Editorial
in: vorgänge Nr. 231/232 (3-4/2020), S. 1-6
Als die 2016 verabschiedete EU-Datenschutzgrundverordnung (DSGVO) im Mai 2018 in Kraft trat, herrschte große Aufregung. Große wie kleine Unternehmen und sogar Vereine, die Daten ihrer Mitglieder verarbeiten, merkten „plötzlich“, dass sie sich lange kaum Gedanken über den Umgang mit den persönlichen Daten ihrer Kunden oder Mitglieder gemacht hatten. Besonders furchterregend wirkten offenbar die Sanktionsandrohungen für Datenschutzverstöße, die gegenüber der vorherigen Rechtslage deutlich verschärft wurden: Art. 83 DSGVO lässt Geldbußen bis zu 20 Mio. Euro zu, bei Unternehmen sogar bis zu 4 Prozent des weltweiten Jahresumsatzes, was bei großen Unternehmen zu noch weitaus höheren Beträgen führen kann. Bereits 2018 befassten sich die vorgänge (in Heft 221/222) mit der DSGVO und ihren Neuerungen gegenüber der alten, noch stark vom nationalen Recht geprägten Rechtslage. Bereits damals war klar, dass die Idee nicht ganz zutreffend war, in Deutschland würde sich nicht viel ändern, da bereits vorher Gesetzgebung und Rechtsprechung bis hin zum Bundesverfassungsgericht für ein hohes Datenschutzniveau standen. Nicht nur wegen des viel höheren Sanktionsrahmens, sondern auch wegen zahlreicher weiterer Neuerungen und Konkretisierungen hat sich auch in Deutschland seither einiges geändert. Hier seien nur die höheren Anforderungen an Einwilligungen, das neue Recht auf Vergessenwerden, die Meldepflichten für Datenschutzvorfälle und die Vorgaben für Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen genannt.
Angesichts der weitreichenden Neuerungen, die die DSGVO enthält, war es nur folgerichtig, dass die Auswirkungen des neuen Regelwerkes durch die EU-Kommission systematisch beobachtet und ausgewertet werden sollten. Art. 97 DSGVO enthält dazu eine Berichtspflicht, wonach die Europäische Kommission dem Europäischen Parlament und dem Rat erstmals im Mai 2020 und anschließend alle vier Jahre „einen Bericht über die Bewertung und Überprüfung dieser Verordnung“ vorzulegen hat. Im Juni 2020 kam die Kommission dieser Berichtspflicht erstmals nach und legte die Mitteilung „Datenschutz als Grundpfeiler der Teilhabe der Bürgerinnen und Bürger und des Ansatzes der EU für den digitalen Wandel – zwei Jahre Anwendung der Datenschutz-Grundverordnung“[1] vor. Darin zieht sie eine überwiegend positive Bilanz, betont aber auch, dass es für manche Innovationen nach zwei Jahren noch nicht möglich sei, eine Bewertung abzugeben. Die technologieneutrale Konzeption der DSGVO habe sich auch während der COVID-19-Pandemie bewährt, insbesondere bei der datenschutzkonformen Ausgestaltung von Applikationen zur Kontaktnachverfolgung. Die vorgänge nehmen diesen Bericht zum Anlass, der aus bürger*innenrechtlicher Perspektive immer wichtiger gewordenen Thematik erneut ein Schwerpunktheft zu widmen.
Die Beiträge unseres Schwerpunkts ziehen in der Grundtendenz ebenfalls eine überwiegend positive Zwischenbilanz nach zwei Jahren DSGVO, allerdings werden auch Schwachpunkte im Text der Verordnung und in der praktischen Anwendung benannt. Den Auftakt bildet ein Beitrag des früheren Bundesbeauftragten für Datenschutz und Informationsfreiheit, Peter Schaar, der einen ersten Überblick über die Entstehung, die Anwendung des neuen Regelwerkes und seine globale Ausstrahlungswirkung gibt. Für ihn ist die DSGVO auf dem besten Weg, zum neuen weltweiten „Goldstandard“ in Sachen Datenschutz zu werden, an dem sich die Gesetzgeber vieler Länder orientieren. Dazu tragen nach Schaars Ansicht vor allem die Regelungen zur Datenübermittlung über die Grenzen der EU hinaus sowie die Durchsetzung des Marktortprinzips in der DSGVO bei.
