1 Herausforderungen für die Grundrechte auf Datenschutz und Selbstbestimmung
Seit der Erkenntnis der Grundrechtsrelevanz von Datenverarbeitung und der Verabschiedung der ersten Datenschutzgesetze in den 70er Jahren haben sich die Grundrechtsrisiken radikal verändert und ausgeweitet. Dennoch ist das grundlegende Konzept zur Gewährleistung von Datenschutz weitgehend unverändert.
1.1 Datenschutz und Selbstbestimmung
1983 konkretisierte das Bundesverfassungsgericht die Grundrechte auf Persönlichkeitsschutz nach Art. 2 Abs. 1 GG und auf Menschenwürde nach Art. 1 Abs. 1 GG angesichts der elektronischen Datenverarbeitung zum Grundrecht auf informationelle Selbstbestimmung. Dieses gewährt jeder Person die Befugnis, selbst darüber zu bestimmen, wer welche sie betreffenden Daten zu welchem Zweck verarbeiten darf. In dieses Grundrecht darf ein Datenverarbeiter nur mit informierter Einwilligung der betroffenen Person oder aufgrund einer gesetzlichen Regelung eingreifen, die die Datenverarbeitung eindeutig, bereichsspezifisch und mit ausreichenden Schutzvorkehrungen erlaubt.
Dieses Grundrechtsverständnis wurde von der 2009 in Kraft getretenen Grundrechtecharta der Europäischen Union übernommen und präziser ausgestaltet. Art. 7 GRCh enthält vier Gewährleistungen, nämlich des Privatlebens, des Familienlebens, der Wohnung und der Kommunikation. Die Gewährleistungen des Privatlebens und der Kommunikation schützen wesentlichen Aspekte der Selbstbestimmung über das eigene Verhalten und dessen Beobachtung durch Dritte.
Art. 8 GRCh schützt speziell die Entscheidungsbefugnis des Betroffenen über seine personenbezogenen Daten. Nach Abs. 1 hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Soweit private Daten verarbeitet werden, erstreckt sich auch die Achtung des Privatlebens nach Art. 7 GRCh auf diesen Schutz. Da der Datenschutz allerdings weiter reicht als die Achtung des Privatlebens, wurde dafür ein eigenständiges Grundrecht begründet. Abs. 2 Satz 2 fordert die Zweckbindung der Datenverarbeitung und gewährt einen Auskunfts- und Berichtigungsanspruch. Abs. 3 bestimmt, dass eine unabhängige Stelle den Datenschutz zu überwachen hat.
Der grundrechtliche Datenschutz in Art. 7 und 8 GRCh und der grundrechtliche Datenschutz nach Art. 2 Abs. 1 und Art.1 Abs. 1 GG haben im Wesentlichen den gleichen Schutzgehalt, nämlich die freie Selbstbestimmung der jeweils betroffenen Person über den Umgang mit den sie betreffenden Daten zu schützen. Jede Datenverarbeitung, die diese Selbstbestimmung ignoriert, greift in die genannten Grundrechte ein. Für die Bestimmung des Eingriffs kommt es nicht auf die Person an, die den Eingriff vornimmt – auch nicht auf deren Charakterisierung als privat oder staatlich.
Um diese Grundrechte umzusetzen, verfolgt das Datenschutzrecht seit Beginn ein Schutzprogramm, das im Wesentlichen auf folgenden Grundsätzen beruht: Die Datenverarbeitung muss der betroffenen Person transparent sein, weil sie nur dann überprüfen kann, ob die Datenverarbeitung rechtmäßig ist, und ihre Rechte wahrnehmen kann. Die Verarbeitung personenbezogener Daten darf nur zu einem bestimmten Zweck erfolgen und ist auf diesen Zweck begrenzt. Sie muss erforderlich sein, um diesen Zweck zu erreichen, und die Verwendung personenbezogener Daten möglichst vermeiden. Informationelle Selbstbestimmung ist nur möglich, wenn die betroffene Person Mitwirkungsmöglichkeiten hat und Einfluss auf die Datenverarbeitung nehmen kann. Daher stehen ihr Rechte auf Auskunft, Korrektur und Widerspruch zu. Außerdem erfordert sie die flankierende Aufsicht unabhängiger Datenschutzkontrolleinrichtungen. Dieses grundlegende Konzept zur Gewährleistung der Grundrechte wurde seit seiner Einführung kaum verändert. Jedoch hat sich die Datenverarbeitung, gegen deren Risiken es schützen soll, radikal gewandelt und ausgeweitet.
