Europäische Datenschutzgrundverordnung: Die Nachhut des Fort­schritts

Ob dies so wird und kommt, hängt allerdings vom Zusammenspiel der einzelnen Änderungen ab. Diese Änderungen können in vier Themenkreise eingeteilt werden: Abschiede, Vereinheitlichung, Veränderung und neue Aufsichtsstruktur.

Abschiede – was gehen und was bleiben wird

Es liegt auf der Hand, dass mitgliedstaatliche Regelungen abgeschafft werden müssen, um das Datenschutzrecht auf europäischer Ebene zu vereinheitlichen. Damit ist das alte Bundesdatenschutzgesetz (BDSG) passé. Denn grundsätzlich ist im Anwendungsbereich der DSGVO jede mitgliedstaatliche Regelung und damit auch Sonderregelung untersagt. Überkommene deutsche Regelungen wie die zu Chipkarten (§ 6c BDSG a.F.), automatisierten Abrufsystemen (§ 10 BDSG a.F.) und ein spezifischer Werbedatenschutz (§ 28 Abs. 3 u. 4, § 29 BDSG a.F.) entfallen.

Auch bedeutet die Europäisierung, dass das Bundesverfassungsgericht, dessen Volkszählungsentscheidung von 1983 am Anfang der Datenschutzgeschichte steht, für Verfassungsbeschwerden kaum mehr zuständig ist; der in Deutschland beliebte "Gang nach Karlsruhe" führt nun nach Luxemburg zum Europäischen Gerichtshof (EuGH) und wird dadurch aufwendiger. Freilich bleiben die Datenschutzbehörden primäre Kontrolleure und Ansprechpartner. Datenschutzstreitigkeiten mit ihnen und mit Betroffenen werden wie bisher noch vor den Fachgerichten ausgetragen.

Allerdings ist die "Verlustliste der europäischen Datenschutzeinheit", also die Zahl von verbleibenden mitgliedstaatlichen Regelungsbereichen, gar nicht so kurz. Der Polizei- und Strafverfolgungsbereich wird durch eine weniger stark harmonisierende Richtlinie (RL (EU) 680/2016 = JIRL) geregelt. Im Beschäftigtendatenschutz (Art. 88 DSGVO) gibt es Freiraum für mitgliedstaatliche Besonderheiten, ebenso für die Medien (Art. 85 DSGVO). Und durch den textlich unscheinbaren Art. 23 DSGVO bleiben die meisten bereichsspezifischen Regelungen für den öffentlichen Bereich erhalten.

Fragmentierung und Unübersichtlichkeit

Die Vereinheitlichung auf europäischer Ebene führt nicht zu einer besseren Lesbarkeit des Gesetzes oder einer einfacheren Regelungsstruktur. Denn es wird nicht einfach nur das deutsche BDSG durch die DSGVO ersetzt, sondern durch eine Mehrzahl von Rechtsquellen, eine Mischung aus Hard Law und Soft Law sowie Regelungskaskaden von Europarecht und mitgliedstaatlicher Konkretisierung.

Jedenfalls für die nächsten ein, zwei Jahre fehlt es zusätzlich noch an einer Angleichung des Internetdatenschutzes an das vollharmonierte allgemeine Datenschutzrecht. Hintergrund ist, dass die sogenannte ePrivacy-Richtlinie nicht parallel novelliert worden ist. Eine entsprechende ePrivacy-Verordnung ist für 2019 in den Blick genommen worden, genaue Termine sind aber Spekulation.

Obwohl die gesetzestextliche Basis des Datenschutzrechts komplett neu ist, bleibt das Regelungskonzept im Grundsatz unangetastet. Weiterhin gilt, dass regelungstechnisch personenbezogene Datenverarbeitung (präventiv) untersagt ist und unter einem Erlaubnisvorbehalt steht. Ob dieser Verbotsansatz ein passendes oder dysfunktionales Regelungskonzept für das Informationszeitalter darstellt, ist umstritten; jedenfalls bleibt damit ein Konzept erhalten, das auch schon die ersten Datenschutzgesetze in den Siebziger Jahren kannten.

Die einschlägigen Erlaubnistatbestände, die sich zusammengefasst v.a. in Art. 6 DSGVO finden, schließen wie bislang die Einwilligung, gesetzliche Verarbeitungspflichten und die Interessenabwägung ein. Daneben kann sich – ebenfalls wie bislang – ein Erlaubnistatbestand aus dem Fachrecht ergeben. In Deutschland schon immer weit verbreitet sind die betrieblichen bzw. behördlichen Beauftragten für den Datenschutz (bDSB), die auch weiterhin ein wichtiges Instrument des Datenschutzes bleiben.

Vereinheitlichung – ein Datenschutzniveau für ganz Europa

Hauptzweck der EU-Datenschutzreform ist die Harmonisierung. Dies betrifft nicht nur die innereuropäische Rechtsvereinheitlichung, sondern will daneben und auch für datenbasierte Dienste und Verarbeitungen ein sogenanntes level playing field für europäische und außereuropäische Verarbeiter schaffen. Insoweit hat die neue Regelung durchaus auch Facebook, Google & Co. im Blick.

