Hauptinhalt

Gesetzgebungsverfahren

Außenaufnahme des Europäischen Parlaments in Straßburg
Europäisches Parlament in Straßburg  © endzeiter – pixabay

Die Regelungskompetenz im Datenschutzrecht liegt primär beim EU-Gesetzgeber und sekundär beim Bundes- und den Landesgesetzgebern. Diese Kompetenzen stellen sich im Einzelnen wie folgt dar:

EU-Gesetzgeber

Der EU-Gesetzgeber leitet seine Gesetzgebungskompetenz auf dem Gebiet des Datenschutzes aus Artikel 16 Absatz 2 des Vertrages über die Arbeitsweise der Europäischen Union ab. Dort ist bestimmt, dass das Europäische Parlament und der Rat Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten erlassen können. 

»(2) Das Europäische Parlament und der Rat erlassen gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr. Die Einhaltung dieser Vorschriften wird von unabhängigen Behörden überwacht.
Die auf der Grundlage dieses Artikels erlassenen Vorschriften lassen die spezifischen Bestimmungen des Artikels 39 des Vertrags über die Europäische Union unberührt.«

Davon hat der EU-Gesetzgeber mit der am 27. April 2016 beschlossenen, am 25. Mai 2016 in Kraft getretenen und ab dem 25. Mai 2018 anwendbaren Datenschutz-Grundverordnung (DSGVO)

VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (PDF-Datei auf eur-lex.europa.eu)

und der für den Bereich der Prävention und Verfolgung von Straftaten und der Strafvollstreckung geltenden neuen Datenschutz-Richtlinie

RICHTLINIE (EU) 2016/680 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (PDF-Datei auf eur-lex.europa.eu)

Gebrauch gemacht.

Bundesgesetzgeber

Der Bundesgesetzgeber ist für die die Datenschutz-Grundverordnung ausführenden oder ergänzenden Regelungen, die nach der Kompetenzordnung des Grundgesetzes dem Bund zugewiesen sind, zuständig. Dies betrifft zum Beispiel das Recht der Wirtschaft (Artikel 74 Absatz 1 Nummer 11 Grundgesetz) oder das Sozialrecht oder Pass- und Melderecht. Der Bundesgesetzgeber hat darüber hinaus die Regelungen zu treffen, die für die Zusammenarbeit der Datenschutzaufsichtsbehörden auf europäischer Ebene erforderlich sind. Dies wird als Annexkompetenz aus seinen Zuständigkeiten für die Übertragung von Hoheitsrechten auf die Europäische Union (Artikel 23 Absatz 1 Satz 2 Grundgesetz) und für auswärtige Angelegenheiten (Artikel 73 Absatz 1 Nummer 1 Grundgesetz) abgeleitet. Schließlich hat der Bundesgesetzgeber die Regelungskompetenz für die Verarbeitung personenbezogener Daten durch seine Bundesbehörden.

Der Bundesgesetzgeber hat von seinen Gesetzgebungskompetenzen mehrfach Gebrauch gemacht.

Zunächst hatte er mit dem »Datenschutz-Anpassungs- und Umsetzungsgesetz EU« vom 30. Juni 2017 (BGBl. I S. 2097 ff.) das neue Bundesdatenschutzgesetz, das aus mehreren Teilen besteht, beschlossen.

Teil 1 des neuen Bundesdatenschutzgesetzes enthält »Gemeinsame Bestimmungen« (zum Beispiel den Anwendungsbereich, Vorschriften zu den Datenschutzbeauftragten öffentlicher Stellen und zum Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Vorschriften über die Vertretung der Bundesrepublik Deutschland im Europäischen Datenschutzausschuss, Vorschriften zur Zusammenarbeit der Aufsichtsbehörden oder zu den Rechtsbehelfen).

Teil 2 enthält Vorschriften zur Durchführung der Datenschutz-Grundverordnung (zum Beispiel zu den sogenannten »Besonderen Verarbeitungssituationen« nach den Artikeln 85 ff. DSGVO oder zu den Beschränkungen der Rechte der betroffenen Personen.

Teil 3 enthält Bestimmungen für Verarbeitungen zu Zwecken der Richtlinie (EU) 206/680 (Justiz und Inneres), etwa zum Anwendungsbereich, zu den Rechtsgrundlagen der Verarbeitung, zu den Rechten der betroffenen Personen und zu den Pflichten des Verantwortlichen und des Auftragsverarbeiters, zur Datenübermittlung an Drittstaaten, zur Haftung und zu Sanktionen

Teil 4 enthält besondere Bestimmungen für Verarbeitungen außerhalb des Anwendungsbereichs der Datenschutz-Grundverordnung und der für Polizei und Justizvollzug geltenden Richtlinie.

Sodann hatte der Bund mit dem »Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU« vom 20. November 2019 (BGBl. I S. 1626) insgesamt circa 150 Rechtsvorschriften an die Datenschutz-Grundverordnung angepasst und mit dem »Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 im Strafverfahren (…)« vom 20. November 2019 (BGBl. I S. 1724) weitere, über Teil 3 des neuen Bundesdatenschutzgesetzes hinausgehende Umsetzungsmaßnahmen, insbesondere in der Strafprozessordnung, vorgenommen.

Landesgesetzgeber

Der Landesgesetzgeber ist für die die Datenschutz-Grundverordnung ausführenden oder ergänzenden Regelungen, die nach der Kompetenzordnung des Grundgesetzes den Ländern zugewiesen sind, zuständig. Außerdem ist er für die Gesetzgebung, die aufgrund der Datenschutz-Richtlinie im Bereich der Polizei und der Strafvollstreckung beschlossen werden muss, zuständig. Der Freistaat Sachsen hat daher in verschiedenen landesrechtlichen Rechtsvorschriften Regelungen zum Datenschutz beschlossen, zum Beispiel das Sächsische Datenschutzdurchführungsgesetz oder das Sächsische Datenschutz-Umsetzungsgesetz.

zurück zum Seitenanfang