1.2 Neue Herausforderungen durch die Digitalisierung
Als solche Herausforderungen stellen sich vor allem die Zunahme personenbezogener Daten durch vielfältige neue Datenquellen, das Entstehen neuer Infrastrukturen, die diese Datenquellen vernetzen und die personenbezogenen Daten zusammenführen, und schließlich neue Verfahren, die diese riesigen Datenmengen aus unterschiedlichsten Quellen auswerten können.
Neue Datenquellen führen zu einer explosionsartigen Zunahme personenbezogener Daten. Viele Alltagsumgebungen und Alltagsgegenstände werden mit „intelligenter“ und vernetzter Informationstechnik ausgestattet. Ubiquitous Computing mit seinen Ausprägungen wie z. B. Smart Cars, Smart Health, Smart Home, Smarten Assistenten, vernetzten Robotern, Smart TV und sonstigen Techniken des Internet der Dinge erfasst die Umgebung der Dinge und der Menschen durch vielfältige Sensoren. Auf der Grundlage dieser Daten und daraus erstellter Profile sowie der Lernfähigkeit der Systeme durch Künstliche Intelligenz passen sich diese Techniksysteme ihren Nutzerinnen und Nutzern an und erleichtern ihnen das Alltags- oder das Berufsleben. Diese Techniken erheben personenbezogene Daten, ohne dass das Individuum sie eingibt – einfach aufgrund schlichten Verhaltens in einer technikgeprägten Umgebung. Auf diese Weise werden unbemerkt viele Lebensregungen in der körperlichen Welt dem digitalen Zugriff zugänglich. Die allgegenwärtige Verarbeitung personenbezogener Daten erfasst potenziell alle Lebensbereiche nahezu vollständig. Die damit verbundenen Risiken gehen die Nutzenden in der Regel freiwillig ein. In der individuellen Abwägung überwiegt meist der erhoffte unmittelbare Vorteil die zeitlich fernliegenden abstrakten Risiken eines Missbrauchs.
In der digitalen Welt ist die Nutzung von virtuellen Infrastrukturen wie Such-, Speicher- und Nachrichtendienste, Cloud Computing sowie Social Media und andere Austauschplattformen lebensnotwendig. Da sie für ihr Funktionieren personenbezogene Daten verarbeiten müssen, können sie diese Datenverarbeitung nicht von unterschiedlichen individuellen Einwilligungen abhängig machen. Die individuelle Selbstbestimmung ist letztlich reduziert auf das grundsätzliche „Ja“ oder „Nein“ zum digitalen Leben. Diese Infrastrukturen erzeugen einen eigenen virtuellen Sozialraum, in den nahezu alle Aktivitäten aus der körperlichen Welt übertragen wurden. In diesem hinterlässt jede Handlung Datenspuren, deren Erhebung und – letztlich weltweite – Verbreitung und Verwendung die betroffene Person nicht kontrollieren kann. Den damit verbundenen Risiken zu entgehen, würde voraussetzen, den virtuellen Sozialraum zu meiden – für viele keine realistische Alternative. Es besteht ein virtueller „Anschluss- und Benutzungszwang“. Gegenüber diesem Zwang gibt es kaum Protest. Denn viele Infrastrukturleistungen werden „umsonst“ angeboten. Wer sie nutzt, zahlt zwar kein Geld, dafür aber werden die personenbezogenen Daten zu umfassenden Profilen verarbeitet, die für personalisierte Werbung und Dienstleistungen genutzt werden. Die personalisierten Dienstleistungen der Infrastrukturen werden über den gesamten Tagesablauf hinweg in die individuellen Handlungsabläufe integriert und unmerklich Teil des Verhaltens und Handelns.
