Sie befinden sich hier: Start |Publikationen |vorgänge |Online-Artikel |

vorgänge: Artikel, Datenschutz: DSGVO - 31.12.20

Datenschutz-Grundverordnung: der neue Goldstandard

Peter Schaar

in: vorgänge Nr. 231/232 (3-4/2020), S. 7-15

Die Datenschutz-Grundverordnung (DSGVO)[1] hat schon vor ihrem Inkrafttreten die weltweite Diskussion über Fragen des Datenschutzes beeinflusst. Die Auswirkungen des neuen Regelungswerks haben sich seither noch intensiviert. Auch außerhalb Europas wurden inzwischen Gesetze beschlossen, die sich am Vorbild der Grundverordnung orientieren. Die Einschätzung des früheren Europäischen Datenschutzbeauftragten Giovanni Buttarelli, die Grundverordnung sei ein Aufruf zur Entwicklung eines neuen weltweiten digitalen "Goldstandards"[2], hat sich nach Ansicht von Peter Schaar bestätigt.

1. Patchwork

Vielfach sind es Krisen oder zumindest die Unzufriedenheit mit dem Status Quo, die zu Veränderungen führen. So war und ist es auch mit dem Datenschutz. Das weltweit erste Datenschutzgesetz wurde 1971 in Hessen verabschiedet. Es folgten andere Bundesländer, europäische und außereuropäische Staaten. Von einem einheitlichen Datenschutzrecht konnte dabei keine Rede sein. Es war schließlich der Europarat, der im Jahr 1981 mit der Konvention 108[3] einen ersten internationalen, verbindlichen Datenschutzmindeststandard formulierte. Die Europäische Union folgte diesem Ansatz mit 15jähriger Verspätung, nachdem immer deutlicher geworden war, dass die unterschiedlichen Datenschutzsysteme der Mitgliedstaaten den freien Datenverkehr auf dem gemeinsamen Markt behinderten.

Die EG-Datenschutzrichtlinie von 1995[4] bewirkte zwar, dass alle Mitgliedstaaten eigene Datenschutzgesetze bekamen, doch von einer echten Harmonisierung konnte keine Rede sein. Denn der durch die Richtlinie geschaffene Rahmen war von den Mitgliedstaaten sehr unterschiedlich ausgefüllt worden, so dass das Datenschutzrecht der Mitgliedstaaten weiterhin einen Flickenteppich bildete.

Besonders gravierend waren die Differenzen bei den Durchsetzungsmechanismen: Zwar waren in allen Mitgliedstaaten Datenschutzbehörden eingerichtet worden. Sie unterschieden sich jedoch erheblich im Hinblick auf ihre institutionelle Einbindung, ihre Befugnisse und den Grad ihrer Unabhängigkeit. Wiederholt beschäftigte sich der Europäische Gerichtshof mit fragwürdigen Bestimmungen des nationalen Datenschutzrechts.[5]

Schließlich mangelte es an klaren und verbindlichen Regeln für die grenzüberschreitende Zusammenarbeit der Datenschutzaufsicht. Die gem. Art. 29 der Datenschutzrichtlinie eingerichtete Datenschutzgruppe ("Artikel 29-Gruppe"), in der alle nationalen Datenschutzbehörden, der Europäische Datenschutzbeauftragte und – allerdings ohne Stimmrecht – die Europäische Kommission vertreten waren, hatte lediglich beratende Funktion. Verbindliche Entscheidungen waren nicht vorgesehen.

Global agierende Unternehmen nutzten das Datenschutzgefälle zwischen den Mitgliedstaaten in ihrem Sinne. Davon profitierten in besonderem Maß Irland und Luxemburg, in denen eine effektive Datenschutzaufsicht nicht stattfand. Die damit verbundene Verwässerung des EU-Datenschutzes wurde in den übrigen Mitgliedstaaten und von den europäischen Institutionen zunehmend kritisch gesehen.

Nicht nur hinsichtlich ihrer mangelnden Harmonisierungswirkung geriet die Datenschutzrichtlinie in die Kritik. Auch angesichts der stürmischen technischen Entwicklung drängte sich die Frage auf, ob eine Regelung aus dem Jahr 1995 den Anforderungen einer global vernetzten, ubiquitär verfügbaren und immer weitere Lebensbereiche durchdringenden Informationsverarbeitung gerecht zu werden vermochte. Immerhin wurde die formuliert, als das Internet und der Mobilfunk noch Nischentechnologien und viele andere – heute alltägliche – Techniken gänzlich unbekannt waren (etwa Biometrie, Cloud, künstliche Intelligenz).

2. Glücksfall Edward Snowden

Die Europäische Kommission erkannte die Zeichen der Zeit und begann im Jahr 2010 mit Konsultationen über die Fortschreibung des EU-Datenschutzrechts. Anfang 2012 legte sie ein umfassendes Reformpaket vor, dessen Kernstück die Datenschutz-Grundverordnung bildete. Die wichtigste Innovation bestand in der Wahl des Regelungsinstruments: Während die Richtlinie der Umsetzung durch die nationalen Gesetzgeber bedurfte, ist eine Verordnung ein unmittelbar in den Mitgliedstaaten anwendbares Gesetz.

