Ich recherchiere für eine wissenschaftliche Arbeit zum Abweichungsverbot.
Von den Regelungen der DSGVO darf im nationalen Recht nicht abgewichen werden.
Art 4 Ziffer 2 definiert die Datenverarbeitung und nennt zahlreiche nicht abschließende Beispiele für solche Verarbeitungen.
Haben Sie Erfahrungen mit dem Abweichungsverbot der DSGVO?
Insbesondere hinsichtlich der Beispiele in 4 Nr. 2 DSGVO und Spezialgesetzen in Ihrem Bereich, in denen die DV-Vorgänge anders als in den DSGVO-Beispielen oder zufällig genauso benannt werden und die DSGVO nun die Rechtslage völlig auf den Kopf stellen würde?
Ggf. mit der Aufsichtsbehörde?
Was für eine wissenschaftliche Arbeit auf welchem Niveau und welchem Fachbereich soll das werden, was hast Du dafür bisher schon an Quellensuche getan und gefunden und mit (Fach-) Kommentaren abgeglichen?
Die Sache ist doch relativ einfach, die DSGVO steht als Europarecht über dem nationalen Gesetzen. Allerdings hat die DSGVO eine eigene Begrifflichkeit. D.h. auch wenn die Worte mit nationalen Rechtsbegriffen übereinstimmen bedeutet das nicht, dass das Gleiche gemeint ist (ist ja selbst innerhalb der nationalen Gesetze gelegentlich der Fall). So ist ein Vertreter nach Art.4 Nr.17 DSGVO etwas anderes als der gesetzliche Vertreter im deutschen Recht. Ebenso ist es rechtsfehlerhaft, bezüglich einer “unverzüglichen” Informationserteilung in Art.12 Abs.3 auf nationale Auslegungsregeln zurückzugreifen.
Dass die DSGVO als übergeordnete Rechtsnorm bestimmte nationale Gesetze “außer Kraft setzt” ist ja durchaus Absicht. Auch das BVerfG hat wiederholt festgestellt, dass einzelne nationale Gesetze keine Geltung beanspruchen können, weil sie dem übergeordneten Grundgesetz widersprechen. Und dass neue Gesetze die bisherige Rechtslage auf den Kopf stellen können (siehe Maklerprovisionen) ist ja gelegentlich auch Absicht des Gesetzgebers.
Was das Abweichungsverbot betrifft stellt sich eher die Frage, inwieweit die Öffnungsklauseln der DSGVO vom nationalen Gesetzgeber rechtsfehlerfrei genutzt werden oder nicht (siehe die Diskussion um § 26 BDSG).
PS: Habe gerade gelesen, dass der BGH aus Gewohnheitsrecht trotz fehlener Bestimmung im GmbHG die zwangsweise Erfassung der Anschriften von GmbH-Geschäftsführer*innen erlaubt. Ist das mit Art.6 Abs.1 c) DSGVO vereinbar?
Vielen Dank für diese Ausführungen.
Der Hinweis auf den Art 4 Ziffer 17 “Vertreter” ist interessant.
Mir scheint - ausgehend von Art 6 Abs. 2 und EG 10 am Ende - das Abweichungsverbot im Hinblick auf nationale Eingriffsbefugnisse im Sinn von Art 6 Abs. 1 c und Art 9 Abs. 2 b DSGVO nicht sonderlich eng aufzufassen zu sein. Insbesondere Begriffe, die nach der DSGVO nicht abschließend und bestimmt definiert sind, wie die 17 Beispiele in Art 4 Ziffer 2 für den legaldefinierten Begriff “Datenverarbeitung” dürften danach nicht eng auszulegen sein. ZB der Begriff “Übermittlung”, der in der DSGVO und in den dt Gesetzen verwendet wird und in Letzteren zum Teil noch so wie vor der DSGVO nämlich im Sinn einer Weitergabe nur an Dritte.
Insbesondere Begriffe, die nach der DSGVO nicht abschließend und bestimmt definiert sind, wie die 17 Beispiele in Art 4 Ziffer 2 für den legaldefinierten Begriff “Datenverarbeitung” dürften danach nicht eng auszulegen sein. ZB der Begriff “Übermittlung”, der in der DSGVO und in den dt Gesetzen verwendet wird und in Letzteren zum Teil noch so wie vor der DSGVO nämlich im Sinn einer Weitergabe nur an Dritte.
Wobei der BfDI hinsichtlich des Umfangs dieses Abweichungsverbotes zwischenzeitlich eine eher engere Auslegung zu verfolgen scheint. Gerade bei der von @iDSB genannten Auslegung des Übermittlungsbegriffes rekrutiert der BfDI auf die Definition aus Art. 4 Ziffer 2 DSGVO, wonach eine Übermittlung bereits dann vorliegt, wenn personenbezogene Daten gezielt an einen Empfänger i.S.v. Art 4 Ziffer 9 DSGVO weitergeleitet werden. Hierbei muss es sich dann nicht unbedingt um einen Dritten handeln, wie dies z.B. § 67d Abs. 1 SGB X für die Definition einer Übermittlung vorsieht.
Die, in diesem Punkt von der Auffassung der gesetzlichen Unfallversicherungsträger abweichende, Rechtsauffassung des BfDI ist beispielsweise auch im aktuellen Tätigkeitsbericht 2023 (Ziffer 8.15, Seite 115/116) dargestellt. Der BfDI ist insoweit der Ansicht, dass dem nationalen Gesetzgeber keine Befugnis zu einer von der Legaldefinition in Art. 4 Ziffer 2 DSGVO abweichenden Definition des “Übermittlungsbegriffes” zustände.
Ich komme leider erst jetzt dazu, mich damit zu befassen:
Art. 4 Nr. 2 ist nicht abschließend definiert. Ihre Frage könnte dahingehend interpretiert werden, ob es einem nationalen Gesetzgeber gestattet wäre, Tätigkeiten NICHT als Verarbeitung iS des Art. 4 Nr. 2 zu gestalten. Schönes Beispiel: ein Mitgliedsstaat legt in einem Gesetz fest, dass der Vorgang der Anonymisierung personenbezogener Daten KEINE Verarbeitung iSd Art. 4 Nr. 2 wäre. Fraglich ist, ob der EuGH dies auch so sehen würde, sollte er damit befasst sein.
Oder ist ihre Frage auch außerhalb des Art. 4 Nr. 2 zu verstehen?
Das ist ein interessanter Gedanke und löst tatsächlich ein Abweichungsverbot aus.
Denn die Definition von “Datenverarbeitung” mit ein “Vorgang… im Zusammenhang mit personenbezogenen Daten” ist so weit, dass dieser Vorgang der Anonymisierung von der Legaldefinition ohne Zweifel erfasst ist. Es ist in jedem Fall eine “Verwendung” und braucht eine Rechtsgrundlage. Das dürfte der dt. Gesetzgeber nicht abweichend regeln.
Wenn allerdings die DSGVO von “Verwendung” spricht, darf dann der nationale Gesetzgeber von “Nutzung” sprechen? Ich meine ja.
Und wenn die DSGVO von “Offenbarung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung” spricht, darf dann der nationale Gesetzgeber den Begriff “Übermittlung” für sich definieren und anders verwenden, als die DSGVO diesen Begriff verwendet? Ich meine ja. (Danke ukstDSB für das Praxisbeispiel!) Denn die DSGVO hat “Übermittlung” nicht definiert und benutzt den Begriff in jedem Artikel, in dem er vorkommt, anders. Dann darf der deutsche Gesetzgeber das aber auch.