Zwischen Untergangsstimmung und Fortschrittsglaube: Eine Zwischenbilanz zur DS-GVO
...im Gespräch mit Dr. Cornelius Böllhoff.
Ob ein Zustand als utopisch oder dystopisch eingeordnet wird, ist stets subjektiv, und bei der informationellen Selbstbestimmung scheiden sich die Geister besonders. Informationelle Selbstbestimmung meint das Recht, selbst über die Erhebung und Verwendung persönlicher Daten entscheiden zu können (so erstmals das Bundesverfassungsgericht in seinem Volkszählungsurteil im Jahr 1983).
Der Historiker Yuval Noah Harari prägte in den letzten Jahren den Begriff des Dataismus. Dieser kann als eine Art Philosophie verstanden werden, die den ungehemmten Fluss sämtlicher Daten als Ideal versteht. Der Mensch selbst tritt dahinter zurück, wird vielmehr Mittel zum Zweck eines allumfassenden Datenpools. Damit könnte dieses Weltbild folglich nur dann mit der informationellen Selbstbestimmung einhergehen, wenn jeder all seine Daten in das System selbstbestimmt einspeisen würde. Hiermit ist nicht zu rechnen, sodass in den Augen des Dataismus eine umfassende informationelle Selbstbestimmung als Dystopie aufgefasst werden dürfte. Die EU hingegen sieht das bis dato anders: gesellschaftlich wie politisch wird ein hohes Maß an informationeller Selbstbestimmung angestrebt. Choice of weapon? Die DS-GVO.
Die Datenschutzgrundverordnung ist im Mai 2016 in Kraft getreten, ihre Vorgaben mussten von Verarbeitern europäischer Daten bis Mai 2018 umgesetzt werden. Ihre Wirkung aber geht über die europäischen Grenzen hinaus: Durch den sogenannten „Brussels Effect“ profitiert mittelbar etwa auch die kalifornische Facebook-Nutzerin von den strengen europäischen Regeln. Denn für die Unternehmen ist es leichter, die strengsten Maßstäbe zum Grundsatz zu machen. Damit entsprechen sie automatisch auch weniger rigiden Regelwerken.
Diese allgemeinen Gedanken zur Thematik vorausgeschickt, unterstellen wir zum Zwecke dieses Interviews eine umfassende informationelle Selbstbestimmung als Utopie. Wir möchten herausfinden, inwieweit die DS-GVO hierfür das richtige Instrument ist, ob sie für Unternehmer apokalyptische Auswirkungen hat und ob der „accept all cookies“-Button überhaupt einen Mehrwert bringt.
Dr. Cornelius Böllhoff ist Partner der Sozietät Redeker Sellner Dahs und beschäftigt sich schwerpunktmäßig mit Datenschutz- und Digitalisierungsrecht, wobei er bereits Grundsatzverfahren vor dem EuGH begleitet hat. Ihm durften wir unsere Fragen stellen.
Rechtverblüffend: Lieber Herr Dr. Böllhoff, vielen Dank für Ihre Zeit! Den Aufsichtsbehörden werden in Art. 58 DS-GVO weitreichende Befugnisse übertragen, nach Art. 83 II 1 DS-GVO zudem das Recht zur Verhängung von Bußgeldern. Der Bundesdatenschutzbeauftragte Ulrich Kelber bemängelt jedoch eine Überlastung dieser Behörden und mangelnde Ausstattung zur Überwachung der Vorschriften. Wie sieht es denn tatsächlich mit der praktischen Umsetzung und Durchsetzung der Vorgaben der DS-GVO aus?
