Verbot der Abweichung nationalen Rechts von der DSGVO

Ich recherchiere für eine wissenschaftliche Arbeit zum Abweichungsverbot.
Von den Regelungen der DSGVO darf im nationalen Recht nicht abgewichen werden.
Art 4 Ziffer 2 definiert die Datenverarbeitung und nennt zahlreiche nicht abschließende Beispiele für solche Verarbeitungen.

Haben Sie Erfahrungen mit dem Abweichungsverbot der DSGVO?
Insbesondere hinsichtlich der Beispiele in 4 Nr. 2 DSGVO und Spezialgesetzen in Ihrem Bereich, in denen die DV-Vorgänge anders als in den DSGVO-Beispielen oder zufällig genauso benannt werden und die DSGVO nun die Rechtslage völlig auf den Kopf stellen würde?
Ggf. mit der Aufsichtsbehörde?

Vielen Dank für Ihre Unterstützung!

Was für eine wissenschaftliche Arbeit auf welchem Niveau und welchem Fachbereich soll das werden, was hast Du dafür bisher schon an Quellensuche getan und gefunden und mit (Fach-) Kommentaren abgeglichen?

Ich stehe noch am Anfang. Jeder Hinweis ist willkommen. Insbesondere auch Streitfragen aus der Praxis.

Das beantwortet nicht die Fragen.

1 „Gefällt mir“

Die Sache ist doch relativ einfach, die DSGVO steht als Europarecht über dem nationalen Gesetzen. Allerdings hat die DSGVO eine eigene Begrifflichkeit. D.h. auch wenn die Worte mit nationalen Rechtsbegriffen übereinstimmen bedeutet das nicht, dass das Gleiche gemeint ist (ist ja selbst innerhalb der nationalen Gesetze gelegentlich der Fall). So ist ein Vertreter nach Art.4 Nr.17 DSGVO etwas anderes als der gesetzliche Vertreter im deutschen Recht. Ebenso ist es rechtsfehlerhaft, bezüglich einer “unverzüglichen” Informationserteilung in Art.12 Abs.3 auf nationale Auslegungsregeln zurückzugreifen.

Dass die DSGVO als übergeordnete Rechtsnorm bestimmte nationale Gesetze “außer Kraft setzt” ist ja durchaus Absicht. Auch das BVerfG hat wiederholt festgestellt, dass einzelne nationale Gesetze keine Geltung beanspruchen können, weil sie dem übergeordneten Grundgesetz widersprechen. Und dass neue Gesetze die bisherige Rechtslage auf den Kopf stellen können (siehe Maklerprovisionen) ist ja gelegentlich auch Absicht des Gesetzgebers.

Was das Abweichungsverbot betrifft stellt sich eher die Frage, inwieweit die Öffnungsklauseln der DSGVO vom nationalen Gesetzgeber rechtsfehlerfrei genutzt werden oder nicht (siehe die Diskussion um § 26 BDSG).

PS: Habe gerade gelesen, dass der BGH aus Gewohnheitsrecht trotz fehlener Bestimmung im GmbHG die zwangsweise Erfassung der Anschriften von GmbH-Geschäftsführer*innen erlaubt. Ist das mit Art.6 Abs.1 c) DSGVO vereinbar?

Vielen Dank für diese Ausführungen.
Der Hinweis auf den Art 4 Ziffer 17 “Vertreter” ist interessant.
Mir scheint - ausgehend von Art 6 Abs. 2 und EG 10 am Ende - das Abweichungsverbot im Hinblick auf nationale Eingriffsbefugnisse im Sinn von Art 6 Abs. 1 c und Art 9 Abs. 2 b DSGVO nicht sonderlich eng aufzufassen zu sein. Insbesondere Begriffe, die nach der DSGVO nicht abschließend und bestimmt definiert sind, wie die 17 Beispiele in Art 4 Ziffer 2 für den legaldefinierten Begriff “Datenverarbeitung” dürften danach nicht eng auszulegen sein. ZB der Begriff “Übermittlung”, der in der DSGVO und in den dt Gesetzen verwendet wird und in Letzteren zum Teil noch so wie vor der DSGVO nämlich im Sinn einer Weitergabe nur an Dritte.

Insbesondere Begriffe, die nach der DSGVO nicht abschließend und bestimmt definiert sind, wie die 17 Beispiele in Art 4 Ziffer 2 für den legaldefinierten Begriff “Datenverarbeitung” dürften danach nicht eng auszulegen sein. ZB der Begriff “Übermittlung”, der in der DSGVO und in den dt Gesetzen verwendet wird und in Letzteren zum Teil noch so wie vor der DSGVO nämlich im Sinn einer Weitergabe nur an Dritte.

Wobei der BfDI hinsichtlich des Umfangs dieses Abweichungsverbotes zwischenzeitlich eine eher engere Auslegung zu verfolgen scheint. Gerade bei der von @iDSB genannten Auslegung des Übermittlungsbegriffes rekrutiert der BfDI auf die Definition aus Art. 4 Ziffer 2 DSGVO, wonach eine Übermittlung bereits dann vorliegt, wenn personenbezogene Daten gezielt an einen Empfänger i.S.v. Art 4 Ziffer 9 DSGVO weitergeleitet werden. Hierbei muss es sich dann nicht unbedingt um einen Dritten handeln, wie dies z.B. § 67d Abs. 1 SGB X für die Definition einer Übermittlung vorsieht.

Die, in diesem Punkt von der Auffassung der gesetzlichen Unfallversicherungsträger abweichende, Rechtsauffassung des BfDI ist beispielsweise auch im aktuellen Tätigkeitsbericht 2023 (Ziffer 8.15, Seite 115/116) dargestellt. Der BfDI ist insoweit der Ansicht, dass dem nationalen Gesetzgeber keine Befugnis zu einer von der Legaldefinition in Art. 4 Ziffer 2 DSGVO abweichenden Definition des “Übermittlungsbegriffes” zustände.

Hier dürfte der BfDI völlig daneben liegen.

1 „Gefällt mir“