Der Beitrag von Werner Hülsmann geht genauer auf den ersten Evaluationsdurchlauf der DSGVO ein. Dabei geht er von dem in Artikel 97 DSGVO verankerten Berichtsauftrag aus, der einen Schwerpunkt auf den Datenaustausch mit Drittstaaten sowie die länderübergreifende Zusammenarbeit der Aufsichtsbehörden legt. Hülsmann stellt das Beteiligungsverfahren, das dem Kommissionsbericht vorausging, sowie die wichtigsten Ergebnisse des Berichtes vor. Im Ergebnis sieht er die DSGVO als einen wichtigen Schritt zur Vereinheitlichung des Datenschutzrechts und der Datenschutzpraxis innerhalb der EU; es gebe aber nach wie vor zahlreiche Klauseln, die einer weiteren Konkretisierung durch die Mitgliedsstaaten bzw. die EU bedürften. Inwiefern der erste Evaluationsbericht dazu beitragen kann, sei offen.
Nach diesen einführenden Beiträgen betrachten wir die DSGVO aus der Perspektive verschiedener Anwender*innen: Alexander Roßnagel und Christian Geminn bescheinigen dem neuen Regelwerk aus Sicht der Verbraucher*innen eine gemischte Bilanz. Die Einführungsphase mit ihrer Flut an Datenschutzhinweisen und nachholenden Einverständniserklärungen, die selbst für niedrigschwellige Datenverarbeitungen verschickt wurden, habe bei vielen Verbraucher*innen den Eindruck völlig übertriebener Anforderungen hinterlassen, zugleich aber die Aufmerksamkeit für Datenschutzfragen gesteigert. Einige innovative Elemente der DSGVO, etwa das Recht auf Datenübertragbarkeit oder datenschutzfreundliche Voreinstellungen, seien in der Praxis (bisher) kaum angekommen. Grundsätzliche Regelungsdefizite – etwa zur wirksamen Einwilligung in oder zur Transparenz von Datenverarbeitungsprozessen – seien mit der DSGVO nicht behoben worden. Die Autoren unterbreiten konkrete Regelungsvorschläge, wie innerhalb der DSGVO sowie in deren Umsetzung im deutschen Bundesdatenschutzgesetz der Datenschutz aus Verbraucher*innensicht gestärkt werden könnte.
Auf ein grundsätzliches Designproblem hatte Alexander Roßnagel bereits anlässlich der Einführung der DSGVO hingewiesen: deren sogenannten „one size fits all“– Ansatz.[2] Nach diesem Prinzip macht die DSGVO für die kleinen (etwa: den Laden an der Ecke) die gleichen Vorgaben wie für die großen globalen Datenverarbeiter (etwa: Facebook). Diesen Aspekt greifen Maria Wilhelm und Kira Vogt in ihrem Beitrag auf. Sie stellen die Herausforderungen bzw. Überforderungen dar, welche die DSGVO für kleine und mittelständische Unternehmen sowie Vereine bereithält. Dazu werten sie neben dem Evaluationsbericht der EU-Kommission auch die Konsultationsverfahren aus, die die deutschen Aufsichtsbehörden im Vorfeld durchgeführt haben. Vor dem Hintergrund ihres beruflichen Alltags (beide Autorinnen sind selbst in einer Datenschutzaufsichtsbehörde tätig) konzentrieren sie sich auf die praktischen Erfahrungen und Probleme bei der Anwendung der DSGVO in kleinen Organisationen. Zu den Erleichterungen, die sie zu deren Entlastung vorschlagen, gehört beispielsweise der Verzicht auf die verpflichtende Benennung von Datenschutzbeauftragten in ausschließlich ehrenamtlich tätigen Vereinen.
Die nächsten Texte widmen sich ausgewählten Problemfeldern des Datenschutzes. Den Anfang macht eine datenschutzrechtliche Innovation, die parallel zur Aushandlung der DSGVO entstanden ist: das Recht auf Vergessenwerden. Diesen neuen Rechtsanspruch hat der EuGH seit 2014 durch mehrere Entscheidungen etabliert.[3] Jan Weismantel zeichnet in seinem Artikel zunächst die EuGH-Rechtsprechung nach, bevor er auf die Umsetzung in der DSGVO eingeht. Sie bezieht sich in Artikel 17, im Rahmen des Löschanspruchs, auf das neue Recht. Insgesamt bescheinigt Weismantel der DSGVO, dass sie das Recht auf Vergessenwerden „zwar miterfasst, aber nicht entscheidend weiterentwickelt“ hat. Auf die zahlreichen offenen Fragen, wie dieses Recht praktisch umgesetzt und eingefordert werden sollte, biete die Verordnung keine Antworten, sondern überlasse das der Rechtsprechung. Die findet auch auf nationaler Ebene statt, wie Weismantel anhand der Rechtsprechung des deutschen Bundesverfassungsgerichts und des Bundesgerichtshofs zeigt. In ihr finden sich detaillierte Vorgaben etwa zur Abwägung des Rechts auf Vergessenwerden mit konkurrierenden Rechten wie der Informations- und Meinungsfreiheit, zu den Prüfpflichten der Suchmaschinenbetreiber oder der territorialen Reichweite des Löschanspruchs.
