Themen / Datenschutz

Daten­schutz-­Grund­ver­ord­nung: der neue Golds­tan­dard

31. Dezember 2020

in: vorgänge Nr. 231/232 (3-4/2020), S. 7-15

Die Daten­schutz-­Grund­ver­ord­nung (DSGVO)[1] hat schon vor ihrem Inkraft­treten die weltweite Diskus­sion über Fragen des Daten­schutzes beein­flusst. Die Auswir­kungen des neuen Regelungs­werks haben sich seither noch inten­si­viert. Auch außer­halb Europas wurden inzwi­schen Gesetze beschlossen, die sich am Vorbild der Grund­ver­ord­nung orien­tie­ren. Die Einschät­zung des früheren Europä­i­schen Daten­schutz­be­auf­tragten Giovanni Butta­relli, die Grund­ver­ord­nung sei ein Aufruf zur Entwick­lung eines neuen weltweiten digitalen „Gold­s­tan­dards“[2], hat sich nach Ansicht von Peter Schaar bestä­tigt.

1. Patch­work

Vielfach sind es Krisen oder zumin­dest die Unzufrie­den­heit mit dem Status Quo, die zu Verän­de­rungen führen. So war und ist es auch mit dem Daten­schutz. Das weltweit erste Daten­schutz­ge­setz wurde 1971 in Hessen verab­schie­det. Es folgten andere Bundes­länder, europä­i­sche und außer­eu­ro­pä­i­sche Staaten. Von einem einheit­li­chen Daten­schutz­recht konnte dabei keine Rede sein. Es war schließ­lich der Europarat, der im Jahr 1981 mit der Konven­tion 108[3] einen ersten inter­na­ti­o­nalen, verbind­li­chen Daten­schutz­min­dest­stan­dard formu­lierte. Die Europä­i­sche Union folgte diesem Ansatz mit 15jäh­riger Verspä­tung, nachdem immer deutli­cher geworden war, dass die unter­schied­li­chen Daten­schutz­sys­teme der Mitglied­s­taaten den freien Daten­ver­kehr auf dem gemein­samen Markt behin­der­ten.

Die EG-Da­ten­schutz­richt­linie von 1995[4] bewirkte zwar, dass alle Mitglied­s­taaten eigene Daten­schutz­ge­setze bekamen, doch von einer echten Harmo­ni­sie­rung konnte keine Rede sein. Denn der durch die Richt­linie geschaf­fene Rahmen war von den Mitglied­s­taaten sehr unter­schied­lich ausge­füllt worden, so dass das Daten­schutz­recht der Mitglied­s­taaten weiterhin einen Flick­en­tep­pich bildete.

Beson­ders gravie­rend waren die Diffe­renzen bei den Durch­set­zungs­me­cha­nis­men: Zwar waren in allen Mitglied­s­taaten Daten­schutz­be­hörden einge­richtet worden. Sie unter­schieden sich jedoch erheb­lich im Hinblick auf ihre insti­tu­ti­o­nelle Einbin­dung, ihre Befug­nisse und den Grad ihrer Unabhän­gig­keit. Wieder­holt beschäf­tigte sich der Europä­i­sche Gerichtshof mit fragwür­digen Bestim­mungen des natio­nalen Daten­schutz­rechts.[5]

Schließ­lich mangelte es an klaren und verbind­li­chen Regeln für die grenz­über­schrei­tende Zusam­me­n­a­r­beit der Daten­schutz­auf­sicht. Die gem. Art. 29 der Daten­schutz­richt­linie einge­rich­tete Daten­schutz­gruppe („Artikel 29-Gruppe“), in der alle natio­nalen Daten­schutz­be­hörden, der Europä­i­sche Daten­schutz­be­auf­tragte und – aller­dings ohne Stimm­recht – die Europä­i­sche Kommis­sion vertreten waren, hatte ledig­lich beratende Funktion. Verbind­liche Entschei­dungen waren nicht vorge­se­hen.

Global agierende Unter­nehmen nutzten das Daten­schutz­ge­fälle zwischen den Mitglied­s­taaten in ihrem Sinne. Davon profi­tierten in beson­derem Maß Irland und Luxem­burg, in denen eine effek­tive Daten­schutz­auf­sicht nicht statt­fand. Die damit verbun­dene Verwäs­se­rung des EU-Da­ten­schutzes wurde in den übrigen Mitglied­s­taaten und von den europä­i­schen Insti­tu­ti­onen zuneh­mend kritisch gesehen.

