Datenschutz-Grundverordnung: "Wichtigster Effekt ist die Aufmerksamkeit"
„Der wichtigste Effekt der Datenschutz-Grundverordnung (DSGVO) ist die enorme Aufmerksamkeit, die der Datenschutz derzeit genießt. Jeder Datenverarbeiter, vor allem wenn er den Datenschutz bisher ignoriert hat, nimmt ihn plötzlich zur Kenntnis und fragt entsetzt, was ihn betrifft und was er tun muss“, so „Forum Privatheit“-Sprecher Prof. Dr. Alexander Roßnagel, Rechtswissenschaftler der Universität Kassel. „Dieser DSGVO-Hype ist ein ideales Betätigungsfeld für alle kompetenten und inkompetenten Berater. Auf ihren Rat hin fordern viele große und kleine Datenverarbeiter von ihren Kunden, Mitgliedern und Geschäftspartnern Einwilligungserklärungen – auch wo dies völlig überflüssig und kontraproduktiv ist.“
Diese Aufregung hängt mit dem zusammen, was wirklich neu in der DSGVO ist. „Erstmals erhalten die Aufsichtsbehörden wirksame Aufsichts- und Sanktionsbefugnisse“, erklärt die Datenschutzbeauftragte von Schleswig-Holstein Marit Hansen, Mitglied im „Forum Privatheit“. „Sie können den Datenverarbeitern Anweisungen erteilen, wie sie datenschutzgerecht vorzugehen haben. Dies kann bis zu einem Verbot der Datenverarbeitung gehen. Bei einem Verstoß gegen Datenschutzvorgaben können sie Sanktionen verhängen, die je nach Schwere des Verstoßes bis zu 20 Millionen Euro oder bis zu 4 % des konzernweiten Vorjahresumsatzes reichen können.“
Für den Datenschutz bringt die DSGVO einige innovative Regelungen. Dies begrüßt der Wirtschaftsinformatiker Prof. Dr. Thomas Hess, Ludwig-Maximilians-Universität München und Mitglied im „Forum Privatheit“: „Hierzu gehört die Ausweitung des räumlichen Anwendungsbereichs. Neben EU-Firmen gilt dieser von nun an auch für alle Datenverarbeiter weltweit, wenn sie – vereinfacht gesagt – personenbezogene Daten von Personen verarbeiten, die sich in der Union aufhalten. Damit wird Wettbewerbsgleichheit vor allem unter den Digitalkonzernen hergestellt, die ihre Dienste auf dem europäischen Markt anbieten.“ Neu sind auch einige Pflichten der Datenverarbeiter wie zur datenschutzgerechten Systemgestaltung und zu datenschutzfreundlichen Voreinstellungen, zur Datenschutz-Folgenabschätzung sowie zu zusätzlichen Dokumentationen. Diese Pflichten gelten allerdings nur unter einigen Vorbehalten.
Die DSGVO stärkt auch die Rechte der betroffenen Person. „Es bleibt zwar überwiegend bei den bekannten Rechten – doch sind diese nun klarer ausgestaltet. Neu ist das Recht, in Plattformen selbst eingestellte Daten in andere Plattformen übertragen zu können. Neu ist auch das Recht auf Beschwerde bei den Aufsichtsbehörden und die Möglichkeit, die Betroffenenrechte durch einen Verband vertreten zu lassen“, so Prof. Dr. Jörn Lamla, Soziologe an der Universität Kassel und Mitglied im „Forum Privatheit“. „Dagegen ist am viel gepriesenen Recht auf Vergessen im Wesentlichen nur die Überschrift neu.“
Ansonsten enthält die DSGVO nicht viel Neues. Sie führt viele Regelungen der bisherigen Europäischen Datenschutzrichtlinie von 1995 fort. Da das deutsche Datenschutzrecht im Wesentlichen der Richtlinie entsprach, sind viele Regelungen der DSGVO mit den bisherigen Datenschutzregelungen vergleichbar. „Wer sich bisher datenschutzkonform verhielt und diese Praxis beibehält, ist gut aufgestellt“, so eine Kernbotschaft der Datenschutzbeauftragten Marit Hansen. „Allerdings wird eingebauter Datenschutz nicht von alleine Realität, wie die Vergangenheit gezeigt hat – wir alle müssen nun Hersteller und Dienstleister zur datenschutzfreundlichen Gestaltung ihrer Angebote drängen.“
Die DSGVO gilt als Verordnung unmittelbar. Sie bewirkt damit, dass sich in der gesamten Union und dem europäischen Wirtschaftsraum alle gleichermaßen an denselben Rechtstext halten müssen. Allerdings sind viele Regelungen so abstrakt, dass sie vielfach nach der jeweiligen Datenschutzkultur ausgelegt werden. Dadurch wird der Text in den einzelnen Mitgliedstaaten und eventuell sogar in verschiedenen Gerichtsbezirken jeweils unterschiedlich interpretiert werden. Bis dies in allen Details durch hochkomplexe Prozesse zur Vereinheitlichung der Datenschutzaufsicht und durch Urteile des EuGH geklärt ist, werden die abstrakten Vorschriften noch Jahre und Jahrzehnte für Rechtsunsicherheit sorgen.
Die DSGVO geht deutschem Recht vor, soweit dieses der Verordnung widerspricht. Allerdings enthält die DSGVO 70 Öffnungsklauseln, nach denen die Mitgliedstaaten eigenes und damit unterschiedliches Recht setzen oder beibehalten dürfen. „Aufgrund dieser Öffnungsklauseln gibt es klare Defizite bei der Vereinheitlichung des Datenschutzrechts in der Union “, erläutert Roßnagel. „Deutschland jedenfalls hat die Öffnungsklauseln bisher dafür benutzt, um das deutsche Datenschutzrecht in vollem Umfang beizubehalten. Änderungen hat es nur vorgenommen, um die Datenverarbeitung zu erleichtern und die Rechte der betroffenen Person gegenüber der DSGVO einzuschränken. Diese Ko-Regulierung des Datenschutzrechts durch die Europäische Union und die Mitgliedstaaten macht das Datenschutzrecht unübersichtlich und kompliziert. Im Ergebnis regelt die DSGVO tatsächlich nur den Bereich der privaten Wirtschaft, während der öffentliche Bereich weiterhin durch das deutsche Datenschutzrecht geprägt wird.“
„Unterentwickelt ist die DSGVO, soweit es um den Grundrechtsschutz gegenüber den neuen und zukünftigen Herausforderungen der technischen Entwicklung – wie etwa Big Data, künstliche Intelligenz, selbstlernende Systeme, Cloud Computing, Suchmaschinen, Netzwerkplattformen, Kontexterfassung, Internet der Dinge – geht. Sie hat keine der absehbaren Herausforderungen risikoadäquat geregelt. Dieses Manko muss baldmöglichst beseitigt werden“, so Dr. Michael Friedewald, Wissenschaftler am Fraunhofer-Institut für System- und Innovationsforschung ISI und „Forum Privatheit“-Koordinator.
Im Forum Privatheit setzen sich Expertinnen und Experten aus sieben wissenschaftlichen Institutionen interdisziplinär, kritisch und unabhängig mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert. Weitere Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein. Das BMBF fördert das Forum Privatheit, um den öffentlichen Diskurs zu den Themen Privatheit und Datenschutz anzuregen.
Sprecher „Forum Privatheit“:
Prof. Dr. Alexander Roßnagel
Universität Kassel
Projektgruppe verfassungsverträgliche Technikgestaltung (provet)
Wissenschaftliches Zentrum für Informationstechnik-Gestaltung (ITeG)
Tel: 0561/804-3130 oder 2874
E-Mail: a.rossnagel[at]uni-kassel[dot]de