Themen / Datenschutz

Zwei Jahre Daten­schutz-­Grund­ver­ord­nung – eine Bilanz aus Verbrau­cher­sicht

31. Dezember 2020

in: vorgänge Nr. 231/232 (3-4/2020), S. 27-39

Der Geltungs­be­ginn der Daten­schutz-­Grund­ver­ord­nung hat sich am 25. Mai 2020 zum zweiten Mal gejährt. Die zu diesem Stichtag vorge­se­hene Evalua­tion der Verord­nung gab Anlass zu zahlrei­chen Verbes­se­rungs­vor­schlä­gen. Aufge­griffen wurden sie von der Europä­i­schen Kommis­sion nicht. Der Beitrag zeigt vertane Chancen auf und gibt Anregungen für die zukünf­tige Entwick­lung des Daten­schutzes in Europa. Dabei steht die Sicht­weise der Verbrau­cher[1] im Vorder­grund.

1. Die Evalua­tion der Daten­schutz-­Grund­ver­ord­nung

Die Daten­schutz-­Grund­ver­ord­nung (DSGVO) sieht in Art. 97 Abs. 1 vor, dass die Europä­i­sche Kommis­sion ab Inkraft­treten alle vier Jahre eine regel­mä­ßige „Bewer­tung und Überprü­fung dieser Verord­nung“ durch­führt und veröf­fent­licht. Der erste Evalua­ti­ons­be­richt war danach am 25. Mai 2020 vorzu­le­gen. Ein Schwer­punkt soll dabei nach Abs. 2 auf der Übermitt­lung an Dritt­länder sowie auf den Regelungen zu Zusam­me­n­a­r­beit und Kohärenz liegen.[2] Nach Abs. 5 soll die Kommis­sion „erfor­der­li­chen­falls geeig­nete Vorschläge zur Änderung dieser Verord­nung“ vorlegen und dabei „insbe­son­dere die Entwick­lungen in der Infor­ma­ti­ons­tech­no­logie und die Forts­chritte in der Infor­ma­ti­ons­ge­sell­schaft“ berück­sich­ti­gen. Für die Evalua­tion soll sie nach Abs. 3 von den Aufsichts­be­hörden und den Mitglied­s­taaten Infor­ma­ti­onen einholen und nach Abs. 4 „Stand­punkte und Feststel­lungen des Europä­i­schen Parla­ments, des Rates und anderer einschlä­giger Stellen oder Quellen“ berück­sich­ti­gen.

Der Rat, die Mitglied­s­taaten, die Bundes­re­gie­rung, der Bundesrat, die Konfe­renz der unabhän­gigen Daten­schutz­auf­sichts­be­hörden sowie viele Verbände, Organi­sa­ti­onen und Initia­tiven aus ganz Europa haben ihre Erfah­rungen mit der DSGVO geschil­dert und Vorschläge zur Verbes­se­rung der Verord­nung vorge­legt, die ihre Prakti­ka­bi­lität, Effizienz und Rechts­si­cher­heit erhöhen sollen.[3] Diese Stellung­nahmen beschränkten sich weit überwie­gend nicht auf die in Abs. 2 genannten Schwer­punkte, sondern adres­sierten Verbes­se­rungen im Text der Verord­nung. Für Verbrau­cher von beson­derem Inter­esse waren z.B. die Forde­rungen nach einem eigenen einschrän­kenden Erlaub­ni­stat­be­stand für Profiling, nach einer spezi­fi­schen Abwägung der Daten­ver­a­r­bei­tung für Werbung, nach Klarstel­lungen bei den Rechten betrof­fener Personen, nach Präzi­sie­rungen der daten­schutz­ge­rechten System­ge­stal­tung und daten­schutz­freund­li­chen Vorein­stel­lungen sowie nach zusätz­li­chen Schutz­re­ge­lungen für die Verar­bei­tung der Daten von Kindern.

Gefor­dert wurde in fast allen Stellung­nahmen auch, dass die Kommis­sion die Heraus­for­de­rungen unter­sucht, die durch aufkom­mende Techno­lo­gien wie z.B. Big Data, Künst­liche Intel­li­genz, Internet der Dinge, Blockchain, Gesichts­er­ken­nung, Profiling und „Deep Fakes“ entste­hen. Sie sollte vor allem Schutz­lü­cken überprüfen, die durch die zuneh­mende Daten­kon­zen­tra­tion bei einzelnen Anbie­tern und Platt­formen sowie durch die Verwen­dung von Scoring und Profiling entstehen, und diese durch zusätz­liche – eventuell bereichs­s­pe­zi­fi­sche – Regelungen schlie­ßen.

2. Die Sicht der Europä­i­schen Kommis­sion auf die DSGVO

Die Kommis­sion legte ihren Bericht am 24. Juni 2020 vor.[4] Aus ihrer Sicht hat sich die DSGVO bewährt.[5] Dies werde nicht zuletzt durch einen erfolg­rei­chen Export in zahlreiche Dritt­länder belegt. Das europä­i­sche Daten­schutz­recht sei „ein Kompass geworden, der uns im digitalen Wandel, bei dem der Mensch im Mittel­punkt steht, den Weg weist“.[6]

Die Kommis­sion stellt in ihrem nur 18 Seiten umfas­senden Bericht[7] zwar fest, dass es Bereiche gäbe, in denen in der Zukunft Verbes­se­rungen möglich seien, schlägt jedoch keine entspre­chenden Änderungen des Verord­nungs­textes vor. Noch sei die Zeit nicht reif für eine endgül­tige Bewer­tung der DSGVO. Wahrschein­lich würden sich die meisten der durch die Mitglied­s­taaten und Stake­holder identi­fi­zierten Probleme durch mehr Erfah­rung mit der Verord­nung über die kommenden Jahre ohnehin erledi­gen.[8]