Hartmut Aden geht anschließend auf das Verhältnis von Transparenz und Datenschutz ein – insbesondere auf die Frage, inwiefern die DSGVO dazu beiträgt bzw. beitragen kann, die Datenverarbeitungsprozesse für Betroffene transparenter zu gestalten. Die Transparenzfrage wird von Aden als genuin machtpolitische Frage verstanden. Er stellt zunächst die normative Verankerung der Transparenz als grundsätzliches Prinzip (Artikel 5 Abs. 1) sowie dessen Umsetzung in den Informations- und Auskunftsverpflichtungen gegenüber den Betroffenen (u.a. Artikel 12 bis 15, 19) vor. Anschließend geht er auf die praktische Umsetzung dieses Rechts ein, in der sich viele Hindernisse (etwa: widerstrebende Interessen der Betreiber*innen) und Probleme (z.B. bei der Umsetzung des Anspruchs auf eine Kopie der eigenen Daten) zeigen. Effektiv werde der Transparenzanspruch daher wohl erst dann eingelöst, wenn es konkrete, praxisnahe Handreichungen und Standards für typische Verarbeitungsszenarien gebe, die den gesetzlichen Anspruch in den Datenschutz-Alltag übersetzen. Die DSGVO-Bilanz in Bezug auf Transparenz fällt nach Aden gemischt aus: zwar habe das neue Regelwerk den normativen Stellenwert der Transparenz gestärkt, in der praktischen Umsetzung sei aber noch viel „Luft nach oben“, etwa wenn es um die Gewährleistung von Transparenz durch Technikgestaltung oder gar eine transparente Gestaltung von Datenverarbeitungstechniken selbst gehe.
Obwohl die Vorgaben der DSGVO den Online-Bereich weitgehend ausklammern – das sollte eigentlich die längst überfällige ePrivacy-Verordnung übernehmen[4] – hat ihre Einführung durchaus auch in diesem Bereich zu Veränderungen geführt, etwa für die Werbe- und Tracking-Aktivitäten. Einen interessanten, weil strikt empirischen Ansatz verfolgt in dieser Hinsicht der Beitrag von Martin Degeling, Christine Utz und Tobias Urban. Mit Hilfe von Online-Messverfahren werten sie aus, wie sich der Werbe- und Tracking-Markt, aber auch das Online-Verhalten der Nutzer*innen seit der Einführung der DSGVO verändert haben. Dazu greifen sie auf eigene Untersuchungen sowie Auswertungen anderer Wissenschaftler*innen zurück. Sie stellen fest, dass sich das Ausmaß der Online-Werbung seit dem Inkrafttreten der DSGVO innerhalb der EU kaum verändert hat, wohl aber die Anzahl und der Marktanteil kleinerer Anbieter*innen rückläufig ist – also eine Konzentration stattgefunden hat. Deutlicher ist ein Rückgang bei den Online-Tracking-Diensten im Geltungsbereich der DSGVO. Ihre Untersuchungen zeigen auch, wo und wie die überall anzutreffenden Cookie-Banner platziert werden und wie die Benutzer*innen darauf reagieren. Derartige Untersuchungen hätte man sich bei einer echten Evaluation der DSGVO auch von Kommissionsseite gewünscht.
Die folgenden drei Beiträge widmen sich – aus unterschiedlicher Perspektive – der Frage nach der Wirksamkeit der Datenschutzaufsicht. Eine Kernidee der DSGVO war die bessere Koordination der Datenschutzaufsicht, damit internationale Firmen sich nicht mehr um die Einhaltung von Datenschutzstandards „herummogeln“ können, indem sie ihren (europäischen) Sitz dort wählen, wo sie weniger intensive Datenschutzkontrollen erwarten.
