Sie befinden sich hier: Start |Publikationen |vorgänge |Online-Artikel |

vorgänge: Artikel, Datenschutz: DSGVO - 31.12.20

Editorial

Hartmut Aden & Sven Lüders

in: vorgänge Nr. 231/232 (3-4/2020), S. 1-6

Als die 2016 verabschiedete EU-Datenschutzgrundverordnung (DSGVO) im Mai 2018 in Kraft trat, herrschte große Aufregung. Große wie kleine Unternehmen und sogar Vereine, die Daten ihrer Mitglieder verarbeiten, merkten "plötzlich", dass sie sich lange kaum Gedanken über den Umgang mit den persönlichen Daten ihrer Kunden oder Mitglieder gemacht hatten. Besonders furchterregend wirkten offenbar die Sanktionsandrohungen für Datenschutzverstöße, die gegenüber der vorherigen Rechtslage deutlich verschärft wurden: Art. 83 DSGVO lässt Geldbußen bis zu 20 Mio. Euro zu, bei Unternehmen sogar bis zu 4 Prozent des weltweiten Jahresumsatzes, was bei großen Unternehmen zu noch weitaus höheren Beträgen führen kann. Bereits 2018 befassten sich die vorgänge (in Heft 221/222) mit der DSGVO und ihren Neuerungen gegenüber der alten, noch stark vom nationalen Recht geprägten Rechtslage. Bereits damals war klar, dass die Idee nicht ganz zutreffend war, in Deutschland würde sich nicht viel ändern, da bereits vorher Gesetzgebung und Rechtsprechung bis hin zum Bundesverfassungsgericht für ein hohes Datenschutzniveau standen. Nicht nur wegen des viel höheren Sanktionsrahmens, sondern auch wegen zahlreicher weiterer Neuerungen und Konkretisierungen hat sich auch in Deutschland seither einiges geändert. Hier seien nur die höheren Anforderungen an Einwilligungen, das neue Recht auf Vergessenwerden, die Meldepflichten für Datenschutzvorfälle und die Vorgaben für Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen genannt.

Angesichts der weitreichenden Neuerungen, die die DSGVO enthält, war es nur folgerichtig, dass die Auswirkungen des neuen Regelwerkes durch die EU-Kommission systematisch beobachtet und ausgewertet werden sollten. Art. 97 DSGVO enthält dazu eine Berichtspflicht, wonach die Europäische Kommission dem Europäischen Parlament und dem Rat erstmals im Mai 2020 und anschließend alle vier Jahre "einen Bericht über die Bewertung und Überprüfung dieser Verordnung" vorzulegen hat. Im Juni 2020 kam die Kommission dieser Berichtspflicht erstmals nach und legte die Mitteilung "Datenschutz als Grundpfeiler der Teilhabe der Bürgerinnen und Bürger und des Ansatzes der EU für den digitalen Wandel – zwei Jahre Anwendung der Datenschutz-Grundverordnung"[1] vor. Darin zieht sie eine überwiegend positive Bilanz, betont aber auch, dass es für manche Innovationen nach zwei Jahren noch nicht möglich sei, eine Bewertung abzugeben. Die technologieneutrale Konzeption der DSGVO habe sich auch während der COVID-19-Pandemie bewährt, insbesondere bei der datenschutzkonformen Ausgestaltung von Applikationen zur Kontaktnachverfolgung. Die vorgänge nehmen diesen Bericht zum Anlass, der aus bürger*innenrechtlicher Perspektive immer wichtiger gewordenen Thematik erneut ein Schwerpunktheft zu widmen.

Die Beiträge unseres Schwerpunkts ziehen in der Grundtendenz ebenfalls eine überwiegend positive Zwischenbilanz nach zwei Jahren DSGVO, allerdings werden auch Schwachpunkte im Text der Verordnung und in der praktischen Anwendung benannt. Den Auftakt bildet ein Beitrag des früheren Bundesbeauftragten für Datenschutz und Informationsfreiheit, Peter Schaar, der einen ersten Überblick über die Entstehung, die Anwendung des neuen Regelwerkes und seine globale Ausstrahlungswirkung gibt. Für ihn ist die DSGVO auf dem besten Weg, zum neuen weltweiten "Goldstandard" in Sachen Datenschutz zu werden, an dem sich die Gesetzgeber vieler Länder orientieren. Dazu tragen nach Schaars Ansicht vor allem die Regelungen zur Datenübermittlung über die Grenzen der EU hinaus sowie die Durchsetzung des Marktortprinzips in der DSGVO bei.