Nicht nur hinsicht­lich ihrer mangelnden Harmo­ni­sie­rungs­wir­kung geriet die Daten­schutz­richt­linie in die Kritik. Auch angesichts der stürmi­schen techni­schen Entwick­lung drängte sich die Frage auf, ob eine Regelung aus dem Jahr 1995 den Anfor­de­rungen einer global vernetzten, ubiquitär verfüg­baren und immer weitere Lebens­be­reiche durch­drin­genden Infor­ma­ti­ons­ver­a­r­bei­tung gerecht zu werden vermochte. Immerhin wurde die formu­liert, als das Internet und der Mobil­funk noch Nischen­tech­no­lo­gien und viele andere – heute alltäg­liche – Techniken gänzlich unbekannt waren (etwa Biome­trie, Cloud, künst­liche Intel­li­genz).

2. Glücks­fall Edward Snowden

Die Europä­i­sche Kommis­sion erkannte die Zeichen der Zeit und begann im Jahr 2010 mit Konsul­ta­ti­onen über die Forts­chrei­bung des EU-Da­ten­schutz­rechts. Anfang 2012 legte sie ein umfas­sendes Reform­paket vor, dessen Kernstück die Daten­schutz-­Grund­ver­ord­nung bildete. Die wichtigste Innova­tion bestand in der Wahl des Regelungs­in­stru­ments: Während die Richt­linie der Umset­zung durch die natio­nalen Gesetz­geber bedurfte, ist eine Verord­nung ein unmit­telbar in den Mitglied­s­taaten anwend­bares Gesetz.

Der Gegen­wind gegen ein einheit­li­ches, in allen Mitglied­s­taaten direkt anwend­bares Daten­schutz­recht kam von vielen Seiten. Wie schon in den 1990er Jahren in den Beratungen der Daten­schutz­richt­linie hielt sich die Begeis­te­rung über ein weitge­hend harmo­ni­siertes europä­i­sches Daten­schutz­recht, das die Spiel­räume für natio­nale Nischen und Allein­gänge reduzieren würde, bei den Regie­rungen der Mitglied­s­taaten in Grenzen. In Deutsch­land wurde insbe­son­dere das Ende des vermeint­lich hohen deutschen Daten­schutz­ni­veaus beschworen, das sich jedoch bei näherem Hinsehen allzu oft als Schimäre erwies. Im Zuge des europä­i­schen Gesetz­ge­bungs­ver­fah­rens („Trilog“) setzten die Regie­rungen der Mitglied­s­taaten schließ­lich etliche Öffnungs­klau­seln durch, die sich heute als Schwach­stelle der DSGVO erwei­sen.

Der Wider­stand von Wirtschafts­ver­bänden und Unter­nehmen richtete sich prinzi­piell gegen schär­fere Regelun­gen. Er speiste sich auch aus der Wahrneh­mung, dass digitale Geschäfts­mo­delle in den USA wegen nicht vorhan­dener gesetz­li­cher Beschrän­kungen erfolg­rei­cher waren als in Europa. Schließ­lich kämpften Vertreter der US-Wirt­schaft und der US-Re­gie­rung gegen jede Verschär­fung des EU-Da­ten­schutz­rechts, welche die Geschäfts­in­ter­essen der auch auf dem europä­i­schen Markt dominie­renden IT-Un­ter­nehmen der „GAFAM“-Gruppe (Google, Amazon, Facebook, Apple, Micro­soft) behin­dern könnte.

Der von US-Seite ausge­übte erheb­liche Druck auf den europä­i­schen Gesetz­geber blieb nicht ohne Folgen. Anders als beabsich­tigt verfes­tigte er jedoch den (zutref­fenden) Eindruck, hier ginge es primär um die Siche­rung ihrer daten­ge­trie­benen Geschäfts­mo­delle zu Lasten der EU-Bür­ge­rinnen und Bürger und der europä­i­schen Wirtschaft.

Das weit verbrei­tete Gefühl der digitalen Abhän­gig­keit Europas verstärkte sich mit der Aufde­ckung globaler Überwa­chungs­ak­ti­vi­täten durch den Whist­leblower Edward Snowden. Es war nicht mehr zu leugnen, dass die US-Ge­heim­dienste die markt­be­herr­schende Stellung der ameri­ka­ni­schen Digital­un­ter­nehmen für ihre Aktivi­täten, für ihre auf globale Kontrolle ausge­rich­teten Überwa­chungs­pro­gramme nutzten. Vieles spricht dafür, dass die symbi­o­ti­sche Bezie­hung zwischen Sicher­heits­be­hörden und Unter­nehmen mit Wissen und Duldung durch deren Top-Ma­na­ge­ment etabliert wurde, auch wenn die Unter­nehmen die Geheim­dien­st­ak­ti­vi­täten sicher­lich nicht im Detail kannten.[6] Die Aufde­ckung dieses Bezie­hungs­ge­flechts wirkte als Kataly­sator des Gesetz­ge­bungs­pro­zesses zur DSGVO. Edward Snowdens Enthül­lungen haben ohne Zweifel dazu beige­tragen, dass der ambitio­nierte Regulie­rungs­an­satz schließ­lich auch von den meisten Europa­po­li­ti­kern befür­wortet wurde, die ihm zunächst skeptisch gegen­über­ge­standen hatten.

