Die geplante Datenschutzverordnung der EU ist positiv zu sehen, da sie für eine dringend notwendige Vereinheitlichung des europäischen Datenschutzes sorgt und vermutlich zu einem höheren Schutzniveau für den Bürger führen wird. Dennoch gibt es einige Details, die dringend der Änderung bedürfen.
Insofern ist es zu begrüßen, dass über Lobbying aller Seiten die Einzelregelungen des Entwurfs zur Datenschutzverordnung auf dem Prüfstand stehen. Dabei ist natürlich zu befürchten, dass nicht nur Facebook Google und – schlimmer noch – die US-Regierung zu deutlichen Einfluss nehmen. Angesichts der Meldungen über Bürgerrechtler, die eine Verwässerung beklagen, obwohl dies vor allem tatsächlich schädliche Klauseln betrifft, ist jedoch zu hoffen, dass auch deren Lobbying widerstanden wird und die Klauseln entfernt/entschärft werden.
Neben dem Kernpapier, der Datenschutzgrundverordnung, aus weiteren Teilen besteht, einer Mitteilung über die politischen Ziele, dem Vorschlag einer Richtlinie zu personenbezogenen Daten bei Straftaten sowie weitere Unter-Verordnungen, die die Grundverordnung ausfüllen sollen. Dieses Paket, das unter dem Begriff Datenschutzverordnung zusammengefasst wird, soll das bestehende Bundesdatenschutzgesetz komplett ablösen.
Welche Änderungen bringt die geplante Datenschutzverordnung gegenüber dem BDSG? Sind diese zu begrüßen oder abzulehnen? Ich halte diese ausdrücklich für ein sinnvolles und gelungenes Instrument, um das Datenschutzniveau zu verbessern und eine dringend nötige Europa-weite Anpassung vorzunehmen. Allerdings gibt es neben dem Licht auch Schatten – einige Regelungen sind unsinnig, kontraproduktiv oder sogar schädlich.
Hier möchte ich die meines Erachtens wichtigsten Pro und Contra – Punkte erläutern. Die Auswirkungen werden nicht so gravierend sein wie teilweise behauptet, da die Datenschutzverordnung in vielen Punkten auf dem bestehenden Recht, sowohl BDSG als auch der letzten Datenschutzrichtlinie (die noch eine „Lochkarten-Richtlinie“ ist) basiert. Damals steckte das Phänomen „Internet“ noch in den Kinderschuhen. Insofern werden 40 Jahre deutscher Datenschutztradition weitergeführt, von einem Wegwischen der Historie im Handstreich, wie teils beklagt wurde, kann m.E. keine Rede sein.
Die wichtigsten Regelungen der Datenschutzverordnung:
- Voraussetzung für die Anwendung ist weiterhin die Verarbeitung personenbezogener Daten (Art. 4 DSVGO-E).
- Nach Art. 3 findet die DSGVO Anwendung bei Datenverarbeitung innerhalb der EU. Es ist zu begrüßen, dass hier ein Sitzlandprinzip eingeführt wird, das zu klarer Verteilung der Behördenzuständigkeit führt. Wichtig ist jedoch, dass Maßnahmen ergriffen werden müssen, die Durchsetzung in allen Ländern zu stärken. Am jetzigen Beispiel Facebook in Irland (wo die Behörden die Datenschutzverstöße schlicht ignorieren) sieht man gut, weshalb eine Harmonisierung des Rechts nur funktioniert, wenn auch die Verfolgung gleichermaßen ausgestaltet ist.
- Ob die sinnvollen TMG-Vorschriften dadurch weiterbestehen, ist nach dem derzeitigen Wortlaut noch unklar, wäre jedoch wichtig; ähnliche Vorschriften sollten in die Datenschutzverordnung eingefügt werden.
- Die Zulässigkeitstatbestände für die erlaubte Datenverarbeitung regelt Art. 6 DSGVO-E. Diese sind im Grundsatz mit den bisherigen Regelungen der §§ 28, 29 BDSG vergleichbar. Eine behutsame Erweiterung der Erlaubnisse wäre wünschenswert gewesen, insbesondere vor dem Hintergrund der anfänglich bestehenden Rechtsunsicherheit, bevor Gerichte die wichtigsten Streitpunkte geklärt haben.
- Das Instrument der Einwilligung wird beibehalten – weiterhin kann jedermann also selbst über seine Verwendung bestimmen. Zudem werden in den Art. 4 Abs. 8, Art. 7 DSGVO-E sinnvolle Voraussetzungen klar definiert. Auch dass nun ein festes Alter für Kinder gilt, ist im Sinne der Rechtsklarheit zu begrüßen.