Die Kommis­sion benennt keine Verbes­se­rungs­be­darfe und Verbes­se­rungs­mög­lich­keiten am Text der DSGVO, sondern beschränkt sich ausschließ­lich auf den Umgang mit ihr. Sie kriti­siert vor allem ergän­zende und konkre­ti­sie­rende Regelungen der Mitglied­s­taa­ten. Konkret benennt die Kommis­sion eine Überdeh­nung der Öffnungs­klau­seln der Verord­nung durch mitglied­s­taat­li­ches Recht. Spezi­fi­zie­rungen im mitglied­s­taat­li­chen Recht bezogen auf die Inter­es­se­n­ab­wä­gung nach Art. 6 Abs. 1 Uabs. 1 lit. f DSGVO werden abgelehnt: Der natio­nale Gesetz­geber dürfe die Abwägung der berech­tigten Inter­essen des Daten­ver­a­r­bei­ters mit den schutz­wür­digen Inter­essen der betrof­fenen Person nicht allge­mein regeln, sondern müsse diese im Einzel­fall dem Verant­wort­li­chen überlas­sen. Gleich­falls abgelehnt werden begriff­liche Spezi­fi­zie­rungen im Recht der Mitglied­s­taaten und die Etablie­rung zusätz­li­cher Voraus­set­zungen in spezi­fi­schen Verar­bei­tungs­si­tua­ti­o­nen. Selbst die Nutzung der in der Verord­nung explizit angelegte Möglich­keit zur Anpas­sung der Alters­grenze inner­halb eines vorge­ge­benen Rahmens von dem vollen­deten dreizehnten Lebens­jahr bis zum vollen­deten sechzehnten Lebens­jahr bei der Einwil­li­gung eines Kindes in Bezug auf Dienste der Infor­ma­ti­ons­ge­sell­schaft[9] brand­markt die Kommis­sion als eine gefähr­liche Abwei­chung vom Harmo­ni­sie­rungs­ge­danken des europä­i­schen Daten­schutz­rechts. Es wird das Schreck­ge­spenst einer Fragmen­tie­rung des Daten­schutzes in der Europä­i­schen Union wie noch unter der Daten­schutz­richt­linie beschworen, die den freien Fluss von Daten in der Union bedrohe. In dieser überzo­genen Kritik wird deutlich, dass die Kommis­sion ihre Nieder­lage im Gesetz­ge­bungs­pro­zess der DSGVO nicht überwunden hat. In diesem hatte – vor allem der Rat – der Selbs­t­er­mäch­ti­gung der Kommis­sion durch 48 Ermäch­ti­gungen zur Konkre­ti­sie­rung der Verord­nung Grenzen gesetzt und diese überwie­gend durch Öffnungs­klau­seln für die Mitglied­s­taaten ersetzt.[10] Die Kommis­sion nimmt hier den Macht­kampf wieder auf und greift die Ausfül­lung der Öffnungs­klau­seln durch die Mitglied­s­taaten an. Auch wenn manche Mitglied­s­taaten – auch Deutsch­land – im Einzel­fall etwa unzulässig starke Einschrän­kungen der Rechte der betrof­fenen Personen vorge­nommen haben, ist die grund­sätz­liche Infra­ge­stel­lung der Legiti­mität der Ausfül­lung der Öffnungs­klau­seln durch die Mitglied­s­taaten – gemessen am Text der DSGVO übertrie­ben.

Die Kommis­sion versucht mit ihrem Bericht eine Diskus­sion über die Verbes­se­rung des europä­i­schen Daten­schutz­rechts zu verhin­dern. Sie richtet den Schein­werfer von den Defiziten der Verord­nung selbst weg auf die Gesetz­ge­bung der Mitglied­s­taa­ten. Klar ist aber, dass die Diskus­sion um die Weiter­ent­wick­lung des Daten­schutz­rechts im Allge­meinen und der DSGVO im Spezi­ellen als Funda­ment dieses Daten­schutz­rechts dennoch nicht stehen­bleiben darf. Zu groß ist der Druck durch moderne Verar­bei­tungs­prak­tiken, neue Techno­lo­gien und prakti­sche Probleme. Gerade aus Sicht der Verbrau­cher zeigt sich, dass die DSGVO trotz der zahlrei­chen, mitunter immensen Verbes­se­rungen des recht­li­chen Status quo noch deutli­chen Verbes­se­rungs­be­darf in sich trägt. Zudem sind auch zwei Jahre nach ihrem Geltungs­be­ginn die in der Verord­nung angelegten Poten­ziale längst noch nicht ausge­schöpft.[11] Dies gilt insbe­son­dere für die wesent­li­chen Innova­ti­onen der DSGVO, zu deren promi­nen­testen Vertre­tern die Forde­rung nach Daten­schutz durch Technik­ge­stal­tung und durch daten­schutz­freund­liche Vorein­stel­lungen in Artikel 25 DSGVO gehört.

3. Die Sicht des Verbrau­chers auf die DSGVO

Für Verbrau­cher ergibt sich mit Blick auf die DSGVO ein gemischtes Bild.[12] Verbes­se­rungen und Neuerungen bei den Betrof­fe­nen­rechten und neuen Durch­set­zungs­me­cha­nismen stehen die Perpe­tu­ie­rung alter Probleme des Daten­schutz­rechts und die Erzeu­gung neuer Problem­kreise gegen­über. Zudem dürften die mitunter chaoti­schen ersten Tage des Geltungs­be­ginns der Verord­nung und als übertrieben empfun­dene Anfor­de­rungen gerade an nieder­schwel­lige Daten­ver­a­r­bei­tungen infolge des „one size fits all“-Ansatzes der Verord­nung dem Daten­schutz einen zumin­dest tempo­rären Image­schaden verpasst haben. Gleich­zeitig ist aber auch als positiver Effekt die Wahrneh­mung von Daten­schutz als ernst­zu­neh­mender gesamt­ge­sell­schaft­li­cher Heraus­for­de­rung gestie­gen.

Gerade bezogen auf einige der wesent­li­chen Innova­ti­onen der DSGVO hat sich schnell Ernüch­te­rung einge­stellt. Insbe­son­dere das Recht auf Daten­über­trag­bar­keit und die Verpflich­tung der Verant­wort­li­chen zu Daten­schutz durch Technik­ge­stal­tung und durch daten­schutz­freund­liche Vorein­stel­lungen haben nicht die inten­dierten Effekte entfal­tet. Das Recht auf Daten­über­trag­bar­keit hat sich allen­falls branchen­spe­zi­fisch etabliert, so zumin­dest die Einschät­zung der Kommis­sion.[13] In der Praxis dürfte es indes kaum eine Rolle spielen. Insbe­son­dere eine Wirkung auf den Haupt­adres­saten der „lex Facebook“[14] schei­tert bereits am Vorhan­den­sein valider Alter­na­ti­ven. Daten­schutz durch Technik­ge­stal­tung und durch daten­schutz­freund­liche Vorein­stel­lungen geraten allzu häufig in Konflikt mit den Verar­bei­tungs­in­ter­essen großer Anbieter und werden allzu sehr relati­vie­rend ausge­legt. So können diese Instru­mente ihre verbrau­cher­schüt­zende Wirkung nicht entfal­ten.

Die struk­tu­rellen Probleme des Daten­schutzes bleiben auch in der DSGVO ungelöst. Dies betrifft vor allem die Bereiche Einwil­li­gung und Trans­pa­renz, die ohnehin fest mitein­ander verbunden sind. Im Falle der Einwil­li­gung blieben die herge­brachten Heraus­for­de­rungen bestehen, Selbst­be­stim­mung konse­quent zu verwirk­li­chen. Bezogen auf Trans­pa­renz wurde mit Art. 12 Abs. 7 DSGVO zwar eine Vision vom Ende der wenig effek­tiven und oft kontra­pro­duk­tiven Infor­ma­ti­ons­ver­mitt­lung via Text entworfen, jedoch hat auch mehr als vier Jahre nach Inkraft­treten der Verord­nung die Kommis­sion ihre Aufgabe noch nicht angenommen, standar­di­sierte Bildsym­bole einzu­füh­ren. Vorge­sehen war, mit solchen Symbolen die textliche Vermitt­lung zu unter­stützen und einen aussa­ge­kräf­tigen Überblick über die beabsich­tigte Verar­bei­tung zu vermit­teln. Die Kommis­sion hat noch nicht einmal eine Diskus­sion über hilfreiche Bildsym­bole initi­iert. Ohne eine Basis mit breit anerkannten Symbolen kann sie auch keine Verpflich­tung zum Einsatz dieser Symbole per Rechtsakt nach Art. 12 Abs. 8 DSGVO festle­gen.[15]

Insge­samt haben sich die weltweit agierenden Inter­net­kon­zerne mit der DSGVO arran­giert. Vor allem sie profi­tieren von der Regelung in Art. 56 DSGVO, dass sie immer nur mit einer Aufsichts­be­hörde zu tun haben – nämlich der von ihnen ausge­wählten, offen­sicht­lich handlungs­un­fä­higen oder handlungs­un­wil­ligen – Aufsichts­be­hörde in Irland. Sie halten an ihren Geschäfts­mo­dellen zur Ausbeu­tung der Daten ihrer Nutzer – und auch Nicht­nutzer – fest, legiti­mieren diese sogar zum Teil mit den Vorgaben der DSGVO. Sie haben in ihren Daten­schut­z­er­klä­rungen den Sprach­ge­brauch der Verord­nung übernommen, ignorieren aber ihre Vorgaben, wo es ihnen passt – vor allem die Verpflich­tung zu daten­schutz­ge­rechten System­ge­stal­tungen und daten­schutz­freund­li­chen Vorein­stel­lun­gen. Ihnen gegen­über hat die DSGVO zu keinen spürbaren Verbes­se­rungen für die Verbrau­cher geführt.

4. Poten­ziale zur Steige­rung des Daten­schutz­ni­veaus in der Europä­i­schen Union

Angesichts des stetigen techni­schen Forts­chritts und kurzer Innova­ti­ons­zy­klen im Bereich der Digita­li­sie­rung darf das Daten­schutz­recht nicht statisch bleiben, sondern es muss sich trotz aller Versuche über einen sogenannten techno­lo­gi­e­neu­tralen Ansatz Langle­big­keit zu garan­tieren, ständig weiter­ent­wi­ckeln.

4.1 Schwä­chen im Normtext der DSGVO

Schwä­chen im Normtext weist die DSGVO zum einen durch gesetz­ge­be­ri­sche Handwerks­fehler und zum anderen durch die Verwen­dung zahlrei­cher unbestimmter Rechts­be­griffe und Vorgaben auf sehr hohem Abstrak­ti­ons­ni­veau auf. Diese Schwä­chen einer klaren, eindeu­tigen und unmiss­ver­ständ­li­chen Regelung verur­sachten in den letzten zwei Jahren vielfache Ausle­gungs- und Verständ­nis­pro­bleme, Rechts­un­si­cher­heiten und Rechtss­trei­tig­kei­ten. Eine Klärung könnte unver­bind­lich durch thema­ti­sche Leitli­nien des Europä­i­schen Daten­schutzaus­schusses sowie im Einzel­fall verbind­lich durch die Gerichte und am Ende den Europä­i­schen Gerichtshof erfol­gen. Dies dauert Jahre und ist am Tag der Entschei­dung vielleicht durch die rasante Entwick­lung der Technik bereits überholt. Ein Wort des Gesetz­ge­bers könnte hier Abhilfe schaf­fen. Eine Übera­r­bei­tung der Verord­nung lehnt die Kommis­sion jedoch ab und gegen eine Konkre­ti­sie­rung durch mitglied­s­taat­li­ches Recht wehrt sie sich entschie­den.[16] Für Verbrau­cher ist diese Situa­tion äußerst unbefrie­di­gend. Wie die Erfah­rung lehrt, dringt in alle Lücken, die das Recht hinter­lässt, gesell­schaft­liche Macht ein und besetzt die Spiel­räume.[17] Im ersten Zugriff bestimmen die Verant­wort­li­chen, wie sie die abstrakte oder unklare Vorgabe der Verord­nung verste­hen. Bis zu einer endgül­tigen Klärung durch den Europä­i­schen Gerichtshof stellt sich für die Verbrau­cher und eventuell eine Aufsichts­be­hörde die Rechts­auf­fas­sung der Verant­wort­li­chen als valide Position dar, die es zu wider­legen gilt. Aber auch für die Verant­wort­li­chen selbst besteht Rechts­un­si­cher­heit bezüg­lich der Frage, wo denn für sie und ihre Geschäfts­mo­delle tatsäch­lich und konkret die Schwellen des daten­schutz­recht­lich Gefor­derten liegen.

