1 Einführung
Die DSGVO stellt das weltweit ambitionierteste Gesetz zum Schutz personenbezogener Daten dar und führte zahlreiche Innovationen in das EU-Datenschutzrecht ein. Zu diesen zählen beispielsweise das Marktortprinzip, das Recht auf Datenübertragbarkeit, die Anforderungen an den Datenschutz durch Systemgestaltung (data protection by design) und durch Voreinstellungen (data protection by default) sowie die Datenschutz-Folgenabschätzung (DSFA). Auf der Ebene der Governance-Strukturen fand das Prinzip der sog. Rechenschaftspflicht Eingang in das EU-Datenschutzrecht. An die Seite gestärkter Betroffenenrechte und Aufsichtsbehörden trat die sogenannte Rechenschaftspflicht, mit der das Ziel verfolgt wurde, den Datenverarbeitern einerseits mehr Verantwortung hinsichtlich der Befolgung der datenschutzrechtlichen Vorgaben zu übertragen und die Intensität dieser Verantwortung andererseits gemäß dem sog. risikobasierten Ansatz vom Risiko der jeweiligen Verarbeitung abhängig zu machen. Als Element dieser Rechenschaftspflicht wurde das maximal mögliche Sanktionsmaß auf eine Bußgeldhöhe von 20 Mio. EUR oder im Falle eines Unternehmens auf bis zu 4 % seines weltweiten Jahresumsatzes festgelegt. Somit sieht die DSGVO ein komplexes Schutzsystem vor: Es behält die allgemein verbindlichen Datenschutz-Prinzipien vorausgegangener Datenschutz-Gesetze, sieht eine Stärkung der Betroffenenrechte und zugleich die relative Intensivierung der Pflichten der Verarbeiter vor. Indem Aufsichtsbehörden gestärkt werden und ernstzunehmende Sanktionen verhängen können, soll gewährleistet sein, dass die Vorgaben eingehalten werden.
Die DSGVO war aber auch vielfach Kritik ausgesetzt. Von bürgerrechtlicher Seite werden vor allem die unzureichende Harmonisierung und die falsch verstandene Technikneutralität der Verordnung bemängelt. So beinhaltet die DSGVO trotz der anfänglichen Bestrebung zur Vereinheitlichung des europäischen Datenschutzrechts 70 Öffnungsklauseln. Diese ermöglichen es den Mitgliedstaaten von den Vorgaben der Verordnung abzuweichen oder diese zu konkretisieren. Daher müsse eher von einer Ko-Regulierung des Datenschutzes durch die Gesetzgeber der Union und der Mitgliedstaaten gesprochen werden. Die Harmonisierung des EU-Datenschutzes werde auf diese Weise verfehlt. Technikneutrale gesetzliche Regelungen sind hingegen relevant, damit gesetzliche Vorgaben den technischen Fortschritt nicht verhindern oder aufgrund des Fortschritts nicht mehr im intendierten Sinne anwendbar sind. Bei den DSGVO-Regelungen zur Technikneutralität wird allerdings kritisiert, dass diese nicht neutral gegenüber den Techniken, sondern gegenüber den Risiken verstanden werden. Es bleibe unberücksichtigt, dass die Risiken, die aus der Datenverarbeitung eines mittelständischen Handwerksbetriebs entstehen, üblicherweise in Umfang und Schwere anders sind als diejenigen, die aus der umfassenden und weltweiten Datenverarbeitung von Konzernen wie Google oder Facebook entstehen. Es könne deshalb resümiert werden, dass die Datenschutz-Grundverordnung sich hinsichtlich des Schutzes der Betroffenen risikoneutral verhält.
Von Seiten der datenverarbeitenden Wirtschaft wird an der DSGVO insbesondere kritisiert, dass sie eine Innovationsbremse darstelle. Die European Data Coalition, unter deren Dach beispielsweise Nokia, SAP und Ericsson versammelt sind, prognostizierte Ende 2015, als sich die EU-Organe auf einen Kompromisstext geeinigt hatten, dass das Aufschließen der europäischen Digitalwirtschaft an die internationale Konkurrenz aufgrund der neuen Sanktionsregelungen sowie der Rechtsunsicherheit in weite Ferne rücken werde. Die datenschutzkritische Industry Coalition for Data Protection prognostizierte neben innovationshemmenden und wirtschaftsschädigenden Effekten, dass insbesondere KMU unter der administrativen Mehrbelastung in Folge der neuen Regelungen leiden und datengetriebene Dienste gar nicht oder nur mit Verspätung auf den europäischen Markt gelangen würden. In einer Bitkom-Umfrage aus dem Jahr 2019 gaben drei von vier Unternehmen an, dass Datenschutzanforderungen die größte Hürde beim Einsatz neuer Technologien darstellten.
Vor dem Hintergrund der geschilderten ambivalenten Einschätzungen des Inhalts und der Wirkung der DSGVO adressiert der Beitrag zwei Fragen:
- Weshalb wurde die Einführung datenschutzrechtlicher Innovationen durch eine unzureichende Harmonisierung und eine falsch verstandene Technikneutralität begleitet?
- Welche Effekte hat die DSGVO auf die Innovationsfähigkeit von Unternehmen – wirkt sie eher innovationsfördernd oder innovationshemmend, und wie wirkt das neue Sanktionsregime?
Die erste Forschungsfrage wird mittels einer polit-historischen Analyse der Genealogie der Themen Harmonisierung und Technikneutralität beantwortet. Im Vordergrund steht dabei, mittels einer dokumentenanalytischen Vorgehensweise aufzuzeigen, welche ausschlaggebenden Diskurspositionen die Formierung der jeweiligen Politiken bewirkt haben. Im letzten Schritt wird entlang der Analyse der am politischen Aushandlungsprozess der DSGVO beteiligten Akteure gezeigt, welche Handlungsalternativen bestanden und weshalb sich die o. g. Politik-Ergebnisse durchsetzen konnten.
Die Beantwortung der zweiten Forschungsfrage erfolgt mittels einer Betrachtung der soweit verfügbaren empirischen Daten und Literatur.