3. Daten­schutz ist Grund­rechts­schutz

In vielen Ländern – darunter die USA und die asiati­schen Staaten – wird Daten­schutz (jeden­falls im Hinblick auf den nicht-öf­fent­li­chen Bereich) als Gegen­stand privat­recht­li­cher Aushand­lungen gesehen. Ein entschei­dendes Manko auch der Daten­schutz­richt­linie von 1995 bestand darin, dass es sich bei ihr in erster Linie um ein Instru­ment der Markt­re­gu­lie­rung handelte, mit dem der freie Daten­ver­kehr im europä­i­schen Binnen­markt sicher­ge­stellt werden sollte.7 Mit der Weiter­ent­wick­lung der Europä­i­schen Gemein­schaft zu einer politi­schen Union stellte sich die Frage nach europä­i­schen Grund­rechten, die kurz nach der Jahrtau­send­wende in der EU-Grund­recht­echarta festge­schrieben wurden. Art. 7 der Charta verlangt – wie zuvor schon Art. 8 der Europä­i­schen Menschen­rechts­kon­ven­tion[8] – die Achtung des Privat – und Famili­en­le­bens. Art. 8 EUGrCh garan­tiert den Schutz perso­nen­be­zo­gener Daten und schreibt eine unabhän­gige Daten­schutz­auf­sicht vor. Zudem hatte die Recht­spre­chung in den Mitglieds­s­taaten seit den 1980er Jahren dem Daten­schutz als Grund­recht der Infor­ma­ti­ons­ge­sell­schaft einen höheren Stellen­wert einzu­räumen begonnen – zu nennen ist hier beson­ders das „Volks­zäh­lungs­ur­teil“ des Bundes­ver­fas­sungs­ge­richts von 1983[9].

Durch den Vertrag von Lissabon[10] wurde die Grund­recht­echarta zum anwend­baren Recht in der gesamten EU aufge­wer­tet. Mit der Charta war eine echte EU-weite Daten­schutz­ge­setz­ge­bung geboten, weil nur so ein angemes­sener Grund­rechts­schutz sicher­ge­stellt werden konnte.

4. Die ersten 2 1/2 Jahre

Angesichts des teils gravie­renden, mit der DSGVO verbun­denen Anpas­sungs­be­darfs des natio­nalen Rechts hatte der europä­i­sche Gesetz­geber den Mitglied­s­taaten und den Rechts­an­wen­dern eine zweijäh­rige Überg­angs­frist einge­räumt. Die am 25. Mai 2016 im EU-Amts­blatt veröf­fent­lichte DSGVO wurde erst am 25. Mai 2018 vollständig wirksam. Trotzdem wurden die notwen­digen Anpas­sungs- und Umset­zungs­a­r­beiten bis heute nicht abgeschlos­sen. Aber selbst dort, wo der natio­nale Gesetz­geber tätig geworden ist, bestehen weiterhin viele Probleme. Dies gilt etwa für natio­nale Regelungen zur Video­über­wa­chung, zur Verar­bei­tung biome­tri­scher Daten oder für die Daten­ver­a­r­bei­tung zu Forschungs­zwe­cken. Als Problem erweist sich auch, dass die Mitglied­s­taaten die ihnen durch die DSGVO einge­räumten Regelungs­spiel­räume beim Beschäf­tig­ten­da­ten­schutz und beim Austa­rieren des Daten­schutzes mit der Infor­ma­ti­ons- und Meinungs­frei­heit sehr unter­schied­lich gefüllt haben.

Auch die Unter­nehmen waren vielfach nicht hinrei­chend auf die DSGVO vorbe­rei­tet. So ergab eine im Dezember 2017 veröf­fent­lichte Umfrage, dass mehr als der Hälfte der deutschen Unter­nehmen die DSGVO nicht bekannt war oder dass sie sich noch nicht mit ihr beschäf­tigt hätten.[11] Die Rechts­un­si­cher­heiten waren und sind in Deutsch­land beson­ders ausge­prägt, weil das hiesige Daten­schutz­recht maßgeb­lich durch Spezi­al­re­ge­lungen geprägt ist und sich vielfach die Frage stellt, in welcher Bezie­hung die bereichs­s­pe­zi­fi­schen Daten­schutz­vor­schriften zu den Vorgaben der DSGVO stehen. Hinzu kommt die föderale Diffe­ren­zie­rung des deutschen Daten­schutz­rechts, die in keinem anderen Mitglieds­land eine Entspre­chung findet.

