Datenschutz-Grundverordnung – Alle Zielsetzungen werden verfehlt

PrintMailRate-it

veröffentlicht am 7. Februar 2018

 

Am 25. Mai 2018 ist es soweit: Dann gilt die Datenschutz-Grundverordnung (DSGVO) unmittelbar in der gesamten Europäischen Union. Zugleich tritt das alte Bundesdatenschutzgesetz (BDSG) außer und ein neues in Kraft. Formal wird sich also alles ändern. Was heißt das aber für die Praxis?

Prof. Dr. Alexander Roßnagel kommentiert

Prof. Dr. Alexander Roßnagel ist Universitätsprofessor für „Öffentliches Recht” mit dem Schwerpunkt „Recht der Technik und des Umwelt­schutz­es” an der Universität Kassel. Er ist wissenschaftlicher Leiter der „Projektgruppe ver­fassungs­verträgliche Technik­gestaltung (provet)” und Direktor des wissen­schaftlichen Zentrums für Informations­technik-Gestaltung (ITeG). Zudem ist er Sprecher des Forums „Privatheit und selbst­bestimmtes Leben in der digitalisierten Welt”. Von 2003 bis 2011 war er Vizepräsident der Universität Kassel. Prof. Dr. Alexander Roßnagel führt zahlreiche Forschungs­projekte zum Grund­rechts­schutz in der digitalen Gesell­schaft und zur verfassungs­ver­träg­lichen Technikgestaltung durch. Daneben ist er Autor diverser Publikationen. Zuletzt war er Herausgeber der Ver­öffentlichung „Das neue Datenschutzrecht – Europäische Datenschutz-Grundverordnung und deutsche Daten­schutz­gesetze” (erschienen im Nomos Verlag 2018, ca. 477 S.).

 

Die DSGVO führt viele Regelungen der bisherigen Europäischen Datenschutzrichtlinie von 1995 fort. Da das deutsche Datenschutzrecht der Richtlinie entsprach, bleibt dessen Grundansatz erhalten und viele Regelungen der DSGVO sind mit denen des bisherigen Datenschutzes vergleichbar. Neu ist die Ausweitung des räumlichen Anwendungsbereichs durch das Marktortprinzip. Die DSGVO gilt also für die Verarbeitung personenbezogener Daten aller Personen, die sich in der Union aufhalten. Neu sind auch einige Pflichten der Datenverarbeiter, wie die datenschutzgerechte Systemgestaltung und datenschutzfreundliche Voreinstellungen, die Datenschutzfolgenabschätzung sowie zusätzliche Dokumentationspflichten. Diese Pflichten gelten allerdings unter vielen Vorbehalten. Hinzu kommt der Versuch, durch etliche verfahrensbezogene Regelungen den Vollzug des Datenschutzrechts in der Union zu vereinheitlichen. Für Verstöße gegen die Verordnung drohen künftig drastische Sanktionen: bis zu 20 Mio. Euro oder im Fall eines Unternehmens bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.
 

 

Mit der DSGVO verfolgt die EU 3 Zielsetzungen: Sie will zum einen das Datenschutzrecht unionsweit vereinheitlichten, zum anderen eine einheitliche Datenschutzpraxis erreichen und dadurch gleiche Wettbewerbsbedingungen bieten und zudem den Datenschutz angesichts der Herausforderungen der technischen Entwicklung modernisieren sowie den Schutz der Grundrechte verbessern. Sie wird jedoch alle 3 Zielsetzungen verfehlen:
 

Für eine Vereinheitlichung des Datenschutzrechts ist die DSGVO zu abstrakt und zu unterkomplex. Sie will in 51 Artikeln des materiellen Datenschutzes alle Datenschutzprobleme in allen Gesellschafts-, Wirtschafts- und Verwaltungsbereichen regeln. Dieser Ansatz unterschätzt die enorme Komplexität des Regelungsbedarfs. Er beseitigt die Vielfalt und Differenzierung bisheriger Regelungen und erzeugt dadurch große Rechtsunsicherheit. Im Gesetzgebungsprozess wurden diese Defizite erkannt und 70 Öffnungsklauseln eingebaut. Sie erlauben den Mitgliedstaaten eigenständige Regelungen. Dadurch können sie zwar die notwendige Komplexität und Detaillierung der Vorgaben erreichen, um ausreichende Rechtssicherheit zu gewährleisten, ein einheitliches Datenschutzrecht in der Union ist so aber nicht zu erreichen. Für eine unionsweit gleiche Praxis des Datenschutzes bedarf es der konkreten Regulierung spezifischer Datenschutzprobleme. Ansonsten werden die hoch abstrakten Vorgaben, je nach bisheriger Datenschutzkultur, von Mitgliedstaat zu Mitgliedstaat unterschiedlich konkretisiert – mit der Folge unterschiedlicher Datenschutzpraktiken. Nur da, wo die Aufsichtsbehörden aller Mitgliedstaaten sich auf konkrete Vorgaben einigen können, besteht die Chance einheitlicher Praxislösungen. Allein mit der DSGVO kann keine Wettbewerbsgleichheit geschaffen werden.
 

Auch eine Modernisierung des Datenschutzrechts hat die Verordnung versäumt. In keiner Regelung werden die spezifischen Grundrechtsrisiken moderner IT, z.B. smarte Informationstechniken im Alltag, künstliche Intelligenz, selbstlernende Assistenzsysteme, Big Data, Cloud Computing oder datengetriebene Geschäftsmodelle, angesprochen oder gar gelöst. Die gleichen Zulässigkeitsregeln, Zweckbegrenzungen oder Rechte der betroffenen Person gelten für die Kundenliste beim „Bäcker um die Ecke” ebenso wie für die risikoreichsten Formen der Datenverarbeitung in Weltkonzernen und mächtigen Behörden. Insofern zeichnet sich die DSGVO durch eine Risikoneutralität bezogen auf Grundrechtsgefährdungen betroffener Personen aus.
 

Im Ergebnis führt die DSGVO nicht zu einem praxisrelevanten, einheitlichen und risikogerechten Datenschutzrecht, sondern zu einer von Mitgliedstaat zu Mitgliedstaat unterschiedlichen Ko-Regulierung des Datenschutzes zwischen Union und Mitgliedstaaten. Dadurch kommt den nationalen Gesetzgebern besondere Verantwortung zu. Allerdings hat der deutsche Gesetzgeber mit dem neuen BDSG die Chance vertan, die Regelungen der Verordnung risikogerechter zu gestalten und zu präzisieren.

Entrepreneur per E-Mail

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu