Sie befinden sich hier: Start |Publikationen |vorgänge |Online-Artikel |

vorgänge: Artikel, Datenschutz: DSGVO - 31.12.20

Zwei Jahre Datenschutz-Grundverordnung – eine Bilanz aus Verbrauchersicht

Alexander Roßnagel & Christian Geminn

in: vorgänge Nr. 231/232 (3-4/2020), S. 27-39

Der Geltungsbeginn der Datenschutz-Grundverordnung hat sich am 25. Mai 2020 zum zweiten Mal gejährt. Die zu diesem Stichtag vorgesehene Evaluation der Verordnung gab Anlass zu zahlreichen Verbesserungsvorschlägen. Aufgegriffen wurden sie von der Europäischen Kommission nicht. Der Beitrag zeigt vertane Chancen auf und gibt Anregungen für die zukünftige Entwicklung des Datenschutzes in Europa. Dabei steht die Sichtweise der Verbraucher[1] im Vordergrund.

1. Die Evaluation der Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) sieht in Art. 97 Abs. 1 vor, dass die Europäische Kommission ab Inkrafttreten alle vier Jahre eine regelmäßige "Bewertung und Überprüfung dieser Verordnung" durchführt und veröffentlicht. Der erste Evaluationsbericht war danach am 25. Mai 2020 vorzulegen. Ein Schwerpunkt soll dabei nach Abs. 2 auf der Übermittlung an Drittländer sowie auf den Regelungen zu Zusammenarbeit und Kohärenz liegen.[2] Nach Abs. 5 soll die Kommission "erforderlichenfalls geeignete Vorschläge zur Änderung dieser Verordnung" vorlegen und dabei "insbesondere die Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft" berücksichtigen. Für die Evaluation soll sie nach Abs. 3 von den Aufsichtsbehörden und den Mitgliedstaaten Informationen einholen und nach Abs. 4 "Standpunkte und Feststellungen des Europäischen Parlaments, des Rates und anderer einschlägiger Stellen oder Quellen" berücksichtigen.

Der Rat, die Mitgliedstaaten, die Bundesregierung, der Bundesrat, die Konferenz der unabhängigen Datenschutzaufsichtsbehörden sowie viele Verbände, Organisationen und Initiativen aus ganz Europa haben ihre Erfahrungen mit der DSGVO geschildert und Vorschläge zur Verbesserung der Verordnung vorgelegt, die ihre Praktikabilität, Effizienz und Rechtssicherheit erhöhen sollen.[3] Diese Stellungnahmen beschränkten sich weit überwiegend nicht auf die in Abs. 2 genannten Schwerpunkte, sondern adressierten Verbesserungen im Text der Verordnung. Für Verbraucher von besonderem Interesse waren z.B. die Forderungen nach einem eigenen einschränkenden Erlaubnistatbestand für Profiling, nach einer spezifischen Abwägung der Datenverarbeitung für Werbung, nach Klarstellungen bei den Rechten betroffener Personen, nach Präzisierungen der datenschutzgerechten Systemgestaltung und datenschutzfreundlichen Voreinstellungen sowie nach zusätzlichen Schutzregelungen für die Verarbeitung der Daten von Kindern.

Gefordert wurde in fast allen Stellungnahmen auch, dass die Kommission die Herausforderungen untersucht, die durch aufkommende Technologien wie z.B. Big Data, Künstliche Intelligenz, Internet der Dinge, Blockchain, Gesichtserkennung, Profiling und "Deep Fakes" entstehen. Sie sollte vor allem Schutzlücken überprüfen, die durch die zunehmende Datenkonzentration bei einzelnen Anbietern und Plattformen sowie durch die Verwendung von Scoring und Profiling entstehen, und diese durch zusätzliche – eventuell bereichsspezifische – Regelungen schließen.

2. Die Sicht der Europäischen Kommission auf die DSGVO

Die Kommission legte ihren Bericht am 24. Juni 2020 vor.[4] Aus ihrer Sicht hat sich die DSGVO bewährt.[5] Dies werde nicht zuletzt durch einen erfolgreichen Export in zahlreiche Drittländer belegt. Das europäische Datenschutzrecht sei "ein Kompass geworden, der uns im digitalen Wandel, bei dem der Mensch im Mittelpunkt steht, den Weg weist".[6]

Die Kommission stellt in ihrem nur 18 Seiten umfassenden Bericht[7] zwar fest, dass es Bereiche gäbe, in denen in der Zukunft Verbesserungen möglich seien, schlägt jedoch keine entsprechenden Änderungen des Verordnungstextes vor. Noch sei die Zeit nicht reif für eine endgültige Bewertung der DSGVO. Wahrscheinlich würden sich die meisten der durch die Mitgliedstaaten und Stakeholder identifizierten Probleme durch mehr Erfahrung mit der Verordnung über die kommenden Jahre ohnehin erledigen.[8]