Zunächst geht es um ein einheitliches Datenschutzniveau innerhalb von Europa, was die entscheidende Voraussetzung für einen digitalen Binnenmarkt ist. Diese Einheitlichkeit führt dazu, dass insb. die Bereiche von der DSGVO erfasst werden, die Binnenmarktrelevanz haben. So gilt die DSGVO vor allem und ohne nennenswerten Ausnahmen für den Vertrags- und Kundendatenschutz.

Auch der Werbedatenschutz unterfällt umfassend der DSGVO. Soweit es um den Versand von Werbung (Spam) als Frage des Wettbewerbs- und Lauterkeitsrechts gilt, ist aber nicht das Datenschutzrecht anwendbar, sondern das UWG (insb. § 7 UWG), das freilich ebenfalls europarechtlichen Vorgaben folgt.

Mitgliedstaatliche und wohl auch europäische Verbraucherschutzregelungen werden im Anwendungsbereich der DSGVO verdrängt, so etwa die bisherigen Regelungen für den Adresshandel, vielleicht auch das AGB-Recht und womöglich auch die Regelungen zum Kredit-Scoring (§ 31 Abs. 1 BDSG n.F.).

Gleiche Anforderungen an inner- und außereuropäische Verarbeiter

Neben der normtechnischen Vereinheitlichung des europäischen Rechts hat die EU-Datenschutzreform auch das Ziel, Wettbewerbsnachteile durch die europäischen Datenschutzanforderungen zu vermeiden. Während bisher durch das Sitzlandprinzip außereuropäische Anbieter – in der Praxis v.a. die großen u.s.-amerikanischen Anbieter – unter den Anforderungen quasi hindurchtauchen konnten, wird durch die DSGVO das Marktortprinzip eingeführt:

Für alle Datenverarbeitungen, die auf dem europäischen Markt stattfinden, gelten die neuen Anforderungen, unabhängig von Serverstandort und Unternehmenssitz. Auf Facebook etwa werden dann die europäischen Datenschutzvorgaben ebenso anwendbar sein wie auf die hiesige Deutsche Post und die Schufa. Ob und wie die Vorgaben dann transatlantisch auch durchgesetzt werden können, bleibt abzuwarten.

Wirtschaftspolitisch wird vielfach in den Vordergrund gestellt, dass der Datenschutz zu einem positiven Wettbewerbsfaktor für die europäische Digitalwirtschaft werden könnte. Jedenfalls aber will er den Binnenmarkt vor Marktteilnehmern und Angeboten schützen, die niedrige oder keine Datenschutzvorgaben einhalten.

Veränderung – unterschiedlich stark geschützte Daten

Auch wenn keine Datenverarbeitung per se belanglos ist, wie ein alter datenschutzrechtlicher Glaubenssatz lautet, sind in der DSGVO Persönlichkeitsrechtsgefährdungen durchaus typisiert. Daten von Kindern (Art. 8 DSGVO) und sensitive Daten (Art. 9 DSGV), etwa über die Gesundheit, werden besonders stark geschützt. Riskante Datenverarbeitungen müssen vorab evaluiert werden (Datenschutzfolgenabschätzung, Art. 35 DSGVO).

Aus Verarbeitersicht finden sich durchaus auch Erleichterungen in der DSGVO. So wird die im digitalen Zeitalter anachronistische Schriftform für die Einwilligung (§ 4a Abs. 1 S. 3 BDSG a.F.) abgeschafft. Auch die Möglichkeiten der Selbstregulierung (Art. 40 ff. DSGVO), u.a. über Zertifizierungen (Art. 42 DSGVO), werden ausgeweitet.

Zwar rühmt sich die DSGVO einer Berücksichtigung von kleinen und mittleren Unternehmen (KMU). Dies mag etwa bei manchem Schwellenwert der DSGVO rechtstechnisch auch so sein. Die deutlich erhöhten Dokumentationslasten und Organisationsvorschriften (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO) sind jedoch für große Unternehmen leichter zu erfüllen als für kleinere, sodass im Ergebnis das neue Datenschutzrecht vor allem auf Großunternehmen zugeschnitten ist, die ohnehin professionelle Compliance-Strukturen besitzen.

Eine ganz wichtige und vieldiskutierte Neuerung ist die markante Anhebung des Sanktionsrahmens bis hin in den Bereich von Milliarden von Euro. Auch wenn diese obersten Regionen vor dem Hintergrund des Verhältnismäßigkeitsprinzips kaum der Regelfall werden dürften, werden Verstöße gegen das Datenschutzrecht künftig deutlich fühlbarer sanktioniert werden. Und bei gravierenden Verstößen durch große Unternehmen, also "echte Datenschutzskandale", sind durchaus auch neunstellige Summen für Geldbußen vorstellbar.

Kaum Datenschutzinnovationen

Mit echten Innovationen wartet das neue Datenschutzrecht nur in einigen Nischen auf. So soll ein Recht auf Datenportabilität (Art. 20 DSGVO) den reibungslosen Wechsel von einem Diensteanbieter zum anderen, von einem Sozialen Netzwerk zum anderen ermöglichen. Aus rechtswissenschaftlicher Perspektive neu hieran ist die Übernahme von wettbewerbsrechtlichen Figuren (Interkonnexion) in das Datenschutzrecht.