Ein konkretes und vielleicht sogar Parade­bei­spiel für Schwä­chen des Normtextes ist das Recht auf Daten­über­trag­bar­keit. Bereits die Benen­nung des Rechts geht fehl. Sie verweist auf eine Möglich­keit zur Daten­über­tra­gung, wo doch tatsäch­lich vom Verant­wort­li­chen eine konkrete Handlung gefor­dert ist, die der Betrof­fene auch einfor­dern kann. Richtiger wäre mithin die Bezeich­nung als Recht auf Daten­über­tra­gung.[18] Darüber hinaus sind ein zu unklarer Anwen­dungs­be­reich, eine nicht ausrei­chende Bestimmt­heit des Überg­a­be­for­mats und die Beschrän­kung auf Situa­ti­onen, in denen eine Einwil­li­gung oder ein Vertrag (noch) besteht, zu bekla­gen. Das Recht aus Art. 20 DSGVO gilt nur für die von der betrof­fenen Person „bereit­ge­stellten“ perso­nen­be­zo­genen Daten. Wörtlich genommen wären Daten, die aus der Beobach­tung der betrof­fenen Person, also aus deren Nutzung resul­tieren, nicht explizit einge­schlos­sen. Ebenfalls wären perso­nen­be­zo­gene Daten, die ein Dritter übermit­telt hat, nicht explizit erfasst. Dies würde dazu führen, dass beim Wechsel von einer Bank zu einer anderen zwar die selbst veran­lassten Überwei­sungen oder Einzah­lungen zur neuen Bank übertragen werden können, nicht jedoch Überwei­sungen oder Abbuchungen Dritter. Der Begriff „bereit­ge­stellt“ in Art. 20 Abs. 1 DSGVO ist also letzt­lich irrefüh­rend und sollte ersetzt werden. Dennoch wird er zu Beschrän­kung des Anspruchs auf Übertra­gung genutzt. Die Bestim­mungen zur Form der Daten­über­tra­gung sind wiederum durch die Verwen­dung mehrerer unbestimmter Rechts­be­griffe geprägt (z.B. „struk­tu­riertes gängiges und maschi­nen­les­bares Format“, „ohne Behin­de­rung“, „tech­nisch machbar“), die zu einer für die Verbrau­cher nachteil­haften Ausle­gung einla­den. Hier ist eine Präzi­sie­rung dringend angezeigt. Bezogen auf Einwil­li­gung und Verträge bleibt unklar, ob der Anspruch auf Daten­über­tra­gung auch dann noch besteht, wenn die Einwil­li­gung wider­rufen oder der Vertrag beendet worden ist, denn die Daten­über­tra­gung stellt keine nachver­trag­liche Pflicht dar und dient auch nicht der Vertrags­er­fül­lung.[19]

Ein anderes Beispiel ist die Einwil­li­gung und ihr Verhältnis zu den weiteren Erlaub­ni­stat­be­stän­den. Unkla­r­heiten bezogen auf die Erlaub­ni­stat­be­stände führten zum Geltungs­be­ginn zu einer regel­rechten E-Mail-Schwemme, als Verant­wort­liche Einwil­li­gungen von ihren Nutzern einzu­holen suchten, obwohl oftmals bereits eine Verar­bei­tungs­er­laubnis bestand; vor allem nach Art. 6 Abs. 1 Uabs. 1 lit. b oder lit. f DSGVO.[20] Dadurch dürfte eine der größten Image­ver­luste für den Daten­schutz in den letzten Jahren erfolgt sein – in seiner Inakzep­tanz nur vergleichbar mit dem allge­gen­wär­tigen „Cookie-­Banner“. Zu klären ist, ob die Nutzung weiterer Erlaub­ni­stat­be­stände neben der Einwil­li­gung gegen den Grund­satz von Treu und Glauben verstößt. Die Artikel 29-Da­ten­schutz­gruppe hat hierzu ausge­führt, es gelte, „die Entschei­dung zu respek­tieren und den Teil der Verar­bei­tung zu beenden, wenn eine Einzel­person ihre Einwil­li­gung wider­ruft“.[21] Behoben werden könnte die Proble­matik durch eine Klarstel­lung in der Verord­nung, dass ein Verant­wort­li­cher, der eine Einwil­li­gung einfor­dert, sich auch auf die Regeln der Einwil­li­gung einlassen muss. Dies gilt etwa für den Fall des Wider­rufs und auch für die Infor­ma­ti­ons­pflichten des Verant­wort­li­chen.[22]

Es lassen sich aber auch noch weitere Stellen im Normtext ausma­chen, wo bereits ein einziges zusätz­li­ches Wort den beste­henden Rechtss­treit auflösen könnte und damit die Rechts­un­si­cher­heit bezogen auf die Ausle­gung der Verord­nung signi­fi­kant reduziert werden könnte.[23] So würde etwa im Falle von Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO die Ergän­zung, dass die Verar­bei­tung objektiv für die Erfül­lung eines Vertrags erfor­der­lich sein muss, eine Beschrän­kung auf die funkti­o­nale Notwen­dig­keit der Daten­ver­a­r­bei­tung für die verein­barte Leistung erwirken könnte.

4.2 Konzep­ti­o­nelle Schwä­chen der DSGVO

Diesen Schwä­chen stehen solche gegen­über, die nicht durch die Verän­de­rung des Wortlauts einzelner Vorschriften der DSGVO besei­tigt werden können. Hier handelt es sich einer­seits um Defizite, die bereits in den Grund­prin­zi­pien des Daten­schutz­rechts angelegt sind und die von neuen Möglich­keiten der Daten­ver­a­r­bei­tung unter Druck gesetzt werden, anderer­seits um solche, die aus der spezi­fi­schen Ausfor­mung der Verord­nung selbst resul­tie­ren.

Mit Blick auf zahlreiche Techno­lo­gien und Praktiken zeigen sich deutliche Reibungen und offene Konflikte mit den in einem völlig anderen techno­lo­gi­schen Umfeld entstan­denen Daten­schutz­prin­zi­pien. Sie sollten vor allem staat­liche Infor­ma­ti­ons­macht einhegen, typischer­weise die Verar­bei­tung perso­nen­be­zo­gener Daten in der Verwal­tung und auf einer überschau­baren Anzahl von Großrech­nern. Inter­na­ti­o­naler Daten­ver­kehr und die ubiqui­täre Verfüg­bar­keit immenser Rechen­leis­tung bedeuten eine im Vergleich dazu drastisch gestei­gerte Gefah­ren­lage für die infor­ma­ti­o­nelle Selbst­be­stim­mung. Die Daten­schutz­prin­zi­pien sind vor diesem Hinter­grund konse­quent durch­zu­setzen, sie müssen aber auch weiter­ent­wi­ckelt werden, um letzt­lich eine Erosion oder gar ein Abgleiten in die Bedeu­tungs­lo­sig­keit zu verhin­dern, wenn die Konflikte mit der techni­schen Wirklich­keit unüber­brü­ckbar werden. Denkbar ist dies beispiels­weise im Falle der Zweck­bin­dung und der Entwick­lung hin zu smarten persön­li­chen Assis­tenten, die eine möglichst breite Daten­basis über die Nutzenden zwingend voraus­setzen, um eine bestmög­liche Prognose über sie erstellen zu können, die wiederum die Basis für die Assis­tenz der Nutzenden darstel­len. Das Festhalten der DSGVO an den Daten­schutz­prin­zi­pien in ihrer tradierten Form ist nicht nur deshalb ein Problem, weil es bereits mit der heutigen techni­schen Wirklich­keit zu Konflikten kommt, sondern weil ein Festhalten am etablierten Innova­ti­ons­zy­klus des europä­i­schen Daten­schutz­rechts bedeutet, dass sehr wahrschein­lich zwei Jahrzehnte ins Land gehen werden, bis es zu einer erneuten, umfas­senden Übera­r­bei­tung kommt. Umso wichtiger ist die Berichts­pflicht nach Art. 97 DSGVO und umso bedau­e­r­li­cher ihre Handha­bung durch die Kommis­sion.