2018 setzte insbe­son­dere in Deutsch­land eine teils aufge­regte öffent­liche Diskus­sion darüber ein, was nun verboten und was erlaubt ist. Anstatt den Daten­schutz als Chance zu begreifen und so das Vertrauen in digitale Prozesse in Staat und Wirtschaft zu stärken, wurde der Eindruck erzeugt, Daten­schutz bedrohe den Wohlstand, verhin­dere sinnvolle IT-Pro­jekte und erschwere das Leben von Vereinen und kleinen Unter­nehmen unver­hält­nis­mä­ßig. Die Wahrneh­mung der DSGVO als „Inno­va­ti­ons­bremse“ oder „Büro­kra­tie­monster“ wurde verstärkt durch vielfach unbegrün­dete Behaup­tungen und zweifel­hafte Rechts­aus­le­gun­gen. Eine bevor­ste­hende „Abmahn­welle“[12] wurde beschwo­ren. Es wurde in Frage gestellt, ob die nament­liche Begrü­ßung als Erhebung perso­nen­be­zo­gener Daten noch zulässig sei.[13] Die Bild-­Zei­tung titelte auf ihrer Front­seite: „Daten­schutz-Irr­sinn: Unsere Klingel­schilder sollen weg!“[14] Inzwi­schen hat sich die Aufre­gung weitge­hend gelegt. Kunden werden weiterhin nament­lich begrüßt, kein Klingel­schild wurde abmon­tiert und die beschwo­rene Abmahn­welle ist ausge­blie­ben.[15] Zur Beruhi­gung hat sicher­lich beige­tragen, dass die Daten­schutz­be­hörden in Deutsch­land und Europa eine Vielzahl von Ausle­gungs- und Orien­tie­rungs­hilfen zur DSGVO vorge­legt haben, um Unsicher­heiten bei den Rechts­an­wen­dern auszu­räu­men.[16]

Inzwi­schen ist auch deutlich geworden, dass die Daten­schutz­be­hörden nicht mehr dem Bild des „zahn­losen Tigers“ entspre­chen. Sie haben seit dem Wirksam­werden der DSGVO hundert­tau­sende Beschwerden bearbeitet und eine Vielzahl von Bußgel­dern – einige davon in Milli­o­nen­höhe – gegen Verant­wort­liche für Daten­schutz­ver­stöße verhängt. Dass das Engage­ment und die Konflikt­be­reit­schaft der natio­nalen Daten­schutz­be­hörden recht unter­schied­lich ausge­prägt sind, ist jedoch auch nicht zu überse­hen. Während viele Daten­schutz­be­hörden schwer­wie­gende Daten­schutz­ver­stöße mit hohen Bußgel­dern geahndet haben, tun sich andere Daten­schutz­be­hörden hier deutlich schwe­rer. So hat die irische Daten­schutz­be­hörde bis Ende November 2020 nicht eine der vielen Tausend Beschwerden gegen US-ame­ri­ka­ni­sche Inter­net­un­ter­nehmen abschlie­ßend entschieden, die ihre Europa­zen­tralen in Irland haben (s. dazu den Beitrag von Caspar in diesem Heft).

5. Evalua­tion

Die Europä­i­sche Kommis­sion ist verpflichtet, die Anwen­dung und Wirkungs­weise der Verord­nung laufend zu überprüfen und erfor­der­li­chen­falls Vorschläge zur Änderung und Weiter­ent­wick­lung vorzu­le­gen. Die Evalua­ti­ons- und Berichts­pflicht soll verhin­dern, dass der neue Rechts­rahmen und die techni­sche und soziale Realität ausein­an­der­fal­len. Im Rahmen des Konsul­ta­ti­ons­pro­zesses haben Wirtschafts­ver­bände, Daten­schutz- und Verbrau­cher­schutz­or­ga­ni­sa­ti­onen sowie Wissen­schaftler[17] Bewer­tungen der Erfah­rungen mit der DSGVO vorge­nom­men. Auch wenn die Stellung­nahmen erwar­tungs­gemäß wider­sprüch­liche Bewer­tungen einzelner Vorschriften enthielten, sehe ich es als positives Signal, dass die DSGVO grund­sätz­lich in keiner Stellung­nahme in Frage gestellt wurde. Fast alle Teilnehmer des Konsul­ta­ti­ons­pro­zesses traten für eine verstärkte EU-weite Harmo­ni­sie­rung und eine bessere Zusam­me­n­a­r­beit der Daten­schutz­be­hörden ein. Die Vielzahl der von den Regie­rungen der Mitglied­s­taaten durch­ge­setzten Öffnungs­klau­seln in der DSGVO müsse reduziert werden. Das Regelungs­patch­work des natio­nalen Rechts stehe im Wider­spruch zur angestrebten EU-weiten Harmo­ni­sie­rung und beein­träch­tige die Daten­frei­zü­gig­keit. Die Zusam­me­n­a­r­beit der Aufsichts­be­hörden habe sich zwar deutlich verbes­sert, müsste aber noch effek­tiver gestaltet werden.

