Publikationen / vorgänge / vorgänge Nr. 231/232: Zwei Jahre Datenschutz-Grundverordnung

Zwei Jahre Daten­schutz-­Grund­ver­ord­nung – eine Bilanz aus Verbrau­cher­sicht

vorgängevorgänge Nr. 231/232: Zwei Jahre Datenschutz-Grundverordnung12/2020Seite 27-39

in: vorgänge Nr. 231/232 (3-4/2020), S. 27-39

Der Geltungsbeginn der Datenschutz-Grundverordnung hat sich am 25. Mai 2020 zum zweiten Mal gejährt. Die zu diesem Stichtag vorgesehene Evaluation der Verordnung gab Anlass zu zahlreichen Verbesserungsvorschlägen. Aufgegriffen wurden sie von der Europäischen Kommission nicht. Der Beitrag zeigt vertane Chancen auf und gibt Anregungen für die zukünftige Entwicklung des Datenschutzes in Europa. Dabei steht die Sichtweise der Verbraucher[1] im Vordergrund.

1. Die Evaluation der Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) sieht in Art. 97 Abs. 1 vor, dass die Europäische Kommission ab Inkrafttreten alle vier Jahre eine regelmäßige „Bewertung und Überprüfung dieser Verordnung“ durchführt und veröffentlicht. Der erste Evaluationsbericht war danach am 25. Mai 2020 vorzulegen. Ein Schwerpunkt soll dabei nach Abs. 2 auf der Übermittlung an Drittländer sowie auf den Regelungen zu Zusammenarbeit und Kohärenz liegen.[2] Nach Abs. 5 soll die Kommission „erforderlichenfalls geeignete Vorschläge zur Änderung dieser Verordnung“ vorlegen und dabei „insbesondere die Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft“ berücksichtigen. Für die Evaluation soll sie nach Abs. 3 von den Aufsichtsbehörden und den Mitgliedstaaten Informationen einholen und nach Abs. 4 „Standpunkte und Feststellungen des Europäischen Parlaments, des Rates und anderer einschlägiger Stellen oder Quellen“ berücksichtigen.

Der Rat, die Mitgliedstaaten, die Bundesregierung, der Bundesrat, die Konferenz der unabhängigen Datenschutzaufsichtsbehörden sowie viele Verbände, Organisationen und Initiativen aus ganz Europa haben ihre Erfahrungen mit der DSGVO geschildert und Vorschläge zur Verbesserung der Verordnung vorgelegt, die ihre Praktikabilität, Effizienz und Rechtssicherheit erhöhen sollen.[3] Diese Stellungnahmen beschränkten sich weit überwiegend nicht auf die in Abs. 2 genannten Schwerpunkte, sondern adressierten Verbesserungen im Text der Verordnung. Für Verbraucher von besonderem Interesse waren z.B. die Forderungen nach einem eigenen einschränkenden Erlaubnistatbestand für Profiling, nach einer spezifischen Abwägung der Datenverarbeitung für Werbung, nach Klarstellungen bei den Rechten betroffener Personen, nach Präzisierungen der datenschutzgerechten Systemgestaltung und datenschutzfreundlichen Voreinstellungen sowie nach zusätzlichen Schutzregelungen für die Verarbeitung der Daten von Kindern.

Gefordert wurde in fast allen Stellungnahmen auch, dass die Kommission die Herausforderungen untersucht, die durch aufkommende Technologien wie z.B. Big Data, Künstliche Intelligenz, Internet der Dinge, Blockchain, Gesichtserkennung, Profiling und „Deep Fakes“ entstehen. Sie sollte vor allem Schutzlücken überprüfen, die durch die zunehmende Datenkonzentration bei einzelnen Anbietern und Plattformen sowie durch die Verwendung von Scoring und Profiling entstehen, und diese durch zusätzliche – eventuell bereichsspezifische – Regelungen schließen.

2. Die Sicht der Europäischen Kommission auf die DSGVO

Die Kommission legte ihren Bericht am 24. Juni 2020 vor.[4] Aus ihrer Sicht hat sich die DSGVO bewährt.[5] Dies werde nicht zuletzt durch einen erfolgreichen Export in zahlreiche Drittländer belegt. Das europäische Datenschutzrecht sei „ein Kompass geworden, der uns im digitalen Wandel, bei dem der Mensch im Mittelpunkt steht, den Weg weist“.[6]

Die Kommission stellt in ihrem nur 18 Seiten umfassenden Bericht[7] zwar fest, dass es Bereiche gäbe, in denen in der Zukunft Verbesserungen möglich seien, schlägt jedoch keine entsprechenden Änderungen des Verordnungstextes vor. Noch sei die Zeit nicht reif für eine endgültige Bewertung der DSGVO. Wahrscheinlich würden sich die meisten der durch die Mitgliedstaaten und Stakeholder identifizierten Probleme durch mehr Erfahrung mit der Verordnung über die kommenden Jahre ohnehin erledigen.[8]