Die dritte relevante Entwicklungslinie sind neue Auswertungsmöglichkeiten für die riesigen Datenmengen, die u. a. durch die allgegenwärtige Datenverarbeitung und virtuelle Infrastrukturen entstehen: Big Data und Künstliche Intelligenz durch lernfähige Systeme. Beide Auswertungsformen führen auf unterschiedliche Weise entweder zu sehr präzisen Persönlichkeitsprofilen oder zu Mustern individueller und kollektiver Eigenschaften, die ermöglichen, das Verhalten von Menschen und Gruppen zu prognostizieren und zu steuern. Personenbezogene Auswertungen sind die Grundlage einer gezielten Verhaltensbeeinflussung durch Microtargeting. Abstrakte Muster können dazu dienen, Lagen und Situationen besser zu beurteilen oder deren Entwicklung zu prognostizieren. Auch wer keine Daten preisgegeben hat, ist im Algorithmus der Statistik gefangen. Sie führt zu einer anonymen Vergemeinschaftung, der niemand entgehen kann. Diese Muster wirken durch die Normativität der Normalität, die sie beschreiben, verhaltensbestimmend, selbst wenn sie keine personenbezogenen Daten enthalten, und beschränken damit die individuelle und kollektive Selbstbestimmung.
1.3 Aushöhlung des Schutzkonzepts
Die beschriebenen Entwicklungen höhlen das Schutzkonzept des Datenschutzes und der Selbstbestimmung aus, weil sie nur dann umsetzbar sind, wenn sie dessen Vorgaben ignorieren.
Soweit die betroffene Person digitale Infrastrukturen nutzen muss, um am gesellschaftlichen oder wirtschaftlichen Leben teilzunehmen, sieht sie sich durch die Techniknutzung einem faktischen Zwang zur Datenpreisgabe ausgesetzt. Soweit keine wirklichen Alternativen bestehen, ist die individuelle Einwilligung ein inhaltsleerer Formalismus. Auch die Fülle und Vielfalt der Verarbeitungsvorgänge mit zahllosen impliziten (Mini-)Interaktionen und die Vielzahl von Verantwortlichen, die Daten unter sich austauschen, schließen gehaltvolle Entscheidungen der betroffenen Person aus. Für Big Data-Analysen und das Trainieren lernfähiger Systeme ist es ausgeschlossen, dass die vielen – oft Millionen – betroffenen Personen vorher um ihre Einwilligung gebeten werden.
Der Gewährleistung von Transparenz stößt in der digitalen Welt aufgrund der Vielfalt und Komplexität allgegenwärtiger Datenverarbeitung an subjektive und objektive Grenzen. Zudem soll „smarte“ Informationstechnik gerade im Hintergrund und damit unmerklich den Menschen bei vielen Alltagshandlungen unterstützen. Die betroffenen Personen wissen daher nie, ob und wenn ja welche Handlungen von ihnen beobachtet und registriert und welche Datensammlungen zusammengeführt werden, müssen damit aber ständig rechnen.
Der Grundsatz der Zweckbindung widerspricht sowohl der Idee einer unbemerkten, komplexen und spontanen technischen Unterstützung der betroffenen Person als auch dem Ziel, durch das Zusammenführen und Auswerten möglichst vieler Daten aus vielfältigen Quellen neue Erkenntnisse zu gewinnen. Je vielfältiger und umfassender die zu erfassenden Alltagshandlungen und je unterschiedlicher die Datenquellen sind, umso schwieriger wird es, den Zweck einzelner Datenverarbeitungen vorab festzulegen und die Datenverarbeitung auf diesen zu begrenzen. Sollen „smarte“ Informationstechniken die Nutzenden in allen Situationen unterstützen, können sie nicht auf einen bestimmten Zweck begrenzt werden. Sollen durch Big Data-Auswertungen neue Korrelationen erkannt und aus diesen neue Erkenntnisse gewonnen werden, widerspricht dies diametral jeder Zweckbindung.