Wirtschafts­ver­bände und einige Mitglied­s­taaten forderten unter der Überschrift „Büro­kra­tie­abbau“ weitere Erleich­te­rungen für kleinere und mittlere Unter­nehmen, speziell im Hinblick auf die Reduk­tion von Dokumen­ta­ti­ons- und Melde­pflich­ten. Dagegen konzen­trierten sich Daten­schutz- und Verbrau­cher­schutz­ver­bände auf Verbes­se­rungen bei den Betrof­fe­nen­rechten, speziell beim Profiling und automa­ti­sierte Entschei­dun­gen. Systeme, welche für den einzelnen Menschen oder für die Gesell­schaft wichtige Entschei­dungen treffen oder solche vorbe­reiten, müssten konse­quenter reguliert werden, speziell im Hinblick auf den Einsatz von „Künst­li­cher Intel­li­genz“ (KI). Daten- und Verbrau­cher­schützer forderten zudem, Hersteller von Hard- und Software daten­schutz­recht­lich in die Verant­wor­tung zu nehmen.

Der am 24. Juni 2020 veröf­fent­liche erste Bericht der EU-Kom­mis­sion[18] zog ein positives Fazit und verzichtet auf den Vorschlag konkreter Änderungen des Verord­nungs­tex­tes. Die DSGVO habe die meisten ihrer Ziele erreicht. Bei der Unter­stüt­zung digitaler Lösungen in unvor­her­seh­baren Situa­ti­onen wie der COVID-19-­Krise habe sich die DSGVO als flexibel erwie­sen. Ferner hätten die Unter­nehmen eine Complian­ce-­Kultur entwi­ckelt und sähen einen starken Daten­schutz immer häufiger als Wettbe­werbs­vor­teil.

Aus Sicht von Daten­schüt­zern hat die Kommis­sion die Gelegen­heit verpasst, mit neuen Vorschlägen erkenn­bare Fehlent­wick­lungen zu korri­gie­ren.[19] Unüber­sehbar bestünden nach zwei Jahren Erfah­rung weiterhin massive aufsichts­be­hörd­liche „Lade­hem­mungen“ bei der Kontrolle der grenz­über­schrei­tenden Daten­ver­a­r­bei­tung. Gerade gegen­über global agierenden großen Inter­net­diensten und Platt­formen, deren Nutzer die DSGVO effek­tiver schützen sollte, hätte sich die DSGVO bislang als stumpfes Schwert erwiesen (s. dazu den Beitrag von Caspar in diesem Heft).

6. Daten­schutz-­Grund­ver­ord­nung als weltweites Referenz­mo­dell

Trotz mancher Unzuläng­lich­keiten der DSGVO orien­tieren sich immer mehr Staaten bei der Regulie­rung des Umgangs mit perso­nen­be­zo­genen Daten an diesem Regelungs­werk. Zu nennen sind beispiels­weise die neuen bzw. geänderten Daten­schutz­ge­setze von Brasi­lien, Thailand, Japan[20], Singapur und Indien. Selbst in China wurden in verschie­denen Berei­chen Regelungen in Kraft gesetzt, die der DSGVO in mancher Bezie­hung ähneln.[21]

Der wichtigste Hebel für die Durch­set­zung der europä­i­schen Daten­schutz­an­for­de­rungen auf inter­na­ti­o­naler Ebene ist die schon in der Daten­schutz­richt­linie von 1995 enthal­tene Anfor­de­rung, dass perso­nen­be­zo­gene Daten in Staaten außer­halb der Europä­i­schen Union nur übermit­telt werden dürfen, wenn beim Empfänger ein angemes­sener Daten­schutz gewähr­leistet wird. Dafür sieht die DSGVO verschie­dene Instru­mente vor, speziell einen „Ange­mes­sen­heits­be­schluss“ der Europä­i­schen Kommis­sion, geneh­migte Standard­da­ten­schutz­klau­seln und verbind­liche Unter­neh­mens­re­ge­lungen (Binding Corpo­rate Rules).

