Rz. 4
Die DSGVO ist ab dem 25.5.2018 (Art. 99 Abs. 2 DSGVO) unmittelbar und vorrangig zu allen nationalen Regelungen anwendbar (vgl. Art. 288 Abs. 2 AEUV), soweit sie nicht Öffnungsklauseln zur Regelung von Rechtsmaterien zugunsten des nationalen Rechts enthält. Sie ersetzt das bisherige Bundesdatenschutzgesetz i.d.F. vom 14.1.2003, das bis zum 24.5.2018 anzuwenden war (BDSG a.F.). Ergänzend gilt in Deutschland das neue Bundesdatenschutzgesetz (BDSG n.F.) i.d.F. des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) vom 30.6.2017. Dieses füllt die Öffnungsklauseln der DSGVO auf nationaler Ebene aus.
Rz. 5
Erklärtes Ziel der DSGVO ist, dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten in der behördlichen und unternehmerischen Praxis mehr Geltung zu verschaffen (Art. 1 Abs. 1 DSGVO). Sie gilt für die öffentliche wie nicht-öffentliche, automatisierte wie nicht automatisierte Verarbeitung personenbezogener Daten. Personenbezogene Daten in diesem Sinne sind gem. Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art. 4 Nr. 2 DSGVO). Adressat der Verordnung ist in erster Linie der sog. Verantwortliche, d.h. die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Rz. 6
Art. 5 Abs. 1 DSGVO bestimmt Grundsätze, wie die Verarbeitung personenbezogener Daten zu erfolgen hat, die sodann durch die nachfolgenden Vorschriften der DSGVO konkretisiert werden. Der Verantwortliche muss die Einhaltung jener Grundsätze nachweisen können (sog. Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO). Folgende Grundsätze sind zu beachten:
Rz. 7
Die Einhaltung der Grundsätze wird von der Aufsichtsbehörde (Art. 55 DSGVO) überwacht. Diese hat die in Art. 58 DSGVO niedergelegten Befugnisse. Es wird zwischen Untersuchungsbefugnissen, Abhilfebefugnissen, Genehmigungsbefugnissen und beratenden Befugnissen unterschieden. Von besonderer Bedeutung im Kontext der Vorschrift des § 384a AO sind die Befugnisse nach Art. 58 Abs. 2 DSGVO (s. hierzu Rz. 31). Diese sehen u.a. vor, dass die Aufsichtsbehörde nach Art. 83 DSGVO bei Verstößen, die in Abs. 4–6 im Einzelnen benannt sind, Bußgelder verhängen darf (Art. 58 Abs. 2 Buchst. i DSGVO).