Eine weitere Schwäche der DSGVO ist ihre zu weitge­hende Risiko­neu­tra­li­tät. Sie beachtet zwar Risiken der Daten­ver­a­r­bei­tung, um die Belas­tungen der Daten­ver­a­r­beiter zu reduzie­ren.[24] Ihr fehlen jedoch risiko­ad­äquate Diffe­ren­zie­rungen der Daten­schutz­grund­sätze, der Zuläs­sig­keit der Daten­ver­a­r­bei­tung und der Betrof­fe­nen­rechte. Auch wo die Daten­ver­a­r­bei­tung sehr unter­schied­liche Grund­rechts­ri­siken verur­sacht, finden die gleichen abstrakten Regelungen Anwen­dung – etwa für die wenig riskante Kunden­liste eines Handwerks­be­triebs ebenso wie für die um Potenzen risiko­rei­cheren Daten­ver­a­r­bei­tungs­formen des Internet der Dinge, von Big Data, Künst­li­cher Intel­li­genz, Cloud Compu­ting und daten­ge­trie­benen Geschäfts­mo­del­len. Der Grund für diese Risiko­neu­tra­lität ist, dass die DSGVO einer übertrie­benen Ausprä­gung des Grund­satzes der Techni­k­neu­tra­lität folgt. Dieser Grund­satz soll im Prinzip das Risiko einer Umgehung recht­li­cher Vorschriften minimieren, indem die Daten­schutz­re­ge­lungen „nicht von den verwen­deten Techniken abhängen“.[25] Richtig verstanden ist eine techni­k­neu­trale Regelung dann sinnvoll, wenn sie verhin­dern soll, dass recht­liche Vorschriften techni­sche Weiter­ent­wick­lungen ausschlie­ßen. Sie ist daher so zu fassen, dass die recht­li­chen Vorgaben auch auf weiter­ent­wi­ckelte Techniken anwendbar sind.[26] Dies schließt aus, Regelungen für einzelne Ausprägungen einer spezi­fi­schen Techni­kan­wen­dung zu treffen. Dies darf aber nicht verhin­dern, Vorgaben für bestimmte techni­sche Funktionen vorzu­sehen – insbe­son­dere, wenn sie (wie z.B. Tracking, Gesichts­er­ken­nung, Profil­bil­dung oder Scoring) beson­dere Risiken für Grund­rechte verur­sa­chen. Dies aber hat die DSGVO vollständig versäumt. Ihre höchst abstrakten Vorgaben verur­sa­chen bei allen Versu­chen, sie auf konkrete Techniken anzuwenden, Rechts­un­si­cher­heit und stärken die Durch­set­zungs­chancen macht­voller Inter­es­sen.

Eine weitere struk­tu­relle Schwäche der Verord­nung liegt darin, dass zwar eine beson­dere Schutz­wür­dig­keit von Kindern angemahnt wird, gleich­zeitig aber kein zusam­men­hän­gendes Konzept für die Verar­bei­tung perso­nen­be­zo­gener Daten von Kindern vorge­legt wurde.[27]

5. Stärkung der Stellung der Verbrau­cher

Angesichts von weiter anwach­senden Macht- und Infor­ma­ti­ons­a­sym­me­trien ist es notwendig, die Stellung der Verbrau­cher in der DSGVO weiter zu stärken. Für die Verbrau­cher wäre schon viel gewonnen, wenn – auch vor dem Hinter­grund der prakti­schen Erfah­rungen der letzten zwei Jahre – ihre offen­sicht­li­chen und leicht beheb­baren Schwä­chen besei­tigt würden. Darüber hinaus sind die verbrau­cher­schüt­zenden Aspekte des Daten­schutz­rechts stärker in den Fokus zu rücken. Welche Verbes­se­rungen und Weiter­ent­wick­lungen bereits mit geringen Änderungen des Normtextes möglich sind, sollen die nachfol­genden Beispiele belegen.[28]

5.1 Daten­schutz­grund­sätze

Die daten­schutz­recht­li­chen Grund­sätze in Art. 5 DSGVO gelten für alle Daten­ver­a­r­bei­tun­gen. Sie fordern u.a. in Art. 5 Abs. 1 lit. a DSGVO eine Daten­ver­a­r­bei­tung „nach Treu und Glauben“. Dieser Begriff ist eine Beson­der­heit der deutschen Sprach­fas­sung, die nur Verwir­rung stiftet.[29] Die engli­sche Sprach­fas­sung spricht davon, dass perso­nen­be­zo­gene Daten „fairly“ zu verar­beiten sind, oder die franzö­si­sche Fassung von „loyauté“. Um eine Verwechs­lung mit dem gleich­na­migen zivil­recht­li­chen Grund­satz zu vermeiden und eine Anglei­chung der Sprach­fas­sungen zu errei­chen, sollte die Wendung durch den Begriff „Fair­ness“ ersetzt werden.

Vor allem aber ist zu konsta­tieren, dass in Art. 5 DSGVO das Gebot der Daten­ver­mei­dung fehlt, wie es noch in § 3a BDSG a.F. normiert war. Der in Art. 5 Abs. 1 lit. c DSGVO enthal­tene Grund­satz der Daten­mi­ni­mie­rung setzt nur das Prinzip der Erfor­der­lich­keit in der Weise um, dass der Verant­wort­liche nur die Daten verar­beiten darf, die erfor­der­lich sind, um den Zweck der Daten­ver­a­r­bei­tung zu errei­chen. Er kann so durch Bestim­mung des Zwecks indirekt Einfluss auf die Daten nehmen, die er verar­beiten möchte. Dagegen erfasst das Gebot der Daten­ver­mei­dung als Ausdruck eines umfas­senden Verständ­nisses des Verhält­nis­mä­ßig­keits­prin­zips auch die Zweck­be­stim­mung. Diese soll so gewählt werden, dass möglichst wenige perso­nen­be­zo­gene Daten verar­beitet werden müssen. Um Art. 5 Abs. 1 lit. c DSGVO um das Gebot der Daten­ver­mei­dung zu ergänzen, sollte dieser Grund­satz um die Feststel­lung ergänzt werden, dass die Auswahl und Gestal­tung der Daten­ver­a­r­bei­tungs­sys­teme an dem Ziel ausge­richtet sein müssen, so wenig perso­nen­be­zo­gene Daten wie möglich zu verar­bei­ten.