2 Der politische Diskurs zur Modernisierung des europäischen Datenschutzrechts
Fragen der Harmonisierung wie der technologiespezifischen Regulierung lassen sich bis in die Anfänge der europäischen Datenschutzpolitik in den 1970er-Jahren zurückverfolgen. Später sollte die Frage der Harmonisierung Ende der 1980er-Jahre zu einer der ausschlaggebenden Gründe für die Erarbeitung der Datenschutz-Richtlinie von 1995 werden, die erst mit dem Inkrafttreten der DSGVO abgelöst wurde. Allerdings scheiterte der Versuch der Harmonisierung bereits in dieser Zeit (vgl. Abschn. 2.1).
Die regulatorische Adressierung der Datenschutz-Risiken bestimmter Technologien wurde zur selben Zeit zum Thema. Technische Entwicklungen auf dem Gebiet der Telekommunikation waren nicht nur Anlass für die Erarbeitung der Datenschutz-Richtlinie, sondern auch der ISDN-Richtlinie, die im Jahr 2003 von der ePrivacy-Richtlinie abgelöst und im Rahmen einer weiteren Novelle im Jahr 2009 zur Cookie-Richtlinie weiterentwickelt wurde und deren erneute Reform, diesmal hin zur ePrivacy-Verordnung, seit Anfang 2017 auf EU-Ebene verhandelt wird. Im Laufe der 2000er-Jahre forcierte die EU-Kommission vor dem Eindruck neuer Technologien zudem eine weitere bereichsspezifische Regulierung zur RFID-Technologie. Letztlich führte der Widerstand auf Seiten der Datenverarbeiter und der Mitgliedstaaten dazu, dass in den verabschiedeten Regulierungsinstrumenten vergleichsweise schwache Vorgaben zur Adressierung der technologiespezifischen Datenschutz-Risiken verankert wurden (vgl. Abschn. 2.2).
In der Datenschutzreform, die im Jahr 2009 angestoßen wurde und an deren Ende die Verabschiedung der DSGVO stand, wurde von der Kommission ein weiteres Mal die Forcierung von Harmonisierung und der Adressierung technologiespezifischer Datenschutz-Risiken angestrebt. Obwohl die Harmonisierung seitens der datenverarbeitenden Wirtschaft besonders stark eingefordert wurde, wurden die Vorschläge der Kommission zur Harmonisierung im Aushandlungsprozess der DSGVO sowohl von der Wirtschaft als auch von den Mitgliedstaaten abgelehnt. Das Europäische Parlament, die Datenschutzaufsichtsbehörden und zivilgesellschaftliche Datenschützer zeigten hingegen ein vergleichsweise geringes Interesse an der Harmonisierung. Im Ergebnis wurde im Verordnungstext eine Ko-Regulierung zwischen Unionsgesetzgeber und den Mitgliedstaaten verankert, wodurch das Ziel der Harmonisierung nicht in zufriedenstellendem Maße erreicht wurde. Die Adressierung technologiespezifischer Datenschutz-Risiken scheiterte aus ähnlichen Gründen: So hatte die Kommission in ihrem Verordnungsentwurf angekündigt, technologiespezifische Regelungen mittels delegierter und Durchführungsrechtsakte zu erlassen. Dieser Vorstoß wurde allerdings seitens der datenverarbeitenden Wirtschaft vehement abgelehnt, während die Befürworter strengerer Datenschutzregelungen kein nennenswertes Interesse an Regelungen zeigten, die technologiespezifische Datenschutz-Risiken adressieren (vgl. Abschn. 2.3).
2.1 Harmonisierung des Datenschutzrechts in der EU
Der Diskurs um die Harmonisierung von Datenschutz-Regulierungen wurde entfacht, nachdem im Laufe der 1970er-Jahre angesichts der zunehmenden Globalisierung der europäischen und der weltweiten Wirtschaft klar wurde, dass auch der Verkehr personenbezogener Daten die Grenzen der Nationalstaaten überschreiten würde. Den ersten Versuch einer internationalen Harmonisierung stellen die 1980 bzw. 1981 verabschiedeten Datenschutzrichtlinien der OECD und die Datenschutz-Konvention des Europarats dar. Nachdem mehrere europäische Staaten während der 1970er-Jahre unabhängig voneinander Datenschutz-Gesetze erlassen hatten, befürchtete die OECD die Gefahr der Erschwerung grenzüberschreitender Datenflüsse und daraus resultierender volkswirtschaftlicher Wachstumseinbußen. Die Wirkung der daraufhin ausgearbeiteten und am 23. September 1980 angenommenen OECD-Datenschutzrichtlinien blieb allerdings gering. Der Grund dafür lag zum einen im unverbindlichen Charakter der Richtlinien – keiner der OECD-Mitgliedstaaten war verpflichtet, den Vorgaben zu folgen. Zum anderen lag der Grund darin, dass im Hinblick auf die Umsetzung der Vorgaben in nationales Recht Selbstregulierung und gesetzliche Bestimmungen gleichgesetzt wurden, weil die nicht-europäischen OECD-Staaten kein Interesse am Erlass gesetzlicher Bestimmungen zeigten. Im Laufe der 1980er-Jahre stellte sich zunehmend heraus, dass die OECD-Richtlinien eher national divergierenden und inhaltlich unzureichenden Selbstregulierungspraktiken zuträglich waren, statt zur internationalen Harmonisierung eines effektiven Schutzniveaus bzw. -regimes beizutragen.
Die am 28. Januar 1981 unterzeichnete Datenschutz-Konvention 108 des Europarats war im Vergleich zu den OECD-Richtlinien stärker grundrechtlich und weniger wirtschaftspolitisch motiviert. Zudem befürwortete die Konvention staatliche Regulierung anstelle von Selbstregulierung und entfaltete für die Unterzeichnerstaaten bindende Wirkung. Mehrere der in den Folgejahren überarbeiteten nationalen Datenschutzgesetze wie das Bundesdatenschutzgesetz von 1990 und die EG-Datenschutz-Richtlinie von 1995 wurden von der Konvention beeinflusst. Unklare inhaltliche Vorgaben und eine abweichende Implementierung führten allerdings dazu, dass auch die Konvention die angestrebte Harmonisierungswirkung letztlich verfehlte.
