Sie befinden sich hier: Start |Publikationen |vorgänge |Online-Artikel |

Datenschutz, Aufmacher - 23.05.18

Datenschutz-Grundverordnung – was bewirkt sie für den Datenschutz?

Alexander Roßnagel

Die DSGVO wurde mit großen Versprechen angekündigt, mit hohen Erwartungen versehen, mit tiefen Enttäuschungen aufgenommen und durch viel Lobby-Arbeit beeinflusst. Sie wird von denen einen als „Meilenstein“, neuer „Goldstandard“ und „Beginn einer neuen Zeitrechnung im Datenschutzrecht“ gepriesen; von den anderen zu „einem der schlechtesten Gesetze des 21. Jahrhunderts“ gekürt und für das Datenschutzrecht als „größte Katastrophe des 21. Jahrhunderts“ bezeichnet.

Alexander Roßnagel wagt eine erste Bilanz der verfehlten Ansprüche und möglicher Innovationen durch die EU-Datenschutz-Grundverordnung ...

Portrait von Alexander Roßnagel


Datenschutz-Grundverordnung – ein weiterer Schritt in der Entwicklung des Datenschutzrechts

Das geltende Datenschutzrecht stammt konzeptionell aus den 1960er und 1970er Jahren. In dieser Zeit fand die Datenverarbeitung in Rechenzentren statt. Die Daten wurden in Formularen erfasst und per Hand eingegeben. Die Datenverarbeitung betraf nur einen kleinen Ausschnitt des Lebens und war – soweit die Daten bei der betroffenen Person erhoben worden waren – für diese weitgehend kontrollierbar. Wurde die Zweckbindung beachtet, wusste der Betroffene in der Regel, wo welche Daten über ihn verarbeitet wurden. Für diese erste Stufe der Datenverarbeitung sind die grundlegenden Schutzkonzepte des Datenschutzrechts entwickelt worden. ...

Die zweite, qualitativ neue Entwicklungsstufe wurde mit der – weltweiten – Vernetzung der Rechner erreicht. Dadurch entstand ein eigener virtueller Sozialraum, in den nahezu alle Aktivitäten aus der körperlichen Welt übertragen wurden. Jede Handlung in diesem Cyberspace hinterlässt Datenspuren, die ausgewertet werden können und auch werden. Weder die Erhebung der Daten noch deren – letztlich weltweite – Verbreitung und Verwendung können von der betroffenen Person noch kontrolliert werden. Web 2.0 oder Cloud-Computing sind weitere Ausprägungen dieser Entwicklungsstufe. Für sie versuchten die in den 1990er Jahren erlassenen Multimedia-Datenschutzgesetze die Risiken in den Griff zu bekommen. Sie haben für die Internetdienste die Anforderungen an Transparenz, Zweckbindung und Erforderlichkeit verschärft und vor allem die neuen Prinzipien der Datensparsamkeit und des Datenschutzes durch Technik eingeführt. Diese normativen Vorgaben konnten allerdings nur im Wirkungsbereich des Nationalstaats zur Geltung gebracht werden. Die neue Datenverarbeitung betrifft das komplette Leben im virtuellen Sozialraum, je nach Nutzung des Internet einen großen oder kleinen Ausschnitt des täglichen Lebens. Diesen Risiken zu entgehen, würde voraussetzen, den virtuellen Sozialraum zu meiden – für viele keine realistische Alternative. Jedoch besteht zumindest grundsätzlich die Möglichkeit, bildlich gesprochen, den Stecker zu ziehen.

In einer weiteren, dritten Entwicklungsstufe gelangt die Datenverarbeitung in die körperliche Welt. Ubiquitous Computing mit seinen Ausprägungen wie z.B. Smart Cars, Smart Health, Smart Home, Smarten Assistenten, Robotern und sonstige Techniken des Internet der Dinge, die auf der Erfassung der Umgebung durch vielfältige Sensoren und auf der Lernfähigkeit der Systeme durch Künstliche Intelligenz aufbauen, führen zu einer allgegenwärtigen Verarbeitung personenbezogener Daten, die potenziell alle Lebensbereiche und diese potenziell vollständig erfasst. In dieser Welt wachsen Körperlichkeit und Virtualität zusammen. Informationen aus der virtuellen Welt werden in der körperlichen Welt verfügbar, Informationen aus der realen Welt in die virtuelle Welt integriert. Aus dieser Welt und der in ihr stattfindenden Datenverarbeitung gibt es aber keinen Ausweg mehr. Insofern verschärft sich das Problem des Datenschutzes radikal und seine Lösung wird existenziell. Für diese neuen Herausforderungen gibt es noch keine datenschutzrechtlichen Regelungen.