Alexander Dix zeigt in seinem Beitrag, wie die bisherige Kooperation der mitgliedsstaatlichen Aufsichtsbehörden innerhalb der Artikel 29-Gruppe durch ein verbindlicheres Regelwerk der Zusammenarbeit im Europäischen Datenschutzausschuss (EDSA) ersetzt wurde. Nach seiner Einschätzung funktioniert das neue Koordinationsregime noch nicht reibungslos – vor allem auch deshalb, weil das Problem des Forum Shoppings mit der DSGVO noch nicht wirksam abgestellt wurde und die Koordination im EDSA noch nicht effektiv genug ausgestaltet sei.
Diese kritische Einschätzung teilt auch Johannes Caspar in seinem Beitrag. Er erläutert detailliert die Kooperationsregeln, etwa zur Zuständigkeit der federführenden Aufsichtsbehörden und den Verfahrensvorgaben für die Arbeit im EDSA. Deren Defizite zeigten sich innerhalb der praktischen Zusammenarbeit, z.B. in der Konzentration vieler Verfahren bei zwei kleinen und völlig unzureichend ausgestatteten Behörden (Irland und Luxemburg), in überlangen Verfahrensdauern bei Beschwerden gegen die großen Firmen oder kaum ausgeschöpften Sanktionsmechanismen. Caspar unterbreitet konkrete Vorschläge, wie die Zusammenarbeit im EDSA verbessert und damit die Wirksamkeit der europäischen Datenschutzaufsicht erhöht werden könnten.
Um mögliche Effizienzgewinne der Datenschutzkontrolle geht es auch im Beitrag von Jörg Pohle, Benjamin Bergemann und Karl Hendrik. Ausgangspunkt ihrer Betrachtungen ist das massive technologische Gefälle zwischen den zu Kontrollierenden und den Kontrolleur*innen: Während die IT-Giganten weltweit Daten von Millionen Menschen aus allen Lebensbereichen zusammenführen, damit lernende Systeme aufbauen und automatisierte Entscheidungen vorantreiben, findet ihre Kontrolle teilweise noch mit Papier und Stift, in jedem Fall aber per Hand und Einzelentscheidung durch die Bearbeiter*innen statt. Die Autoren stellen in ihrem Beitrag einige Ideen vor, wo und wie sich automatisierte Abläufe in der Datenschutz-Kontrolle sinnvoll nutzen ließen, und welche Vorteile ein digitalisierter Datenschutz für die Betroffenen, die Datenverarbeitenden, die Aufsichtsbehörden und letztlich auch die Gesellschaft als Ganzes hätte.
Interessant sind auch die Wirkungen der DSGVO über die Europäische Union hinaus. Teils ist diese Wirkung im Anwendungsbereich der DSGVO angelegt. Nach dem Marktortprinzip (Art. 3 Abs. 2) ist die Grundverordnung auch auf Firmen außerhalb der EU anwendbar, die Daten von Personen verarbeiten, die sich in der EU befinden. Diese Regelung hat „Sogwirkungen“ erzeugt, die auch als „Brüssel-Effekt“ bezeichnet werden: Für global agierende Firmen ist es meist (kosten-)günstiger, einheitliche Standards für alle Kund*innen anzuwenden. Daher zeichnet sich ein Trend ab, dass internationale Firmen DSGVO-Standards auch außerhalb der EU anwenden. Darüber hinaus hat sich die DSGVO auch zur „Blaupause“ für die Gesetzgebung zahlreicher Länder entwickelt, die ihr Datenschutzrecht an die Rahmenbedingungen der Digitalisierung anpassen möchten. Selbst in den USA ist diese Tendenz zu beobachten, wo Kalifornien 2018 für den Verbraucherdatenschutz einen Consumer Privacy Act erlassen hat.[5] Ingrid Schneider zeigt in ihrem Beitrag auf der Basis eines Forschungsaufenthalts in Mexiko, dass sich ein solcher „Brüssel-Effekt“ auch bei der neuen Entwicklung des mexikanischen Datenschutzrechts beobachten lässt.
Auf die internationale Wirkung der DSGVO als Vorbild und Maßstab für datenschutzrechtliche Regulierung verweist auch der Beitrag von Thilo Weichert. Er sieht in der Verordnung den Ausgangspunkt für einen umfassenden digitalen Grundrechtsschutz, der neben dem Datenschutz auch die Probleme der demokratischen Teilhabe, der Rechtsstaatlichkeit und der allgemeinen Freiheitswahrung adressiert. Bereits die derzeitige Fassung der DSGVO beschränke sich nicht auf die Gewährleistung des Datenschutzes, sondern schütze auch das Telekommunikationsgeheimnis, die Meinungsbildung und vor (digitaler) Diskriminierung. Dieser Ansatz sollte nach Weicherts Einschätzung erweitert werden, etwa um eine wirksame Algorithmenkontrolle, die Gewährleistung digitaler Grundversorgung sowie die digitale Verwirklichung von Transparenz und Informationsfreiheit in Staat und Wirtschaft zu ermöglichen. Mit diesem Ausblick auf die Entwicklungspotenziale der DSGVO beschließen wir den Schwerpunkt.