Die Grundsätze der Datenminimierung, der Speicherbegrenzung und der Datensparsamkeit sind an den jeweils begrenzten Zweck gebunden. Ebenso wie der Grundsatz der Zweckbindung werden auch diese Grundsätze ihre Steuerungskraft verlieren. Wenn der Zweck der Datenverarbeitung ohne wirkliche Grenzen ist, führt auch die Frage, welche Datenverarbeitung für diesen Zweck erforderlich ist oder wie der Zweck mit möglichst wenig personenbezogenen Daten erreicht werden kann, nicht mehr zu einer überschaubaren Eingrenzung erlaubter Datenverarbeitung. Alle Systeme, die kontextsensitiv die betroffene Person entlasten oder unterstützen sollen, die Präferenzen der Nutzenden erkennen und ihnen gerecht werden sollen oder allgemein alle Assistenzsysteme, die sich selbstlernend verbessern und an ihre Nutzenden und ihre Umgebung anpassen sollen, können ihre Funktionen nur richtig erfüllen, wenn sie diese Grundsätze ignorieren.
Die betroffene Person hat zwar eine Reihe von Auskunfts- und Mitwirkungsrechten. Ihr wird es jedoch aufgrund der umfangreichen, vielfältigen, unmerklichen, komplexen und zersplitterten Verarbeitung ihrer Daten faktisch kaum möglich sein, diese Rechte als Individuum gezielt und effektiv zu nutzen. Vielfach wird sie nicht einmal in der Lage sein, die vielen Verantwortlichen zu identifizieren.
Im Ergebnis werden die Grundrechte auf Datenschutz und informationelle Selbstbestimmung aufgrund zunehmender Machtasymmetrien aufgrund gesteigerter Wissensmacht immer wichtiger, zugleich verliert das überkommene Konzept des Datenschutzes aber an Umsetzungspotenzial. Es bietet kaum noch ausreichende und wirksame Schutzmechanismen gegen die spezifischen Herausforderungen der neuen Technikentwicklungen. Dieser Prozess führt nicht nur zu einem weiteren Datenschutzproblem, sondern zur Infragestellung des gesamten Konzepts des bisherigen Datenschutzes.
2 Neue Governance-Strukturen: Ko-Regulierung in der Europäischen Union
Neben den Herausforderungen für Datenschutz und Selbstbestimmung hat sich auch der normative Rahmen für das Konzept zum Schutz dieser Grundrechte durch die Einführung der Datenschutz-Grundverordnung geändert. Um erkennen zu können, ob die neuen Unionsregelungen diesen Herausforderungen gerecht werden, untersucht dieser Abschnitt die Zielsetzungen, die inhaltlichen Regelungen und die Governance-Struktur dieser Verordnung.
2.1 Datenschutz-Grundverordnung
Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO) unmittelbar in der gesamten Europäischen Union und im Europäischen Wirtschaftsraum. Sie ist in allen Mitgliedstaaten anwendbar und Teil ihrer jeweiligen Rechtsordnung. Gegenüber dem nationalen Datenschutzrecht genießt sie Anwendungsvorrang.
Die Datenschutz-Grundverordnung löst die Datenschutz-Richtlinie 95/46/EG aus dem Jahr 1995 ab, deren Datenschutzkonzept auf das deutsche Datenschutzrecht der 1980er Jahre zurückgeht Als Richtlinie galt sie nicht unmittelbar, sondern forderte von den Mitgliedstaaten, nationale Datenschutzgesetze im Einklang mit ihren Zielen zu erlassen. Diese Datenschutzgesetze enthielten viele unterschiedliche Detailregelungen und führten zu uneinheitlichen Datenschutzniveaus in den Mitgliedstaaten. Nach langen Vorbereitungen wurde die Datenschutz-Grundverordnung nach einem mehr als vierjährigen kontroversen Gesetzgebungsprozess am 27. April 2016 erlassen. Sie ist das Ergebnis vielfältiger Kompromisse zwischen den Gesetzgebungsorganen der Europäischen Union, der Kommission, dem Parlament und dem Rat, und einem bis dahin nicht bekannten Lobbyeinfluss.