Die Kommission benennt keine Verbesserungsbedarfe und Verbesserungsmöglichkeiten am Text der DSGVO, sondern beschränkt sich ausschließlich auf den Umgang mit ihr. Sie kritisiert vor allem ergänzende und konkretisierende Regelungen der Mitgliedstaaten. Konkret benennt die Kommission eine Überdehnung der Öffnungsklauseln der Verordnung durch mitgliedstaatliches Recht. Spezifizierungen im mitgliedstaatlichen Recht bezogen auf die Interessenabwägung nach Art. 6 Abs. 1 Uabs. 1 lit. f DSGVO werden abgelehnt: Der nationale Gesetzgeber dürfe die Abwägung der berechtigten Interessen des Datenverarbeiters mit den schutzwürdigen Interessen der betroffenen Person nicht allgemein regeln, sondern müsse diese im Einzelfall dem Verantwortlichen überlassen. Gleichfalls abgelehnt werden begriffliche Spezifizierungen im Recht der Mitgliedstaaten und die Etablierung zusätzlicher Voraussetzungen in spezifischen Verarbeitungssituationen. Selbst die Nutzung der in der Verordnung explizit angelegte Möglichkeit zur Anpassung der Altersgrenze innerhalb eines vorgegebenen Rahmens von dem vollendeten dreizehnten Lebensjahr bis zum vollendeten sechzehnten Lebensjahr bei der Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft[9] brandmarkt die Kommission als eine gefährliche Abweichung vom Harmonisierungsgedanken des europäischen Datenschutzrechts. Es wird das Schreckgespenst einer Fragmentierung des Datenschutzes in der Europäischen Union wie noch unter der Datenschutzrichtlinie beschworen, die den freien Fluss von Daten in der Union bedrohe. In dieser überzogenen Kritik wird deutlich, dass die Kommission ihre Niederlage im Gesetzgebungsprozess der DSGVO nicht überwunden hat. In diesem hatte – vor allem der Rat – der Selbstermächtigung der Kommission durch 48 Ermächtigungen zur Konkretisierung der Verordnung Grenzen gesetzt und diese überwiegend durch Öffnungsklauseln für die Mitgliedstaaten ersetzt.[10] Die Kommission nimmt hier den Machtkampf wieder auf und greift die Ausfüllung der Öffnungsklauseln durch die Mitgliedstaaten an. Auch wenn manche Mitgliedstaaten – auch Deutschland – im Einzelfall etwa unzulässig starke Einschränkungen der Rechte der betroffenen Personen vorgenommen haben, ist die grundsätzliche Infragestellung der Legitimität der Ausfüllung der Öffnungsklauseln durch die Mitgliedstaaten – gemessen am Text der DSGVO übertrieben.

Die Kommission versucht mit ihrem Bericht eine Diskussion über die Verbesserung des europäischen Datenschutzrechts zu verhindern. Sie richtet den Scheinwerfer von den Defiziten der Verordnung selbst weg auf die Gesetzgebung der Mitgliedstaaten. Klar ist aber, dass die Diskussion um die Weiterentwicklung des Datenschutzrechts im Allgemeinen und der DSGVO im Speziellen als Fundament dieses Datenschutzrechts dennoch nicht stehenbleiben darf. Zu groß ist der Druck durch moderne Verarbeitungspraktiken, neue Technologien und praktische Probleme. Gerade aus Sicht der Verbraucher zeigt sich, dass die DSGVO trotz der zahlreichen, mitunter immensen Verbesserungen des rechtlichen Status quo noch deutlichen Verbesserungsbedarf in sich trägt. Zudem sind auch zwei Jahre nach ihrem Geltungsbeginn die in der Verordnung angelegten Potenziale längst noch nicht ausgeschöpft.[11] Dies gilt insbesondere für die wesentlichen Innovationen der DSGVO, zu deren prominentesten Vertretern die Forderung nach Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen in Artikel 25 DSGVO gehört.

3. Die Sicht des Verbrauchers auf die DSGVO

Für Verbraucher ergibt sich mit Blick auf die DSGVO ein gemischtes Bild.[12] Verbesserungen und Neuerungen bei den Betroffenenrechten und neuen Durchsetzungsmechanismen stehen die Perpetuierung alter Probleme des Datenschutzrechts und die Erzeugung neuer Problemkreise gegenüber. Zudem dürften die mitunter chaotischen ersten Tage des Geltungsbeginns der Verordnung und als übertrieben empfundene Anforderungen gerade an niederschwellige Datenverarbeitungen infolge des "one size fits all"-Ansatzes der Verordnung dem Datenschutz einen zumindest temporären Imageschaden verpasst haben. Gleichzeitig ist aber auch als positiver Effekt die Wahrnehmung von Datenschutz als ernstzunehmender gesamtgesellschaftlicher Herausforderung gestiegen.

Gerade bezogen auf einige der wesentlichen Innovationen der DSGVO hat sich schnell Ernüchterung eingestellt. Insbesondere das Recht auf Datenübertragbarkeit und die Verpflichtung der Verantwortlichen zu Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen haben nicht die intendierten Effekte entfaltet. Das Recht auf Datenübertragbarkeit hat sich allenfalls branchenspezifisch etabliert, so zumindest die Einschätzung der Kommission.[13] In der Praxis dürfte es indes kaum eine Rolle spielen. Insbesondere eine Wirkung auf den Hauptadressaten der "lex Facebook"[14] scheitert bereits am Vorhandensein valider Alternativen. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen geraten allzu häufig in Konflikt mit den Verarbeitungsinteressen großer Anbieter und werden allzu sehr relativierend ausgelegt. So können diese Instrumente ihre verbraucherschützende Wirkung nicht entfalten.