Die Kommission benennt keine Verbesserungsbedarfe und Verbesserungsmöglichkeiten am Text der DSGVO, sondern beschränkt sich ausschließlich auf den Umgang mit ihr. Sie kritisiert vor allem ergänzende und konkretisierende Regelungen der Mitgliedstaaten. Konkret benennt die Kommission eine Überdehnung der Öffnungsklauseln der Verordnung durch mitgliedstaatliches Recht. Spezifizierungen im mitgliedstaatlichen Recht bezogen auf die Interessenabwägung nach Art. 6 Abs. 1 Uabs. 1 lit. f DSGVO werden abgelehnt: Der nationale Gesetzgeber dürfe die Abwägung der berechtigten Interessen des Datenverarbeiters mit den schutzwürdigen Interessen der betroffenen Person nicht allgemein regeln, sondern müsse diese im Einzelfall dem Verantwortlichen überlassen. Gleichfalls abgelehnt werden begriffliche Spezifizierungen im Recht der Mitgliedstaaten und die Etablierung zusätzlicher Voraussetzungen in spezifischen Verarbeitungssituationen. Selbst die Nutzung der in der Verordnung explizit angelegte Möglichkeit zur Anpassung der Altersgrenze innerhalb eines vorgegebenen Rahmens von dem vollendeten dreizehnten Lebensjahr bis zum vollendeten sechzehnten Lebensjahr bei der Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft[9] brandmarkt die Kommission als eine gefährliche Abweichung vom Harmonisierungsgedanken des europäischen Datenschutzrechts. Es wird das Schreckgespenst einer Fragmentierung des Datenschutzes in der Europäischen Union wie noch unter der Datenschutzrichtlinie beschworen, die den freien Fluss von Daten in der Union bedrohe. In dieser überzogenen Kritik wird deutlich, dass die Kommission ihre Niederlage im Gesetzgebungsprozess der DSGVO nicht überwunden hat. In diesem hatte – vor allem der Rat – der Selbstermächtigung der Kommission durch 48 Ermächtigungen zur Konkretisierung der Verordnung Grenzen gesetzt und diese überwiegend durch Öffnungsklauseln für die Mitgliedstaaten ersetzt.[10] Die Kommission nimmt hier den Machtkampf wieder auf und greift die Ausfüllung der Öffnungsklauseln durch die Mitgliedstaaten an. Auch wenn manche Mitgliedstaaten – auch Deutschland – im Einzelfall etwa unzulässig starke Einschränkungen der Rechte der betroffenen Personen vorgenommen haben, ist die grundsätzliche Infragestellung der Legitimität der Ausfüllung der Öffnungsklauseln durch die Mitgliedstaaten – gemessen am Text der DSGVO übertrieben.

Die Kommission versucht mit ihrem Bericht eine Diskussion über die Verbesserung des europäischen Datenschutzrechts zu verhindern. Sie richtet den Scheinwerfer von den Defiziten der Verordnung selbst weg auf die Gesetzgebung der Mitgliedstaaten. Klar ist aber, dass die Diskussion um die Weiterentwicklung des Datenschutzrechts im Allgemeinen und der DSGVO im Speziellen als Fundament dieses Datenschutzrechts dennoch nicht stehenbleiben darf. Zu groß ist der Druck durch moderne Verarbeitungspraktiken, neue Technologien und praktische Probleme. Gerade aus Sicht der Verbraucher zeigt sich, dass die DSGVO trotz der zahlreichen, mitunter immensen Verbesserungen des rechtlichen Status quo noch deutlichen Verbesserungsbedarf in sich trägt. Zudem sind auch zwei Jahre nach ihrem Geltungsbeginn die in der Verordnung angelegten Potenziale längst noch nicht ausgeschöpft.[11] Dies gilt insbesondere für die wesentlichen Innovationen der DSGVO, zu deren prominentesten Vertretern die Forderung nach Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen in Artikel 25 DSGVO gehört.

3. Die Sicht des Verbrauchers auf die DSGVO

Für Verbraucher ergibt sich mit Blick auf die DSGVO ein gemischtes Bild.[12] Verbesserungen und Neuerungen bei den Betroffenenrechten und neuen Durchsetzungsmechanismen stehen die Perpetuierung alter Probleme des Datenschutzrechts und die Erzeugung neuer Problemkreise gegenüber. Zudem dürften die mitunter chaotischen ersten Tage des Geltungsbeginns der Verordnung und als übertrieben empfundene Anforderungen gerade an niederschwellige Datenverarbeitungen infolge des „one size fits all“-Ansatzes der Verordnung dem Datenschutz einen zumindest temporären Imageschaden verpasst haben. Gleichzeitig ist aber auch als positiver Effekt die Wahrnehmung von Datenschutz als ernstzunehmender gesamtgesellschaftlicher Herausforderung gestiegen.

Gerade bezogen auf einige der wesentlichen Innovationen der DSGVO hat sich schnell Ernüchterung eingestellt. Insbesondere das Recht auf Datenübertragbarkeit und die Verpflichtung der Verantwortlichen zu Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen haben nicht die intendierten Effekte entfaltet. Das Recht auf Datenübertragbarkeit hat sich allenfalls branchenspezifisch etabliert, so zumindest die Einschätzung der Kommission.[13] In der Praxis dürfte es indes kaum eine Rolle spielen. Insbesondere eine Wirkung auf den Hauptadressaten der „lex Facebook“[14] scheitert bereits am Vorhandensein valider Alternativen. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen geraten allzu häufig in Konflikt mit den Verarbeitungsinteressen großer Anbieter und werden allzu sehr relativierend ausgelegt. So können diese Instrumente ihre verbraucherschützende Wirkung nicht entfalten.