Die Datenschutz-Grundverordnung orientiert sich in weiten Teilen an den alten Zielen und Grundsätzen der Datenschutz-Richtlinie. Sie übernimmt unter anderem in Art. 2 und 3 DSGVO die Regelungen zum sachlichen und räumlichen Anwendungsbereich, in Art. 5 DSGVO die Grundsätze der Datenverarbeitung, in Art. 6 Abs. 1 DSGVO die Voraussetzungen für die Zulässigkeit der Datenverarbeitung und in Art. 9 DSGVO die Regelungen zu besonderen Kategorien personenbezogener Daten. Hinsichtlich der Rechte der betroffenen Person orientiert sie sich in den Art. 12 bis 23 DSGVO ebenfalls stark an der Richtlinie. In Art. 28 und 29 DSGVO greift die Datenschutz-Grundverordnung grundsätzlich auf die Vorgaben der Richtlinie zur Auftragsverarbeitung zurück. In Art. 32 DSGVO übernimmt sie die Anforderungen an die Datensicherheit, in Art. 44 bis 50 DSGVO die Grundsätze zur Datenübermittlung in Drittländer und in Art. 51 bis 59 DSGVO die Konzeption der Stellung und Aufgaben der Aufsichtsbehörden. In allen Fällen sind die Regelungen der Verordnung nahezu oder wortwörtlich an den Konzeptionen der Datenschutz-Richtlinie ausgerichtet. Die Regelungen werden in der Verordnung zwar teils präzisiert, neugestaltet oder erweitert, aber konzeptionell nicht weiterentwickelt.
2.2 Harmonisierung
Mit den Regelungen der Verordnung verfolgt der Unionsgesetzgeber gemäß der Erwägungsgründe 7 und 13 DSGVO das Ziel, einen „kohärenten und klar durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der Union“ herzustellen, „ein gleichmäßiges Datenschutzniveau“ zu gewährleisten und „Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten“, zu beseitigen. Für diese Harmonisierung verfolgte die Kommission mit ihrem Entwurf ein sehr ehrgeiziges Regelungskonzept. Durch die Wahl einer Verordnung statt einer Richtlinie wollte sie den Mitgliedstaaten die für alle Bereiche der digitalen Gesellschaft höchst relevante Regelungsmaterie des Datenschutzes nehmen. An die Stelle der unterschiedlichen nationalen Gesetze sollte ein unionsweit einheitliches Datenschutzgesetz treten. Trotz der hohen Komplexität des Datenschutzes in allen Lebensbereichen in den damals 28 Mitgliedstaaten sah sie nur ca. 50 Artikel mit materiellen Vorschriften vor. Im Gegensatz dazu versuchte z. B. das Datenschutzrecht in Deutschland bis dahin den Regelungsanforderungen des Datenschutzes in Verwaltung, Wirtschaft, Kultur, Wissenschaft und vielen weiteren Gesellschaftsbereichen dadurch gerecht zu werden, dass es tausende bereichsspezifische Regelungen enthielt, die risikogerecht Datenschutz gewährleisten sollten. Dementsprechend sind die Regelungen der Datenschutz-Grundverordnung hochabstrakt und unterkomplex.
Diesem Mangel wollte die Kommission dadurch abhelfen, dass sie sich selbst die Kompetenz vorbehielt, die vielen unbestimmten Regelungen auszufüllen und fortzuentwickeln. Zu diesem Zweck sah ihr Entwurf 26 Ermächtigungen vor, die Verordnung durch delegierte Rechtsakte nachträglich zu konkretisieren, und 23 Ermächtigungen, sie durch Durchführungsrechtsakte auszugestalten. Dem widersprach jedoch der Rat und setzte durch, dass fast alle Ermächtigungen in Öffnungsklauseln für die Mitgliedstaaten umgewandelt wurden. Im Ergebnis ermöglichen 70 Öffnungsklauseln den Mitgliedstaaten, an vielen Stellen von den Regelungen der Verordnung abzuweichen oder sie zu konkretisieren. Öffnungsklauseln können Regelungsaufträge enthalten, die die Mitgliedstaaten verpflichten, bestimmte Regelungen zu erlassen. Sie können aber auch Regelungsoptionen bieten, die den Mitgliedstaaten die Möglichkeit eröffnen, eigene Regelungen zu schaffen oder bereits bestehende Regelungen beizubehalten, sofern diese den abstrakten Vorgaben der Verordnung nicht widersprechen. Eine vollständige Ersetzung des nationalen Datenschutzrechts ist in der Verordnung also nicht nur nicht angelegt, sondern im Gegenteil durch die lückenhaften und ausfüllungsbedürftigen Regelungen auch gar nicht möglich. Den Mitgliedstaaten bleibt ein vergleichsweise breiter Handlungsspielraum, unbestimmte Begriffe der Verordnung zu präzisieren, ausfüllungsbedürftige Vorgaben zu konkretisieren, unvollständige Regelungen zu ergänzen oder Regelungslücken zu schließen, solange dabei das Regelungsziel der Verordnung nicht verletzt wird. Bestehende nationale Regelungen können damit durchaus anwendbar bleiben und neue Regelungen erlassen werden.