Neben dem Themenschwerpunkt bietet auch diese Ausgabe der vorgänge zahlreiche Beiträge zu aktuellen Themen: Alexander Bosch greift die Debatte um rechtsextremistische bzw. rassistische Verhaltensweisen innerhalb der deutschen Polizei auf. Mit Blick auf die lange umstrittene Studie zur Verbreitung rassistischer Einstellungen und Verhaltensweisen unter Polizist*innen verweist er auf bestehende theoretische und methodische Leerstellen in der empirischen Polizeiforschung, die bisher die Ergebnisse der Rassismusforschung weitgehend ignoriert habe. Auf einen konkreten Vorwurf rassistischer Polizeipraxis geht Anja Reuss in ihrem Beitrag ein: Ausgehend von der langen Historie des „Antiziganismus“ in polizeilichen Datensammlungen beschreibt sie, wie hartnäckig sich ethnisierende Ermittlungspraktiken innerhalb der Polizei halten, wenn es etwa um Trickbetrug, Diebstahl oder öffentliche Randale geht.
Rosemarie Will kommentiert zwei Entscheidungen der Landesverfassungsgerichte von Thüringen und Brandenburg, mit denen die jeweiligen Paritégesetze der Länder gekippt wurden. Beide Länder hatten kürzlich ihre Wahlgesetze dahingehend geändert, dass die Parteien zur Aufstellung geschlechterparitätischer Kandidat*innen-Listen verpflichtet werden sollten. Will geht vor allem darauf ein, welche Auswirkungen die beiden Entscheidungen auf künftige Versuche einer stärkeren Beteiligung von Frauen in den Parlamenten haben.
Mit einer Entscheidung des Bayerischen Verfassungsgerichtshofes zum Mietenstopp befasst sich dagegen Halina Wawzyniak: Jener hatte ein Volksbegehren für formell unzulässig erklärt, und dies vor allem mit der fehlenden Zuständigkeit des Landesgesetzgebers begründet. Von vielen Beobachter*innen wurde die Entscheidung als Präjudiz für eine demnächst anstehende Entscheidung des Bundesverfassungsgerichts zum Berliner Mietendeckel gewertet. Dem widerspricht Wawzyniak. Nach ihrer Einschätzung fuße die bayerische Entscheidung auf einer zweifelhaften Auslegung der Kompetenzregeln, zudem unterscheide sich das Berliner Gesetz zur Mietenbegrenzung im Wohnungswesen in wichtigen Punkten vom Gesetzentwurf des bayerischen Volksbegehrens.
Schließlich macht Florian Grams auf die besonderen Probleme der Teilhabe und Ausgrenzung von Menschen mit Behinderung aufmerksam, die sich im Zuge der Corona-Pandemie zeigen. Für sie stelle die Pandemie eine existenzielle Herausforderung dar, denn ihr Lebensrecht werde mit den gegenwärtig diskutierten Triage-Kriterien in Frage gestellt. Zusätzlich müssten sie den plötzlichen Ausfall bestehender Assistenz- und Unterstützungssysteme verkraften.
Wir wünschen allen Leser*innen eine anregende Lektüre mit dieser Ausgabe der vorgänge und freuen uns auf Ihre Rückmeldungen.
Hartmut Aden und Sven Lüders
für die gesamte Redaktion
Anmerkungen:
1 COM(2020) 264 final vom 24.6.2020.
2 S. Alexander Roßnagel: Datenschutz-Grundverordnung – was bewirkt sie für den Datenschutz?, in: vorgänge 221/222 (Hefte 1-2/2018), S. 17-29.
3 S. dazu Herbert Mandelartz: Der Europäische Gerichtshof und das Recht auf Vergessen, in: vorgänge 206/207 (Hefte 2-3/2014), S. 119-121.
4 S. Florian Glatzner: Erwartungen an die ePrivacy-Verordnung aus Sicht des Verbraucherschutzes, in: vorgänge 221/222 (Hefte 1-2/2018), S. 103-114.
5 S. http://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5 (aufgerufen am 15.12.2020).