 3000 - 108/14

Seite 8

3.5. Dritte Lesung des Parlaments und des Rates

Der gemeinsame Entwurf wird gem. Art. 294 Abs. 13 AEUV gleichzeitig dem Parlament und dem
Rat zur Billigung übermittelt. Innerhalb von sechs Wochen ab der Übermittlung (mit einer möglichen
 Verlängerung um zwei Wochen) können das EP und der Rat den Entwurf annehmen. Sie
können den Text jedoch nicht ändern.

Im EP geht der Abstimmung über den gemeinsamen Entwurf eine Debatte im Plenum voraus.
Wenn das Parlament und der Rat den gemeinsamen Entwurf billigen, ist der Gesetzgebungsvorschlag
 angenommen. Wenn einer oder beide ihn ablehnen oder nicht rechtzeitig reagieren, wird
der Rechtsakt hinfällig, und das Verfahren ist beendet. Das Gesetzgebungsverfahren kann nur mit
einem neuen Vorschlag der Kommission wieder in Gang gesetzt werden.

4. Erforderliche Änderungen im europäischen und deutschen Recht bei einer Umsetzung der
geplanten Datenschutzgrundverordnung

Der DVO-Vorschlag soll gem. Art. 88 die Datenschutzrichtlinie 95/46/EG aufheben und ersetzen.
Die Genehmigungen der Aufsichtsbehörden und die Beschlüsse der Kommission auf der
Grundlage der Datenschutzrichtlinie 95/46/EG sollten jedoch in Kraft bleiben.

Im Rahmen der Umsetzung des DVO-Vorschlags sollen gem. Art. 89 DVO-Vorschlag Änderungen
der entsprechenden Pflichten in der Richtlinie 2002/58/EG des Europäischen Parlaments und des
Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre
 in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation
) vorgenommen werden.13

Darüber hinaus stellt der DVO-Vorschlag im Hinblick auf die Verarbeitung personenbezogener
Daten durch Behörden, die an der Umsetzung des Schengen-Besitzstands beteiligt sind, eine
Weiterentwicklung dieses Besitzstandes im Sinne

  des Übereinkommens zwischen dem Rat der Europäischen Union und der Republik Island
und dem Königreich Norwegen,14

  des Abkommens zwischen der Europäischen Union, der Europäischen Gemeinschaft und
der Schweizerischen Eidgenossenschaft,15

13 ABl. L 201/37, online abrufbar unter http://eur-lex.europa.eu/legalcontent
/DE/TXT/PDF/?uri=CELEX:32002L0058&qid=1401705383454&from=DE.

14 Übereinkommen zwischen dem Rat der Europäischen Union sowie der Republik Island und dem Königreich
Norwegen über die Assoziierung der beiden letztgenannten Staaten bei der Umsetzung, Anwendung und Entwicklung
 des Schengen-Besitzstands, ABl. L 176/36, online abrufbar unter http://eur-lex.europa.eu/legalcontent
/DE/AUTO/?uri=uriserv:OJ.L_.1999.176.01.0036.01.DEU.

15 Abkommen zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft
 über die Assoziierung dieses Staates bei der Umsetzung, Anwendung und Entwicklung des
Schengen-Besitzstands, ABl. L 53/52, online abrufbar unter http://eur-lex.europa.eu/legalcontent
/DE/AUTO/?uri=uriserv:OJ.L_.2008.053.01.0050.01.DEU#L_2008053DE.01005201.



Fachbereich Europa Ausarbeitung
PE 6 - 3000 - 108/14

Seite 9

  des Protokolls zwischen der Europäischen Union, der Europäischen Gemeinschaft, der
Schweizerischen Eidgenossenschaft und dem Fürstentum Liechtenstein über den Beitritt
des Fürstentums Liechtenstein zu dem Abkommen zwischen der Europäischen Union, der
Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die
Assoziierung der Schweizerischen Eidgenossenschaft16

jeweils hinsichtlich der Assoziierung des jeweiligen Staates bei der Umsetzung, Anwendung und
Entwicklung des Schengen-Besitzstands dar.