Die Datenschutz-Grundverordnung bewirkt nicht nur vielfältige unterschiedliche Abweichungen der Mitgliedstaaten, sondern überlässt ihnen im Ergebnis auch große Regelungsbereiche vollständig. Der wichtigste Bereich ist der komplette öffentliche Sektor mit allen Verwaltungsbereichen, aber auch sonstigen öffentlichen Einrichtungen wie Hochschulen und Kulturstätten. Weitere Bereiche sind alle Arbeitsverhältnisse, die Medien und die Forschung. In Deutschland wurden zwar aufgrund der Datenschutz-Grundverordnung das Bundesdatenschutzgesetz novelliert und allein im Bund Anpassungen in ca. 200 Gesetzen mit Datenschutzregelungen durch drei umfangreiche Artikelgesetze vorgenommen. Doch wurden dadurch kein einziges Datenschutzgesetz und kein einziger Abschnitt zum Datenschutzrecht gestrichen. Sie gelten trotz Datenschutz-Grundverordnung weiter.
Die Datenschutz-Grundverordnung hat daher das Datenschutzrecht in Europa nicht vereinheitlicht, sondern in vielen wichtigen Bereichen die Vielfalt an unterschiedlichen Regelungen beibehalten. Aufgrund ihrer eigenen Regelungen hat sie das Ziel der Harmonisierung von Anfang an weitgehend verfehlt. In der Europäischen Union besteht kein einheitliches Datenschutzrecht, sondern eine Ko-Regulierung des Datenschutzes durch die Gesetzgeber der Union und der Mitgliedstaaten.
Die Verordnung regelt Zielsetzungen und Grundsätze, grundlegende Rechte und Pflichten und fundamentale Strukturen der Durchsetzung von Datenschutzrecht. Die Präzisierung und Ausfüllung ihrer abstrakten Regelungen und den Datenschutz in wichtigen Gesellschaftsbereichen aber bestimmen vielfach die Mitgliedstaaten. Durch diese Ko-Regulierung entsteht für den Rechtsanwender eine nur schwer zu durchschauende Gemengelage, die nicht nur zu einer erheblichen Rechtsunsicherheit führt, sondern auch eine effektive Umsetzung des Datenschutzrechts erschwert.
2.3 Modernisierung
Das zweite zentrale Ziel der Verordnung ist es, das Datenschutzrecht zu modernisieren und den Schutz der Grundrechte zu verbessern. „Rasche technologische Entwicklungen und die Globalisierung haben“ laut Erwägungsgrund 6 „den Datenschutz vor neue Herausforderungen gestellt. Das Ausmaß der Erhebung und des Austauschs personenbezogener Daten hat eindrucksvoll zugenommen. Die Technik macht es möglich, dass private Unternehmen und Behörden im Rahmen ihrer Tätigkeiten in einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen. … Die Technik hat das wirtschaftliche und gesellschaftliche Leben verändert.“ Diese Entwicklungen erfordern nach Erwägungsgrund 7 einen „soliden, kohärenteren und durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der Union, um eine Vertrauensbasis zu schaffen, die die digitale Wirtschaft dringend benötigt, um im Binnenmarkt weiter wachsen zu können. Jede Person sollte die Kontrolle über ihre eigenen Daten besitzen, und private Nutzer, Wirtschaft und Staat sollten in rechtlicher und praktischer Hinsicht über mehr Sicherheit verfügen.“