Ende der 1980er-Jahre wurde zwar zunehmend klar, dass die Versuche der Harmonisierung der Datenschutz-Gesetze mittels dieser Instrumente scheiterten, doch dies allein reichte nicht dafür aus, die EU-Politik zur Aktivität zu bewegen. Erst als ein aus nationalen Datenschutzaufsichtsbehörden bestehendes Akteursnetzwerk die Blockade grenzüberschreitender Datentransfers in Staaten mit unzureichenden Datenschutzgesetzen androhte und vertragsrechtliche Änderungen hin zu einer verstärkten europäischen Integration auch auf politischen Themenfeldern als ermöglichender Faktor wirkten, legte die Europäische Kommission am 18. Juli 1990 ein Bündel an Vorschlägen zum Schutz personenbezogener Daten vor. Das Hauptelement dieser Vorschläge bildete die spätere EG-Datenschutz-Richtlinie, mit der das Datenschutzrecht EG-weit harmonisiert werden sollte.
Bei der Ausarbeitung ihrer Regelungsvorschläge stand die Kommission vor der Herausforderung, Elemente der zwischenzeitlich zunehmend stärker divergierenden nationalen Datenschutzgesetze so zu übernehmen, dass eine möglichst große Unterstützung für ihren Richtlinienvorschlag sichergestellt würde. Den Mitgliedstaaten war generell wenig an der Erarbeitung harmonisierter Datenschutz-Regelungen gelegen. Stattdessen bezweckten sie mittels Ausübung politischen Drucks die Inkorporation ihrer nationalen Regelungen auf europäischer Ebene. Zudem bedeutete die im politischen Prozess der EU angelegte, inhärente Notwendigkeit zur Kompromissfindung, dass die Kommission auch die Positionen jener Staaten – wie etwa Großbritannien – berücksichtigen musste, die beim Datenschutz weitgehend auf Selbstregulierung setzten. Da ein einheitliches Schutzniveau bei Selbstregulierungsmaßnahmen noch schwieriger zu gewährleisten ist, kollidierte dieser Ansatz mit der intendierten Harmonisierungswirkung.
Wie später in ihrem Legislativvorschlag zur DSGVO sah die Kommission auch in ihrem Richtlinienvorschlag für sich selbst weitgehende Rechtsetzungsbefugnisse im Hinblick auf die „für die Anwendung dieser Richtlinie auf die Besonderheiten bestimmter Bereiche erforderlichen Maßnahmen“ vor (Art. 29 DS-RL-E). Dabei sollte die Kommission von einem beratenden Ausschuss bestehend aus Vertretern der Mitgliedstaaten unterstützt werden (Art. 30 DS-RL-E). Die Empfehlungen des Ausschusses sollten jedoch nicht bindend sein, sondern von der Kommission lediglich „soweit wie möglich“ (ebd.) berücksichtigt werden. Wäre dieser Kommissionsvorschlag erfolgreich gewesen, hätte die Kommission die Befugnis gehabt, zahlreiche Details der Richtlinie unter Verweis auf ihre Anwendungsrelevanz, also etwa die Harmonisierung der Informations- und Meldepflichten usw. – unter weitgehender Übergehung nationaler Standpunkte – im Alleingang zu regulieren. Entsprechend massiv wurde der Kommissionsvorschlag kritisiert: Weder die Mitgliedstaaten noch die Wirtschaft oder das Europäische Parlament begrüßten den Richtlinienentwurf. In den Folgejahren erfuhr der Kommissionsvorschlag große Veränderungen, sodass die finale Datenschutz-Richtlinie kaum mehr dem Entwurf glich.
Gemessen an den damals in Kraft befindlichen internationalen Datenschutz-Instrumenten war die DS-RL sicherlich sowohl inhaltlich als auch im Hinblick auf ihre Harmonisierungswirkung innovativ. Denn trotz der im Aushandlungsprozess vorgenommenen zahlreichen Modifikationen des Schutzniveaus stellte sie zum Zeitpunkt ihrer Verabschiedung das strengste überstaatliche Datenschutzinstrument der Welt dar. Schließlich sollte die Richtlinie im Laufe der Jahre auch die Rolle der Datenschutz-Konvention ablösen und zum weltweit einflussreichsten Datenschutzinstrument aufsteigen.
Gemessen am Inhalt der damaligen europäischen Datenschutzgesetze stellten sie dagegen eher eine diffuse Konservierung bestehender Gesetze denn eine ernsthafte Weiterentwicklung und Harmonisierung dar. Dies hatte zwei Gründe. Zum einen war die Kommission darum bemüht, für ihren Richtlinienvorschlag die Zustimmung möglichst vieler Mitgliedstaaten zu gewinnen. Folglich war der bestimmende Faktor der Richtliniengestaltung die Erhöhung der Wahrscheinlichkeit seiner Verabschiedung durch die bereits erwähnte eklektizistische Inkorporation möglichst vieler mitgliedstaatlicher Rechtselemente und nicht die Erarbeitung eines konsistenten und innovativen Datenschutzgesetzes. Zum anderen führte aber auch die im politischen Prozess der EG angelegte Notwendigkeit der Erzielung von Kompromissen dazu, dass Möglichkeiten zur Weiterentwicklung und Harmonisierung der Richtlinie verspielt wurden. Letztlich versuchte die Kommission, jeden Konflikt zu vermeiden, der aus ihrer Sicht die Verabschiedung der Richtlinie gefährdet hätte. Entsprechend musste die Kommission selbst in kritischen Fällen den mitgliedstaatlichen Forderung nach nationalen Abweichungen von den Richtlinien-Vorgaben nachgeben, um das Projekt der Richtlinie nicht als Ganzes zu gefährden. Die Unklarheit der Regelungen spiegelte somit den schwierigen Gesetzgebungsprozess aufgrund der unterschiedlichen Positionen der mitentscheidenden Instanzen, insbesondere im Rahmen des Ministerrats, wider. Simitis attestierte daher: „Das mühsam zustandegekommene einheitliche Regelwerk droht wieder in seine nationalen Bestandteile zu zerfallen, die angestrebte „Harmonisierung“ riskiert vollends zur Fiktion zu geraten.“ Angesichts der sich anbahnenden Probleme hinsichtlich der Erreichung der angestrebten Harmonisierung legte die Kommission ihre Hoffnung schließlich in die Implementierung der Richtlinie.
