JuWiss-Schwerpunktwoche zum Datenschutzrecht
Mit der DSGVO wird eine neue europäische Datenschutz-Vision geschaffen. Das modernisierte europäische Regelungssystem fußt auf der Erkenntnis, dass Datentransfers an nationalen Grenzen nicht Halt machen, sodass – wie auch beim Umweltschutz oder der Finanzmarktregulierung – einheitliche, staatenübergreifende Regelungen erforderlich sind. Bevor jedoch diese Vision Realität wird, sind nationale Illusionen und Fiktionen hinter sich zu lassen und das Interesse der Betroffenen als neuer Datenschutzmaßstab zu akzeptieren. Verspielen kann die Vision vom global ausstrahlenden europäischen Datenschutzstandard lediglich eine „Nationalstaat First“-Mentalität.
Vision
Mit dem Inkrafttreten der DSGVO wird der Datenschutz für die ganze EU harmonisiert und die DSRL sowie das BDSG aF in weiten Teilen ersetzt. Europa hat es versäumt, im globalen Wettbewerb seine Technikexpertise auszubauen und wird im Wettkampf um Innovation und Design zumeist von den USA und beim Preis von Asien abgehängt. Die DSGVO ist deshalb als Kampfansage zu verstehen, die durch Datenschutz den digitalen europäischen Markt wieder kompetitiv machen will.
Uns umgibt eine Big-Data-Welt, in der das Internet der Dinge durch das Füttern von Algorithmen mit unseren Daten zu einer allgegenwärtigen Datenverarbeitung führt – zumeist ohne unser Wissen. Schafft es das neue harmonisierte europäische Datenschutzrecht, diese Herausforderungen einzuhegen und weiterhin für Innovation und Fortschritt offen zu sein, kann die Vision eines digitalen Europas durch Datenschutz gelingen. Entscheidend dürfte sein, ob es auch beim Datenschutz zum sog. Brussels effect kommt und eine Standardsetzung über die geografischen Grenzen der EU hinaus erfolgt und die DSGVO zum globalen Vorbild wird.
Bevor jedoch diese Vision Realität wird, müssen nationale Illusionen und Fiktionen zurückgelassen und das Interesse der Betroffenen als neuer Datenschutzmaßstab akzeptiert werden.
Illusion
Die deutsche Rechtswissenschaft unterliegt in weiten Teilen der Illusion, dass das vom BVerfG entwickelte Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. 1 Abs. 1 GG und dessen Forcierung der Einwilligung mit dem Recht auf Schutz personenbezogener Daten gem. Art. 8 GRCh und Art. 16 AEUV gleichgesetzt werden kann.
Dies verkennt aber, dass das Unionsrecht eine autonome Rechtsordnung darstellt. Die autonom unionsrechtliche Interpretation erfordert, dass die Institute und Begriffe nicht unter Rückgriff auf nationale Rechtsordnungen bestimmt werden dürfen, selbst dann nicht, wenn sich diese im nationalen Recht sinngemäß wiederfinden lassen oder sogar nach seinem Vorbild modelliert worden sind. In diesem Zusammenhang wurde schon zur DSRL festgestellt, dass eine, sei es nur tendenziell nationalisierte Interpretation im Ergebnis die supranationale Regelung renationalisiert und sie so um ihren Zweck bringt: gemeinsame, von gemeinsamen Vorstellungen und Zielen gesteuerte Vorschriften durchzusetzen (Simitis, NJW 1997, 281). Was für die Datenschutz-Richtlinie gilt, sollte erst Recht für die Verordnung mit unmittelbar anwendbaren Regelungen (Art. 288 Abs. 2 AEUV) gelten. Soll die bereits unter der DSRL „grundsätzlich umfassende Harmonisierung“ fortgesetzt werden, um die im Datenschutz bestehenden Unterschiede zwischen den Mitgliedstaaten weiter zu verringern und hierdurch das Doppelziel aus Datenschutz und der Ermöglichung des freien Datenverkehrs (Art. 1 Abs. 1 DSGVO) zu erreichen, muss eine autonome Auslegung der DSGVO vor dem Hintergrund des europäischen Primärrechts unbedingt beherzigt werden.
Art. 8 Abs. 1 GRCh und Art. 16 Abs. 1 AEUV gewährleisten gemeinsam als Datenschutzgrundrecht den normativen Rahmen, in dem das datenschutzrechtliche Sekundärrecht der Union entwickelt wird. Auch wenn die EuGH–Judikatur zum Datenschutz noch nicht gänzlich ausdifferenziert ist, zeichnet sich ab, dass sich die EuGH-Rechtsprechung von der „Glorifizierung“ der Einwilligung frei macht und eine Abwägung und den ihr zugrunde liegenden Fairness-Gedanken forciert (bspw. ASNEF/FECEMD). In der Entscheidung Digital Rights Ireland formuliert der EuGH erstmalig den eigenständigen Wesensgehalt für Art. 8 GRCh, der besagt, dass bestimmte Grundsätze des Datenschutzes und der Datensicherheit einzuhalten sind und insoweit „geeignete technische und organisatorische Maßnahmen getroffen werden [müssen], um die Daten gegen zufällige oder unrechtmäßige Zerstörung sowie zufälligen Verlust oder zufällige Änderung zu schützen.“ Ein Betroffenen-Kontrollrecht, so wie es das BVerfG vorsieht, ist daher nicht Kern des europäischen Datenschutzes. Das bedeutet aber nicht, dass sich der europäische Datenschutz in die falsche Richtung entwickelt.