5.2 Infor­ma­tion und Auskunft

Die Rechte der betrof­fenen Person nehmen eine zentrale Rolle im Gefüge des Daten­schutz­rechts ein. Wie auch die Einwil­li­gung sind sie Ausdruck infor­ma­ti­o­neller Selbst­be­stim­mung und dienen als Kontrol­l­in­stru­ment, um die Verar­bei­tung der „eigenen“ perso­nen­be­zo­genen Daten durch den Verant­wort­li­chen zu überwa­chen (Auskunft) und notfalls auch einzu­schreiten (Berich­ti­gung, Löschung, Einschrän­kung und Wider­spruch). Wesent­liche Grund­lage hierfür ist es, die taugli­chen Adres­saten zur Ausübung der Rechte zu identi­fi­zie­ren. Dies ist nur dort unpro­ble­ma­tisch, wo sich Verant­wort­li­cher und Betrof­fener gegen­über­stehen und keine Dritt­nut­zung der Daten statt­fin­det. Es sollte deshalb eine Verpflich­tung des Verant­wort­li­chen in Art. 24 Abs. 1 DSGVO integriert werden, Dritte, denen die Daten übermit­telt wurden, und die Übermitt­lung selbst zu proto­kol­lie­ren. Diese Pflicht würde damit zu den Nachweis­pflichten treten, die den Verant­wort­li­chen ohnehin aus der DSGVO heraus treffen. Ist diese Voraus­set­zung geschaffen, so können Art. 13 Abs. 1 lit. e, Art. 14 Abs. 1 lit. f und Art. 15 Abs. 1 lit. c DSGVO angepasst werden, die Infor­ma­tion und Auskunft über Empfänger perso­nen­be­zo­gener Daten regeln. Hier sollte jeweils die Wendung „Empfänger, soweit sie bestimmbar sind“ ergänzt werden. Dadurch würde der Verant­wort­liche verpflichtet, alle ihm bekannten Empfänger perso­nen­be­zo­gener Daten zu benen­nen. Die bloße Benen­nung von Katego­rien von Empfän­gern wäre damit nur noch dann ausrei­chend, wenn ein konkreter Empfänger zum Zeitpunkt der Infor­ma­tion (noch) nicht benannt werden kann. Die Voraus­set­zungen zur Geltend­ma­chung der Betrof­fe­nen­rechte würden damit deutlich verbes­sert.

Ein anderes Beispiel für Verbes­se­rungs­po­ten­zial betrifft das Recht auf Kopie aus Art. 15 Abs. 3 Satz 1 DSGVO, das als eine der am stärksten misslun­genen Regelungen der Verord­nung gelten darf.[30] Die Folge ist eine erheb­liche Rechts­un­si­cher­heit in diesem Bereich. Umstritten sind der Status des Rechts (eigenes Recht oder Unter­form des Rechts auf Auskunft), der Umfang des Begriffs der „Kopie“ (umfas­sende oder einge­schränkte Wieder­gabe der zu einer betrof­fenen Person vorhan­denen Daten­sätze; Gegen­stand der Kopie), die Form der Geltend­ma­chung (explizit oder implizit) und die Form der Übergabe der Kopie; mithin im Grunde alle Elemente des Rechts auf Kopie. Auch eine präzise Abgren­zung zum Recht auf Daten­über­trag­bar­keit gestaltet sich mitunter schwie­rig. Die meisten dieser Probleme könnten durch zwei Einfü­gungen im Text der Vorschrift besei­tigt werden. Zunächst sollte der Zusatz „auf Antrag der betrof­fenen Person“ einge­fügt werden, damit dem Verant­wort­li­chen klar signa­li­siert wird, wann die Heraus­gabe einer Kopie von ihm verlangt wird. Zudem sollte die Wendung „und in einem Daten­satz zusam­men­ge­fasst sind oder zusam­men­ge­fasst werden können“ bezogen auf die perso­nen­be­zo­genen Daten, die Gegen­stand der Verar­bei­tung sind, und damit dem Recht auf Kopie unter­fallen, hinzu­ge­fügt werden. Damit würde die Reich­weite des Rechts auf Kopie erheb­lich klarer gefasst.

5.3 Daten­schutz durch System­ge­stal­tung und Vorein­stel­lungen

Die Verpflich­tung des Verant­wort­li­chen zu einer daten­schutz­ge­rechten System­ge­stal­tung und zu daten­schutz­freund­li­chen Vorein­stel­lungen in Art. 25 DSGVO knüpft zwar an langjäh­rige Diskus­si­onen zum Daten­schutz­recht an, darf aber als eine der wesent­li­chen Innova­ti­onen der DSGVO gelten.[31] Ein zentraler Schwach­punkt der Verord­nung ist jedoch, dass sie die Anfor­de­rung daten­schutz­ge­rechten System­ge­stal­tung nach Abs. 1 nur an den Verant­wort­li­chen richtet, nicht jedoch an den System­her­stel­ler. Der Verant­wort­liche ist jedoch oft darauf angewiesen, dass der System­her­steller ihm daten­schutz­ge­rechte Gestal­tungen anbie­tet. Ohne entspre­chende Markt­macht kann er dies von ihm jedoch nicht einfor­dern. Da die Mecha­nismen des Marktes, auf die der Gesetz­geber vertraut, die Ziele des Gesetzes jedoch oft nicht unter­stützen, ist es notwendig, eine Verpflich­tung der Hersteller zu einer daten­schutz­ge­rechten System­ge­stal­tung in die DSGVO aufzu­neh­men.[32]

Das Gebot daten­schutz­freund­li­cher Vorein­stel­lungen in Art. 25 Abs. 2 DSGVO fordert vom Verant­wort­li­chen geeig­nete techni­sche und organi­sa­to­ri­sche Maßnahmen zu treffen, die sicher­stellen, dass durch Vorein­stel­lung grund­sätz­lich nur perso­nen­be­zo­gene Daten, deren Verar­bei­tung für den jewei­ligen bestimmten Verar­bei­tungs­zweck erfor­der­lich ist, verar­beitet werden. Die Regelung orien­tiert sich an der Zweck­be­stim­mung des Verant­wort­li­chen. Er kann durch die Wahl des Zweckes das Ziel des Gebots weitge­hend unter­lau­fen. Daher sollte sich das Gebot auf die techni­schen Funkti­onen zur Bereit­stel­lung der Haupt­leis­tung gegen­über dem Verbrau­cher fokus­sie­ren. Maßstab der Daten­schutz­freund­lich­keit sollte dieje­nige Ausprä­gung des Verar­bei­tungs­zwecks sein, nach der so wenig perso­nen­be­zo­gene Daten wie möglich verar­beitet werden. Damit würde auch Daten­ver­mei­dung zu einem wesent­li­chen Faktor der Vorein­stel­lung von Technik und es findet eine Verla­ge­rung von der subjek­tiven zur objek­tiven Erfor­der­lich­keit statt.

