Sie befinden sich hier: Start |Publikationen |vorgänge |Online-Artikel |

vorgänge: Artikel, Datenschutz - 18.05.18

Datenschutz-Grundverordnung – was bewirkt sie für den Datenschutz?

Alexander Roßnagel

in: vorgänge Nr. 221/222 (1-2/2018), S. 17-29


Die Datenschutz-Grundverordnung der Europäischen Union hat hohe Erwartungen geweckt und wird mit großen Hoffnungen erwartet. Der Beitrag untersucht, ob diese berechtigt sind und ob die Verordnung dazu beitragen kann, den Datenschutz tatsächlich zu verbessern. Das Ergebnis ist gemischt: Nüchtern betrachtet führt sie weder zu einem einheitlichen Datenschutzrecht in Europa noch zu Datenschutzregelungen, die den modernen Herausforderungen gerecht werden. Gewisse Hoffnungen sind jedoch berechtigt, dass sie den Vollzug des Datenschutzrechts verbessert.


1. Datenschutz-Grundverordnung – Hoffnungen und Erwartungen

Nach mehreren Jahren vorbereitender Diskussion und einem anschließenden Gesetzgebungsprozess von über vier Jahren ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO)[1] am 25. Mai 2016 in Kraft getreten. Sie gilt vom 25. Mai 2018 an mit all ihren Regelungen[2] in allen Mitgliedstaaten unmittelbar und wird Teil ihrer Rechtsordnung.

Die DSGVO sollte durch eine Verordnung über den Schutz der Privatsphäre in der elektronischen Kommunikation, abkürzend E-Privacy-VO genannt, bereichsspezifisch ergänzt werden. Diese Verordnung soll die Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG) von 2002 ablösen. Sie sollte ebenfalls am 25. Mai 2018 Geltung erlangen. Da sie aber bisher nur in Form eines Vorschlags der Kommission vom 10. Januar 2017 [3] und einer Stellungnahme des Parlaments vom 24. Oktober 2017 [4] vorliegt, ist mit ihrer Verabschiedung vor Ende 2018 nicht zu rechnen.[5]

Die DSGVO wurde mit großen Versprechen angekündigt,[6] mit hohen Erwartungen versehen,[7] mit tiefen Enttäuschungen aufgenommen[8] und durch viel Lobby-Arbeit beeinflusst.[9] Sie wird im Ergebnis sehr unterschiedlich bewertet. Sie wird – vor allem von den an ihrem Entstehen Beteiligten – als „Meilenstein“ bezeichnet,[10] als „Goldstandard“ gepriesen[11] sowie als „Beginn einer neuen Zeitrechnung im Datenschutzrecht“[12] und als „festes Fundament für die anstehenden Herausforderungen der Digitalisierung“ gefeiert.[13] Umgekehrt wird sie von anderen zu „einem der schlechtesten Gesetze des 21. Jahrhunderts“ gekürt und für das Datenschutzrecht als „größte Katastrophe des 21. Jahrhunderts“ bezeichnet.[14]


2. Datenschutz-Grundverordnung – ein weiterer Schritt in der Entwicklung des Datenschutzrechts

Das geltende Datenschutzrecht – auch die DSGVO – stammt konzeptionell aus den 1960er und 1970er Jahren. In dieser Zeit fand die Datenverarbeitung in Rechenzentren statt. Die Daten wurden in Formularen erfasst und per Hand eingegeben. Die Datenverarbeitung betraf nur einen kleinen Ausschnitt des Lebens und war – soweit die Daten bei der betroffenen Person erhoben worden waren – für diese weitgehend kontrollierbar. Wurde die Zweckbindung beachtet, wusste der Betroffene in der Regel, wo welche Daten über ihn verarbeitet wurden. Für diese erste Stufe der Datenverarbeitung sind die grundlegenden Schutzkonzepte des Datenschutzrechts entwickelt worden. Aus dieser Zeit stammen die Regelungen zur Zulässigkeit der Datenverwendung, die Individualisierung der Rechtsdurchsetzung durch Unterrichtung und Benachrichtigung der betroffenen Person, durch ihre Einwilligung und durch ihre Kontrolle in Form von Rechten auf Berichtigung und Löschung, die Anforderungen an Zweckbestimmung, Zweckbindung und Erforderlichkeit der Datenverarbeitung sowie die ergänzende Kontrolle durch Aufsichtsbehörden. Die Nutzung von PCs ab den 1980er Jahren hat die Datenschutzrisiken zwar deutlich erhöht, aber nicht auf eine neue qualitative Stufe gehoben.