Die strukturellen Probleme des Datenschutzes bleiben auch in der DSGVO ungelöst. Dies betrifft vor allem die Bereiche Einwilligung und Transparenz, die ohnehin fest miteinander verbunden sind. Im Falle der Einwilligung blieben die hergebrachten Herausforderungen bestehen, Selbstbestimmung konsequent zu verwirklichen. Bezogen auf Transparenz wurde mit Art. 12 Abs. 7 DSGVO zwar eine Vision vom Ende der wenig effektiven und oft kontraproduktiven Informationsvermittlung via Text entworfen, jedoch hat auch mehr als vier Jahre nach Inkrafttreten der Verordnung die Kommission ihre Aufgabe noch nicht angenommen, standardisierte Bildsymbole einzuführen. Vorgesehen war, mit solchen Symbolen die textliche Vermittlung zu unterstützen und einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Die Kommission hat noch nicht einmal eine Diskussion über hilfreiche Bildsymbole initiiert. Ohne eine Basis mit breit anerkannten Symbolen kann sie auch keine Verpflichtung zum Einsatz dieser Symbole per Rechtsakt nach Art. 12 Abs. 8 DSGVO festlegen.[15]

Insgesamt haben sich die weltweit agierenden Internetkonzerne mit der DSGVO arrangiert. Vor allem sie profitieren von der Regelung in Art. 56 DSGVO, dass sie immer nur mit einer Aufsichtsbehörde zu tun haben – nämlich der von ihnen ausgewählten, offensichtlich handlungsunfähigen oder handlungsunwilligen – Aufsichtsbehörde in Irland. Sie halten an ihren Geschäftsmodellen zur Ausbeutung der Daten ihrer Nutzer – und auch Nichtnutzer – fest, legitimieren diese sogar zum Teil mit den Vorgaben der DSGVO. Sie haben in ihren Datenschutzerklärungen den Sprachgebrauch der Verordnung übernommen, ignorieren aber ihre Vorgaben, wo es ihnen passt – vor allem die Verpflichtung zu datenschutzgerechten Systemgestaltungen und datenschutzfreundlichen Voreinstellungen. Ihnen gegenüber hat die DSGVO zu keinen spürbaren Verbesserungen für die Verbraucher geführt.

4. Potenziale zur Steigerung des Datenschutzniveaus in der Europäischen Union

Angesichts des stetigen technischen Fortschritts und kurzer Innovationszyklen im Bereich der Digitalisierung darf das Datenschutzrecht nicht statisch bleiben, sondern es muss sich trotz aller Versuche über einen sogenannten technologieneutralen Ansatz Langlebigkeit zu garantieren, ständig weiterentwickeln.

4.1 Schwächen im Normtext der DSGVO

Schwächen im Normtext weist die DSGVO zum einen durch gesetzgeberische Handwerksfehler und zum anderen durch die Verwendung zahlreicher unbestimmter Rechtsbegriffe und Vorgaben auf sehr hohem Abstraktionsniveau auf. Diese Schwächen einer klaren, eindeutigen und unmissverständlichen Regelung verursachten in den letzten zwei Jahren vielfache Auslegungs- und Verständnisprobleme, Rechtsunsicherheiten und Rechtsstreitigkeiten. Eine Klärung könnte unverbindlich durch thematische Leitlinien des Europäischen Datenschutzausschusses sowie im Einzelfall verbindlich durch die Gerichte und am Ende den Europäischen Gerichtshof erfolgen. Dies dauert Jahre und ist am Tag der Entscheidung vielleicht durch die rasante Entwicklung der Technik bereits überholt. Ein Wort des Gesetzgebers könnte hier Abhilfe schaffen. Eine Überarbeitung der Verordnung lehnt die Kommission jedoch ab und gegen eine Konkretisierung durch mitgliedstaatliches Recht wehrt sie sich entschieden.[16] Für Verbraucher ist diese Situation äußerst unbefriedigend. Wie die Erfahrung lehrt, dringt in alle Lücken, die das Recht hinterlässt, gesellschaftliche Macht ein und besetzt die Spielräume.[17] Im ersten Zugriff bestimmen die Verantwortlichen, wie sie die abstrakte oder unklare Vorgabe der Verordnung verstehen. Bis zu einer endgültigen Klärung durch den Europäischen Gerichtshof stellt sich für die Verbraucher und eventuell eine Aufsichtsbehörde die Rechtsauffassung der Verantwortlichen als valide Position dar, die es zu widerlegen gilt. Aber auch für die Verantwortlichen selbst besteht Rechtsunsicherheit bezüglich der Frage, wo denn für sie und ihre Geschäftsmodelle tatsächlich und konkret die Schwellen des datenschutzrechtlich Geforderten liegen.