5.4 Schutz perso­nen­be­zo­gener Daten von Kindern

Die DSGVO erklärt in ErwG 38 Satz 1 DSGVO, dass Kinder bei der Verar­bei­tung ihrer perso­nen­be­zo­genen Daten beson­deren Schutz verdie­nen. Dieser soll insbe­son­dere im Kontext der Verar­bei­tung für Werbezwecke und bei der Erstel­lung von Persön­lich­keits- oder Nutzer­pro­filen gelten sowie bei Diensten, die Kindern direkt angeboten werden. Im Normtext selbst wird eine beson­dere Berück­sich­ti­gung von Kindern nur sehr abstrakt in Art. 6 Abs. 1 Uabs. 1 lit. f und Art. 12 Abs. 1 Satz 1 DSGVO gefor­dert, indem Kinder bei der Inter­es­se­n­ab­wä­gung und der Infor­ma­ti­ons­auf­be­rei­tung beson­ders zu berück­sich­tigen sind. Die einzige speziell auf Kinder ausge­rich­tete Vorschrift ist Art. 8 DSGVO zur Einwil­li­gung eines Kindes in Bezug auf Dienste der Infor­ma­ti­ons­ge­sell­schaft, die jedoch nur auf solche Dienste Anwen­dung findet, die einem Kind direkt angeboten werden. Diese dient aber der Rechts­si­cher­heit der Verant­wort­li­chen und weniger dem Schutz der Kinder, deren Einwil­li­gung – in manchen Mitglied­s­taaten bereits ab 13 Jahren – unabhängig von ihrem Verständ­nis­ho­ri­zont wirksam wird. Der Schutz von Kindern erfolgt in der Verord­nung nur punktuell und unspe­zi­fisch.[33]

Notwendig wäre, die DSGVO um folgende ausdrü­ck­liche Regelungen zum Schutz der Inter­essen von Kindern zu ergän­zen: bei der Prüfung der Verein­bar­keit eines neuen Verar­bei­tungs­zwecks nach Art. 6 Abs. 4 DSGVO, beim Recht auf Wider­spruch nach Art. 21 Abs. 1 und 6 DSGVO, in der Daten­schutz-­Fol­ge­n­ab­schät­zung nach Art. 35 DSGVO und bei einer notwen­digen Neufas­sung der Alters­re­ge­lung in Art. 8 Abs. 1 DSGVO. Ausdrü­ck­lich ausge­schlossen werden sollte die Verar­bei­tung von Kinder­daten für Werbezwecke und Profi­ling sowie die Einwil­li­gung eines Kindes in automa­ti­sierte Entschei­dungen nach Art. 22 Abs. 2 lit. c DSGVO und in die Verar­bei­tung beson­derer Katego­rien perso­nen­be­zo­gener Daten nach Art. 9 Abs. 2 lit. a DSGVO. In Art. 6 Abs. 1 Uabs. 1 lit f. DSGVO sollte die Abwägung berech­tigter Inter­essen mit den Rechten und Freiheiten von Kindern präzi­siert werden.

6. Der Blick nach vorne

Eine nüchterne Betrach­tung der DSGVO bringt neben zahlrei­chen Verbes­se­rungen auch handfeste Defizite zum Vorschein. In ihrer Evalua­tion der Verord­nung hat sich die Europä­i­sche Kommis­sion auf die Unter­su­chung ausge­wählter Probleme ihrer Umset­zung beschränkt. Eine echte Bewer­tung und Überprü­fung der Verord­nung nach Art. 97 Abs. 1 Satz 1 DSGVO ist unter­blie­ben. Statt­dessen führt die Kommis­sion ihre Ausein­an­der­set­zung mit den Mitglied­s­taaten fort, deren Abwei­chungen von der Verord­nung als „Gold­s­tan­dard“[34] sie als eine Bedro­hung empfin­det. Dabei sind einige der in den Mitglied­s­taaten erfolgten Abwei­chungen gerade mit dem Ziel erfolgt, beste­hende Regelungs­lü­cken der Verord­nung zu schließen und Defizite zu beheben. Im Ergebnis zemen­tiert die Kommis­sion die DSGVO – deren Konzep­tion bereits 10 Jahre alt ist, deren Entwurf durch die Kommis­sion acht Jahre her ist und die bereits von fünf Jahren im Trilog ihre endgül­tige Form gefunden hat – mit all ihren Mängeln. Mag sein, dass die Kommis­sion befürchtet hat, der über viele Jahre mühsam ausge­han­delte Kompro­miss könne erodieren, wenn sie an einzelnen Formu­lie­rungen rüttelt. Auch wollte sie wohl an der von ihr betrie­benen Überhö­hung der DSGVO als beson­ders gelun­genes Geset­zes­werk festhal­ten. Dass sie nicht einmal eine Diskus­sion über eine künftige Evolu­tion des Daten­schutz­rechts in der Europä­i­schen Union angestoßen hat, ist jedoch in höchstem Maße zu bedau­ern. Sie hat damit die in der Verord­nung selbst angelegte Chance einer regel­mä­ßigen Weiter­ent­wick­lung zum Stichtag der ersten vorge­se­henen Evalua­tion vertan. Dabei zeigt sich, dass eine Adres­sie­rung vieler Defizite der DSGVO bereits mit geringen textli­chen Verän­de­rungen erreicht werden könnte. Diese Änderungen würden sich in greif­baren Verbes­se­rungen für die Verbrau­cher manifes­tie­ren.

Für die Kommis­sion könnte ihr Vorgehen ins Gegen­teil dessen umschlagen, was sie als Ziel vorge­geben hat. Die Diskus­sion über die Weiter­ent­wick­lung des Daten­schutz­rechts wird weiter­ge­führt werden und notwen­dige Anpas­sungen werden mögli­cher­weise auf mitglied­s­taat­li­cher Ebene statt­fin­den. Die Andro­hung von Vertrags­ver­let­zungs­ver­fahren angesichts des rechts­po­li­ti­schen Versa­gens der Kommis­sion vor den daten­schutz­recht­li­chen Heraus­for­de­rungen ist kein beson­ders „scha­rfes Schwert“ um die Mitglied­s­taaten vor legis­la­tiven Innova­ti­onen abzuschre­cken. Fragen der Harmo­ni­sie­rung des Daten­schutz­rechts und der Reich­weite der siebzig Öffnungs­klau­seln der DSGVO werden dann eine umso größere Rolle spielen und zu einer Evolu­tion der DSGVO zwingen.