Überwiegend will die Datenschutz-Grundverordnung diesen neuen Herausforderungen mit den alten, schon in der Datenschutz-Richtlinie bekannten Grundsätzen und Konzepten begegnen, die bereits vor über 20 Jahren teilweise als überholt oder unzureichend galten. Sie enthält aber auch einige normative Innovationen. Neu ist beispielsweise die Bestimmung des räumlichen Anwendungsbereichs der Verordnung nach dem Betroffenenprinzip in Art. 3 Abs. 2 DSGVO. Sie ist anwendbar, wenn ein Datenverarbeiter personenbezogene Daten von Personen verarbeitet, die sich in der Union aufhalten, nämlich wenn er entweder der betroffenen Person Waren oder Dienstleistungen anbietet (Marktort) oder die Datenverarbeitung der Beobachtung ihres Verhaltens dient (Beobachtungsort). Dadurch will die Datenschutz-Grundverordnung auf dem europäischen Markt für Wettbewerbsgleichheit zwischen Anbietern in der Union und Anbietern außerhalb der Union sorgen und die Wahrnehmung von Betroffenenrechten erleichtern. Neu ist auch die grundsätzliche Altersgrenze von Kindern in Art. 8 DSGVO, um in die Verarbeitung ihrer Daten für Dienste der Informationsgesellschaft einzuwilligen. Auch das Recht auf Datenübertragbarkeit in Art. 20 DSGVO zählt zu den Innovationen. Es gibt betroffenen Personen das Recht, ihre Daten, die sie einem Verantwortlichen bereitgestellt haben, auf einen anderen Datenverarbeiter zu übertragen. Neu sind auch die expliziten Anforderungen an den Datenschutz durch Systemgestaltung und Voreinstellungen in Art. 5 Abs. 1 lit. f und 25 DSGVO, die Möglichkeit einer Datenschutzzertifizierung in Art. 42 und 43 DSGVO sowie die Datenschutz-Folgenabschätzung in Art. 35 DSGVO. Verbesserungen hat die Verordnung schließlich im Bereich der Aufsichtsbehörden erfahren: Ihre Befugnisse wurden in Art. 58 DSGVO gestärkt und die Zusammenarbeit der Aufsichtsbehörden in der Union in Art. 60 bis 76 DSGVO geregelt. Die medienwirksamste Neuerung brachte wohl Art. 83 Abs. 5 DSGVO, nach dem bei den dort aufgelisteten Verstößen Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können.
Diese Neuerungen unterstützen die Durchsetzung des Datenschutzrechts und stärken das Bewusstsein für Datenschutz. Sie führen aber nicht dazu, dass die grundlegenden Vorgaben zu den Grundsätzen des Datenschutzes, zur Zulässigkeit der Datenverarbeitung und zu den Rechten der betroffenen Personen den neuen Herausforderungen entsprechen. Sie sind zwar in ihrer Abstraktheit auch auf neue Sachverhalte anwendbar, enthalten aber keine spezifischen Anforderungen. Im ersten Zugriff hat immer der Verantwortliche die Möglichkeit, die abstrakten Regelungen in seiner Datenverarbeitung zur Anwendung zu bringen. Dies führt zur Verstärkung von Machtungleichgewichten, weil überall da, wo das Recht normative Spielräume eröffnet, letztlich soziale, politische und wirtschaftliche Macht eindringt und einseitige Ergebnisse durchsetzt.
Außerdem berücksichtigt die Verordnung nicht das veränderte Systemdesign moderner Technologien, in dem nicht mehr nur linear der Verantwortliche auf der einen Seite die personenbezogenen Daten der betroffenen Person auf der anderen Seite verarbeitet, sondern in denen Privatpersonen arbeitsteilig Verarbeitungsvorgänge als Teil einer Infrastruktur vornehmen können (z. B. Blockchain, Mix-Netze, Crowd-Sensing, Peer-to-Peer-Kommunikation, Social Networks). Die Grenzen der individuellen Verantwortlichkeit verschwimmen zunehmend, werden aber von den Regelungen der Verordnung nicht ausreichend berücksichtigt und können damit natürliche Personen unangemessen benachteiligen und Machtasymmetrien verstärken. Damit wird die Verordnung den künftigen Herausforderungen technisch-ökonomischer Entwicklungen nicht gerecht. Das Festhalten an überholten und unzureichenden Lösungen wirkt jedoch besonders schwer, da die Mitgliedstaaten von diesen grundlegenden Richtungsentscheidungen der Verordnung nicht abweichen dürfen.