- Die Instrumente „privacy by design“ (Datenschutz durch Technik) und „privacy by default“ (datenschutzfreundliche Voreinstellungen) werden in Art. 23 DSGVO-E rechtlich verankert. Dies ist zu begrüßen, da diese Prinzipien einen wichtigen Ausgangspunkt für ein hohes Datenschutzniveau darstellen.
- Die Regelungen zur Datenübertragung in Länder außerhalb der EU werden praktisch wie bislang festgeschrieben. Dies ist zu begrüßen, da die bisherigen Regelungen ausgewogen sind. Das nicht funktionierende Safe-Harbor-Abkommen mit den USA zu kündigen war wohl aus politischen Gründen nicht möglich. Erledigt haben sich damit auch die Alleingänge der deutschen Datenschutzbehörden, die bei einer internationalen Auftragsdatenverarbeitung unbegründet erhöhte formelle Anforderungen gestellt hatten.
- Die Anforderungen die Datensicherheit werden in Art. 30 festgeschrieben und entsprechen größtenteils dem jetzigen § 9 BDSG.
- Die Regelungen zur „Data Breach Notification“, also Benachrichtigungspflichten bei Datenlecks, sind deutlich ausgewogener und praktisch anwendbarer als die bisherigen Regelungen.
- Sanktionen: Die Strafen bei Verstößen werden deutlich erhöht. Dies ist grundsätzlich zu begrüßen, da die bislang drohenden Strafen kaum zur Abschreckung geeignet sind. Allerdings muss dann auch das Problem des bestehenden Vollzugsdefizits behoben werden. Als Höchststrafe 2% des internationalen Jahresumsatzes erscheint hingegen absurd hoch, zudem in der Anfangszeit keine Rechtsklarheit bestehen wird.
Es kann somit festgehalten werden, dass die Datenschutzverordnung im Kern das BDSG übernimmt und an sinnvollen Regeln festhält und sogar mehrmals erleichtert und verbessert. Dennoch besteht auch Anlass zu deutlicher Kritik. Manche Verschärfungen sorgen für mehr Bürokratie ohne den Schutzstandard zu erhöhen, andere sind schlicht unsinnig und undurchführbar. Der Stand der Technik wird oft nicht ausreichend berücksichtigt. Abzulehnen sind z.B. die folgenden Vorschriften/Änderungen:
- Die bestehende Definition der personenbezogenen Daten wird unsinnig erweitert: Es wird nicht die klare Definition des BDSG verwendet, sondern stattdessen gelten als personenbezogene Daten nun solche, die direkt oder indirekt einer Person zugeordnet werden können. Damit folgt man der sog. „absoluten Theorie“ der Personenbestimmbarkeit, die Daten bereits dann als stets personenbezogen ansieht, wenn irgendjemand diese zuordnen kann. Diese impraktikable und falsche Ansicht wird vor allem von den Datenschutzaufsichtbehörden vertreten, die so einen höheren Schutzstandard zu sehen gedenken. Der Entwurf sollte sich der relativen Ansicht anschließen. (Dazu siehe mein Beitrag zum IPv6 – Protokoll.)
- Der Entwurf behält auch das verfehlte Verbotsprinzip bei, das eine Verarbeitung grundsätzlich verbietet und nur spezielle Ausnahmen gestattet. Dies ist nicht mehr angemessen in einer Zeit, in der allseits persönliche Daten bereitwillig preisgegeben werden. Dazu siehe z.B. Nr. 4 der Leitlinien des Datenschutzes von Schneider/Härting.
- Bei der Auftragsdatenverarbeitung wird die bisherige Regelung, also einer Trennung von verantwortlicher Stelle und Auftragsverarbeiter größtenteils beibehalten. Sinnvoll wäre gewesen, diese veralteten Kategorien abzuschaffen und ein modernes Instrument zu entwickeln, das die Beschränkung auf einzelne Legaleinheiten aufhebt und so zu einem Mehr an Datenschutz beiträgt. Stattdessen werden die Anforderungen eher erschwert, da nun auch der Auftragsverarbeiter für die Daten als verantwortlich gilt.
- Auch die erweiterten Dokumentationspflichten bei der Auftragsverarbeitung erscheinen als sinnlose Bürokratie, die ähnlich wie die derzeitigen höchstens schematisch eingehalten, kaum jedoch sinnvoll umgesetzt werden. Immerhin sollen Standardvorlagen bereitgestellt werden. Gleiches gilt für die vorgesehene Datenschutzfolgenabschätzung (Art. 33), für die nicht einmal eine Veröffentlichungspflicht besteht.