In den Folgejahren bestätigten sich die Vermutungen, dass die Datenschutz-Richtlinie weder im Hinblick auf die erhoffte Harmonisierung noch hinsichtlich der Festlegung eines hohen und effektiven Datenschutzniveaus die erhoffte Wirkung erzielen würde. So resümierte die Kommission in ihrem ersten Bericht über die Durchführung der Richtlinie 2003, dass diese zwar ihren Hauptzweck in Gestalt der Gewährleistung des freien Datenverkehrs erfülle und auch der weitere Zweck der Gewährleistung eines hohen Datenschutzniveaus als erfüllt anzusehen sei, dass jedoch eine abweichende Umsetzung der Richtlinienvorgaben in nationales Recht festzustellen sei. Als besonders problematisch galt, dass inakzeptable Divergenzen selbst solche Bereiche betrafen, für die eine weitgehende Harmonisierung vorgesehen war. Dennoch vertrat die Kommission – entgegen den Forderungen der datenverarbeitenden Wirtschaft – die Position, dass eine Änderung der Richtlinie in nächster Zukunft aufgrund mehrerer Faktoren nicht sinnvoll wäre. Zunächst sei aufgrund der verspäteten Umsetzung der Richtlinie in den Mitgliedstaaten keine ausreichende Erfahrungsgrundlage gegeben, eine Änderung zu dem Zeitpunkt also noch verfrüht. Daneben konstatierte die Kommission, dass viele der im Konsultationsprozess benannten Schwierigkeiten ohne eine Änderung der Richtlinie behoben werden könnten: Nicht die Richtlinie, sondern die divergierende Umsetzung in mitgliedstaatliches Recht stellten demnach das zu adressierende Problem dar. Schließlich dürfte sich die Kommission auch deshalb gegen die Änderung der Richtlinie ausgesprochen haben, da viele Akteure für den Fall einer Änderung für die Senkung des Datenschutzniveaus eintraten und die Kommission dies zu verhindern versuchte. Daher setzte die Kommission insbesondere auf freiwillige Harmonisierungsmaßnahmen der Mitgliedstaaten sowie auf die engere Zusammenarbeit zwischen den Aufsichtsbehörden unter der Anleitung der Kommission bzw. der Art.-29-Datenschutzgruppe und in einzelnen Fällen auch unter Beteiligung der Datenverarbeiter selbst.
In ihrem 2007 veröffentlichten Folgebericht musste die Kommission schließlich eingestehen, dass die Divergenzen fortbestanden. Weil die Potentiale bei der Umsetzung der Richtlinie aber noch immer nicht ausgeschöpft seien und weil die fehlende Harmonisierung keine Gefahr für das Funktionieren des Binnenmarktes oder für die Gewährleistung eines hohen Schutzniveaus darstelle, formulierte die Kommission allerdings immer noch keine Notwendigkeit für eine Änderung der Richtlinie.
2.2 Technologie-spezifische Datenschutz-Risiken
Die Adressierung von Datenschutz-Risiken von Technologien ist der Ausgangspunkt des Datenschutzrechts bzw. der Datenschutz-Debatten der späten 1960er- und 1970er-Jahre. Bereits die ersten Datenschutzgesetze und -debatten stellten eine Reaktion auf staatliche Kontrollvorstellungen der 1960er-Jahre dar, die eine Zusammenführung und Auswertung von (Verwaltungs-)Datenbeständen mit Hilfe von Computern anstrebten. Sowohl das hessische Landesdatenschutzgesetz aus dem Jahr 1970 als auch die weiteren Datenschutzgesetze und -instrumente, wie insb. die Europaratskonvention, stellten Versuche dar, die problematischen Aspekte der Datenverarbeitung mittels staatlicher Regulierung gesellschaftsverträglich einzuhegen. Technikneutralität wurde in diesem Kontext so verstanden, dass die verabschiedeten rechtlichen Vorschriften auch bei technologischen Weiterentwicklungen grundsätzlich anwendbar bleiben und sich nicht lediglich auf bestimmte Technologien beziehen sollten.
Fernab von dieser allgemeinen Technologie-Rückkopplung der Datenschutz-Gesetze setzte sich Ende der 1980er-Jahre bei einigen Vertretern der EG-Mitgliedstaaten und Europaparlamentariern sowie bei den nationalen Datenschutzaufsichtsbehörden außerdem der Gedanke durch, dass spezifische Technologien besondere Gefahren nach sich ziehen würden, die es mittels Sektor- bzw. technologie-spezifischerer Regulierung zu adressieren gelte. Im Ergebnis dieser Debatten veröffentlichte die Kommission neben ihrem Vorschlag für die Datenschutz-Richtlinie auch einen Vorschlag für eine Richtlinie, mit der die Datenschutz-Gefahren neuer Telekommunikationsnetze in Gestalt von ISDN adressiert werden sollten. Die ISDN-Richtlinie 97/66/EG wurde schließlich am 15. Dezember 1997 angenommen. Mit deren Überarbeitung zur sog. ePrivacy-Richtlinie 2002/58/EG wurde die Anpassung der Regelungsinhalte an den Stand der Technik bezweckt – insbesondere indem die Fokussierung auf ISDN aufgegeben und jegliche mobile, satelliten- oder kabelbasierte Kommunikationstechnologie in den Anwendungsbereich der Richtlinie aufgenommen werden sollte. Von Wirtschaftsvertretern wurde der ePrivacy-Richtlinienvorschlag abgelehnt, da diese der Ansicht waren, dass die allgemeinen Rechtsvorschriften der Datenschutz-Richtlinie 95/46/EG ausreichten. Notwendige Anpassungen wären fallweise mit einem flexiblen Selbstregulierungsinstrument wie Verhaltensregeln besser zu erreichen als mit staatlicher Regulierung. Nach einem konfrontativen Aushandlungsprozess, in deren Verlauf das von der Kommission vorgesehene Schutzniveau und ihre Harmonisierungsvorschläge deutliche Änderungen erfuhren, wurde die ePrivacy-Richtlinie (2002/58/EG) schließlich am 12. Juli 2002 angenommen.