Im Regel­fall beziehen sich Angemes­sen­heits­be­schlüsse auf ein Land. Aller­dings ist es auch möglich, die Angemes­sen­heit des Daten­schutzes für bestimmte Regionen oder Sektoren festzu­stel­len. Solche partiell wirksamen Angemes­sen­heits­be­schlüsse wurden etwa zwischen der EU und den Verei­nigten Staaten verein­bart. Diese Beschlüsse annul­lierte jedoch der Europä­i­sche Gerichts­hof.[22] Sowohl das „Safe Harbor“-Abkommen aus dem Jahr 2001 als auch das Nachfol­ge­ab­kommen „Privacy Shield“ von 2016 schei­terten vor dem EuGH am unzurei­chenden Schutz perso­nen­be­zo­gener Daten gegen einen Zugriff ameri­ka­ni­scher Sicher­heits­be­hör­den. In beiden Urteilen ging es speziell um Daten­über­mitt­lungen zwischen Facebook Europa und dem ameri­ka­ni­schen Mutter­un­ter­neh­men. Der EuGH hat nicht nur über die Beschwerden gegen konkrete Daten­trans­fers entschieden, sondern auch über die zugrun­de­lie­genden Abkom­men. Das oberste EU-Ge­richt hielt die von der EU-Kom­mis­sion bei der US-Re­gie­rung ausge­han­delten recht­li­chen Garan­tien nicht für ausrei­chend. Insbe­son­dere sei es nicht hinzu­nehmen, dass EU-Bür­ge­rinnen und -Bürger keinen effek­tiven Rechts­schutz gegen die Überwa­chungs­maß­nahmen ameri­ka­ni­scher Behörden haben.

Die Gewichte in dem in den 1970er Jahren begon­nenen Wettbe­werb zwischen dem europä­i­schen und dem ameri­ka­ni­schen Daten­schutz­mo­dell haben sich verscho­ben. Der US-An­satz sah Daten­schutz primär als Gegen­stand eines Aushand­lungs­pro­zesses auf dem Markt. Dement­spre­chend verzich­tete er weitge­hend auf eine Regulie­rung der Daten­ver­a­r­bei­tung im privat­wirt­schaft­li­chen Sektor. Dagegen setzte Europa frühzeitig auf gesetz­liche Regelungen und unabhän­gige Daten­schutz­auf­sicht.

Inzwi­schen ist nicht mehr zu übersehen, dass sich die DSGVO zu dem inter­na­ti­o­nalen Referenz­mo­dell entwi­ckelt, an dem sich die Daten­schutz­ge­setze weltweit orien­tie­ren. Mit der gegen­sei­tigen Anerken­nung der jewei­ligen Daten­schutz­be­stim­mungen als „ange­messen“ durch die Europä­i­sche Kommis­sion[23] und die japani­sche Regie­rung ist der weltweit größte Daten­raum entstanden, in dem perso­nen­be­zo­gene Daten unter Wahrung eines hohen Daten­schutz­ni­veaus verar­beitet werden.

Die Wirkungen der DSGVO haben längst auch die Verei­nigten Staaten selbst erreicht. So greift der kalifor­ni­sche Consumer Privacy Act (CCPA) wichtige Elemente des EU-Da­ten­schutz­rechts auf. Mit dem erfolg­rei­chen, zeitgleich mit der US-Prä­si­dent­schafts­wahl am 3. November 2020 durch­ge­führten Referendum („Propo­si­tion 24“) wurden u.a. eine kalifor­ni­sche Daten­schutz­be­hörde einge­führt und die Betrof­fe­nen­rechte gestärkt.[24] Auch andere US-Bun­dess­taaten haben inzwi­schen eigene Daten­schutz­ge­setze. Dem US-Kon­gress liegen mehrere Entwürfe für US-Bun­des­ge­setze zum Daten­schutz vor bzw. werden gegen­wärtig in ungewohnter Koope­ra­tion von demokra­ti­schen und republi­ka­ni­schen Mitglie­dern des US-Se­nats und des Reprä­sen­tan­ten­hauses erarbei­tet.[25]

Selbst die großen Inter­net-­Kon­zerne haben ihren früheren Wider­stand gegen DSGVO-­ähn­liche US-Ge­setze aufge­geben und fordern mittler­weile ein US-Bun­des­ge­setz zum Daten­schutz in der Wirtschaft.[26] So hat Marc Zucke­r­berg vor dem US-Kon­gress und vor dem Europä­i­schen Parla­ment die europä­i­sche Daten­schutz-­Grund­ver­ord­nung als vorbild­lich bezeich­net. Unabhängig von der Glaub­wür­dig­keit solcher Aussagen, die in der Folge des Cambridge Analy­ti­ca-S­kan­dals[27] gemacht wurden, ist unver­kennbar, dass der Druck der Wirtschaft auf den US-Kon­gress zunimmt, ein Daten­schutz­ge­setz zu erlassen, das ein der Grund­ver­ord­nung entspre­chendes Daten­schutz­ni­veau gewähr­leistet und eine unabhän­gige Daten­schutz­auf­sicht vorsieht, aber zugleich die Daten­schutz­ge­setz­ge­bung in den Bundess­taaten deckelt.[28]