Und auch die alten Regelungen greifen nicht mehr. In einer Welt allgegenwärtiger Datenverarbeitung laufen die bekannten Anforderungen der Zweckbindung, der Erforderlichkeit, der Transparenz, der Einwilligung und der Betroffenenrechte ins Leere. Wenn die allgegenwärtige Rechnertechnik gerade im Hintergrund und damit unmerklich den Menschen bei vielen Alltagshandlungen unterstützen soll, wird es niemand akzeptieren, wenn er täglich zur Durchsetzung des Transparenzprinzips tausendfach bei meist alltäglichen Verrichtungen Anzeigen, Unterrichtungen oder Hinweise zur Kenntnis nehmen müsste. Wenn die Techniksysteme kontextsensitiv und selbstlernend sein sollen, werden sie aus den vielfältigen Datenspuren, die der Nutzer bei seinen Alltagshandlungen hinterlässt, und seinen Präferenzen, die seinen Handlungen implizit entnommen werden können, entgegen jeder Zweckbindung im Interesse des Nutzers vielfältige und umfassende Profile erzeugen. Wenn die Nutzer auf die Datenspeicher der sie umgebenden Gegenstände zurückgreifen, um ihr eigenes löchriges Gedächtnis zu erweitern, läuft das Erforderlichkeitsprinzip in Leere. Für die Gedächtnisfunktion ist für sehr lange Zeit eine Datenspeicherung auf Vorrat erforderlich, weil niemand wissen kann, an was man sich irgendwann einmal erinnern möchte. Diese Beispiele zeigen: Die allgegenwärtige Datenverarbeitung verursacht nicht nur ein weiteres Vollzugs-, sondern ein grundlegendes Konzeptproblem. Sie stellt die zentralen Schutzkonzepte des Datenschutzrechts in Frage.[15]

Alle drei Entwicklungsstufen bestehen heute parallel und beeinflussen sich gegenseitig. Für jede besteht ein spezifischer Modernisierungsbedarf ... Die Zukunftsfähigkeit neuer Datenschutzregelungen muss daran gemessen werden, ob sie den Herausforderungen auf allen drei Entwicklungsstufen gerecht werden und neue Lösungen für die Gefährdungen der Grundrechtsverwirklichung bieten.


Zielsetzungen der Datenschutz-Grundverordnung
 
Die DSGVO ... verfolgt drei große Zielsetzungen:

  • Zum einen will sie das Datenschutzrecht unionsweit vereinheitlichen und einen soliden, „kohärenten und durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der Union“ schaffen (EG 3, 9 und 13).
  • Zum anderen will sie einheitliche Vorgaben für gleiche wirtschaftliche Bedingungen in der Union bieten und damit den Binnenmarkt stärken (EG 5, 10, 13). „Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden“ (EG 10).
  • Schließlich stellt sie fest, dass „rasche technologische Entwicklungen und die Globalisierung … den Datenschutz vor neue Herausforderungen gestellt“ haben (EG 6). Die Verordnung will den Datenschutz angesichts dieser Herausforderungen modernisieren und den Schutz der Grundrechte verbessern (EG 1, 2 und 4).


Wirkungen der Datenschutz-Grundverordnung

Um zu verstehen, warum die DSGVO diese Ziele weitgehend verfehlt, ist der Machtkampf um die Zukunft des europäischen Datenschutzrechts während der Entstehung der Verordnung zu berücksichtigen. Da nahezu alle Lebens-, Wirtschafts- und Verwaltungsbereiche davon abhängig sind, personenbezogene Daten zu verarbeiten, hat derjenige, der über die Fortentwicklung des Datenschutzes bestimmt, ein zentrales Instrument zur Gestaltung der digitalen Gesellschaft in Europa in der Hand. Daher entspann sich ein heftiger Kampf, wer mit welchen Kompetenzen künftig die Datenverarbeitung reguliert (4.1). Er wirkte sich auf die Kontroversen über die Inhalte der Verordnung aus (4.2 – 4.4), mit denen diese Entwicklung begonnen werden sollte. ...

 

Ko-Regulierung statt Vereinheitlichung des Datenschutzrechts

Die DSGVO hat ein grundlegendes Problem, das durch den Machtkampf verstärkt und nicht beseitigt wurde: die hohe Diskrepanz zwischen der enormen Komplexität des Regelungsbedarfs einerseits sowie die Abstraktheit und damit Unterkomplexität ihrer Vorschriften andererseits. Sie will in 50 Artikeln des materiellen Datenschutzrechts die gleichen Probleme behandeln, für die im deutschen Datenschutzrecht Tausende von bereichsspezifischen Vorschriften bestehen. Wer Datenschutz regelt, verursacht Veränderungen in allen Gesellschaftsbereichen – vom Archivwesen bis zum Zeitungsverlag. Wer meint, die vielen und vielfältigen gesetzlichen Regelungen zum Datenschutz in den Mitgliedstaaten durch wenige generelle und abstrakte Regelungen ersetzen zu können, unterschätzt nicht nur diese Aufgabe gewaltig, sondern übersieht auch die negativen Auswirkungen, die dadurch entstehen, wenn er die Vielfalt und Differenzierung bestehender Regelungen beseitigt und dadurch gewaltige Lücken der Rechtsunsicherheit erzeugt.[22]