In den Folgejahren arbeitete die Europäische Kommission an weiteren Maßnahmen zur Eindämmung technologiespezifischer Datenschutz-Risiken. Etwa zeitgleich starteten die Initiativen der Kommission zur Regulierung von datenschutzrechtlichen Auswirkungen der Radiofrequenz-Identifikation (RFID) sowie zur erneuten Überarbeitung der ePrivacy-Richtlinie. Nachdem seit 2003 zunächst auf der Ebene der Mitgliedstaaten und auf der internationalen Konferenz der Datenschutzaufsichtsbehörden über die datenschutzrechtlichen Auswirkungen der RFID-Technologie diskutiert wurde, initiierte die Europäische Kommission Anfang 2006 einen öffentlichen Diskursprozess zum Thema. Ende 2005 wurde auch die Novellierung der ePrivacy-Richtlinie initiiert, mit der die Inhalte der Richtlinie an die Herausforderungen der neuen Informationssysteme und insbesondere des Internets angepasst werden sollten. Angesichts der Komplexität und Allgegenwart der neuen Informationssysteme setzte die Kommission in dieser Phase in verstärktem Maße auf die Zusammenarbeit mit den Interessenvertretern. Dazu wurden zu beiden Themensträngen umfangreiche öffentliche Konsultationen durchgeführt, in deren Rahmen insgesamt mehr als 2000 Stellungnahmen bei der Kommission eingingen. Schließlich veröffentlichte die Kommission im Mai 2009 eine Empfehlung zur Umsetzung der Grundsätze der Wahrung der Privatsphäre und des Datenschutzes in RFID-gestützten Anwendungen und im November desselben Jahres wurde auch die Novelle der ePrivacy-Richtlinie in Gestalt der sog. Cookie-Richtlinie (2009/136/EG) verabschiedet.
Die Ergebnisse beider Politikprozesse stellten eine wichtige Weiche für die künftige Kommissionspolitik im Hinblick auf die Adressierung technologie-spezifischer Risiken. Denn die RFID-Empfehlungen der Kommission fielen aufgrund des Drucks der beteiligten Akteure aus der Wirtschaft weitestgehend industriefreundlich aus: Die Kommission setzte nicht nur auf das weiche Regulierungsinstrument einer Empfehlung, sondern befürwortete darin anstelle verbindlicher Maßnahmen überwiegend Selbstregulierungsmaßnahmen, allen voran die Vorlage einer Datenschutzfolgenabschätzung seitens der Wirtschaftsvertreter zur Prüfung durch die Artikel-29-Datenschutzgruppe. Durch den Verzicht auf ein unionsweit verbindliches Instrument war die Umsetzung der Kommissionsempfehlungen somit auf die Mitarbeit sowohl der Mitgliedstaaten als auch der datenverarbeitenden Wirtschaft angewiesen. Allerdings schaffte es die RFID-Technologie nie vollständig aus der Nische. Selbst im Jahr 2014 setzten nur etwa 10 % der in der EU ansässigen Unternehmen RFID ein.
Die Cookie-Richtlinie enthielt dagegen zwar (bspw. in Art. 5 Abs. 3 und Art. 13) verbindliche Bestimmungen, die auf RFID-Systeme anwendbar waren, allerdings war deren Anwendungsbereich auf elektronische Kommunikationsdienste beschränkt. Der Vorschlag der Artikel-29-Datenschutzgruppe, des Europäischen Datenschutzbeauftragten (EDSB) und des Europäischen Parlaments, den Anwendungsbereich auf jedwede Dienste der Informationsgesellschaft auszuweiten, hatte sich im Aushandlungsprozess gegenüber den Forderungen der Kommission und der Mitgliedstaaten nicht durchsetzen können. Stattdessen verwiesen Kommission und Ministerrat auf die bevorstehende Reform der Datenschutzrichtlinie.
2.3 Das Ziel der Harmonisierung und die Adressierung technologie-spezifischer Datenschutz-Risiken im Aushandlungsprozess der DSGVO
Der Veröffentlichung des Kommissionsentwurfs der DSGVO am 25. Januar 2012 ging eine mehrjährige Konsultationsphase voraus. Nachdem der Reformprozess im Jahr 2008 angestoßen wurde, initiierte die Kommission in den Jahren 2009 bis 2011 zwei umfassende Konsultationsrunden, in deren Rahmen der Input hunderter Stakeholder eingeholt wurde. Einen wichtigen Eckpfeiler des Reformprozesses bildete im November 2010 die Veröffentlichung des sog. Gesamtkonzepts für den Datenschutz in der EU, das die Kommissionsschlussfolgerungen aus dem ersten Konsultationsprozess enthielt. Darin stellte die Kommission erstmals fest, dass die divergierende Umsetzung der Datenschutz-Richtlinie als Risiko für den freien Verkehr personenbezogener Daten im Binnenmarkt zu bewerten sei. Daneben beanstandete auch eine große Mehrheit der am Konsultationsprozess beteiligten Interessenvertreter die mangelnde Harmonisierung und forderte Nachbesserungen. Die Befürworter eines hohen Datenschutzniveaus versprachen sich von der Harmonisierung eine effektivere Durchsetzung der Datenschutzgesetze sowie ein Ende der Umgehung strenger Datenschutzregeln, indem Datenverarbeiter ihre Hauptniederlassung in jenem Mitgliedstaat mit dem niedrigsten Datenschutzniveau gründen. Vertreter der datenverarbeitenden Wirtschaft hingegen verknüpften mit dem Wunsch nach mehr Harmonisierung die Forderung nach Abbau bürokratischer Hemmnisse beim grenzüberschreitenden Datenaustausch (so insb. im Zusammenhang mit der uneinheitlich umgesetzten Meldepflicht) und den Übergang zu einer auf Selbstregulierung fußenden Datenschutzgesetzgebung. Bestehende Probleme beim Schutz personenbezogener Daten wurden stets auf die mangelnde Harmonisierung der als zu restriktiv wahrgenommenen Regeln zurückgeführt und argumentiert, dass diese sich durch mehr Harmonisierung und Selbstregulierung statt strengerer Datenschutzregeln und neuer Rechtselemente (z. B. das Recht auf Datenportabilität oder Datenschutzfolgenabschätzungen) beheben ließen. Zunächst unterstützten sowohl der Ministerrat als auch das Parlament die Initiative der Kommission für eine stärkere Harmonisierung.
Die durch neue Technologien und die fortschreitende Globalisierung verursachten Herausforderungen für den effektiven Schutz personenbezogener Daten waren für die Kommission sowohl Anlass für die Initiierung der Datenschutzreform als auch ein maßgebliches Kriterium bei der Gestaltung des DSGVO-Kommissionsentwurfs. Im Rahmen der Konsultationsprozesse standen vorwiegend die von sozialen Online-Netzwerken und Cloud-Computing ausgehenden Datenschutz-Gefährdungen im Vordergrund. Andere, sich entwickelnde oder absehbare, technologische Trends wie das Internet der Dinge bzw. Ubiquitous Computing, Big Data oder Künstliche Intelligenz wurden in den maßgeblichen Policy-Dokumenten hingegen an keiner Stelle erwähnt.
Die Ankündigung der Kommission, die Folgen moderner Datenverarbeitungstechnologien eindämmen zu wollen, führte während des Konsultationsprozesses auf Seiten der privatwirtschaftlichen Akteure zu der Befürchtung, dass das Prinzip der Technologie-Neutralität aufgegeben werden könnte. Entsprechend vehement wurde seitens dieser Akteure argumentiert, dass die Datenschutz-Prinzipien der Richtlinie ausreichend flexibel seien, um auch auf neuere Technologien Anwendung finden zu können und dass die Einführung jedweder technologiespezifischer Regelungen unbedingt zu vermeiden sei.
Die Inkorporation einer Vielzahl an delegierten und Durchführungsrechtsakten im Kommissionsentwurf zur Konkretisierung der DSGVO im Hinblick auf technologiespezifische Maßnahmen ist insbesondere als direkte Reaktion auf den Widerstand der Stakeholder zu interpretieren. Dadurch konnte es die Kommission einerseits vermeiden, unmittelbare technologiespezifische Maßnahmen zu formulieren während sie andererseits die Möglichkeit der künftigen Spezifizierung offen zu halten beabsichtigte. Auf diese Weise sollten beispielsweise die abstrakten Vorgaben der Kommission im Hinblick auf den Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen in Art. 23 Abs. 3 und 4, zur Sicherheit der Verarbeitung in Art. 30 Abs. 3 und 4 genauer geregelt werden können. Ebenso wurde zwar die Durchführung einer Datenschutzfolgenabschätzung bei besonders riskanten Verarbeitungen in Art. 33 Abs. 1 und 2 zur Verpflichtung gemacht, eine Spezifizierung der Risiken sollte gem. Abs. 6 allerdings erst mittels delegierter Rechtsakte erfolgen.
Diese Vorgehensweise der Kommission lässt sich darüber hinaus aber auch als das Ergebnis einer notwendigen Lehre aus vergangenen Fehlschlägen in der EU-Datenschutzregulierung interpretieren: Einerseits hinkt staatliche Regulierung der Technikentwicklung stets hinterher und andererseits hat sich technikneutrale Regulierung zu einem politischen Paradigma entwickelt, das in der Praxis nicht immer die intendierten Resultate mit sich gebracht hat. Denn jede Regulierung bleibt, trotz des Versuchs mittels technikneutraler Regulierung Weiterentwicklungen nicht auszuschließen, stets an die realen technologischen Gegebenheiten gekoppelt, die den Ausgangspunkt eines politischen Entscheidungsprozesses bilden. Dadurch, dass Gesetzgebungsprozesse mehrere Jahre in Anspruch nehmen können, kann nicht wirksam ausgeschlossen werden, dass die verabschiedeten Regelungen selbst dann veraltet sind, wenn zum Entwurfszeitpunkt bestimmte Risiken unter Einhaltung der Technikneutralität explizit adressiert wurden. Der Blick auf die Dauer der Entscheidungsprozesse der EU-Datenschutzpolitiken zeigt, dass deren offizielle Verhandlungsphase durchschnittlich 42 Monate, also etwas mehr als drei Jahre dauerte. Noch deutlicher wird das Bild, wenn beachtet wird, dass zentrale Gestaltungsentscheidungen (das Agenda-Setting) häufig bereits in der Vorbereitungsphase eines Gesetzesvorschlags getroffen werden und nach Beginn des formellen Gesetzgebungsprozesses nur schwer modifiziert werden können. Wenn auch die Vorbereitungsphasen der datenschutzpolitischen Gesetzgebungsprozesse miteinberechnet werden, ergibt sich ein noch höherer Wert von 83 Monaten bzw. sechseinhalb Jahren (vgl. Tab. 1). In dieser Zeit kann sich technologisch viel verändern und fundamentale Änderungen sind nach Abschluss der Agenda-Setting-Phase nur schwer möglich. Im Falle der DSGVO bauten die vorgeschlagenen Bestimmungen wie beispielsweise das Recht auf Vergessenwerden oder das Recht auf Datenportabilität auf den spezifischen Debatten über die Einhegung der Folgen sozialer Online-Netzwerke. Die Themen Big Data und das Internet der Dinge rückten ab 2013 und insb. 2014 und somit erst nach Abschluss der Agenda-Setting-Phase in den Mittelpunkt der datenschutzpolitischen Debatte. Mit ihren Vorschlägen beabsichtigte die Kommission, künftig schneller auf technologische Veränderungen reagieren zu können.
Tab. 1 Überblick über die Dauer datenschutzpolitischer Gesetzgebungsprozesse auf EU-Ebene (eigene Zusammenstellung)
Alternativ hätte die Kommission auf die Spezifizierung im Rahmen von delegierten und Durchführungsrechtsakten verzichten und stattdessen die Möglichkeit von Gesetzesänderungen bzw. des Erlasses neuer Gesetze vorziehen können. Angesichts der Historie der Datenschutzpolitik konnte jedoch auch diese Option nicht infrage kommen. Denn obwohl aufgrund fortschreitender technologisch induzierter Datenschutzgefährdungen immer neuere Datenschutzgesetze erforderlich wurden, fiel es den Befürwortern datenschutzrechtlicher Regelungen in vergangenen datenschutzpolitischen Aushandlungsprozessen stets schwer, sich gegenüber den Gegnern verbindlicher Regelungen durchzusetzen. Die verabschiedeten Datenschutzgesetze stellten häufig einen Kompromiss auf dem kleinsten gemeinsamen Nenner dar, statt echte datenschutzpolitische Innovationen mit sich zu bringen. Insofern die Kommission ein Interesse an strengeren bzw. innovativen Datenschutzregelungen hatte – davon kann angesichts des Policy-Entrepreneurship der zuständigen Justizkommissare Jacques Barrot und insbesondere Viviane Reding ausgegangen werden – kam die Möglichkeit von Gesetzesänderungen oder des Erlasses neuer Regelungen nicht infrage, da hierbei stets die Gefahr bestand, dass die auf diesem Wege verabschiedeten Regelungen nur unbefriedigende Resultate bringen würden. Zudem hätte die o. g. lange Dauer von Entscheidungsprozessen stets die Gefahr impliziert, dass auch die neuen Regelungen bereits im Moment ihres Inkrafttretens veraltet sein könnten.
Schließlich war im Laufe der 2000er-Jahre zunehmend klargeworden, dass eine Praxis der Selbstregulierung im Hinblick auf den effektiven Schutz personenbezogener Daten im Kontext neuer Technologierisiken nicht die gewünschten Ergebnisse mit sich bringen würde. Weder die Erfahrungen mit Selbstregulierung im Rahmen der RFID-Empfehlungen noch im Rahmen der Umsetzung der DSRL konnten als zufriedenstellend bezeichnet werden. Die datenverarbeitende Wirtschaft zeigte wenig Interesse am Instrument der Datenschutz-Folgenabschätzung, das mit den RFID-Empfehlungen eingeführt worden war: Nachdem ein erster Industrie-Vorschlag für ein DSFA-Konzept seitens der Datenschutzgruppe für unzureichend befunden und abgelehnt wurde, wurde der überarbeitete Vorschlag 2011 angenommen – allerdings unter Auflagen, da immer noch Mängel festgestellt wurden. Und auch die einzige nennenswerte Selbstregulierungsinitiative im Rahmen der Umsetzung der DSRL, die von der European Advertising Standards Alliance (EASA) Ende der 2000er-Jahre forciert wurde, war seitens der Art. 29-Datenschutzgruppe für nicht-konform mit den Vorgaben der ePrivacy-Richtlinie befunden worden.
Im Kontext der Harmonisierungsthematik bezweckte die Kommission mit ihren neuen Befugnissen zudem in verstärkter Weise Einfluss auf die harmonisierte Umsetzung der Verordnung nehmen zu können, um die Entstehung neuer Divergenzen in den Mitgliedstaaten zu vermeiden. Teilweise sah der Kommissionsentwurf auch vor, dass der Europäische Datenschutzausschuss für die Gewährleistung der kohärenten Anwendung der Verordnung mitverantwortlich sein sollte. Dadurch, dass die Kommission für sich selbst auch im Hinblick auf den Ausschuss die letztverantwortliche und damit maßgebliche Steuerungskompetenz vorsah, stand im Zentrum des Kommissionsentwurfs zur Gewährleistung der Kohärenz dennoch die Kommission selbst. Auch dieses Agieren der Kommission war ein Ergebnis des Widerstands der Mitgliedstaaten hinsichtlich der Harmonisierung ihrer Datenschutzregelungen. Diese Ablehnung gemeinsamer Standards seitens der Mitgliedstaaten hat Tradition und reicht über die Ablehnung wirksamer und harmonisierter Anti-Spam-Regelungen im Kontext der Cookie- und ePrivacy-Richtlinie, der Verabschiedung eines angemessenen Datenschutz-Standards für den Bereich der ehemaligen dritten Säule im Kontext des JI-Rahmenbeschlusses bis hin zur Aufweichung der Regelungen der Datenschutz-Richtlinie zurück. In allen genannten Politikprozessen führte der Druck der Mitgliedstaaten zu einer Reduktion des Harmonisierungsniveaus. Dabei wurde einerseits argumentiert, dass eine gewisse Regelungsdivergenz bereichernd wirke und andererseits, dass während der Implementierung die Entstehung von zu starken Divergenzen vermieden würde. Während einige Beobachter bereits früh Kritik an dieser Form der politisch vom Ministerrat intendierten Divergenz übten, zeigte sich auch in den Gesetzesbegründungen der späteren Gesetzesreformen (s. insb. die DSGVO und JI-Richtlinie), dass die entstandenen Divergenzen als untragbar eingestuft und zum Anlass für die Reformen herangezogen wurden.