Trotz aller positiven Signale ist es heute immer noch alles andere als sicher, ob die DSGVO ihre eigent­liche Bewäh­rungs­probe besteht: Die Einhe­gung der mit der Digita­li­sie­rung verbun­denen Überwa­chung und Manipu­la­tion und des darin zum Ausdruck kommenden Macht­miss­brauchs. Trotz verbaler Zustim­mung zur DSGVO sind die GAFAM-Un­ter­nehmen bis heute nicht bereit, ihre Geschäfts­mo­delle den Grund­sätzen des europä­i­schen Daten­schutz­rechts anzupas­sen. Die bereits während der Beratungen des Europä­i­schen Parla­ments zur DSGVO zu Höchst­form aufge­lau­fenen Bemühungen von Lobby­isten, als geschäfts­schä­di­gend betrach­tete EU-Da­ten­schutz­vor­gaben zu verhin­dern, werden fortge­setzt. Sie konzen­trieren sich derzeit auf die E-Privacy-Verord­nung, die den Umgang mit perso­nen­be­zo­genen Daten durch Telekom­mu­ni­ka­ti­ons- und Inter­net­diensten EU-weit einheit­lich regulieren soll.

Angesichts dessen ist zu wünschen, dass Europa sich nicht von dem einge­schla­genen Weg abbringen lässt und die dringend nötige Regulie­rung nicht nur im Hinblick auf den Daten­schutz, sondern auch im Verbrau­cher­schutz- und Kartell­recht weiter voran­bringt. Neben der E-Pri­va­cy-­Ver­ord­nung betrifft dies insbe­son­dere Vorgaben für digitale Platt­formen und zur Herstel­lung eines gemein­samen europä­i­schen Daten­raums.

PETER SCHAAR   Jahrgang 1954, ist gelernter Ökonom. Er war ab 1980 in der Verwal­tung der Hanse­stadt Hamburg tätig und wechselte 1986 zum Hamburger Landes­da­ten­schutz­be­auf­trag­ten. 2003 wurde er auf Vorschlag der rot-grünen Bundes­re­gie­rung vom Deutschen Bundestag zum fünften Bundes­be­auf­tragten für Daten­schutz gewählt. Seine Amtszeit endete am 16. Dezember 2013. Seit 2013 steht Schaar der Europä­i­schen Akademie für Infor­ma­ti­ons­frei­heit und Daten­schutz (EAID) vor.

Anmerkungen:

1 Verord­nung (EU) 2016/679 des Europä­i­schen Parla­ments und des Rats vom 27. April 2016 zum Schutz natür­li­cher Personen bei der Verar­bei­tung perso­nen­be­zo­gener Daten, zum freien Daten­ver­kehr und zur Aufhe­bung der Richt­linie 95/46/EG (Daten­schutz-­Grund­ver­ord­nung) – EU Amtsblatt v. 4.5.2016, L119/1.

2 Butta­relli, The EU GDPR as a clarion call for a new global digital gold standard, IDPL 2017, 77.

3 Council of Europe, Conven­tion for the Protec­tion of Indivi­duals with regard to Automatic Proces­sing of Personal Data, Conven­tion 108, 28.01.1981.

4 Richt­linie 95/46/EG des Europä­i­schen Parla­ments und des Rates vom 24. Oktober 1995 zum Schutz natür­li­cher Personen bei der Verar­bei­tung perso­nen­be­zo­gener Daten und zum freien Daten­ver­kehr, EG-Amts­blatt 23.11.1995, L 281.

5 Vgl. etwa EuGH, Urteil zur Unabhän­gig­keit der deutschen Daten­schutz­be­hörden v. 09.03.2010 – C-518/07.

6 Vgl. Schaar, Überwa­chung total – Wie wir in Zukunft unsere Daten schützen, 2014, S. 14ff.

7 Simitis, Hornung, Spiecker (Hg.), Daten­schutz­recht ( 1. Aufl. 2019), Einlei­tung Rndnr. 133.

8 Konven­tion zum Schutz der Menschen­rechte und Grund­frei­heiten (Europä­i­sche Menschen­rechts­kon­ven­tion) v. 4. 11.1950.

9 Bundes­ver­fas­sungs­ge­richt, Urteil vom 15.12.1983, BVerfGE 65, 1, S. 1.

10 EU-Amts­blatt v. 13.12.2007 – 2007/C 306/01.

11 ZEW, Dezember 2017

12 Vgl. etwa Ärzte-­Zei­tung v. 22.6.2018; BfDI, 27. Tätig­keits­be­richt, S. 29.

13 Berliner Morgen­post, 14.12.2018,
https://www.morgenpost.de/vermischtes/article215988685/Datenschutz-DSGVO-Metzgerei-Kundin-wehrt-sich-gegen-namentliche-Begruessung.html (abgerufen am 10.5.2019).