5. Argumente im Rahmen der Diskussion um eine Datenschutzgrundverordnung

5.1. Grundrechtliche Aspekte

Im Rahmen der Diskussion um die Modernisierung des Rechtsrahmens zum Schutz personenbezogener
 Daten sind grundrechtliche Erwägungen von besonderer Bedeutung. So muss die Reform
beispielsweise einerseits die grundrechtlichen Positionen der wirtschaftlich tätigen Datenverarbeiter
 gem. Art. 16 GRCh schützen, andererseits aber auch dem in Art. 8 CRCh, Art. 16 AEUV
und Art. 8 EMRK verankerten Recht auf Schutz personenbezogener Daten zur Durchsetzung
verhelfen, welches eng mit dem durch Art. 7 GRCh geschützen Recht auf Achtung des Privatund
 Familienlebens verbunden ist. Der EuGH hat diesbezüglich wiederholt festgestellt,17 dass
dabei das Recht auf Schutz der personenbezogenen Daten keine uneingeschränkte Geltung
beanspruchen kann, sondern im Hinblick auf seine gesellschaftliche Funktion gesehen werden
muss.18 Vor diesem Hintergrund muss eine Reform des Rechtsrahmens zum Schutz personenbezogener
 Daten insbesondere berücksichtigen, dass die Mitgliedstaaten entsprechend den
Bestimmungen gem. Art. 1 Abs. 1 RL 95/46/EG den Schutz der Grundrechte und Grundfreiheiten
und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung
personenbezogener Daten gewährleisten.19

16 Protokoll zwischen der Europäischen Union, der Europäischen Gemeinschaft, der Schweizerischen Eidgenossenschaft
 und dem Fürstentum Liechtenstein über den Beitritt des Fürstentums Liechtenstein zu dem Abkommen
 zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft
 über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und
Entwicklung des Schengen-Besitzstands, ABl. L 160/19, online abrufbar unter http://eur-lex.europa.eu/legalcontent
/DE/AUTO/?uri=uriserv:OJ.L_.2011.160.01.0019.01.DEU.

17 EuGH, Rs. 29/69 (Stauder), Rn. 7; EuGH, Rs. 145/83, (Adams/Kommission), Rn. 34; EuGH, Rs. C-369/98 (Fisher),
Rn. 32f.; EuGH, verb. Rs. C-92/09 und C-93/09 (Schecke), Rn. 65 ff.; EuGH, Rs. C-131/12 (Google), Rn. 68 ff.

18 Im Einklang mit Art. 52 Abs. 1 GRCh kann die Ausübung der Datenschutzrechte eingeschränkt werden, sofern
diese Einschränkungen gesetzlich vorgesehen sind, den Wesensgehalt dieser Rechte und Freiheiten achten, unter
 Wahrung des Grundsatzes der Verhältnismäßigkeit erforderlich sind und den von der Union anerkannten
dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten
anderer tatsächlich entsprechen.

19 Vgl. für ein umfassendes und kohärentes Konzept für das Grundrecht auf den Schutz personenbezogener Daten
die Mitteilung der Kommission vom 4. November 2010 an das Europäische Parlament, den Rat, den Europäischen
 Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Gesamtkonzept für den Datenschutz
in der Europäischen Union, KOM(2010) 609 endg., online abrufbar unter http://eur-lex.europa.eu/legalcontent
/DE/TXT/PDF/?uri=CELEX:52010DC0609&qid=1401703110729&from=DE.



Fachbereich Europa Ausarbeitung
PE 6 - 3000 - 108/14

Seite 10

Vor diesem Hintergrund stehen insbesondere die folgenden Punkte in der Diskussion.20

5.2. Anwendungsbereich

Der Anwendungsbereich des DVO-Vorschlags umfasst im Grundsatz jede automatisierte Verarbeitung
 personenbezogener Daten sowie die nichtautomatisierte Verarbeitung in Form einer
Speicherung in Dateien (Art. 2 Abs. 1; Ausnahmen: Art. 2 Abs. 2). Die Pflichten des DVO-
Vorschlags beziehen sich insbesondere auf den „für die Verarbeitung Verantwortlichen“ (Art. 4
Nr. 5). Verarbeiter ist demnach, wer allein oder gemeinsam mit anderen über die Verarbeitung
personenbezogener Daten entscheidet (Art. 4 Nr. 5). Daneben wird der „Auftragsverarbeiter“ erfasst
, d.h. derjenige, der personenbezogene Daten im Auftrag des Verarbeiters verarbeitet (Art. 4
Nr. 6).

