R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
 
 
BB 2017, I
Specht 

Mit der Datenschutzgrundverordnung und dem Datenschutz-Anpassungs- und Umsetzungsgesetz in ein Zeitalter technisch-infrastruktureller Privatheit?

Abbildung 1

Als Verordnung gilt die Datenschutzgrundverordnung (DSGVO) ab dem 25.5.2018 in allen Mitgliedstaaten unmittelbar. Sie soll zu einer weitreichenden Harmonisierung des Datenschutzrechts führen, allerdings erlaubt es eine Reihe sogenannter Öffnungsklauseln den Mitgliedstaaten, Regelungen auszufüllen, zu konkretisieren oder Ausnahmevorschriften zu den Vorgaben der DSGVO zu erlassen. Diese Öffnungsklauseln geben dem nationalen Gesetzgeber einerseits fakultative Gestaltungsspielräume an die Hand, an anderer Stelle aber legen sie ihm ebenso obligatorische Ausfüllungspflichten auf (vgl. hierzu eingehend: Kühling/Martini et al., Die DSGVO und das nationale Recht, 2016, S. 1, 9 ff.). Das Bundeskabinett hat nun am 1.2.2017 das Datenschutz-Anpassungs- und Umsetzungsgesetz beschlossen, das diese Gestaltungsspielräume nutzen und den Ausfüllungspflichten nachkommen soll.

Es enthält im Gegensatz zu der etwas kürzeren Vorfassung 85 teils sehr komplexe Paragraphen und arbeitet mit einer Vielzahl an Verweisen, was das Verständnis des Regelwerkes nicht unerheblich erschwert. Andererseits umgeht der Gesetzestext damit die Probleme, die sich bei einer Übernahme der Regelungen der Datenschutzgrundverordnung in das nationale Recht ergeben würden. Denn zum einen ist die “Umsetzung” eines ohnehin unmittelbar geltenden Verordnungstextes widersinnig, zum anderen könnten durch die Übernahme der DSGVO in ein Umsetzungsgesetz sprachliche Abweichungen oder Ungenauigkeiten zu Unsicherheiten im Umgang mit den Regelungen führen.

Das Datenschutz-Anpassungs- und Umsetzungsgesetz füllt aber nicht nur die Öffnungsklauseln der DSGVO, sondern setzt auch die EU-Datenschutz-Richtlinie 2016/680 im Bereich Polizei und Justiz um. Lediglich die §§ 1–44 (einschließlich) betreffen die Datenschutzgrundverordnung.

Relevant sind dabei insbesondere Teil 1 (Gemeinsame Vorschriften) und Teil 2 (Durchführungsbestimmungen für die Verarbeitung zu Zwecken des Art. 2 DSGVO) des Datenschutz-Anpassungs- und Umsetzungsgesetzes. Neben Rechtsgrundlagen für die Verarbeitung und Übermittlung personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen sowie Regelungen für besondere Verarbeitungssituationen (z. B. Datenverarbeitungen im Beschäftigtenverhältnis, zu Forschungs- oder auch Archivzwecken) sind unter Kapitel 2 vor allem die “Rechte der betroffenen Person” normiert. Tatsächlich enthalten die hier vorgesehenen Regelungen aber Einschränkungen der durch die Datenschutzgrundverordnung garantierten Betroffenenrechte, die bereits heftig kritisiert werden (vgl. etwa die Pressemitteilung der unabhängigen Datenschutzbehörden der Länder vom 1.2.2017, abrufbar unter: http://www.lda.brandenburg.de/sixcms/detail.php/bb1.c.478436.de). Ausnahmen von den Betroffenenrechten durch Rechtsvorschriften der Mitgliedstaaten sind zwar nach Art. 23 DSGVO grundsätzlich möglich, dies jedoch nur unter engen Voraussetzungen. Ob diese Anforderungen des Art. 23 DSGVO in jedem durch das Datenschutz-Ausführungs- und Umsetzungsgesetz vorgesehenen Fall tatsächlich eingehalten sind, erscheint zumindest fraglich.

Es darf aber auch ganz allgemein darüber nachgedacht sein, ob durch Verzicht auf derartige Ausnahmebestimmungen nicht ein sinnvoller Anreiz für die datenerhebenden Stellen dazu gesetzt werden könnte, vermehrt technische Lösungen zur Umsetzung der Betroffenenrechte zu entwickeln. Die automatisierte Bearbeitung von Löschungs- oder Auskunftsanfragen ist hierbei sicherlich nur eine simplifizierende Lösungsoption und möglicherweise auch nicht für jeden Einzelfall denkbar. Die Technik eröffnet dem Recht aber jedenfalls im Grundsatz alternative Handlungsmöglichkeiten zu einer ohne derartige technische Lösungen im Interesse einer nicht ausufernden Beeinträchtigung der Handlungsfähigkeit der datenerhebenden Stelle erforderlich erscheinenden Einschränkung der Betroffenenrechte.

Dem “technischen Datenschutz” wird zukünftig eine ganz erhebliche Rolle zukommen, was u. a. dadurch zum Ausdruck kommt, dass die Datenschutzgrundverordnung ihn an mehreren Stellen explizit adressiert, so beispielsweise bei der Vorgabe einer Herstellung von “privacy by design” und “privacy by default” in Art. 25 DSGVO. Die Technik vermag dem Datenschutz dabei vor allem dort aus der Bredouille zu verhelfen, wo die Einwilligungslösung an ihre Grenzen stößt, weil die für die Einwilligung erforderliche Informationsvermittlung nicht mehr gelingt.

Technische Voreinstellungen, die den Grundsatz der Datensparsamkeit (künftig: Datenminimierung, Art. 5 Abs. 1 lit. c) DSGVO) gewährleisten, die intendierte Datennutzung detailliert aber verbildlicht und damit verständlicher als in Textform darstellen und eine Einwilligung in diese Datennutzung an die Änderung der technischen Geräteeinstellungen knüpfen, sind nur einige von vielen Beispielen, in denen die Technik dem Datenschutz unter die Arme greifen könnte.

Technische Verfahrenslösungen für die Wahrnehmung von Betroffenenrechten könnten ein weiterer wichtiger Anwendungsbereich sein. Insgesamt benötigt der Datenschutz im Zeitalter der Digitalisierung wohl mehr als alles andere die Ausgestaltung einer technischen Infrastruktur der Privatheit.

Prof. Dr. Louisa Specht hat am 1.1.2017 den neu geschaffenen Lehrstuhl für Europäisches und Internationales Daten- und Informationsrecht an der Universität Passau übernommen. Zu ihren Forschungsschwerpunkten zählen vor allem das Internet- und das Medienrecht, das Urheber- und Kunsturheberrecht, der Gewerbliche Rechtsschutz, das Bürgerliche Recht sowie das Persönlichkeits- und Datenschutzrecht.

 
stats