14 Bild-­Zei­tung v. 18.10.2018 (Titel­seite).

15 Zu den angespro­chenen Fragen vgl. Schaa­r/Dix, Umset­zung der Daten­schutz-­Grund­ver­ord­nung (DSGVO) – Bilanz ein Jahr nach Inkraft­tre­ten. Gutachten im Auftrag der Fraktion Bündnis 90/Die Grünen im Deutschen Bundestag, 16.5.2020; https://www.gruene-bundestag.de/fileadmin/media/gruenebundestag_de/themen_az/da­ten­schutz/PD­F/­Gut­achten_DSGVO.pdf.

16 European Data Protec­tion Board, DSGVO: Leitli­nien, Empfeh­lungen, bewährte Verfahren, https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_de;
Daten­schutz­kon­fe­renz (DSK), https://www.datenschutzkonferenz-online.de.

17 GDD: Stellung­nahme zur Evalu­ie­rung der DS-GVO v. 27.6.2019; Deutscher Indus­trie- und Handels­kam­mer­tag: Position Paper of 2.7.2019; Netzwerk Daten­schutz Exper­tise: Evalua­tion der DSGVO vom 18.7.2019; Mitglied­s­taa­ten: DAPIX 286 (12756/1/19 Rev. 1) v. 9.10.2019; Konfe­renz der unabhän­gigen Daten­schutz­be­hörden Deutsch­lands, Erfah­rungs­be­richt v. 13.11.2019; Roßna­gel/­Ge­minn: Evalua­tion der DSGVO aus Verbrau­cher­sicht, 26.11.2019; Verbrau­cher­zen­trale Bundes­ver­band: Evalua­tion der DSGVO aus Sicht der Verbrau­cher, 27.11.2019; Bundes­rat: Entschlie­ßung v. 29.11.2019, Drs. 570/19 (Beschluss); Rat: DAPIX 364 (14994/1/19 Rev.1) Council Position and Findings of 19.12.2019; Europ. Akademie für Infor­ma­ti­ons­frei­heit und Daten­schutz: Stellung­nahme v. 27.1.2020.

18 COM(2020) 264 final.

19 Vgl. Stellung­nahme des Hambur­gi­schen Daten­schutz­be­auf­tragten zum Evalua­ti­ons­be­richt der Kommis­sion, https://datenschutz-hamburg.de/%2Fpres­se­mit­tei­lungen%2F2020%2F06%2F2020-06-25-dsgvo-e­va­lua­tion.

20 Japanese Amended Act on the Protec­tion of Personal Infor­ma­tion v. 30. Mai 2017, https://www.ppc.go.jp/files/pdf/Act_on_the_Protec­tion_of_Personal_Infor­ma­ti­o­n.pdf;
im Jahr 2020 beschlos­sene Änderungen vgl. https://www.ppc.go.jp/files/pdf/overview_amended_act.pdf.

21 Chinese Personal Infor­ma­tion Security Speci­fi­ca­tion vom 01.10.2020; https://www.wzrchina.com/news/neue-entwicklungen-im-chinesischen-datenschutzrecht.

22 EuGH, Urteile in der Rechts­sache C-362/14 v. 06.10.2015 (Safe Harbor, „Schrems I“) und Urteil v. 16.07.2020 in der Rechts­sache C-311/18 (Privacy Shield,“Schrems II“).

23 European Commis­sion, EU Japan Adequacy Decision, January 2019;
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.

24 California Propo­si­tion 24, Consumer Personal Infor­ma­tion Law and Agency Initia­tive (2020); https://ballotpedia.org/California_Propo­si­tion_24,_Consumer_Personal_Infor­ma­tion_Law_and_Agency_Initia­tive_(2020)#Measure_design.

25 Eine Gruppe von Senatoren (Republi­kaner und Demokraten) erarbeitet gegen­wärtig einen Gesetz­ent­wurf für den Daten­schutz im Online-­Be­reich; siehe auch das Schreiben des Electronic Privacy Infor­ma­tion Center (EPIC) an den Handels­aus­schuss vom 29.4.2019, https://epic.org/testimony/congress/EPIC-SCOM-ConsumerPerspectives-Apr2019.pdf.

26 Der U.S. Privacy Act von 1974 gilt nur für die öffent­liche Verwal­tung.

27 Vgl. ICO inves­ti­ga­tion into use of personal infor­ma­tion and political influ­ence, Letter of 02 October 2020; https://ico.org.uk/media/action-weve-taken/2618383/20201002_ico-o-e­d-l-rt­l-0181_to-ju­lian-knight-mp.pdf.

28 Vgl. Data Protec­tion Act of 2020, https://www.congress.gov/bill/116th-congress/senate-bill/3300/text.

Dateien