Der Anwendungsbereich umfasst in räumlicher Hinsicht insbesondere den Verarbeiter mit Sitz
in der EU (Art. 3 Abs. 1), wobei es keine Rolle spielt, ob die Datenverarbeitung als solche in der
EU stattfindet oder außerhalb (Erwägungsgrund Nr. 19). Er erfasst auch Verarbeiter mit Sitz außerhalb
 der EU (Art. 3 Abs. 2), soweit Daten „in der Union ansässiger Personen“ (nicht nur: Unionsbürger
, Art. 9 EUV) verarbeitet werden und die Datenverarbeitung dazu „dient“, diesen Personen
 Waren oder Dienstleistungen anzubieten oder das Verhalten dieser Personen zu beobachten
, namentlich durch Erstellung von Nutzerprofilen (Erwägungsgrund Nr. 21; sog. Profiling).

Über diesen Anwendungsbereich hinaus dürfen die Mitgliedstaaten unter bestimmten Bedingungen
 weiterhin nationales Recht setzen, insbesondere für die Verarbeitung von Gesundheitsdaten
(Art. 81 i. V. m. Art. 9 Abs. 2 lit. h), von Arbeitnehmerdaten durch Arbeitgeber „in den Grenzen
dieser Verordnung" (Art. 82) und durch Behörden oder im Rahmen der Daseinsvorsorge (vgl.
Art. 6 Abs. 1 lit. e, Abs. 3 lit. b, Erwägungsgrund Nr. 36).

5.3. Zulässigkeit der Datenverarbeitung

Eine Verarbeitung personenbezogener Daten ist zunächst grundsätzlich dann zulässig, wenn der
Betroffene hierzu seine Einwilligung erteilt hat (Art. 6 Abs. 1 lit. a). Die Einwilligung rechtfertigt
eine Datenverarbeitung aber ausnahmsweise dann nicht, wenn zwischen dem Betroffenen und
dem Verarbeiter ein „erhebliches Ungleichgewicht“ besteht (Art. 7 Abs. 4), was insbesondere im
Rahmen eines „Abhängigkeitsverhältnisses“ wie beispielsweise zwischen Arbeitnehmern zu Arbeitgebern
 der Fall ist (Erwägungsgrund Nr. 34). Daneben rechtfertigt eine Einwilligung eine Datenverarbeitung
 auch dann nicht, wenn die Verarbeitung der Daten grundsätzlich unzulässig ist
(vgl. Art. 9 Abs. 1) und (sonstiges) EU-Recht oder nationales Recht eine Einwilligung ausschließt
(Art. 9 Abs. 2 lit. a).

Die Beweislast für die Erteilung der Einwilligung trägt der Verarbeiter bzw. Auftragsverarbeiter
(Art. 7 Abs. 1). Bei schriftlicher Erklärung, die noch einen anderen Sachverhalt erfasst wie bei-

20 Vgl. hierzu die Zusammenfassung der Ergebnisse der Anhörungen und Folgeabschätzungen unter Nr. 2 der
Begründung zu KOM(2012) 11 endg., online abrufbar unter: http://eur-lex.europa.eu/legalcontent
/DE/TXT/PDF/?uri=CELEX:52012PC0011&qid=1401265331608&from=DE.



Fachbereich Europa Ausarbeitung
PE 6 - 3000 - 108/14

Seite 11

spielsweise den Abschluss eines Kaufvertrages, muss die Einwilligung optisch von dem anderen
Sachverhalt abgesetzt sein (Art. 7 Abs. 2).