Dr. Cornelius Böllhoff: Es sieht immer besser aus. Von einer Untätigkeit der Datenschutzbehörden kann keine Rede sein. Bußgelder werden immer häufiger verhängt, Anordnungen und Verbote werden erlassen. Jetzt wird es entscheidend darauf ankommen, dass die hoheitlichen Maßnahmen auch gerichtlich überprüft werden. Viele Vorschriften der DS-GVO sind unklar, vieles bedarf der Präzisierung, manches vielleicht der richterlichen Rechtsfortbildung. Was die Frage der Ausstattung der Aufsichtsbehörden in Deutschland betrifft, stehen wir in Deutschland gar nicht so schlecht da: Im letzten Jahr hat der Europäische Datenschutzausschuss (EDPB) Zahlen vorgelegt. Danach haben die deutschen Aufsichtsbehörden – also der Bundesdatenschutzbeauftragte und die 18 Landesbehörden – im europäischen Vergleich zwar die höchste Arbeitsauslastung, zugleich aber auch die größten personellen und finanziellen Ressourcen. Der Bericht zeigt, dass manche deutschen Aufsichtsbehörden dies immer besonders empfindlich beklagen: Trotz vergleichsweise hoher Budgets und jährlich aufgestockter Mittel haben die hiesigen Behörden angegeben, ihre Aufgaben kaum noch adäquat wahrnehmen zu können. Insoweit gibt es, da hat Herr Kelber sicher recht, ein gewisses Vollzugsdefizit. Die letzten drei Jahre waren geprägt von unvorhersehbaren Krisen, etwa dem Brexit oder der Corona-Pandemie – beide Ereignisse mit weitreichenden Folgen für den Datenschutz und die Informationsfreiheit. Das hat viele Ressourcen gebunden.
Rechtverblüffend: Die für juristische Laien auffälligste Neuerung war wohl die stete Information um Cookies auf Internetwebseiten, um die Rechtmäßigkeit der Datenverarbeitung durch eine Einwilligung i.S.d. Art. 6 I lit. a DS-GVO zu gewährleisten. Praktisch werden die meisten Anfragen genervt weggedrückt. Hat sich die DS-GVO damit zumindest in dieser Hinsicht als zahnloser Tiger erwiesen? Und ist dies ein Versagen des Gesetzgebers, oder der lesefaulen Userinnen und User?
Dr. Cornelius Böllhoff: Cookies sind heute aus vielen Bereichen des eCommerce nicht mehr wegzudenken. Sie sind unverzichtbar, in der Sache eigentlich aber kein lästiges Ärgernis, sondern ihrerseits Ausfluss eines grundlegenden Prinzips – der datenschutzrechtlichen Souveränität – und damit unmittelbarer Ausdruck des grundrechtlich verbrieften Gedankens, dass der Einzelne über die Verwendung seiner Daten souverän entscheiden können soll. Dem Nutzer muss aber eine echte Wahl gelassen werden. Das ist häufig nicht der Fall – und da mag ein Vollzugsdefizit bestehen. Ganz unabhängig von dieser Einzelfrage wäre es aber dennoch sinnvoll, dass sich die Betroffenen mit den Datenschutzhinweisen beschäftigen, sich also entscheiden können (und auch wollen), ob man die Datenverarbeitung in die eine oder in die andere Richtung möchte. Dass in der Flüchtigkeit der Digitalisierung hierüber oft hinweggegangen wird, wenngleich es den Bürgerinnen und Bürgern auf Datenschutz ankommt, wird vielfach als „Privacy-Paradox“ bezeichnet.
Rechtverblüffend: Mit ein Grund für die geradezu apokalyptische Furcht vor der DS-GVO war die Sorge vor Abmahnwellen. Nach Art. 80 II DS-GVO können insbesondere auch Dritte, die selbst überhaupt nicht betroffen sind, abmahnen. Hat sich diese Sorge bewahrheitet, wurde die DS-GVO damit kommerzialisiert?
Dr. Cornelius Böllhoff: Die Sorge war unbegründet. Zwar gab es einige Verfahren, insbesondere mit Blick auf rechtswidrige Cookie-Banner, die Sie oben bereits angesprochen haben. Dass hiermit einige „Trittbrettfahrer“ versucht haben, die Sorge vor aufsichtsbehördlichen Verfahren zu Geld zu machen, war aber eine Randerscheinung.
Die Themen werden bald vom EuGH geklärt: Der BGH hat ein laufendes Verfahren (I ZR 186/17) ausgesetzt und dem EuGH die Frage vorgelegt, ob Verbraucherschutzzentralen gerichtlich gegen Datenschutzverstöße vorgehen können. Es wird auch eine Entscheidung zu der Frage erwartet, ob ein Unternehmen Mitbewerber wegen Verstößen gegen die DS-GVO abmahnen kann. Diskutiert wird das schon seit langem; eine einheitliche Rechtsprechung gibt es bisher noch nicht.