In der Google-Spain-Entscheidung durch den EuGH (Urt. v. 13.5.2014, Az.: C 131/12) schon richterrechtlich entwickelt worden war das sogenannte Recht auf Vergessenwerden. Dies ist nun als erweiterter Löschungsanspruch in Art. 17 Abs. 2 DSGVO kodifiziert worden; die Friktionen mit dem Medienrecht greift die DSGVO aber nicht auf.

Schließlich kann noch als eine Schein-Innovation das "Profiling" (Art. 22 DSGVO) genannt werden. Hierbei handelt es sich um die bereits in der EG-Datenschutzrichtlinie geregelte "automatisierte Einzelentscheidung" (Art. 15 DSRL; vgl. § 6a BDSG a.F.), die nun allerdings einen griffigeren Namen erhalten hat.

Aufsichtsstruktur – ein neues Behördenmodell

Die Datenschutzbehörden – meist also die Landesdatenschutzbeauftragten – bleiben weiterhin für die Datenschutzaufsicht zuständig. Sie werden nun in ein europäisches Aufsichtsnetzwerk integriert und sind nach der EuGH-Rechtsprechung "völlig unabhängig". Dies bringt besondere Herausforderungen mit sich. Insbesondere die aufsichtsbehördliche Verantwortlichkeit ist schwerer zu verorten – "Datenschutzaufsicht as a Cloud" ist dies genannt worden.

Die "völlige Unabhängigkeit" der Datenschutzbehörden (Art. 52 DSGVO) ist gut bei guten Behörden und schlecht bei schlechten. Das dieses Konzept ein gewisses Spannungsverhältnis zum Demokratieprinzip und vor allem zur in Deutschland hochgehaltenen Ministerverantwortlichkeit als Element der repräsentativen Demokratie hat, liegt auf der Hand. Ob die Aufsicht dadurch politikfern wird oder selbst zu einem (datenschutz-)politischen Akteur, muss sich noch weisen.

Auf der Aufsichtsebene wird die Harmonisierung des Datenschutzes nur halbherzig vollzogen, weil sie weiterhin dezentral bei den Mitgliedstaaten verbleibt. Um gleichwohl eine halbwegs einheitliche Handhabung des Datenschutzrechts in der EU zu gewährleisten, sind die mitgliedstaatlichen Aufsichtsbehörden über einen Europäischen Datenschutzausschuss (Art. 68 DSGVO), einen Kohärenzmechanismus (Art. 60 ff. DSGVO) und das sogenannte One-Stop-Shop-Verfahren (Art. 56 DSGVO) koordiniert. Wie weit dadurch die Behördentätigkeit schwerfälliger wird, bleibt ebenfalls abzuwarten.

Zukunftsperspektive – das Recht reagiert bloß

Die unmittelbare Zukunft des Datenschutzrechts wird geprägt sein von Anpassungen der Unternehmenspraxis und des Fachrechts an die neuen Vorgaben. Wie bei jeder Reform wird es hier und da knirschen und es wird zur einen oder anderen Nachbesserung kommen. Die großen Datenschutzfragen unserer Zeit werden aber nicht allein durch die jetzige EU-Datenschutzreform beeinflusst: Die Überwachung durch Datendienstleister und Soziale Netzwerke ist letztlich eine transatlantische Wirtschaftsfrage und wird handelspolitisch entschieden werden müssen. Und die Überwachung durch Nachrichtendienste ist als den Mitgliedstaaten vorbehaltener Regelungsbereich von vornherein nicht von der DSGVO und der JIRL erfasst.

Die Zukunft des Datenschutzrechts liegt womöglich auch nicht in einer Weiterentwicklung des bürokratischen und auf dem Verbotsprinzip basierenden gegenwärtigen Datenschutzrechts. In der Wissenschaft diskutiert werden Modelle eines gesamthafteren Informationsrechts und eines marktbasierten Datenrechts, in denen die (Aus-)Nutzung von personenbezogenen Daten dann bepreist werden könnte. Das würde diesen Bereich dann auch der Kommerzialisierung eröffnen, womit aber vielleicht auch nur eine faktische Entwicklung nachvollzogen würde.

Nach der Reform ist also vor der Reform - doch hat der Kraftakt DSGVO die Reformkräfte einstweilen erschöpft. Es ist nun mit einer Reformpause von 15 bis 20 Jahren zu rechnen. Genug Zeit also, sich mit dem neuen Datenschutzrecht anzufreunden. Es wird – wie fast alles Recht – Nachhut des Fortschritts bleiben.

Der Autor Prof. Dr. Kai von Lewinski lehrt Öffentliches Recht, Medien- und Informationsrecht an der Universität Passau. Er ist Mitherausgeber eines Lehrbuchs zum Datenschutzrecht und des "Auernhammers", eines Kommentars zur DSGVO und dem neuen BDSG.