Ein konkretes und vielleicht sogar Paradebeispiel für Schwächen des Normtextes ist das Recht auf Datenübertragbarkeit. Bereits die Benennung des Rechts geht fehl. Sie verweist auf eine Möglichkeit zur Datenübertragung, wo doch tatsächlich vom Verantwortlichen eine konkrete Handlung gefordert ist, die der Betroffene auch einfordern kann. Richtiger wäre mithin die Bezeichnung als Recht auf Datenübertragung.[18] Darüber hinaus sind ein zu unklarer Anwendungsbereich, eine nicht ausreichende Bestimmtheit des Übergabeformats und die Beschränkung auf Situationen, in denen eine Einwilligung oder ein Vertrag (noch) besteht, zu beklagen. Das Recht aus Art. 20 DSGVO gilt nur für die von der betroffenen Person „bereitgestellten“ personenbezogenen Daten. Wörtlich genommen wären Daten, die aus der Beobachtung der betroffenen Person, also aus deren Nutzung resultieren, nicht explizit eingeschlossen. Ebenfalls wären personenbezogene Daten, die ein Dritter übermittelt hat, nicht explizit erfasst. Dies würde dazu führen, dass beim Wechsel von einer Bank zu einer anderen zwar die selbst veranlassten Überweisungen oder Einzahlungen zur neuen Bank übertragen werden können, nicht jedoch Überweisungen oder Abbuchungen Dritter. Der Begriff „bereitgestellt“ in Art. 20 Abs. 1 DSGVO ist also letztlich irreführend und sollte ersetzt werden. Dennoch wird er zu Beschränkung des Anspruchs auf Übertragung genutzt. Die Bestimmungen zur Form der Datenübertragung sind wiederum durch die Verwendung mehrerer unbestimmter Rechtsbegriffe geprägt (z.B. „strukturiertes gängiges und maschinenlesbares Format“, „ohne Behinderung“, „technisch machbar“), die zu einer für die Verbraucher nachteilhaften Auslegung einladen. Hier ist eine Präzisierung dringend angezeigt. Bezogen auf Einwilligung und Verträge bleibt unklar, ob der Anspruch auf Datenübertragung auch dann noch besteht, wenn die Einwilligung widerrufen oder der Vertrag beendet worden ist, denn die Datenübertragung stellt keine nachvertragliche Pflicht dar und dient auch nicht der Vertragserfüllung.[19]

Ein anderes Beispiel ist die Einwilligung und ihr Verhältnis zu den weiteren Erlaubnistatbeständen. Unklarheiten bezogen auf die Erlaubnistatbestände führten zum Geltungsbeginn zu einer regelrechten E-Mail-Schwemme, als Verantwortliche Einwilligungen von ihren Nutzern einzuholen suchten, obwohl oftmals bereits eine Verarbeitungserlaubnis bestand; vor allem nach Art. 6 Abs. 1 Uabs. 1 lit. b oder lit. f DSGVO.[20] Dadurch dürfte eine der größten Imageverluste für den Datenschutz in den letzten Jahren erfolgt sein – in seiner Inakzeptanz nur vergleichbar mit dem allgegenwärtigen „Cookie-Banner“. Zu klären ist, ob die Nutzung weiterer Erlaubnistatbestände neben der Einwilligung gegen den Grundsatz von Treu und Glauben verstößt. Die Artikel 29-Datenschutzgruppe hat hierzu ausgeführt, es gelte, „die Entscheidung zu respektieren und den Teil der Verarbeitung zu beenden, wenn eine Einzelperson ihre Einwilligung widerruft“.[21] Behoben werden könnte die Problematik durch eine Klarstellung in der Verordnung, dass ein Verantwortlicher, der eine Einwilligung einfordert, sich auch auf die Regeln der Einwilligung einlassen muss. Dies gilt etwa für den Fall des Widerrufs und auch für die Informationspflichten des Verantwortlichen.[22]

Es lassen sich aber auch noch weitere Stellen im Normtext ausmachen, wo bereits ein einziges zusätzliches Wort den bestehenden Rechtsstreit auflösen könnte und damit die Rechtsunsicherheit bezogen auf die Auslegung der Verordnung signifikant reduziert werden könnte.[23] So würde etwa im Falle von Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO die Ergänzung, dass die Verarbeitung objektiv für die Erfüllung eines Vertrags erforderlich sein muss, eine Beschränkung auf die funktionale Notwendigkeit der Datenverarbeitung für die vereinbarte Leistung erwirken könnte.

4.2 Konzeptionelle Schwächen der DSGVO

Diesen Schwächen stehen solche gegenüber, die nicht durch die Veränderung des Wortlauts einzelner Vorschriften der DSGVO beseitigt werden können. Hier handelt es sich einerseits um Defizite, die bereits in den Grundprinzipien des Datenschutzrechts angelegt sind und die von neuen Möglichkeiten der Datenverarbeitung unter Druck gesetzt werden, andererseits um solche, die aus der spezifischen Ausformung der Verordnung selbst resultieren.

Mit Blick auf zahlreiche Technologien und Praktiken zeigen sich deutliche Reibungen und offene Konflikte mit den in einem völlig anderen technologischen Umfeld entstandenen Datenschutzprinzipien. Sie sollten vor allem staatliche Informationsmacht einhegen, typischerweise die Verarbeitung personenbezogener Daten in der Verwaltung und auf einer überschaubaren Anzahl von Großrechnern. Internationaler Datenverkehr und die ubiquitäre Verfügbarkeit immenser Rechenleistung bedeuten eine im Vergleich dazu drastisch gesteigerte Gefahrenlage für die informationelle Selbstbestimmung. Die Datenschutzprinzipien sind vor diesem Hintergrund konsequent durchzusetzen, sie müssen aber auch weiterentwickelt werden, um letztlich eine Erosion oder gar ein Abgleiten in die Bedeutungslosigkeit zu verhindern, wenn die Konflikte mit der technischen Wirklichkeit unüberbrückbar werden. Denkbar ist dies beispielsweise im Falle der Zweckbindung und der Entwicklung hin zu smarten persönlichen Assistenten, die eine möglichst breite Datenbasis über die Nutzenden zwingend voraussetzen, um eine bestmögliche Prognose über sie erstellen zu können, die wiederum die Basis für die Assistenz der Nutzenden darstellen. Das Festhalten der DSGVO an den Datenschutzprinzipien in ihrer tradierten Form ist nicht nur deshalb ein Problem, weil es bereits mit der heutigen technischen Wirklichkeit zu Konflikten kommt, sondern weil ein Festhalten am etablierten Innovationszyklus des europäischen Datenschutzrechts bedeutet, dass sehr wahrscheinlich zwei Jahrzehnte ins Land gehen werden, bis es zu einer erneuten, umfassenden Überarbeitung kommt. Umso wichtiger ist die Berichtspflicht nach Art. 97 DSGVO und umso bedauerlicher ihre Handhabung durch die Kommission.