Durch diesen unterkomplexen Regelungsansatz muss die DSGVO ihr eigentliches Ziel, einen soliden, kohärenten, einheitlichen Rechtsrahmen für den Datenschutz in allen Mitgliedstaaten der Union zu bilden, verfehlen. Vollzugsfähig und rechtssicher sind die Regelungen der Verordnung nur, wenn sie präzisiert, konkretisiert und ergänzt werden. Dies ist überwiegend Aufgabe der Mitgliedstaaten.[23] Das wichtigste Ergebnis aus dem Machtkampf um die Verordnung sind die 70 Öffnungsklauseln, durch die die Union den Mitgliedstaaten explizit Regelungskompetenzen im Datenschutzrecht überträgt. Diese sind unterschiedlich ausgestaltet. Sie eröffnen den Mitgliedstaaten eigene Regelungsbereiche ohne spezifische Vorgaben – wie in Art. 88[24] für den Beschäftigtendatenschutz.[25] ... Die Öffnungsklauseln verhindern eine unionsweite Vereinheitlichung des Datenschutzrechts. Dies widerspricht zwar den Wünschen und Hoffnungen, die viele mit der Verordnung verbunden haben. Mehr als dieses Nebeneinander von Unions- und nationalem Datenschutzrecht, das im günstigen Fall zu einer Ko-Regulierung führt, hat der Unionsgesetzgeber aber nicht gewollt.

Wie sehr im Ergebnis ein unionsweit einheitliches Datenschutzrecht verfehlt wird, kann in der Anpassung des deutschen Datenschutzrechts an die DSGVO besichtigt werden. Noch in der 18. Legislaturperiode hat der deutsche Gesetzgeber ergänzend zu ihr erste neue Datenschutzgesetze erlassen. ... Der Regulierungsstil dieser nationalen Anpassungsgesetze ist identisch. Sie sind von der Zielsetzung geprägt, das bestehende materielle Datenschutzrecht zu erhalten und nur formelle Anpassungen vorzunehmen. Es entfällt jedoch kein einziges Datenschutzgesetz und auch kein Abschnitt zum Datenschutz in den Fachgesetzen.

Im Ergebnis verfehlt die DSGVO weitgehend ihr Ziel, das Datenschutzrecht in der Union zu vereinheitlichen. Für Rechtsanwender und Rechtsbetroffene ist die Gemengelage aus DSGVO sowie dem weitgehend unveränderten deutschen Datenschutzrecht schwer zu durchschauen und verursacht ein hohes Maß an Rechtsunsicherheit.

 

Kontinuität in den Mitgliedstaaten statt einheitlicher Datenschutzpraxis

Stärker kommt die DSGVO im Bereich der Wirtschaft zur Anwendung. Doch auch wenn in allen Mitgliedstaaten die gleichen Vorschriften gelten, führt dies nicht immer zu unionsweit einheitlichen Wettbewerbsbedingungen. Gerade ihre vielen abstrakten und unbestimmten Regelungen bedürfen in der Praxis der Präzisierung und Konkretisierung durch die Verantwortlichen, betroffenen Personen, nationalen Aufsichtsbehörden und Gerichte.

Es ist ein entscheidender Unterschied, ob eine Richtlinie fünf Erlaubnistatbestände als Ziele vorgibt, die eine bereichs- und problemspezifische Konkretisierung durch nationale Gesetze erfahren sollen, oder ob die gleichen fünf Erlaubnistatbestände in einer Verordnung unmittelbare Rechtsgeltung haben und die bestehenden ausdifferenzierten und risikobezogenen nationalen Regelungen ersetzen sollen. Die Auslegung der identischen abstrakten Begriffe wird in jedem Mitgliedstaat nach der jeweiligen Datenschutztradition und -kultur erfolgen. Insbesondere die offene Abwägung berechtigter Interessen der Verantwortlichen mit den schutzwürdigen Interessen der betroffenen Person wird in jedem Mitgliedstaat unterschiedlich sein. Dies ist z.B. für die Videoüberwachung, für Werbung, Auskunfteien, Marktforschung, Scoring, Bonitätsauskünfte oder Internetangebote zu erwarten. Europäischer Datenschutz wird hinsichtlich der Zulässigkeit der Datenverarbeitung in jedem Mitgliedstaat praktisch einen anderen Inhalt haben. Dadurch entsteht kein einheitlich durchgesetztes und gelebtes Recht. Wettbewerbsgleichheit ist so nicht zu erreichen.[30]


1

2

Vor