Seit der Veröffentlichung der Kommissionsvorschläge stand sowohl im politischen Aushandlungsprozess als auch in der Fachliteratur insbesondere das Handeln der Europäischen Kommission, also der Vorschlag auf eine Vielzahl von delegierten und Durchführungsrechtsakten zu setzen, in mehrfacher Hinsicht im Zentrum der Kritik. Zum einen wurde angesichts der enormen Anzahl an delegierten und Durchführungsrechtsakten die offensichtlich beabsichtigte Machtkonzentration bei der Kommission bemängelt, die dem komplexen Regelungsbedarf auf nationaler Ebene nicht gerecht werde. Zum anderen wurde kritisiert, dass die vorgeschlagenen Rechtsakte sich entgegen des EU-Primärrechts auch auf wesentliche Vorschriften der Verordnung erstreckten und damit rechtswidrig seien. Roßnagel u. a. begrüßten stattdessen, dass die Kompetenzen, welche die Kommission für sich selbst vorgesehen hatte, den Mitgliedstaaten übertragen werden sollten. Hornung trat dagegen einerseits dafür ein, Spezifizierungen möglichst im Verordnungstext selbst vorzunehmen und andererseits dafür, einen Teil der Verantwortung an den EDSA zu delegieren. Auch die privatwirtschaftlichen Akteure reagierten durchweg ablehnend auf die Kommissionsvorschläge und traten für die Löschung der Kommissionskompetenzen und die Regelung von Kernaspekten in der Verordnung selbst ein. Dabei fokussierte ein Teil der Kritik eher auf die im Rahmen der Festlegung technischer Details befürchtete Gefährdung der Technikneutralität, während ein anderer Teil die absehbare Machtkonzentration bei der Kommission kritisierte.
Lediglich die Artikel-29-Datenschutzgruppe und der EDSB begrüßten das Instrument der delegierten und Durchführungsrechtsakte, missbilligten allerdings deren große Zahl insb. im Hinblick auf ihre Zulässigkeit und Notwendigkeit. Beispielsweise lehnte die Artikel-29-Datenschutzgruppe den Kommissionsvorschlag zur Festlegung der Kriterien und Anforderungen im Hinblick auf den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen oder zur Spezifizierung des Stands der Technik im Kontext von Art. 30 (Sicherheit der Verarbeitung) ab. Der Vorschlag, die Spezifizierung der Risiken, wann eine DSFA durchgeführt werden sollte, mittels eines delegierten Rechtsaktes durchzuführen, wurde hingegen unterstützt.
Nachdem sich auch Parlament und Ministerrat ablehnend gegenüber den Kommissionsvorschlägen äußerten, legte die Kommission in den interinstitutionellen Verhandlungen Alternativvorschläge vor, insbesondere in Form 1) der Aufnahme von Verfahrensvorschriften in die Befugnis, 2) der Festlegung inhaltlicher Bedingungen für die Befugnis oder 3) der Einschränkung des Umfangs der Befugnis. Das Europäische Parlament sah in seinen Änderungsvorschlägen schließlich die Reduzierung der Zahl der delegierten Rechtsakte von 26 auf 10, der Zahl der Durchführungsrechtsakte von 23 auf 1 und die Regelung vieler der entsprechenden Sachverhalte in der Verordnung selbst vor. Da das Parlament seine Position bereits im Laufe der Jahre 2012 und 2013 festgezurrt hatte, fanden zudem die Debatten zum Internet der Dinge und zu Big Data praktisch keinen Widerhall in seiner Position. Kommission und Parlament hätten also gar nicht auf die Gefährdungslage durch Big Data, das Internet der Dinge oder gar KI eingehen können, weil die Entscheidungsprozesse in beiden Organen vor der Hochphase dieser Debatten weitestgehend abgeschlossen waren. Der Parlamentsvorschlag, einen Teil der Kommissionsvollmachten in der Verordnung selbst zu regeln, wurde jedoch vom Ministerrat mehrheitlich abgelehnt. Stattdessen sah der Ratsentwurf vor, die Mitgliedstaaten selbst in die Rolle zu versetzen, etwaige Präzisierungen und Änderungen vornehmen zu können bzw. zu müssen. Zudem wäre der Ministerrat zwar in der Lage gewesen, auf die Diskurse zum Internet der Dinge und Big Data zu reagieren, da er seine Position erst Mitte 2015 verabschiedete. Der Rat war jedoch weniger daran interessiert, risikoadäquate Schutzregelungen zu treffen, als in die Verordnung Freiräume für Big Data-Anwendungen zu integrieren.
Im Trilog konnte sich schließlich der Ministerrat mit der Streichung der meisten delegierten und Durchführungsrechtsakte durchsetzen, sodass nur noch zwei Ermächtigungen für delegierte Rechtsakte und sieben für Durchführungsrechtsakte übrigblieben. Die von der Kommission für sich selbst vorgesehene Rolle der Konkretisierung der Vorgaben der DSGVO im Hinblick auf neue Technologien wurde somit teilweise an die Mitgliedstaaten delegiert. Die von der Kommission für sich selbst vorgesehene Rolle zur Gewährleistung der kohärenten Anwendung wurde hingegen teilweise an den Europäischen Datenschutzausschuss (EDSA) übertragen. Dieser wurde dahingehend ermächtigt, Leitlinien, Empfehlungen und bewährte Verfahren zu datenschutzspezifischen Fragestellungen zu erarbeiten und im Falle von Meinungsverschiedenheiten zwischen den nationalen Aufsichtsbehörden unter Rückgriff auf das sog. Kohärenzverfahren rechtsverbindliche Beschlüsse fassen zu dürfen.
Insofern ist der Vorwurf gegen Kommission und Parlament unberechtigt. Da er seine Position erst Mitte 2015 verabschiedete und selbst wichtige zwischenstaatliche Einigungen erst im Laufe des Jahres 2015 erfolgten, ist der angemessene Adressat der Kritik also vielmehr der Ministerrat.
CC BY
Karaboga, M., Martin, N., Friedewald, M. (2022). Governance der EU-Datenschutzpolitik. In: Roßnagel, A., Friedewald, M. (eds) Die Zukunft von Privatheit und Selbstbestimmung. DuD-Fachbeiträge. Springer Vieweg, Wiesbaden.
https://doi.org/10.1007/978-3-658-35263-9_2
Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.