Eine weitere Schwäche der DSGVO ist ihre zu weitgehende Risikoneutralität. Sie beachtet zwar Risiken der Datenverarbeitung, um die Belastungen der Datenverarbeiter zu reduzieren.[24] Ihr fehlen jedoch risikoadäquate Differenzierungen der Datenschutzgrundsätze, der Zulässigkeit der Datenverarbeitung und der Betroffenenrechte. Auch wo die Datenverarbeitung sehr unterschiedliche Grundrechtsrisiken verursacht, finden die gleichen abstrakten Regelungen Anwendung – etwa für die wenig riskante Kundenliste eines Handwerksbetriebs ebenso wie für die um Potenzen risikoreicheren Datenverarbeitungsformen des Internet der Dinge, von Big Data, Künstlicher Intelligenz, Cloud Computing und datengetriebenen Geschäftsmodellen. Der Grund für diese Risikoneutralität ist, dass die DSGVO einer übertriebenen Ausprägung des Grundsatzes der Technikneutralität folgt. Dieser Grundsatz soll im Prinzip das Risiko einer Umgehung rechtlicher Vorschriften minimieren, indem die Datenschutzregelungen „nicht von den verwendeten Techniken abhängen“.[25] Richtig verstanden ist eine technikneutrale Regelung dann sinnvoll, wenn sie verhindern soll, dass rechtliche Vorschriften technische Weiterentwicklungen ausschließen. Sie ist daher so zu fassen, dass die rechtlichen Vorgaben auch auf weiterentwickelte Techniken anwendbar sind.[26] Dies schließt aus, Regelungen für einzelne Ausprägungen einer spezifischen Technikanwendung zu treffen. Dies darf aber nicht verhindern, Vorgaben für bestimmte technische Funktionen vorzusehen – insbesondere, wenn sie (wie z.B. Tracking, Gesichtserkennung, Profilbildung oder Scoring) besondere Risiken für Grundrechte verursachen. Dies aber hat die DSGVO vollständig versäumt. Ihre höchst abstrakten Vorgaben verursachen bei allen Versuchen, sie auf konkrete Techniken anzuwenden, Rechtsunsicherheit und stärken die Durchsetzungschancen machtvoller Interessen.

Eine weitere strukturelle Schwäche der Verordnung liegt darin, dass zwar eine besondere Schutzwürdigkeit von Kindern angemahnt wird, gleichzeitig aber kein zusammenhängendes Konzept für die Verarbeitung personenbezogener Daten von Kindern vorgelegt wurde.[27]

5. Stärkung der Stellung der Verbraucher

Angesichts von weiter anwachsenden Macht- und Informationsasymmetrien ist es notwendig, die Stellung der Verbraucher in der DSGVO weiter zu stärken. Für die Verbraucher wäre schon viel gewonnen, wenn – auch vor dem Hintergrund der praktischen Erfahrungen der letzten zwei Jahre – ihre offensichtlichen und leicht behebbaren Schwächen beseitigt würden. Darüber hinaus sind die verbraucherschützenden Aspekte des Datenschutzrechts stärker in den Fokus zu rücken. Welche Verbesserungen und Weiterentwicklungen bereits mit geringen Änderungen des Normtextes möglich sind, sollen die nachfolgenden Beispiele belegen.[28]

5.1 Datenschutzgrundsätze

Die datenschutzrechtlichen Grundsätze in Art. 5 DSGVO gelten für alle Datenverarbeitungen. Sie fordern u.a. in Art. 5 Abs. 1 lit. a DSGVO eine Datenverarbeitung „nach Treu und Glauben“. Dieser Begriff ist eine Besonderheit der deutschen Sprachfassung, die nur Verwirrung stiftet.[29] Die englische Sprachfassung spricht davon, dass personenbezogene Daten „fairly“ zu verarbeiten sind, oder die französische Fassung von „loyauté“. Um eine Verwechslung mit dem gleichnamigen zivilrechtlichen Grundsatz zu vermeiden und eine Angleichung der Sprachfassungen zu erreichen, sollte die Wendung durch den Begriff „Fairness“ ersetzt werden.

Vor allem aber ist zu konstatieren, dass in Art. 5 DSGVO das Gebot der Datenvermeidung fehlt, wie es noch in § 3a BDSG a.F. normiert war. Der in Art. 5 Abs. 1 lit. c DSGVO enthaltene Grundsatz der Datenminimierung setzt nur das Prinzip der Erforderlichkeit in der Weise um, dass der Verantwortliche nur die Daten verarbeiten darf, die erforderlich sind, um den Zweck der Datenverarbeitung zu erreichen. Er kann so durch Bestimmung des Zwecks indirekt Einfluss auf die Daten nehmen, die er verarbeiten möchte. Dagegen erfasst das Gebot der Datenvermeidung als Ausdruck eines umfassenden Verständnisses des Verhältnismäßigkeitsprinzips auch die Zweckbestimmung. Diese soll so gewählt werden, dass möglichst wenige personenbezogene Daten verarbeitet werden müssen. Um Art. 5 Abs. 1 lit. c DSGVO um das Gebot der Datenvermeidung zu ergänzen, sollte dieser Grundsatz um die Feststellung ergänzt werden, dass die Auswahl und Gestaltung der Datenverarbeitungssysteme an dem Ziel ausgerichtet sein müssen, so wenig personenbezogene Daten wie möglich zu verarbeiten.