Neben einer (zulässigen) Einwilligung ist die Verarbeitung personenbezogener Daten gem. Art. 6
Abs. 1 lit. b–f DVO-Vorschlag u.a. auch in folgenden Fällen rechtmäßig:

  wenn die Durchführung eines Vertrages, dessen Partei der Betroffene ist, sie erfordert;
  zur Erfüllung einer gesetzlichen Pflicht des Verarbeiters;
  wenn „lebenswichtige“ Interessen des Betroffenen sie erfordern;
  soweit die Wahrnehmung öffentlicher Aufgaben sie erfordert;
  wenn sie sonst zur „Wahrung der berechtigten Interessen“ des Verarbeiters „erforderlich“

ist und Interessen oder Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen
.

Gemäß Art. 9 Abs. 1 DVO-Vorschlag ist die Verarbeitung besonders sensibler Daten hingegen
grundsätzlich unrechtmäßig. Dies betrifft insbesondere Daten zur Religions- oder Glaubenszugehörigkeit
, zur Gesundheit oder zu strafgerichtlichen Verurteilungen. Ausnahmsweise kann eine
Verarbeitung jedoch zulässig sein im Rahmen eines Arbeitsverhältnisses (Art. 9 Abs. 2 lit. b) oder
gegenüber Behörden (vgl. Art. 9 Abs. 2 lit. g).

5.4. Durchführung der Datenverarbeitung

Im Rahmen der Datenverarbeitung obliegen dem Verarbeiter bzw. Auftragsverarbeiter zahlreiche
Pflichten zum Schutz der Daten. Hierzu zählen insbesondere

  der Einsatz technischer Verfahren, welche die Betroffenen weitestmöglich schonen („Datenschutz
 durch Technik“), wie beispielsweise „datenschutzfreundliche Voreinstellungen“
in sozialen Netzwerken (Art. 23);

  die (mitlaufende) umfängliche Dokumentation (Details: Art. 28), die die grundsätzliche
(vorherige) Meldung von Datenverarbeitungen an die Aufsichtsbehörde (Art. 18, 19 der
RL 95/46/EG) ablöst; sie gilt nicht für Unternehmen mit weniger als 250 Beschäftigten, die
Daten nur als „Nebentätigkeit“ verarbeiten (Art. 28 Abs. 4 lit. b);

  die Einhaltung von Datensicherheitsstandards (Details: Art. 30);
  die Meldung von Datenschutzverstößen an die Aufsichtsbehörde (Art. 31) und die Betroffenen
 (Art. 32);
  „Datenschutz-Folgeabschätzungen“ in besonders risikobehafteten Konstellationen (Details:

Art. 33);
  die Bestellung eines Datenschutzbeauftragen (Art. 35) bei Datenverarbeitung durch Behörden
 oder öffentliche Einrichtungen, durch Betriebe ab 250 Mitarbeiter sowie in Fällen, in
denen die „Verarbeitungsvorgänge“ eine regelmäßige und systematische „Beobachtung der
Betroffenen“ erforderlich machen.

Im Rahmen der Datenverarbeitung werden den Betroffenen durch den DVO-Vorschlag insbesondere
 folgende Rechte gegenüber dem Verarbeiter bzw. Auftragsverarbeiter garantiert:

  Das „Recht auf Vergessenwerden und auf Löschung“: Der Betroffene kann unter bestimmten
 Bedingungen die Löschung seiner Daten und Unterlassen weiterer Verbreitung (Art. 17



Fachbereich Europa Ausarbeitung
PE 6 - 3000 - 108/14

Seite 12

Abs. 1) sowie alle in diesem Zusammenhang „vertretbaren Schritte“ (Art. 17 Abs. 2) verlangen
.21

  Das „Recht auf Datenübertragbarkeit“: Der Betroffene hat einen Anspruch auf Kopie der
eigenen Daten in einem „gängigen elektronischen Format“, etwa um sie auf einen anderen
Anbieter, z. B. von Internet-Dienstleistungen, zu übertragen (Art. 18).

  Ein Widerspruchsrecht gegen die Verarbeitung personenbezogener Daten mit potenziellen
Rechtfertigungslasten für den Verarbeiter (Art. 19).