Der Gegenwind gegen ein einheitliches, in allen Mitgliedstaaten direkt anwendbares Datenschutzrecht kam von vielen Seiten. Wie schon in den 1990er Jahren in den Beratungen der Datenschutzrichtlinie hielt sich die Begeisterung über ein weitgehend harmonisiertes europäisches Datenschutzrecht, das die Spielräume für nationale Nischen und Alleingänge reduzieren würde, bei den Regierungen der Mitgliedstaaten in Grenzen. In Deutschland wurde insbesondere das Ende des vermeintlich hohen deutschen Datenschutzniveaus beschworen, das sich jedoch bei näherem Hinsehen allzu oft als Schimäre erwies. Im Zuge des europäischen Gesetzgebungsverfahrens ("Trilog") setzten die Regierungen der Mitgliedstaaten schließlich etliche Öffnungsklauseln durch, die sich heute als Schwachstelle der DSGVO erweisen.

Der Widerstand von Wirtschaftsverbänden und Unternehmen richtete sich prinzipiell gegen schärfere Regelungen. Er speiste sich auch aus der Wahrnehmung, dass digitale Geschäftsmodelle in den USA wegen nicht vorhandener gesetzlicher Beschränkungen erfolgreicher waren als in Europa. Schließlich kämpften Vertreter der US-Wirtschaft und der US-Regierung gegen jede Verschärfung des EU-Datenschutzrechts, welche die Geschäftsinteressen der auch auf dem europäischen Markt dominierenden IT-Unternehmen der "GAFAM"-Gruppe (Google, Amazon, Facebook, Apple, Microsoft) behindern könnte.

Der von US-Seite ausgeübte erhebliche Druck auf den europäischen Gesetzgeber blieb nicht ohne Folgen. Anders als beabsichtigt verfestigte er jedoch den (zutreffenden) Eindruck, hier ginge es primär um die Sicherung ihrer datengetriebenen Geschäftsmodelle zu Lasten der EU-Bürgerinnen und Bürger und der europäischen Wirtschaft.

Das weit verbreitete Gefühl der digitalen Abhängigkeit Europas verstärkte sich mit der Aufdeckung globaler Überwachungsaktivitäten durch den Whistleblower Edward Snowden. Es war nicht mehr zu leugnen, dass die US-Geheimdienste die marktbeherrschende Stellung der amerikanischen Digitalunternehmen für ihre Aktivitäten, für ihre auf globale Kontrolle ausgerichteten Überwachungsprogramme nutzten. Vieles spricht dafür, dass die symbiotische Beziehung zwischen Sicherheitsbehörden und Unternehmen mit Wissen und Duldung durch deren Top-Management etabliert wurde, auch wenn die Unternehmen die Geheimdienstaktivitäten sicherlich nicht im Detail kannten.[6] Die Aufdeckung dieses Beziehungsgeflechts wirkte als Katalysator des Gesetzgebungsprozesses zur DSGVO. Edward Snowdens Enthüllungen haben ohne Zweifel dazu beigetragen, dass der ambitionierte Regulierungsansatz schließlich auch von den meisten Europapolitikern befürwortet wurde, die ihm zunächst skeptisch gegenübergestanden hatten.

3. Datenschutz ist Grundrechtsschutz

In vielen Ländern – darunter die USA und die asiatischen Staaten – wird Datenschutz (jedenfalls im Hinblick auf den nicht-öffentlichen Bereich) als Gegenstand privatrechtlicher Aushandlungen gesehen. Ein entscheidendes Manko auch der Datenschutzrichtlinie von 1995 bestand darin, dass es sich bei ihr in erster Linie um ein Instrument der Marktregulierung handelte, mit dem der freie Datenverkehr im europäischen Binnenmarkt sichergestellt werden sollte.7 Mit der Weiterentwicklung der Europäischen Gemeinschaft zu einer politischen Union stellte sich die Frage nach europäischen Grundrechten, die kurz nach der Jahrtausendwende in der EU-Grundrechtecharta festgeschrieben wurden. Art. 7 der Charta verlangt – wie zuvor schon Art. 8 der Europäischen Menschenrechtskonvention[8] – die Achtung des Privat – und Familienlebens. Art. 8 EUGrCh garantiert den Schutz personenbezogener Daten und schreibt eine unabhängige Datenschutzaufsicht vor. Zudem hatte die Rechtsprechung in den Mitgliedsstaaten seit den 1980er Jahren dem Datenschutz als Grundrecht der Informationsgesellschaft einen höheren Stellenwert einzuräumen begonnen – zu nennen ist hier besonders das "Volkszählungsurteil" des Bundesverfassungsgerichts von 1983[9].