5.2 Information und Auskunft

Die Rechte der betroffenen Person nehmen eine zentrale Rolle im Gefüge des Datenschutzrechts ein. Wie auch die Einwilligung sind sie Ausdruck informationeller Selbstbestimmung und dienen als Kontrollinstrument, um die Verarbeitung der „eigenen“ personenbezogenen Daten durch den Verantwortlichen zu überwachen (Auskunft) und notfalls auch einzuschreiten (Berichtigung, Löschung, Einschränkung und Widerspruch). Wesentliche Grundlage hierfür ist es, die tauglichen Adressaten zur Ausübung der Rechte zu identifizieren. Dies ist nur dort unproblematisch, wo sich Verantwortlicher und Betroffener gegenüberstehen und keine Drittnutzung der Daten stattfindet. Es sollte deshalb eine Verpflichtung des Verantwortlichen in Art. 24 Abs. 1 DSGVO integriert werden, Dritte, denen die Daten übermittelt wurden, und die Übermittlung selbst zu protokollieren. Diese Pflicht würde damit zu den Nachweispflichten treten, die den Verantwortlichen ohnehin aus der DSGVO heraus treffen. Ist diese Voraussetzung geschaffen, so können Art. 13 Abs. 1 lit. e, Art. 14 Abs. 1 lit. f und Art. 15 Abs. 1 lit. c DSGVO angepasst werden, die Information und Auskunft über Empfänger personenbezogener Daten regeln. Hier sollte jeweils die Wendung „Empfänger, soweit sie bestimmbar sind“ ergänzt werden. Dadurch würde der Verantwortliche verpflichtet, alle ihm bekannten Empfänger personenbezogener Daten zu benennen. Die bloße Benennung von Kategorien von Empfängern wäre damit nur noch dann ausreichend, wenn ein konkreter Empfänger zum Zeitpunkt der Information (noch) nicht benannt werden kann. Die Voraussetzungen zur Geltendmachung der Betroffenenrechte würden damit deutlich verbessert.

Ein anderes Beispiel für Verbesserungspotenzial betrifft das Recht auf Kopie aus Art. 15 Abs. 3 Satz 1 DSGVO, das als eine der am stärksten misslungenen Regelungen der Verordnung gelten darf.[30] Die Folge ist eine erhebliche Rechtsunsicherheit in diesem Bereich. Umstritten sind der Status des Rechts (eigenes Recht oder Unterform des Rechts auf Auskunft), der Umfang des Begriffs der „Kopie“ (umfassende oder eingeschränkte Wiedergabe der zu einer betroffenen Person vorhandenen Datensätze; Gegenstand der Kopie), die Form der Geltendmachung (explizit oder implizit) und die Form der Übergabe der Kopie; mithin im Grunde alle Elemente des Rechts auf Kopie. Auch eine präzise Abgrenzung zum Recht auf Datenübertragbarkeit gestaltet sich mitunter schwierig. Die meisten dieser Probleme könnten durch zwei Einfügungen im Text der Vorschrift beseitigt werden. Zunächst sollte der Zusatz „auf Antrag der betroffenen Person“ eingefügt werden, damit dem Verantwortlichen klar signalisiert wird, wann die Herausgabe einer Kopie von ihm verlangt wird. Zudem sollte die Wendung „und in einem Datensatz zusammengefasst sind oder zusammengefasst werden können“ bezogen auf die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, und damit dem Recht auf Kopie unterfallen, hinzugefügt werden. Damit würde die Reichweite des Rechts auf Kopie erheblich klarer gefasst.

5.3 Datenschutz durch Systemgestaltung und Voreinstellungen

Die Verpflichtung des Verantwortlichen zu einer datenschutzgerechten Systemgestaltung und zu datenschutzfreundlichen Voreinstellungen in Art. 25 DSGVO knüpft zwar an langjährige Diskussionen zum Datenschutzrecht an, darf aber als eine der wesentlichen Innovationen der DSGVO gelten.[31] Ein zentraler Schwachpunkt der Verordnung ist jedoch, dass sie die Anforderung datenschutzgerechten Systemgestaltung nach Abs. 1 nur an den Verantwortlichen richtet, nicht jedoch an den Systemhersteller. Der Verantwortliche ist jedoch oft darauf angewiesen, dass der Systemhersteller ihm datenschutzgerechte Gestaltungen anbietet. Ohne entsprechende Marktmacht kann er dies von ihm jedoch nicht einfordern. Da die Mechanismen des Marktes, auf die der Gesetzgeber vertraut, die Ziele des Gesetzes jedoch oft nicht unterstützen, ist es notwendig, eine Verpflichtung der Hersteller zu einer datenschutzgerechten Systemgestaltung in die DSGVO aufzunehmen.[32]

Das Gebot datenschutzfreundlicher Voreinstellungen in Art. 25 Abs. 2 DSGVO fordert vom Verantwortlichen geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Die Regelung orientiert sich an der Zweckbestimmung des Verantwortlichen. Er kann durch die Wahl des Zweckes das Ziel des Gebots weitgehend unterlaufen. Daher sollte sich das Gebot auf die technischen Funktionen zur Bereitstellung der Hauptleistung gegenüber dem Verbraucher fokussieren. Maßstab der Datenschutzfreundlichkeit sollte diejenige Ausprägung des Verarbeitungszwecks sein, nach der so wenig personenbezogene Daten wie möglich verarbeitet werden. Damit würde auch Datenvermeidung zu einem wesentlichen Faktor der Voreinstellung von Technik und es findet eine Verlagerung von der subjektiven zur objektiven Erforderlichkeit statt.