5.5. Nationale Datenschutzbehörden

Jeder Mitgliedstaat verpflichtet sich zur Einrichtung einer effektiven Datenschutzaufsicht (Art. 46
Abs. 1). Die hierzu zu errichtenden Aufsichtsbehörden handeln bei der Erfüllung der ihnen übertragenen
 Aufgaben (Art. 52) und der Wahrnehmung ihrer Befugnisse (Art. 53) „völlig“ unabhängig
 (Art. 47 Abs. 1). Insbesondere sind sie in keiner Form weisungsgebunden (vgl. Art. 47 Abs. 2).
Die Zuständigkeit der Aufsichtsbehörden soll so ausgestaltet sein, dass jede Aufsichtsbehörde
grundsätzlich nur im Hoheitsgebiet ihres Staates zuständig ist (Art. 51 Abs. 1). Hat ein Verarbeiter
 oder Auftragsverarbeiter Niederlassungen in mehr als einem Mitgliedstaat, so ist die Behörde
sowohl im Mitgliedstaat der „Hauptniederlassung“ (Art. 4 Abs. 13, Erwägungsgrund Nr. 27) als
auch in den anderen Mitgliedstaaten zuständig (Art. 51 Abs. 2; sog. Prinzip der zentralen Anlaufstelle
).

5.6. Rechtsschutz

Sieht sich ein Betroffener in seinen Datenschutzrechten verletzt, so kann er sich mit einer Beschwerde
 an die zuständige Datenschutzbehörde wenden. Dieses Beschwerderecht besitzen alle
betroffenen natürlichen Personen (Art. 73 Abs. 1) sowie Einrichtungen, Organisationen oder Verbände
, deren Zielsetzung der Datenschutz ist, im Namen betroffener natürlicher Personen
(Art. 73 Abs. 2) sowie im eigenen Namen (Art. 73 Abs. 3).

Daneben steht den Betroffenen gerichtlicher Rechtsschutz gegen Aufsichtsbehörden zu. Dieses
Rechtsmittel besitzen grundsätzlich alle betroffenen natürlichen oder juristischen Personen (vgl.
Art. 74 Abs. 1, 2) sowie Einrichtungen, Organisationen oder Verbände, deren Zielsetzung der
Datenschutz ist, im Namen betroffener natürlicher Personen (Art. 76 Abs. 1, 73 Abs. 2 i.V.m.
Art. 74).

Schließlich haben Betroffene auch unmittelbar gegenüber Verarbeitern bzw. Auftragsverarbeitern
 einen Anspruch auf gerichtlichen Rechtsschutz. Dieses Rechtsmittel besitzen alle betroffenen
 natürlichen Personen (Art. 75 Abs. 1) sowie Einrichtungen, Organisationen oder Verbände,
deren Zielsetzung der Datenschutz ist, im Namen betroffener natürlicher Personen (Art. 76 Abs.
1, 73 Abs. 2 i. V. m. Art. 75).

21 Dieser in den Erwägungsgründen 53 und 54 des DVO-Vorschlags konkretisierte Aspekt dürfte auf Grundlage der
Entscheidung des EuGH vom 13. Mai 2014 in der Rs. C-131/12 (Google) eine neue Bewertung erfahren.



Fachbereich Europa Ausarbeitung
PE 6 - 3000 - 108/14

Seite 13

5.7. Haftung und Sanktionen

Im Falle eines Verstoßes gegen die Datenschutzrechte Betroffener haften Verarbeiter und Auftragsverarbeiter
 gesamtschuldnerisch (Art. 77 Abs. 2). Sie können sich jedoch von einer Haftung
befreien, wenn sie nachweisen, dass sie für den entstandenen Schaden nicht verantwortlich sind
(Art. 77 Abs. 3). Zur effektiven Ahndung von Verstößen sehen die Mitgliedstaaten strafrechtliche
Sanktionen vor (Art. 78 Abs. 1). Schließlich kann jede Aufsichtsbehörde unmittelbar Geldbußen
verhängen (Art. 79 Abs. 1), deren Höhe in Abhängigkeit von der Schwere des Verstoßes bis zu
1.000.000 Euro bzw. bei Unternehmen 2% des weltweiten Jahresumsatzes erreichen kann
(Art. 79 Abs. 3–6).

- Fachbereich Europa -