Die zweite, qualitativ neue Entwicklungsstufe wurde mit der – weltweiten – Vernetzung der Rechner erreicht. Dadurch entstand ein eigener virtueller Sozialraum, in den nahezu alle Aktivitäten aus der körperlichen Welt übertragen wurden. Jede Handlung in diesem Cyberspace hinterlässt Datenspuren, die ausgewertet werden können und auch werden. Weder die Erhebung der Daten noch deren – letztlich weltweite – Verbreitung und Verwendung können von der betroffenen Person noch kontrolliert werden. Web 2.0 oder Cloud-Computing sind weitere Ausprägungen dieser Entwicklungsstufe. Für sie versuchten die in den 1990er Jahren erlassenen Multimedia-Datenschutzgesetze die Risiken in den Griff zu bekommen. Sie haben für die Internetdienste die Anforderungen an Transparenz, Zweckbindung und Erforderlichkeit verschärft und vor allem die neuen Prinzipien der Datensparsamkeit und des Datenschutzes durch Technik eingeführt. Diese normativen Vorgaben konnten allerdings nur im Wirkungsbereich des Nationalstaats zur Geltung gebracht werden. Die neue Datenverarbeitung betrifft das komplette Leben im virtuellen Sozialraum, je nach Nutzung des Internet einen großen oder kleinen Ausschnitt des täglichen Lebens. Diesen Risiken zu entgehen, würde voraussetzen, den virtuellen Sozialraum zu meiden – für viele keine realistische Alternative. Jedoch besteht zumindest grundsätzlich die Möglichkeit, bildlich gesprochen, den Stecker zu ziehen.

In einer weiteren, dritten Entwicklungsstufe gelangt die Datenverarbeitung in die körperliche Welt. Ubiquitous Computing mit seinen Ausprägungen wie z.B. Smart Cars, Smart Health, Smart Home, Smarten Assistenten, Robotern und sonstige Techniken des Internet der Dinge, die auf der Erfassung der Umgebung durch vielfältige Sensoren und auf der Lernfähigkeit der Systeme durch Künstliche Intelligenz aufbauen, führen zu einer allgegenwärtigen Verarbeitung personenbezogener Daten, die potenziell alle Lebensbereiche und diese potenziell vollständig erfasst. In dieser Welt wachsen Körperlichkeit und Virtualität zusammen. Informationen aus der virtuellen Welt werden in der körperlichen Welt verfügbar, Informationen aus der realen Welt in die virtuelle Welt integriert. Aus dieser Welt und der in ihr stattfindenden Datenverarbeitung gibt es aber keinen Ausweg mehr. Insofern verschärft sich das Problem des Datenschutzes radikal und seine Lösung wird existenziell. Für diese neuen Herausforderungen gibt es noch keine datenschutzrechtlichen Regelungen.

Und auch die alten Regelungen greifen nicht mehr. In einer Welt allgegenwärtiger Datenverarbeitung laufen die bekannten Anforderungen der Zweckbindung, der Erforderlichkeit, der Transparenz, der Einwilligung und der Betroffenenrechte ins Leere. Wenn die allgegenwärtige Rechnertechnik gerade im Hintergrund und damit unmerklich den Menschen bei vielen Alltagshandlungen unterstützen soll, wird es niemand akzeptieren, wenn er täglich zur Durchsetzung des Transparenzprinzips tausendfach bei meist alltäglichen Verrichtungen Anzeigen, Unterrichtungen oder Hinweise zur Kenntnis nehmen müsste. Wenn die Techniksysteme kontextsensitiv und selbstlernend sein sollen, werden sie aus den vielfältigen Datenspuren, die der Nutzer bei seinen Alltagshandlungen hinterlässt, und seinen Präferenzen, die seinen Handlungen implizit entnommen werden können, entgegen jeder Zweckbindung im Interesse des Nutzers vielfältige und umfassende Profile erzeugen. Wenn die Nutzer auf die Datenspeicher der sie umgebenden Gegenstände zurückgreifen, um ihr eigenes löchriges Gedächtnis zu erweitern, läuft das Erforderlichkeitsprinzip in Leere. Für die Gedächtnisfunktion ist für sehr lange Zeit eine Datenspeicherung auf Vorrat erforderlich, weil niemand wissen kann, an was man sich irgendwann einmal erinnern möchte. Diese Beispiele zeigen: Die allgegenwärtige Datenverarbeitung verursacht nicht nur ein weiteres Vollzugs-, sondern ein grundlegendes Konzeptproblem. Sie stellt die zentralen Schutzkonzepte des Datenschutzrechts in Frage.[15]