5.4 Schutz personenbezogener Daten von Kindern

Die DSGVO erklärt in ErwG 38 Satz 1 DSGVO, dass Kinder bei der Verarbeitung ihrer personenbezogenen Daten besonderen Schutz verdienen. Dieser soll insbesondere im Kontext der Verarbeitung für Werbezwecke und bei der Erstellung von Persönlichkeits- oder Nutzerprofilen gelten sowie bei Diensten, die Kindern direkt angeboten werden. Im Normtext selbst wird eine besondere Berücksichtigung von Kindern nur sehr abstrakt in Art. 6 Abs. 1 Uabs. 1 lit. f und Art. 12 Abs. 1 Satz 1 DSGVO gefordert, indem Kinder bei der Interessenabwägung und der Informationsaufbereitung besonders zu berücksichtigen sind. Die einzige speziell auf Kinder ausgerichtete Vorschrift ist Art. 8 DSGVO zur Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft, die jedoch nur auf solche Dienste Anwendung findet, die einem Kind direkt angeboten werden. Diese dient aber der Rechtssicherheit der Verantwortlichen und weniger dem Schutz der Kinder, deren Einwilligung – in manchen Mitgliedstaaten bereits ab 13 Jahren – unabhängig von ihrem Verständnishorizont wirksam wird. Der Schutz von Kindern erfolgt in der Verordnung nur punktuell und unspezifisch.[33]

Notwendig wäre, die DSGVO um folgende ausdrückliche Regelungen zum Schutz der Interessen von Kindern zu ergänzen: bei der Prüfung der Vereinbarkeit eines neuen Verarbeitungszwecks nach Art. 6 Abs. 4 DSGVO, beim Recht auf Widerspruch nach Art. 21 Abs. 1 und 6 DSGVO, in der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und bei einer notwendigen Neufassung der Altersregelung in Art. 8 Abs. 1 DSGVO. Ausdrücklich ausgeschlossen werden sollte die Verarbeitung von Kinderdaten für Werbezwecke und Profiling sowie die Einwilligung eines Kindes in automatisierte Entscheidungen nach Art. 22 Abs. 2 lit. c DSGVO und in die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 2 lit. a DSGVO. In Art. 6 Abs. 1 Uabs. 1 lit f. DSGVO sollte die Abwägung berechtigter Interessen mit den Rechten und Freiheiten von Kindern präzisiert werden.

6. Der Blick nach vorne

Eine nüchterne Betrachtung der DSGVO bringt neben zahlreichen Verbesserungen auch handfeste Defizite zum Vorschein. In ihrer Evaluation der Verordnung hat sich die Europäische Kommission auf die Untersuchung ausgewählter Probleme ihrer Umsetzung beschränkt. Eine echte Bewertung und Überprüfung der Verordnung nach Art. 97 Abs. 1 Satz 1 DSGVO ist unterblieben. Stattdessen führt die Kommission ihre Auseinandersetzung mit den Mitgliedstaaten fort, deren Abweichungen von der Verordnung als „Goldstandard“[34] sie als eine Bedrohung empfindet. Dabei sind einige der in den Mitgliedstaaten erfolgten Abweichungen gerade mit dem Ziel erfolgt, bestehende Regelungslücken der Verordnung zu schließen und Defizite zu beheben. Im Ergebnis zementiert die Kommission die DSGVO – deren Konzeption bereits 10 Jahre alt ist, deren Entwurf durch die Kommission acht Jahre her ist und die bereits von fünf Jahren im Trilog ihre endgültige Form gefunden hat – mit all ihren Mängeln. Mag sein, dass die Kommission befürchtet hat, der über viele Jahre mühsam ausgehandelte Kompromiss könne erodieren, wenn sie an einzelnen Formulierungen rüttelt. Auch wollte sie wohl an der von ihr betriebenen Überhöhung der DSGVO als besonders gelungenes Gesetzeswerk festhalten. Dass sie nicht einmal eine Diskussion über eine künftige Evolution des Datenschutzrechts in der Europäischen Union angestoßen hat, ist jedoch in höchstem Maße zu bedauern. Sie hat damit die in der Verordnung selbst angelegte Chance einer regelmäßigen Weiterentwicklung zum Stichtag der ersten vorgesehenen Evaluation vertan. Dabei zeigt sich, dass eine Adressierung vieler Defizite der DSGVO bereits mit geringen textlichen Veränderungen erreicht werden könnte. Diese Änderungen würden sich in greifbaren Verbesserungen für die Verbraucher manifestieren.

Für die Kommission könnte ihr Vorgehen ins Gegenteil dessen umschlagen, was sie als Ziel vorgegeben hat. Die Diskussion über die Weiterentwicklung des Datenschutzrechts wird weitergeführt werden und notwendige Anpassungen werden möglicherweise auf mitgliedstaatlicher Ebene stattfinden. Die Androhung von Vertragsverletzungsverfahren angesichts des rechtspolitischen Versagens der Kommission vor den datenschutzrechtlichen Herausforderungen ist kein besonders „scharfes Schwert“ um die Mitgliedstaaten vor legislativen Innovationen abzuschrecken. Fragen der Harmonisierung des Datenschutzrechts und der Reichweite der siebzig Öffnungsklauseln der DSGVO werden dann eine umso größere Rolle spielen und zu einer Evolution der DSGVO zwingen.

