Tz. 1
Stand: EL 137 – ET: 06/2024
Die Datenschutzgrundverordnung (im Folgenden DSGVO) gilt seit dem 25.05.2018. Sie ist eine EU-Verordnung (s. Verordnung (EU) 2016/679), die nicht wie Richtlinien in nationales Gesetz umgesetzt werden muss. Sie ersetzt die EU-Datenschutzrichtlinie (95/46/EG), auf der auch das Bundesdatenschutzgesetz basiert. Mit Geltung der DSGVO wurde gleichzeitig eine neue Fassung des BDSG (im Folgenden BDSG-alt oder BDSG-neu) eingeführt. Das BDSG-neu konkretisiert und erweitert die Vorgaben der DSGVO. Das BDSG-neu enthält bspw. detaillierte Regelungen zum Beschäftigtendatenschutz (s. § 26 BDSG-neu), zur Videoüberwachung (s. § 4 BDSG-neu) und zum Profiling (s. § 54 BDSG-neu – Automatisierte Einzelentscheidung). Darüber hinaus haben die Bundesländer aufgrund von Öffnungsklauseln eigene Landesdatenschutzgesetze erlassen.
Die DSGVO gilt in allen EU-Mitgliedstaaten und hat als Unionsrecht Vorrang vor nationalem Recht (s. § 1 Abs. 5 BDSG-neu). Trotzdem besteht kein europaweit geltendes einheitliches Datenschutzrecht, da die Mitgliedstaaten viel Raum für eigene Vorschriften erhalten haben.
In Deutschland stimmen sich die Aufsichtsbehörden über verschiedene Gremien wie die Datenschutzkonferenz (im Folgenden: DSK) und den Düsseldorfer Kreis ab und veröffentlichen sog. Kurzpapiere und Orientierungshilfen. Auf europäischer Ebene besteht mit dem Europäischen Datenschutzausschuss (früher die "Artikel-29-Gruppe") ein ähnliches Gremium. Auch der Europäische Gerichtshof (EuGH) bestimmt das europäische Datenschutzrecht mit. Zur Auslegung der Bestimmungen wird verstärkt auf die vom Europäischen Parlament niedergelegten 173 Erwägungsgründe zum Erlass der DSGVO (im Folgenden nur "Erwägungsgrund") zurückgegriffen.
Grundsatz der DSGVO ist das generelle Verbot der Verarbeitung personenbezogener Daten. Eine Datenverarbeitung ist also nur erlaubt, wenn es einen Ermächtigungsgrund gibt. Diese Rechtsgrundlage kann sich aus Gesetz (also der DSGVO, dem sonstigen Unionsrecht, dem Recht der Mitgliedstaaten, BDSG-neu, Ländergesetz) oder aufgrund Einwilligung des Betroffenen ergeben. (Art. 6 Abs. 1 DSGVO; Erwägungsgrund 40). Die DSGVO unterscheidet nicht mehr zwischen öffentlichen und nicht-öffentlichen Stellen, so dass in Vereinen/Verbänden die gesamte DSGVO zur Anwendung kommt.
Die DSK hat am 06.05.2024 eine Orientierungshilfe zum Thema "Künstliche Intelligenz und Datenschutz Version 1.0" zum datenschutzkonformen Einsatz von KI-Anwendungen veröffentlicht.