Alle drei Entwicklungsstufen bestehen heute parallel und beeinflussen sich gegenseitig. Für jede besteht ein spezifischer Modernisierungsbedarf – für die erste Stufe etwa in der Umsetzung der Datenschutzprinzipien beim Aufbau großer Datenverarbeitungssysteme für staatliche oder private Zwecke. Die unterschiedliche Umsetzung der Datenschutzrichtlinie (DSRL) von 1995 hat zu verschiedenen Datenschutzniveaus geführt, die auch als Standortvorteil genutzt wurden (Stichwort: Irland). Noch immer hat das Datenschutzrecht mit einem großen Vollzugsdefizit zu kämpfen. Für die zweite Stufe besteht der Modernisierungsbedarf vor allem darin, dass global agierende Konzerne mit Suchalgorithmen, sozialen Netzwerken, Plattformen und modernen Kommunikationsmöglichkeiten unverzichtbare Internet-Infrastrukturen ausgebildet haben, die Monopolcharakter haben und deren Geschäftsmodell die massenhafte Verarbeitung personenbezogene Daten voraussetzt. Moderne Datenschutzregelungen müssen den Gefährdungen der informationellen Selbstbestimmung durch diese neuen Infrastrukturen in einer Weise entgegentreten, die der Abhängigkeit von ihnen gerecht wird. Für die dritte Stufe besteht der Modernisierungsbedarf vor allem darin, neue Schutzkonzepte für die informationelle Selbstbestimmung zu entwickeln, weil die bisherigen gegenüber den neuen Technikanwendungen leerlaufen. Die Zukunftsfähigkeit neuer Datenschutzregelungen muss daran gemessen werden, ob sie den Herausforderungen auf allen drei Entwicklungsstufen gerecht werden und neue Lösungen für die Gefährdungen der Grundrechtsverwirklichung bieten.


3. Zielsetzungen der Datenschutz-Grundverordnung
 
Die DSGVO erhebt den Anspruch, den genannten Anforderungen an den Datenschutz gerecht zu werden und die festgestellten Defizite zu beseitigen. Ausweislich ihrer Erwägungsgründe (EG) verfolgt sie drei große Zielsetzungen:

  • Zum einen will sie das Datenschutzrecht unionsweit vereinheitlichen und einen soliden, „kohärenten und durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der Union“ schaffen (EG 3, 9 und 13).
  • Zum anderen will sie einheitliche Vorgaben für gleiche wirtschaftliche Bedingungen in der Union bieten und damit den Binnenmarkt stärken (EG 5, 10, 13). „Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden“ (EG 10).
  • Schließlich stellt sie fest, dass „rasche technologische Entwicklungen und die Globalisierung … den Datenschutz vor neue Herausforderungen gestellt“ haben (EG 6). Die Verordnung will den Datenschutz angesichts dieser Herausforderungen modernisieren und den Schutz der Grundrechte verbessern (EG 1, 2 und 4).


4. Wirkungen der Datenschutz-Grundverordnung

Um zu verstehen, warum die DSGVO diese Ziele weitgehend verfehlt, ist der Machtkampf um die Zukunft des europäischen Datenschutzrechts während der Entstehung der Verordnung zu berücksichtigen. Da nahezu alle Lebens-, Wirtschafts- und Verwaltungsbereiche davon abhängig sind, personenbezogene Daten zu verarbeiten, hat derjenige, der über die Fortentwicklung des Datenschutzes bestimmt, ein zentrales Instrument zur Gestaltung der digitalen Gesellschaft in Europa in der Hand. Daher entspann sich ein heftiger Kampf, wer mit welchen Kompetenzen künftig die Datenverarbeitung reguliert (4.1). Er wirkte sich auf die Kontroversen über die Inhalte der Verordnung aus (4.2 – 4.4), mit denen diese Entwicklung begonnen werden sollte.

4.1 Kompetenzen zur Steuerung der Zukunft

Seit einigen Jahren hat die Kommission ihre Strategie zur europäischen Integration verschärft. Sie wechselte von einer „Angleichung der Rechtsvorschriften“ (Art. 114 Abs. 1 AEUV) durch die Mitgliedstaaten zur einer „Vereinheitlichung der Rechtsordnungen“ durch den Unionsgesetzgeber. Als Instrument nutzt sie nicht mehr vorrangig die Richtlinie, sondern die Verordnung.[16] Während eine Richtlinie durch die Mitgliedstaaten umgesetzt werden muss und diese nur hinsichtlich ihrer Zielsetzungen bindet, gilt eine Verordnung in den Mitgliedstaaten unmittelbar. Verordnungen entziehen daher ganze Politikbereiche der nationalen Demokratie.[17]


1

2

3

4

Vor