Rechtverblüffend: Die DS-GVO richtet sich an alle Datenverarbeitenden, von Technologie-Giganten wie Amazon, Facebook und Google bis hin zu Kleinstunternehmen und Vereinen. Ist das wünschenswert oder resultiert dies nicht in einer Überforderung der kleinen Unternehmen, während vor allem die großen Konzerne in der Lage sind, umfassende Datenprofile anzulegen? Letztere sind auch Adressaten des Kartellrechts, das über den Tatbestand des Marktmachtmissbrauchs zu vergleichbaren Sanktionen führen kann – vor allem zu umsatzbezogenen Bußgeldern (4% des Jahresumsatzes bei der DS-GVO, 10% im Kartellrecht). Wie verhalten sich diese Instrumente zueinander?
Dr. Cornelius Böllhoff: Auch ein kleines Unternehmen kann sensible Daten verarbeiten, auch durch einen Verein können empfindliche Datenschutzverstöße verursacht werden. Die DS-GVO gilt umfassend – und dennoch: Manche Instrumente einer Datenschutz-Compliance überfordern den Mittelstand, Start-Ups, zivilgesellschaftliche Organisationen, aber auch kleinere Behörden, etwa auf kommunaler Ebene. Hier brauchen wir bei der Rechtsanwendung Augenmaß, bei der Fortentwicklung der DS-GVO zukünftig weitreichendere Ausnahmen für kleinere Unternehmen. Eine “Daten-Sprechfähigkeit” - also Antworten auf die Fragen, welche Daten verarbeite ich für welche Zwecke und für wie lange, an wen lege ich Daten offen – muss aber auch eine kleine Arztpraxis entwickeln. Das Thema gehört auf jede unternehmens- und behördenpolitische Agenda, übrigens auch das Thema IT-Sicherheit. Das halte ich vom Regelungsansatz her für richtig.
Was die weltweit agierenden Konzerne mit einer erheblichen Datenmacht betrifft: Datenschutz- und Kartellrecht wirken gemeinsam, flankieren sich also. Die regulatorische Zange ist hier deutlich enger. Auch das ist zu begrüßen, vor allem mit Blick auf zukünftige europäische Instrumente der Regulierung der Digitalwirtschaft (Digital Services Act, Digital Markets Act). Gerade letzteres (das Gesetz über digitale Märkte) wird eine Reihe eng definierter objektiver Kriterien für die Einstufung großer Online-Plattformen festlegen. Das Regelungs- und das Bußgeldregime der DS-GVO wird daneben weiter wichtig sein, um auf die eigentliche Datenverarbeitung bezogene Sachverhalte zu regulieren und zu ahnden. Im Ergebnis wird sich hierdurch auf europäischer Ebene mehr und mehr ein Datenrecht und ein Recht der Digitalisierung entwickeln, in dessen Kanon die DS-GVO nur ein Baustein ist, wenn auch ein zentraler.
Rechtverblüffend: Die DS-GVO kennt durchaus Möglichkeiten, Unternehmen den Umgang mit ihr zu erleichtern. Namentlich Art. 40 und 42 DS-GVO ermöglichen der Kommission sowie Mitgliedstaaten und Aufsichtsbehörden die Einführung von Verhaltensregeln und Zertifizierungen. Wird hiervon ausreichend Gebrauch gemacht?
Dr. Cornelius Böllhoff: Noch nicht beziehungsweise viel zu wenig. Wir haben bei Redeker einen der ersten „Codes of Conduct“ für eine große Branche entwickelt, der nun im Europäischen Datenschutz-Ausschuss beraten wird. Zertifizierungen und Verhaltensregeln sind wesentliche Instrumente der DS-GVO, um die Lücken zwischen abstrakten Rechtsbegriffen und den Bedürfnissen der Unternehmen nach Rechtssicherheit zu schließen. Bislang gibt es nur die Abstimmung mit dem behördlichen oder betrieblichen Datenschutzbeauftragten, die intern die Einhaltung des Datenschutzrechts kontrollieren. Zertifizierungen scheuten bislang die meisten Unternehmen, da sie mit hohen Kosten und einem nicht unerheblichen Aufwand verbunden sind. Aber das ändert sich gerade, weil die Unternehmen sehen, dass sonst ganz andere Risiken und Kosten drohen – Stichwort: Millionenbußgelder.