Die strukturellen Probleme des Datenschutzes bleiben auch in der DSGVO ungelöst. Dies betrifft vor allem die Bereiche Einwilligung und Transparenz, die ohnehin fest miteinander verbunden sind. Im Falle der Einwilligung blieben die hergebrachten Herausforderungen bestehen, Selbstbestimmung konsequent zu verwirklichen. Bezogen auf Transparenz wurde mit Art. 12 Abs. 7 DSGVO zwar eine Vision vom Ende der wenig effektiven und oft kontraproduktiven Informationsvermittlung via Text entworfen, jedoch hat auch mehr als vier Jahre nach Inkrafttreten der Verordnung die Kommission ihre Aufgabe noch nicht angenommen, standardisierte Bildsymbole einzuführen. Vorgesehen war, mit solchen Symbolen die textliche Vermittlung zu unterstützen und einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Die Kommission hat noch nicht einmal eine Diskussion über hilfreiche Bildsymbole initiiert. Ohne eine Basis mit breit anerkannten Symbolen kann sie auch keine Verpflichtung zum Einsatz dieser Symbole per Rechtsakt nach Art. 12 Abs. 8 DSGVO festlegen.[15]

Insgesamt haben sich die weltweit agierenden Internetkonzerne mit der DSGVO arrangiert. Vor allem sie profitieren von der Regelung in Art. 56 DSGVO, dass sie immer nur mit einer Aufsichtsbehörde zu tun haben – nämlich der von ihnen ausgewählten, offensichtlich handlungsunfähigen oder handlungsunwilligen – Aufsichtsbehörde in Irland. Sie halten an ihren Geschäftsmodellen zur Ausbeutung der Daten ihrer Nutzer – und auch Nichtnutzer – fest, legitimieren diese sogar zum Teil mit den Vorgaben der DSGVO. Sie haben in ihren Datenschutzerklärungen den Sprachgebrauch der Verordnung übernommen, ignorieren aber ihre Vorgaben, wo es ihnen passt – vor allem die Verpflichtung zu datenschutzgerechten Systemgestaltungen und datenschutzfreundlichen Voreinstellungen. Ihnen gegenüber hat die DSGVO zu keinen spürbaren Verbesserungen für die Verbraucher geführt.

4. Potenziale zur Steigerung des Datenschutzniveaus in der Europäischen Union

Angesichts des stetigen technischen Fortschritts und kurzer Innovationszyklen im Bereich der Digitalisierung darf das Datenschutzrecht nicht statisch bleiben, sondern es muss sich trotz aller Versuche über einen sogenannten technologieneutralen Ansatz Langlebigkeit zu garantieren, ständig weiterentwickeln.

4.1 Schwächen im Normtext der DSGVO

Schwächen im Normtext weist die DSGVO zum einen durch gesetzgeberische Handwerksfehler und zum anderen durch die Verwendung zahlreicher unbestimmter Rechtsbegriffe und Vorgaben auf sehr hohem Abstraktionsniveau auf. Diese Schwächen einer klaren, eindeutigen und unmissverständlichen Regelung verursachten in den letzten zwei Jahren vielfache Auslegungs- und Verständnisprobleme, Rechtsunsicherheiten und Rechtsstreitigkeiten. Eine Klärung könnte unverbindlich durch thematische Leitlinien des Europäischen Datenschutzausschusses sowie im Einzelfall verbindlich durch die Gerichte und am Ende den Europäischen Gerichtshof erfolgen. Dies dauert Jahre und ist am Tag der Entscheidung vielleicht durch die rasante Entwicklung der Technik bereits überholt. Ein Wort des Gesetzgebers könnte hier Abhilfe schaffen. Eine Überarbeitung der Verordnung lehnt die Kommission jedoch ab und gegen eine Konkretisierung durch mitgliedstaatliches Recht wehrt sie sich entschieden.[16] Für Verbraucher ist diese Situation äußerst unbefriedigend. Wie die Erfahrung lehrt, dringt in alle Lücken, die das Recht hinterlässt, gesellschaftliche Macht ein und besetzt die Spielräume.[17] Im ersten Zugriff bestimmen die Verantwortlichen, wie sie die abstrakte oder unklare Vorgabe der Verordnung verstehen. Bis zu einer endgültigen Klärung durch den Europäischen Gerichtshof stellt sich für die Verbraucher und eventuell eine Aufsichtsbehörde die Rechtsauffassung der Verantwortlichen als valide Position dar, die es zu widerlegen gilt. Aber auch für die Verantwortlichen selbst besteht Rechtsunsicherheit bezüglich der Frage, wo denn für sie und ihre Geschäftsmodelle tatsächlich und konkret die Schwellen des datenschutzrechtlich Geforderten liegen.


1

2

3

4

Vor