Schließlich versäumt es die Verordnung, Maßnahmen zu ergreifen, die nicht nur Verantwortliche, sondern auch Hersteller in die Pflicht nehmen würden, um Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen in technologische Anwendungen zu implementieren. Bisher trifft diese Pflicht den Verantwortlichen allein und es obliegt ihm, die Umsetzung bei Herstellern einzufordern. Deutlich bessere Effekte ließen sich mit der Verpflichtung der Hersteller erzielen. Dies muss nicht allein durch Ge- und Verbote erfolgen. In Kombination mit einem System von Anreizen und alternativen Regelungsformen könnte ein weitaus besserer Datenschutz durch Systemgestaltung und damit der Schutz der betroffenen Personen erreicht werden.
2.4 Risikoneutralität
Dem Modernisierungsziel entgegen steht letztlich auch das spezifische Verständnis der Verordnung von Technikneutralität. Richtig verstandene Technikneutralität soll verhindern, dass rechtliche Vorschriften aufgrund ihrer Formulierung technische Weiterentwicklungen ausschließen oder umgekehrt nicht mehr anwendbar sind. Dies schließt aus, Regelungen für einzelne Ausprägungen einer spezifischen IT-Anwendung zu treffen. Dies darf aber nicht verhindern, Vorgaben für bestimmte technische Funktionen vorzusehen – insbesondere, wenn sie besondere Risiken für Grundrechte verursachen. Denn in einer technikgeprägten Welt kann Grundrechtsschutz nicht erfolgen, wenn nicht auch Risiken durch Technik aufgegriffen und durch die Regulierung technischer Funktionen gesteuert werden.
Die Verordnung regelt jedoch überhaupt keine technischen Risiken. In keiner ihrer Regelungen geht die Verordnung die spezifischen grundrechtlichen Risiken moderner Informationstechnik an, wie sie in Abschn. 1.1 dargestellt wurden. Auch wo die Technik unterschiedliche Grundrechtsrisiken verursacht, finden die gleichen „technikneutralen“ Regelungen Anwendung. Zum Beispiel gelten die gleichen Zulässigkeitsregeln, Zweckbegrenzungen, Schutzvorkehrungen oder Rechte der betroffenen Person für alle Datenverarbeiter gleichermaßen, von der wenig riskanten Kundenliste eines Kleinstunternehmens bis hin zu globalen Konzernen wie Google oder Facebook, die mit risikoreichen Techniksystemen massenhaft personenbezogene Daten verarbeiten. Soweit es den Schutz der betroffenen Personen angeht, ist die Datenschutz-Grundverordnung risikoneutral.
Dagegen berücksichtigt sie die (geringeren) Risiken der Datenverarbeitung, wenn es um die Belastungen der Verantwortlichen geht. Diese werden „entsprechend der Risiken von Datenverarbeitungsprozessen“ reduziert oder beschränkt. Dies bewirkt, dass nur ein Bruchteil der Verantwortlichen und Auftragsverarbeiter die in der Verordnung vorgesehenen Pflichten erfüllen muss.
Datenverarbeitungen zu verhindern, die unzumutbare Risiken verursachen, ist nicht das Ziel der Verordnung. Sie knüpft an keiner Stelle die Zulässigkeit besonders riskanter Funktionen der Datenverarbeitung an das Fehlen bestimmter Grundrechtsrisiken oder macht sie von der Bewältigung dieser Risiken abhängig. Doch nur durch die Berücksichtigung typischer Risiken bestimmter Datenverarbeitungsformen im Verordnungstext hätte die notwendige Rechtssicherheit und Interessengerechtigkeit erreicht werden können.
Zusammenfassend ist festzuhalten, dass die Datenschutz-Grundverordnung ihr Ziel der notwendigen Modernisierung des Datenschutzrechts weitgehend verfehlt.
CC BY
Roßnagel, A., Bile, T., Geminn, C.L., Nebel, M. (2022). Neue Konzepte für den Grundrechtsschutz in der digitalen Welt. In: Roßnagel, A., Friedewald, M. (eds) Die Zukunft von Privatheit und Selbstbestimmung. DuD-Fachbeiträge. Springer Vieweg, Wiesbaden
https://doi.org/10.1007/978-3-658-35263-9_1
Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.