PROF. DR. ALEXANDER ROßNAGEL   ist Seniorprofessor für öffentliches Recht an der Universität Kassel, Leiter der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) im Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung (ITeG) und Sprecher des Forums Privatheit.

DR. CHRISTIAN GEMINN   ist Lehrbeauftragter an der Universität Kassel, Geschäftsführer von provet und Mitglied des Forums Privatheit.

Anmerkungen:

1 Zur besseren Lesbarkeit des Textes wird auf die Aufzählung mehrerer Geschlechter verzichtet. Der
Begriff „Verbraucher“ und ähnliche Begriffe umfassen immer auch alle Personen anderen Geschlechts.

2 Art. 97 Abs. 2 DSGVO: „insbesondere”.

3 S. zu den Stellungnahmen ausführlich Roßnagel, DuD 2020, 287.

4 Communication from the Commission to the European Parliament and the Council, Data protection
as a pillar of citizens’ empowerment and the EU’s approach to the digital transition – two years
of application of the General Data Protection Regulation, COM(2020) 264 final (SWD(2020) 115 final).

5 S. hierzu Geminn, DVBl. 2018, 1593; Fujiwara/Geminn/Roßnagel, ZD 2019, 204.

6 Jourová, Pressemitteilung der Europäischen Kommission vom 24.6.2020.

7 Dieser wird ergänzt um ein inoffizielles Commission Staff Working Document von 52 Seiten.

8 COM(2020) 264 final, 4.

9 Art. 8 Abs. 1 Satz 3 DSGVO.

10 S. hierzu ausführlich Roßnagel, Das künftige Datenschutzrecht in Europa, in: ders., Das neue Datenschutzrecht,
Europäische Datenschutz-Grundverordnung und deutsche Datenschutzgesetze,
2018, 27 ff.

11 S. zu den Innovationen der DSGVO Roßnagel, DuD 2019, 467 ff. sowie den Schwerpunkt des Heftes 8
der DuD 2019.

12 Der Beitrag basiert auf einem Gutachten der Autoren im Auftrag des Bundesverbands der Verbraucherzentralen
(vzbv); s. Roßnagel/Geminn, Datenschutz-Grundverordnung verbessern, 2020.

13 COM(2020) 264 final, 8.

14 So schon das inoffizielle Label des Art. 20 DSGVO im Gesetzgebungsprozess.

15 Roßnagel, Verbraucherrechte im Datenschutz verwirklichen – ein Überblick, in: Brönneke/Willburger/
Bietz, Verbraucherrechte verwirklichen! Der richtige Instrumentenmix für einen wirkungsvollen
Verbraucherrechtsvollzug, 299 ff.

16 COM(2020) 264, 14.

17 S. Roßnagel, MMR 2020, 222 ff.

18 S. Roßnagel/Geminn, Datenschutz-Grundverordnung verbessern, 2020, 76 ff.

19 S. Westphal/Wichtermann, ZD 2019, 191 (192).

20 S. Roßnagel, DuD 2018, 741 (745).

21 Artikel 29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung, WP 259 rev. 01, 27.

22 S. hierzu auch Roßnagel u.a., Einwilligung: Möglichkeiten und Fallstricke aus der Konsumentenperspektive,
Whitepaper des „Forums Privatheit und selbstbestimmtes Leben in der digitalen Welt,
2020.

23 S. die Regelungsvorschläge in Roßnagel/Geminn, Datenschutz-Grundverordnung verbessern, 2020,
115 ff.

24 Vor allem in ihrem Kapitel IV stellt die DSGVO die Pflichten der Verantwortlichen unter Risikovorbehalt
– s. z.B. Art. 24, 25, 30, 32, 33, 34, 35, 36 und 37 DSGVO – mit der Folge, dass in der Praxis diese
Pflichten nur für einen Bruchteil der Verantwortlichen tatsächlich wirksam werden – s. hierzu
auch Albrecht, CR 2016, 88 (94); Roßnagel, DuD 2016, 561 (565); Roßnagel, Notwendige Schritte zu
einem modernen Datenschutzrecht, in: Roßnagel/Friedewald/Hansen, Die Fortentwicklung des
Datenschutzrechts, 2018, 361 (375f.).

25 S. ErwG 15 Satz 1 DSGVO.

26 S. grundsätzlich Roßnagel, Technikneutrale Regulierung: Möglichkeiten und Grenzen, in: Eifert/
Hoffmann-Riem, Innovationsfördernde Regulierung, 2009, 323 ff.

27 S. Roßnagel, ZD 2020, 88 ff.

28 Für weitere Verbesserungsvorschläge s. Roßnagel/Geminn, Datenschutz-Grundverordnung verbessern,
2020, 115 ff.

29 S. näher Roßnagel, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 2019, Art. 5 Rn. 44 ff.

30 S. beispielhaft Engeler/Quiel, NJW 2019, 2201; Wybitul/Brams, NZA 2019, 672; Brink/Joos, ZD 2019,
483; Weik, DuD 2020, 98.

31 S. z.B. Roßnagel, DuD 2019, 467 ff.

32 S. hierzu die Konferenz der unabhängigen Datenschutzaufsichtsbehörden, Erfahrungsbericht,
2019, 16f.

33 S. hierzu Roßnagel, ZD 2020, 88.

34 Albrecht, CR 2016, 98.

Dateien