- Eine gravierende Änderung betrifft den Datenschutzbeauftragten: Dieser wird in Deutschland praktisch abgeschafft. Denn verpflichtend wird dieser nur sein bei Firmen mit mehr als 250 Mitarbeitern. Damit ist der Großteil der deutschen Unternehmen von der Regelung ausgenommen. Dies ist in anderen Mitgliedsländern freilich anders: In Österreich beispielsweise führt dies erst zur Einführung dieser Pflicht und wird als unnötige Bürokratie kritisiert. Obwohl sich das Instrument bewährte, wird die Umsetzung der deutschen Regelung (Pflicht ab 10 Mitarbeitern) politisch nicht durchsetzbar sein. Sinnvoll wäre es m.E., die Institution auf freiwilliger Basis zu verankern und Erleichterungen für Unternehmen vorzusehen, die dies einführen/beibehalten.
- Wenig überzeugend an der Datenschutzverordnung sind größtenteils die Rechte der betroffenen Personen (Kapitel 3). Hier ist viel Unsinniges dabei, das unbedingt abgeschwächt/komplett abgeschafft werden muss. Merkwürdigerweise werden ausgerechnet diese Regelungen von Bürgerrechtsorganisationen vehement verteidigt. Grundsätzlich sind die Regelungen sinnvoll gedacht: Transparenz und Eigenverantwortung des Einzelnen soll gestärkt werden (Art. 11 DSGVO-E), was dem bestehenden deutschen Recht entspricht.
- Zu kritisieren sind z.B. die Informationspflichten der betroffenen Person, die weit über diese bisherige Regelung des § 4 Abs. 1 BDSG hinausgehen und mit den verbraucherschützenden Regelungen vergleichbar sind. Bei korrekter Umsetzung würde der Betroffene so mit Informationen überhäuft, dass er keine Chance mehr hat, das Wesentliche zu erkennen und keine sinnvolle eigenverantwortliche Prüfung erfolgen kann.
- Gravierend ist auch das unsinnige “Recht auf Vergessenwerden” (Art. 17 DSGVO-E): Die verantwortliche Stelle soll auf Verlangen nicht nur alle Daten eines Einzelnen löschen müssen, sondern auch „alle vertretbaren Schritte, auch technischer Art“ unternehmen, um diese Daten bei Dritten zu löschen. Dies ist praktisch nicht durchführbar und grundrechtlich sehr bedenklich: Wer seine Daten öffentlich preisgegeben hat, kann diese im Nachhinein nicht zurückfordern. Dazu siehe II) Nr. 4 der DAV-Stellungnahme.
- Ähnlich steht es um das “Recht auf Datenübertragbarkeit“ (Art. 18): Dies ist vor allem auf soziale Netzwerke zugeschnitten, betrifft jedoch aufgrund seines weiten Wortlautes viel mehr Bereiche. Auf Verlangen soll ein Betroffener seine Daten bei einem Anbieter komplett löschen können und zu einem anderen verschieben. Ziel ist, die Marktmacht einzelner Anbieter zu brechen, indem ein Wechsel problemlos möglich ist. Dieser gravierende Eingriff in den grundrechtlich geschützten Gewerbebetrieb ist jedoch unnötig, da jeder über einen Wechsel frei bestimmen kann, Stichwort „StudiVZ“. Zudem die Daten aus den USA nicht zurückholbar sind und der gesamte Vorgang eine international identische technische Schnittstelle erfordern würde.
- Ebenfalls bedenklich ist die Rechtssetzungsbefugnis der Kommission, die sich selbst das Recht einräumt, über die Auslegung der Datenschutzverordnung zu bestimmen. Zwar sind Vetorechte durch Europäisches Parlament und Rat vorgesehen, diese können das Demokratiedefizit jedoch nicht beseitigen (Widerspruch insbesondere gegen den Wesentlichkeitsgrundsatz des Art. 92 Abs. 1 UA 2 Satz 2 AEUV). Hier wäre eine Restriktion angebracht.
- Bedenklich ist ebenfalls, dass die Datenschutzverordnung nun auch für Geheimnisträger (Ärzte, Rechtsanwälte usw.) gelten soll. Dies würde einen Widerspruch zum Berufsgeheimnis darstellen. Folge wäre entweder ein Bußgeld nach der Datenschutzverordnung oder eine Strafbarkeit gem. § 203 StGB. Hier ist eine deutlichere Einschränkung dringend nötig.
Es ist somit festzuhalten, dass die Idee der durch die Datenschutzverordnung EU-weit identischen Regelungen überzeugt. Inhaltlich sind jedoch noch einige Verbesserungen notwendig. Manche Regelungen sollten komplett gestrichen werden.
Weiterführende Links zur Datenschutzverordnung:
- Lesenswerte Stellungnahme des deutschen Anwaltvereins;
- Stellungnahme der DGRI;
- Ergänzende Stellungnahme der DGRI an das BMI;
- Verschiedene Blogbeiträge zum neuen Datenschutz;
Autor: RA Matthias Lachenmann