PROF. DR. ALEXANDER ROßNAGEL   ist Senio­r­pro­fessor für öffent­li­ches Recht an der Univer­sität Kassel, Leiter der Projekt­gruppe verfas­sungs­ver­träg­liche Technik­ge­stal­tung (provet) im Wissen­schaft­li­chen Zentrum für Infor­ma­ti­ons­tech­ni­k-­Ge­stal­tung (ITeG) und Sprecher des Forums Priva­t­heit.

DR. CHRIS­TIAN GEMINN   ist Lehrbe­auf­tragter an der Univer­sität Kassel, Geschäfts­führer von provet und Mitglied des Forums Priva­t­heit.

Anmerkungen:

1 Zur besseren Lesbar­keit des Textes wird auf die Aufzäh­lung mehrerer Geschlechter verzich­tet. Der
Begriff „Verbrau­cher“ und ähnliche Begriffe umfassen immer auch alle Personen anderen Geschlechts.

2 Art. 97 Abs. 2 DSGVO: „insbe­son­dere”.

3 S. zu den Stellung­nahmen ausführ­lich Roßnagel, DuD 2020, 287.

4 Commu­ni­ca­tion from the Commis­sion to the European Parlia­ment and the Council, Data protec­tion
as a pillar of citizens’ empow­er­ment and the EU’s approach to the digital transi­tion – two years
of appli­ca­tion of the General Data Protec­tion Regula­tion, COM(2020) 264 final (SWD(2020) 115 final).

5 S. hierzu Geminn, DVBl. 2018, 1593; Fujiwa­ra/­Ge­minn/Roß­nagel, ZD 2019, 204.

6 Jourová, Presse­mit­tei­lung der Europä­i­schen Kommis­sion vom 24.6.2020.

7 Dieser wird ergänzt um ein inoffi­zi­elles Commis­sion Staff Working Document von 52 Seiten.

8 COM(2020) 264 final, 4.

9 Art. 8 Abs. 1 Satz 3 DSGVO.

10 S. hierzu ausführ­lich Roßnagel, Das künftige Daten­schutz­recht in Europa, in: ders., Das neue Daten­schutz­recht,
Europä­i­sche Daten­schutz-­Grund­ver­ord­nung und deutsche Daten­schutz­ge­setze,
2018, 27 ff.

11 S. zu den Innova­ti­onen der DSGVO Roßnagel, DuD 2019, 467 ff. sowie den Schwer­punkt des Heftes 8
der DuD 2019.

12 Der Beitrag basiert auf einem Gutachten der Autoren im Auftrag des Bundes­ver­bands der Verbrau­cher­zen­tralen
(vzbv); s. Roßna­gel/­Ge­minn, Daten­schutz-­Grund­ver­ord­nung verbes­sern, 2020.

13 COM(2020) 264 final, 8.

14 So schon das inoffi­zi­elle Label des Art. 20 DSGVO im Gesetz­ge­bungs­pro­zess.

15 Roßnagel, Verbrau­cher­rechte im Daten­schutz verwirk­li­chen – ein Überblick, in: Brönne­ke/Will­bur­ger/
Bietz, Verbrau­cher­rechte verwirk­li­chen! Der richtige Instru­men­tenmix für einen wirkungs­vollen
Verbrau­cher­rechts­vollzug, 299 ff.

16 COM(2020) 264, 14.

17 S. Roßnagel, MMR 2020, 222 ff.

18 S. Roßna­gel/­Ge­minn, Daten­schutz-­Grund­ver­ord­nung verbes­sern, 2020, 76 ff.

19 S. Westpha­l/Wich­ter­mann, ZD 2019, 191 (192).

20 S. Roßnagel, DuD 2018, 741 (745).

21 Artikel 29-Da­ten­schutz­gruppe, Leitli­nien in Bezug auf die Einwil­li­gung, WP 259 rev. 01, 27.

22 S. hierzu auch Roßnagel u.a., Einwil­li­gung: Möglich­keiten und Fallstricke aus der Konsu­men­ten­per­spek­tive,
White­paper des „Forums Priva­t­heit und selbst­be­stimmtes Leben in der digitalen Welt,
2020.

23 S. die Regelungs­vor­schläge in Roßna­gel/­Ge­minn, Daten­schutz-­Grund­ver­ord­nung verbes­sern, 2020,
115 ff.

24 Vor allem in ihrem Kapitel IV stellt die DSGVO die Pflichten der Verant­wort­li­chen unter Risiko­vor­be­halt
– s. z.B. Art. 24, 25, 30, 32, 33, 34, 35, 36 und 37 DSGVO – mit der Folge, dass in der Praxis diese
Pflichten nur für einen Bruch­teil der Verant­wort­li­chen tatsäch­lich wirksam werden – s. hierzu
auch Albrecht, CR 2016, 88 (94); Roßnagel, DuD 2016, 561 (565); Roßnagel, Notwen­dige Schritte zu
einem modernen Daten­schutz­recht, in: Roßna­gel/Frie­de­wald/Hansen, Die Fortent­wick­lung des
Daten­schutz­rechts, 2018, 361 (375f.).

25 S. ErwG 15 Satz 1 DSGVO.

26 S. grund­sätz­lich Roßnagel, Techni­k­neu­trale Regulie­rung: Möglich­keiten und Grenzen, in: Eifert/
Hoffmann-Riem, Innova­ti­ons­för­dernde Regulie­rung, 2009, 323 ff.

27 S. Roßnagel, ZD 2020, 88 ff.

28 Für weitere Verbes­se­rungs­vor­schläge s. Roßna­gel/­Ge­minn, Daten­schutz-­Grund­ver­ord­nung verbes­sern,
2020, 115 ff.

29 S. näher Roßnagel, in: Simitis/Hor­nung/­Spie­cker, Daten­schutz­recht, 2019, Art. 5 Rn. 44 ff.

30 S. beispiel­haft Engeler/­Quiel, NJW 2019, 2201; Wybitul/­Brams, NZA 2019, 672; Brink/­Joos, ZD 2019,
483; Weik, DuD 2020, 98.

31 S. z.B. Roßnagel, DuD 2019, 467 ff.

32 S. hierzu die Konfe­renz der unabhän­gigen Daten­schutz­auf­sichts­be­hörden, Erfah­rungs­be­richt,
2019, 16f.

33 S. hierzu Roßnagel, ZD 2020, 88.

34 Albrecht, CR 2016, 98.

Dateien