Fiktion
Denn gerade die Einwilligung ist kritisch zu bewerten. Die gesetzliche Grundidee der Einwilligung, dass die Einzelnen ihre Entscheidung selbstbestimmt treffen, mag nobel sein, ist aber auch mit den ihnen zur Verfügung stehenden Informationsrechten nur schwer umzusetzen. In der Praxis kann oft nicht festgestellt werden, dass die Einwilligung der Betroffenen auf einer bewussten, freien und informierten Entscheidung beruht. Daher ist es nicht übertrieben, von einer „Fiktion“ der Einwilligung auszugehen, denn in der alltäglichen Datenverarbeitung erschöpfen sich die rechtlichen Wirksamkeitsvoraussetzungen in einem Formalismus vorformulierter Einwilligungsklauseln. Festzustellen ist zudem ein passives Verhalten der Mehrheit der Betroffenen in datenschutzrechtlichen Fragen, aus Überforderung, Unkenntnis oder Nachlässigkeit.
Im starken Kontrast dazu steht allerdings das „Traumbild“ des mündigen und interessierten Betroffenen, der die Vorstellungsgrundlage derer bildet, die sich für eine Ausweitung und Aufwertung der Einwilligung stark machen. Solange es sich allerdings um ein „Traumbild“ handelt, führt dies zu einem Kontrollverlust, ausgelöst durch das „Informationsparadox“ und die zunehmende Kommerzialisierung personenbezogener Daten.
Dem versucht die DSGVO entgegenzuwirken, indem sie die Rechte der Betroffenen gem. Art. 12-22 DSGVO ausweitet. Diese bieten allerdings überwiegend repressiven Schutz, sodass primär Schadensbegrenzung und nicht die Verhinderung auf Seiten der Betroffenen erreicht wird.
Interesse der Betroffenen!
Effektiver und gleichzeitig präventiver Datenschutz wird hingegen über einen verstärkten accountability-Ansatz gem. Art. 5 Abs. 2 iVm Art. 24 DSGVO gewährleistet, der den Verantwortlichen intensiver als bisher verpflichtet. Die Betroffenen werden aufgefordert, in die verordnungsgemäße Datenverarbeitung zu vertrauen. Dieses Vertrauen wird durch gewisse Mechanismen abgesichert und der Verantwortliche hat seine Rechenschaftspflichten im Interesse der Betroffenen zu erfüllen. Darauf basierend können z.B. Datenverarbeitungen gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO gerechtfertigt, data protection by design und by default gem. Art. 25 DSGVO entwickelt sowie Datenschutz-Folgeabschätzungen gem. Art. 35 DSGVO vorgenommen werden. Präventiv wird somit gewährleistet, dass ein hohes europäisches Datenschutzniveau sichergestellt wird. Insbesondere die Sanktionen mit empfindlichen Geldbußen gem. Art. 83 DSGVO sind Anreiz zum Agieren im Interesse der Betroffenen.
Zudem wurden die Aufgaben und Befugnisse (Art 57 f. DSGVO) der unabhängigen Aufsichtsbehörden ausgebaut und mit der regulierten Selbstregulierung der Verhaltensregeln (Art. 40 f. DSGVO) und der Zertifizierung (Art. 42 f. DSGVO) weitere Anreize geschaffen, einen verfahrensgemäßen präventiven Datenschutz zu etablieren. Greifen diese Instrumente, ist ein Rückgriff auf die „fiktive“ Einwilligung größtenteils überflüssig.
Sowohl die Rechtsprechung des EuGH als auch die DSGVO stehen für ein in vielen Bereichen grundlegend neues europäisches Regelungssystem, dass dem grenzenlosen Internet und den modernen Datenverarbeitungen gerecht wird. Mit der Forcierung des berechtigten Interesses und der Verantwortungsübertragung auf den Verantwortlichen geht eine Kontrollverschiebung einher, die von den involvierten Akteuren gewürdigt werden sollte; dies ist auch zu ihrem eigenen Vorteil im Sinne der europäischen Datenschutz-Vision.
Zitiervorschlag: Regenhardt, DSGVO = Vision, Illusion oder Fiktion? Interesse der Betroffenen!, JuWissBlog Nr. 52/2018 v. 289.5.2018, https://www.juwiss.de/51-2018/
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.