Durch den Vertrag von Lissabon[10] wurde die Grundrechtecharta zum anwendbaren Recht in der gesamten EU aufgewertet. Mit der Charta war eine echte EU-weite Datenschutzgesetzgebung geboten, weil nur so ein angemessener Grundrechtsschutz sichergestellt werden konnte.

4. Die ersten 2 1/2 Jahre

Angesichts des teils gravierenden, mit der DSGVO verbundenen Anpassungsbedarfs des nationalen Rechts hatte der europäische Gesetzgeber den Mitgliedstaaten und den Rechtsanwendern eine zweijährige Übergangsfrist eingeräumt. Die am 25. Mai 2016 im EU-Amtsblatt veröffentlichte DSGVO wurde erst am 25. Mai 2018 vollständig wirksam. Trotzdem wurden die notwendigen Anpassungs- und Umsetzungsarbeiten bis heute nicht abgeschlossen. Aber selbst dort, wo der nationale Gesetzgeber tätig geworden ist, bestehen weiterhin viele Probleme. Dies gilt etwa für nationale Regelungen zur Videoüberwachung, zur Verarbeitung biometrischer Daten oder für die Datenverarbeitung zu Forschungszwecken. Als Problem erweist sich auch, dass die Mitgliedstaaten die ihnen durch die DSGVO eingeräumten Regelungsspielräume beim Beschäftigtendatenschutz und beim Austarieren des Datenschutzes mit der Informations- und Meinungsfreiheit sehr unterschiedlich gefüllt haben.

Auch die Unternehmen waren vielfach nicht hinreichend auf die DSGVO vorbereitet. So ergab eine im Dezember 2017 veröffentlichte Umfrage, dass mehr als der Hälfte der deutschen Unternehmen die DSGVO nicht bekannt war oder dass sie sich noch nicht mit ihr beschäftigt hätten.[11] Die Rechtsunsicherheiten waren und sind in Deutschland besonders ausgeprägt, weil das hiesige Datenschutzrecht maßgeblich durch Spezialregelungen geprägt ist und sich vielfach die Frage stellt, in welcher Beziehung die bereichsspezifischen Datenschutzvorschriften zu den Vorgaben der DSGVO stehen. Hinzu kommt die föderale Differenzierung des deutschen Datenschutzrechts, die in keinem anderen Mitgliedsland eine Entsprechung findet.

2018 setzte insbesondere in Deutschland eine teils aufgeregte öffentliche Diskussion darüber ein, was nun verboten und was erlaubt ist. Anstatt den Datenschutz als Chance zu begreifen und so das Vertrauen in digitale Prozesse in Staat und Wirtschaft zu stärken, wurde der Eindruck erzeugt, Datenschutz bedrohe den Wohlstand, verhindere sinnvolle IT-Projekte und erschwere das Leben von Vereinen und kleinen Unternehmen unverhältnismäßig. Die Wahrnehmung der DSGVO als "Innovationsbremse" oder "Bürokratiemonster" wurde verstärkt durch vielfach unbegründete Behauptungen und zweifelhafte Rechtsauslegungen. Eine bevorstehende "Abmahnwelle"[12] wurde beschworen. Es wurde in Frage gestellt, ob die namentliche Begrüßung als Erhebung personenbezogener Daten noch zulässig sei.[13] Die Bild-Zeitung titelte auf ihrer Frontseite: "Datenschutz-Irrsinn: Unsere Klingelschilder sollen weg!"[14] Inzwischen hat sich die Aufregung weitgehend gelegt. Kunden werden weiterhin namentlich begrüßt, kein Klingelschild wurde abmontiert und die beschworene Abmahnwelle ist ausgeblieben.[15] Zur Beruhigung hat sicherlich beigetragen, dass die Datenschutzbehörden in Deutschland und Europa eine Vielzahl von Auslegungs- und Orientierungshilfen zur DSGVO vorgelegt haben, um Unsicherheiten bei den Rechtsanwendern auszuräumen.[16]

Inzwischen ist auch deutlich geworden, dass die Datenschutzbehörden nicht mehr dem Bild des "zahnlosen Tigers" entsprechen. Sie haben seit dem Wirksamwerden der DSGVO hunderttausende Beschwerden bearbeitet und eine Vielzahl von Bußgeldern – einige davon in Millionenhöhe – gegen Verantwortliche für Datenschutzverstöße verhängt. Dass das Engagement und die Konfliktbereitschaft der nationalen Datenschutzbehörden recht unterschiedlich ausgeprägt sind, ist jedoch auch nicht zu übersehen. Während viele Datenschutzbehörden schwerwiegende Datenschutzverstöße mit hohen Bußgeldern geahndet haben, tun sich andere Datenschutzbehörden hier deutlich schwerer. So hat die irische Datenschutzbehörde bis Ende November 2020 nicht eine der vielen Tausend Beschwerden gegen US-amerikanische Internetunternehmen abschließend entschieden, die ihre Europazentralen in Irland haben (s. dazu den Beitrag von Caspar in diesem Heft).


1

2

3

Vor