Rechtverblüffend: Welche negativen Wirkungen entfaltet die DS-GVO neben der potenziellen Überforderung von Unternehmen? Werden etwaige Errungenschaften wie zum Beispiel die elektronische Patientenakte (ePA) oder die Corona-Warnapp durch die DS-GVO verhindert oder zumindest verzögert?
Dr. Cornelius Böllhoff: Die Regulierung eines Lebenssachverhalts kostet immer Zeit. Man muss den Sachverhalt prüfen, die anwendbaren Normen subsumieren und den daraus folgenden Normbefehl beachten. Dass die DS-GVO die Corona-Warn-App und die elektronische Patientenakte nicht verhindert, zeigt ja die Einführung von beiden Anwendungen. Die Datenverarbeitung läuft täglich, massenhaft und zulässig. Meiner Beobachtung nach ist es nicht die DS-GVO an sich, die prinzipiell übermäßige Anforderungen stellt, sondern die voneinander abweichenden Interpretationen des Gesetzestextes durch 18 Aufsichtsbehörden. Hinzu kommt, dass mancher Behördenleiter sein Amt manchmal etwas zu politisch ausübt.
Auch hier lohnt ein Blick in andere europäische Länder: In Dänemark gibt es schon lange eine elektronische Patientenakte, Rezepte werden nahezu zu 100 Prozent online ausgetauscht. Es ist mehr das Vertrauen der Bevölkerung und letztlich auch der Aufsichtsbehörden in digitale Angebote des Staates als der gesetzliche Rahmen, den die DS-GVO vorgibt. Man kann digitale Angebote wie die Warnapp und die ePA ohne Weiteres DS-GVO-konform ausgestalten. Über die Einzelheiten der ePA werden nun Gerichte entscheiden; es sind hierzu mehrere Verfahren anhängig.
Rechtverblüffend: Vielen Dank! Zuletzt wollen wir Sie noch um Ihre Einschätzung bitten. Sehen Sie die informationelle Selbstbestimmung als Utopie?
Dr. Cornelius Böllhoff: Ich bin bei der Verwendung des Begriffes Utopie etwas vorsichtig, wenn es um die Gewährleistung eines Grundrechts geht. Bei Utopie denkt man schnell nicht nur an ein zukünftiges, sondern an ein unerreichbares Ideal.
Wie alle Grundrechte muss auch das Recht auf informationelle Selbstbestimmung seine Grenzen spätestens in der Grundrechtsausübung anderer finden – es gilt nicht schrankenlos. Und das ginge dann mit einer Missachtung der Wirtschaftsgrundrechte kleinerer Unternehmen sowie etwa der notwendigen Datenverarbeitung auch der hoheitlichen Gewalt einher.
Grundsätzlich gilt: Die DS-GVO hat mit ihrer Förderung der Transparenz, der Dokumentationspflicht und der aufsichtsbehördlichen Kontrolle zu einem Mehr an Datenschutz geführt und zu einer Sensibilisierung der öffentlichen Wahrnehmung. Das ist ein großer Erfolg und nähert sich einem Ideal zumindest an.
Für sehr sicher – und gar nicht utopisch – halte ich jedenfalls die Perspektive, dass sich zukünftig sehr viel mehr junge Juristinnen und Juristen für das Datenschutzrecht und das Recht der Digitalisierung interessieren werden. Ich kann dies für die universitäre und berufspraktische Ausbildung nur wärmstens empfehlen.
Das Interview führten Rebecca Jussen und Mark Hillenbrand.
Dieser Artikel stammt aus der Printausgabe "Utopie & Apokalypse". Die gesamte Ausgabe könnt ihr hier bestellen.