R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
Suchmodus: genau  
Header Pfeil
 
 
WRP 2019, I
Böllhoff 

Die Zeitenwende im Datenschutzrecht – Ruhe nach dem „DSGVO-Sturm“?

Abbildung 1

Dr. Cornelius Böllhoff

„Bürokratiemonster“, „Innovationsbremse“, „unkalkulierbares Bußgeldrisiko“ – die Liste der Negativtestate zum neuen europäischen Datenschutzrecht ließe sich beliebig fortsetzen. Doch ist die Aufregung begründet? Könnte der DSGVO vielmehr eine wettbewerbsstärkende Funktion zukommen? Wo müssten – unter Berücksichtigung der praktischen Erfahrungen aus den letzten Monaten – solche Anpassungen vorgenommen werden?

Was wir nach der ersten Beruhigung aufgeregter Reaktionen brauchen, ist ein Mehr an Rechtssicherheit (1.), ein Mehr an Verständnis für die Folgen der Digitalisierung (2.) und ein Mehr an europäischen Lösungen auf aufsichtsbehördlicher Ebene (3.).

1. Vorab: Das Datenschutzrecht ist ein „altes“ Rechtsgebiet. Materiell-rechtlich bestand es über Jahrzehnte nahezu unverändert; spätestens durch das Volkszählungsurteil des BVerfG ist es grundrechtlich geprägt. Unternehmen wie Behörden haben das damalige BDSG mangels Vollzugspraxis und kalkulierbarer Sanktionen wenig beachtet. Das hat sich geändert: Durch die DSGVO und die damit verbundenen Sanktions- und Vollzugsandrohungen hat das Datenschutzrecht an Bedeutung gewonnen. Unternehmen und Behörden haben sich in den vergangenen Monaten – zumindest ansatzweise – auf eine notwendige Sprechfähigkeit vorbereitet, etwa zu den Fragen: Welche personenbezogenen Daten werden für welche Zwecke, durch wen und für wie lange verarbeitet? Wie kann eine Datenschutz-Compliance zu einem Entschlackungsprozess meiner bisher unüberschaubaren Datenverarbeitung führen? Die sich daraus ergebende Transparenzsteigerung war begrüßenswertes Ziel der europaweit einheitlichen Regulierung.

Und dennoch: Viele Rechtsfragen sind ungeklärt. Die Reichweite der Informationspflichten, die Abwägungsentscheidungen bei einer Datenverarbeitung aus berechtigtem Interesse, die Definition von Löschfristen, die zivilrechtlichen Zuordnungsfragen möglicher Datenrechte zum Datenschutzrecht, das Verhältnis zum UWG (zutreffend Köhler, WRP 2018, 1269) sowie die Zuordnung von Verantwortlichkeiten – all diese Fragen bedürfen einer richterlichen Rechtsfortbildung auf mitgliedstaatlicher und europäischer Ebene. Hierfür brauchen wir mutige Unternehmen und Institutionen, die gegen vermehrt zu beobachtende – mitunter praxisferne – Auffassungen von Aufsichtsbehörden gerichtlich vorgehen.

2. Mit den Folgen der Digitalisierung nur schwer vereinbar ist in vielen Bereichen der Grundsatz der Datenminimierung. Ein Weniger an Daten widerspricht gesellschaftlichen Realitäten: Die Digitalisierung erfasst jeden Lebensbereich; sie bewirkt eine Vervielfachung personenbezogener Informationen. Das Recht bildet für diese Prozesse nur dann ein sinnvolles Regulativ, wenn sich rechtssetzende und -anwendende Organe ein grundlegendes Verständnis für Informatik, Big und Smart Data sowie künstliche Intelligenz verschaffen. Hieran fehlt es. Nötig sind zudem umfassende, aufeinander abgestimmte Regelungen im Datenschutz-, ePrivacy- und Zivilrecht, sodass sich langfristig der Bereich eines Digitalisierungsrechts entwickeln kann. Soll sich die DSGVO in diesem Kanon unterschiedlicher Rechtsgebiete – bei allem sinnvollen Wirken als Korrektiv – nicht langfristig zu einem „Innovationskiller“ entwickeln, müssen sich Entscheidungsträger mit sachverständigen Experten austauschen. Ein solcher Austausch ist national und europäisch ausbaufähig.

3. Das führt zum letzten Aspekt, der in der datenschutzrechtlichen Praxis immer deutlicher wird: Die deutschen Aufsichtsbehörden – 18 an der Zahl – müssen europäischer denken. Nationale Lösungen – so sie denn einheitlich zustande kommen – bedürfen der europaweiten Einbettung. Andernfalls bleibt es bei einer „deutschen“, schlimmer noch einer „baden-württembergischen“, „bayerischen“ oder „sächsischen“ DSGVO. Dies wollten die Verordnungsgeber gerade nicht. Die Erfahrung zeigt indes: Die anwaltliche Beratung und Vertretung richtet sich – wie bisher – je nach Bundesland unterschiedlich aus. Einzelne Behördenleiter stellen bereits abgestimmte Beschlüsse der bundesweiten Datenschutzkonferenz öffentlich in Frage; manche Behörden wenden nationale Anpassungsgesetze an, andere halten sie für unionsrechtswidrig. Man würde der Datenschutzkonferenz am liebsten – gerade mit Blick auf jüngste Themen in mancher Entschließung – zurufen: Sagt uns häufiger was geht, und weniger, was nicht geht!

Festzuhalten bleibt: Die Zeitenwende ist in vollem Gange. Die Richtung stimmt, erste Herausforderungen wurden gelöst. Das zweite Datenschutzanpassungsgesetz auf bundespolitischer Ebene mag ein Schritt in die richtige Richtung sein; die grundlegenden Belastungen der DSGVO aber bleiben. Und deshalb bedarf es auch auf europäischer Ebene Anpassungen: Etwa die unpraktikable Reichweite der Informationspflichten (insbesondere gemäß Art. 14 DSGVO) muss neu geregelt werden. All das wird noch dauern. Von den Entscheidungsträgern auf allen Ebenen bleibt zu wünschen: Dass das Datenschutzrecht die Digitalisierung nicht ausbremst, sondern sich mit seinen Vorzügen zum innovationsbegleitenden europäischen Markenkern entwickelt.

RA Dr. Cornelius Böllhoff, Berlin/München

 
stats