Der Beitrag von Werner Hülsmann geht genauer auf den ersten Evaluationsdurchlauf der DSGVO ein. Dabei geht er von dem in Artikel 97 DSGVO verankerten Berichtsauftrag aus, der einen Schwerpunkt auf den Datenaustausch mit Drittstaaten sowie die länderübergreifende Zusammenarbeit der Aufsichtsbehörden legt. Hülsmann stellt das Beteiligungsverfahren, das dem Kommissionsbericht vorausging, sowie die wichtigsten Ergebnisse des Berichtes vor. Im Ergebnis sieht er die DSGVO als einen wichtigen Schritt zur Vereinheitlichung des Datenschutzrechts und der Datenschutzpraxis innerhalb der EU; es gebe aber nach wie vor zahlreiche Klauseln, die einer weiteren Konkretisierung durch die Mitgliedsstaaten bzw. die EU bedürften. Inwiefern der erste Evaluationsbericht dazu beitragen kann, sei offen.

Nach diesen einführenden Beiträgen betrachten wir die DSGVO aus der Perspektive verschiedener Anwender*innen: Alexander Roßnagel und Christian Geminn bescheinigen dem neuen Regelwerk aus Sicht der Verbraucher*innen eine gemischte Bilanz. Die Einführungsphase mit ihrer Flut an Datenschutzhinweisen und nachholenden Einverständniserklärungen, die selbst für niedrigschwellige Datenverarbeitungen verschickt wurden, habe bei vielen Verbraucher*innen den Eindruck völlig übertriebener Anforderungen hinterlassen, zugleich aber die Aufmerksamkeit für Datenschutzfragen gesteigert. Einige innovative Elemente der DSGVO, etwa das Recht auf Datenübertragbarkeit oder datenschutzfreundliche Voreinstellungen, seien in der Praxis (bisher) kaum angekommen. Grundsätzliche Regelungsdefizite – etwa zur wirksamen Einwilligung in oder zur Transparenz von Datenverarbeitungsprozessen – seien mit der DSGVO nicht behoben worden. Die Autoren unterbreiten konkrete Regelungsvorschläge, wie innerhalb der DSGVO sowie in deren Umsetzung im deutschen Bundesdatenschutzgesetz der Datenschutz aus Verbraucher*innensicht gestärkt werden könnte.

Auf ein grundsätzliches Designproblem hatte Alexander Roßnagel bereits anlässlich der Einführung der DSGVO hingewiesen: deren sogenannten "one size fits all"- Ansatz.[2] Nach diesem Prinzip macht die DSGVO für die kleinen (etwa: den Laden an der Ecke) die gleichen Vorgaben wie für die großen globalen Datenverarbeiter (etwa: Facebook). Diesen Aspekt greifen Maria Wilhelm und Kira Vogt in ihrem Beitrag auf. Sie stellen die Herausforderungen bzw. Überforderungen dar, welche die DSGVO für kleine und mittelständische Unternehmen sowie Vereine bereithält. Dazu werten sie neben dem Evaluationsbericht der EU-Kommission auch die Konsultationsverfahren aus, die die deutschen Aufsichtsbehörden im Vorfeld durchgeführt haben. Vor dem Hintergrund ihres beruflichen Alltags (beide Autorinnen sind selbst in einer Datenschutzaufsichtsbehörde tätig) konzentrieren sie sich auf die praktischen Erfahrungen und Probleme bei der Anwendung der DSGVO in kleinen Organisationen. Zu den Erleichterungen, die sie zu deren Entlastung vorschlagen, gehört beispielsweise der Verzicht auf die verpflichtende Benennung von Datenschutzbeauftragten in ausschließlich ehrenamtlich tätigen Vereinen.

Die nächsten Texte widmen sich ausgewählten Problemfeldern des Datenschutzes. Den Anfang macht eine datenschutzrechtliche Innovation, die parallel zur Aushandlung der DSGVO entstanden ist: das Recht auf Vergessenwerden. Diesen neuen Rechtsanspruch hat der EuGH seit 2014 durch mehrere Entscheidungen etabliert.[3] Jan Weismantel zeichnet in seinem Artikel zunächst die EuGH-Rechtsprechung nach, bevor er auf die Umsetzung in der DSGVO eingeht. Sie bezieht sich in Artikel 17, im Rahmen des Löschanspruchs, auf das neue Recht. Insgesamt bescheinigt Weismantel der DSGVO, dass sie das Recht auf Vergessenwerden "zwar miterfasst, aber nicht entscheidend weiterentwickelt" hat. Auf die zahlreichen offenen Fragen, wie dieses Recht praktisch umgesetzt und eingefordert werden sollte, biete die Verordnung keine Antworten, sondern überlasse das der Rechtsprechung. Die findet auch auf nationaler Ebene statt, wie Weismantel anhand der Rechtsprechung des deutschen Bundesverfassungsgerichts und des Bundesgerichtshofs zeigt. In ihr finden sich detaillierte Vorgaben etwa zur Abwägung des Rechts auf Vergessenwerden mit konkurrierenden Rechten wie der Informations- und Meinungsfreiheit, zu den Prüfpflichten der Suchmaschinenbetreiber oder der territorialen Reichweite des Löschanspruchs.

Hartmut Aden geht anschließend auf das Verhältnis von Transparenz und Datenschutz ein – insbesondere auf die Frage, inwiefern die DSGVO dazu beiträgt bzw. beitragen kann, die Datenverarbeitungsprozesse für Betroffene transparenter zu gestalten. Die Transparenzfrage wird von Aden als genuin machtpolitische Frage verstanden. Er stellt zunächst die normative Verankerung der Transparenz als grundsätzliches Prinzip (Artikel 5 Abs. 1) sowie dessen Umsetzung in den Informations- und Auskunftsverpflichtungen gegenüber den Betroffenen (u.a. Artikel 12 bis 15, 19) vor. Anschließend geht er auf die praktische Umsetzung dieses Rechts ein, in der sich viele Hindernisse (etwa: widerstrebende Interessen der Betreiber*innen) und Probleme (z.B. bei der Umsetzung des Anspruchs auf eine Kopie der eigenen Daten) zeigen. Effektiv werde der Transparenzanspruch daher wohl erst dann eingelöst, wenn es konkrete, praxisnahe Handreichungen und Standards für typische Verarbeitungsszenarien gebe, die den gesetzlichen Anspruch in den Datenschutz-Alltag übersetzen. Die DSGVO-Bilanz in Bezug auf Transparenz fällt nach Aden gemischt aus: zwar habe das neue Regelwerk den normativen Stellenwert der Transparenz gestärkt, in der praktischen Umsetzung sei aber noch viel "Luft nach oben", etwa wenn es um die Gewährleistung von Transparenz durch Technikgestaltung oder gar eine transparente Gestaltung von Datenverarbeitungstechniken selbst gehe.

Obwohl die Vorgaben der DSGVO den Online-Bereich weitgehend ausklammern – das sollte eigentlich die längst überfällige ePrivacy-Verordnung übernehmen[4] – hat ihre Einführung durchaus auch in diesem Bereich zu Veränderungen geführt, etwa für die Werbe- und Tracking-Aktivitäten. Einen interessanten, weil strikt empirischen Ansatz verfolgt in dieser Hinsicht der Beitrag von Martin Degeling, Christine Utz und Tobias Urban. Mit Hilfe von Online-Messverfahren werten sie aus, wie sich der Werbe- und Tracking-Markt, aber auch das Online-Verhalten der Nutzer*innen seit der Einführung der DSGVO verändert haben. Dazu greifen sie auf eigene Untersuchungen sowie Auswertungen anderer Wissenschaftler*innen zurück. Sie stellen fest, dass sich das Ausmaß der Online-Werbung seit dem Inkrafttreten der DSGVO innerhalb der EU kaum verändert hat, wohl aber die Anzahl und der Marktanteil kleinerer Anbieter*innen rückläufig ist – also eine Konzentration stattgefunden hat. Deutlicher ist ein Rückgang bei den Online-Tracking-Diensten im Geltungsbereich der DSGVO. Ihre Untersuchungen zeigen auch, wo und wie die überall anzutreffenden Cookie-Banner platziert werden und wie die Benutzer*innen darauf reagieren. Derartige Untersuchungen hätte man sich bei einer echten Evaluation der DSGVO auch von Kommissionsseite gewünscht.

Die folgenden drei Beiträge widmen sich – aus unterschiedlicher Perspektive – der Frage nach der Wirksamkeit der Datenschutzaufsicht. Eine Kernidee der DSGVO war die bessere Koordination der Datenschutzaufsicht, damit internationale Firmen sich nicht mehr um die Einhaltung von Datenschutzstandards "herummogeln" können, indem sie ihren (europäischen) Sitz dort wählen, wo sie weniger intensive Datenschutzkontrollen erwarten.

Alexander Dix zeigt in seinem Beitrag, wie die bisherige Kooperation der mitgliedsstaatlichen Aufsichtsbehörden innerhalb der Artikel 29-Gruppe durch ein verbindlicheres Regelwerk der Zusammenarbeit im Europäischen Datenschutzausschuss (EDSA) ersetzt wurde. Nach seiner Einschätzung funktioniert das neue Koordinationsregime noch nicht reibungslos – vor allem auch deshalb, weil das Problem des Forum Shoppings mit der DSGVO noch nicht wirksam abgestellt wurde und die Koordination im EDSA noch nicht effektiv genug ausgestaltet sei.


1

2

Vor