Axel Spies

Isabell Conrad/Malte Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen


Isabell Conrad/Malte Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen. Jochen Schneider zum 70. Geburtstag, Köln (Dr. Otto Schmidt) 2014, ISBN 978-3-504-56092-8, € 189,-

ZD-Aktuell 2015, 04135     Fast 1200 Seiten zu einer Vielzahl von Themen rund um den Datenschutz in Unternehmen - die Festschrift für Jochen Schneider zum 70. Geburtstag kann sich wirklich sehen lassen. Eindrucksvoll beschreiben die 68 Autoren (die meisten Praktiker mit zum Großteil jahrzehntelanger Erfahrung in dem Sektor), was für eine komplizierte Rechtsmaterie der Datenschutz im Unternehmen geworden ist. Die Themenpalette reicht von „Aktuelle Herausforderungen: Unstructured, Real-Time und Big Data“ (Stiemerling)  über verschiedene Beiträge zum Cloud Computing (Lenzer, Seffer, Spindler), Geodaten (Moritz) bis hin zur praktisch sehr relevanten Abgrenzung Auftragsdatenverarbeitung vs. Datenübermittlung (Rath-Neuschild), Meldepflichten  (Schuppert), und Processor BCR (Conrad/Filip). Angesichts der rasanten Entwicklung des Datensammelns und der Datenverarbeitung weltweit gibt es wohl kaum einen Rechtsbereich, der vor so vielen „aktuellen Herausforderungen“ steht.

 

Den krönenden Abschluss des Werks bildet das Schlusskapitel „Datenschutzprinzipien für eine EU-Datenschutz-Grundverordnung“ das der Jubilar zusammen mit der Herausgeberin Conrad verfasst hat. Die Verfasser äußern sich kritisch zu dem in Brüssel zurzeit diskutierten Gesetzeswerk. Für sie ist das BVerfG das (einzige) Bollwerk des Datenschutzes in Deutschland. Ein Kernsatz lautet: „Mit Erlaubnisnormen und deren sehr hohem Verwaltungsaufwand (Aufsichtsbehörden, Datenschutzbeauftragte) einschließlich diverser Gerichtsurteile … liegen in Deutschland nach nunmehr bald 35 Jahren BDSG und 30 Jahren Informationelle Selbstbestimmung umfangreiche Erfahrungen vor. Die Quintessenz dieser Erfahrungen ist, dass die Alltagesdatenverarbeitung überreguliert ist, was in mangelnder Akzeptanz des Datenschutzes mündet. Gleichzeitig werden die kritischen Datenverarbeitungssituationen allenfalls vom BVerfG mittels GG, nicht aber vom BDSG gestoppt.“ (Rdnr. 14).

 

Diese steile These  - man könnte in letzter Zeit noch den EuGH hinzufügen - ist in mehrerer Hinsicht bemerkenswert. Die These impliziert, dass die Datenschutzbehörden und die Leitlinien diverser Arbeitskreise und Gremien (wie die Art. 29-Datenschutzgruppe) nur wenig zum Datenschutz beitragen. Wenn man ihr vom Ansatz her zustimmt, stellt sich die Frage, ob der derzeit diskutierte „LIBE“-Entwurf der Datenschutzgrundverordnung  v. 21.2.2013 (DS-GVO-E) die prekäre Lage mit zahlreichen Regeln und Vorgaben zu One-Stop-Shop, Löschungsgeboten, Datenportabilität, Audit usw. nicht lindert, sondern erheblich verschlimmert. Die Verfasser gehen diesen Themen in dem Beitrag nach und kommen zu dem Schluss, dass der in den Datenschutzgesetzen (und damit im DS-GVO-E vertretene Ansatz „völlig überholt“ ist (Rdnr. 51), da er nicht auf der Ebene der Kommunikation und Information („informationelle“ Selbstbestimmung) ansetzt, sondern auf der Ebene von Daten (Rdnr. 53). Zu kurz kommt nach der Aussage der Autoren das Grundprinzip der Zweckbindung, das durch das Verbotsprinzip und die Datenregulierung „weitgehend entwertet“ werde (Rdnr. 54). Der Unterschied zum US-Ansatz der „Reasonable Expectation of Privacy“ ist auf jeden Fall nicht trennscharf und Unternehmen schwer zu vermitteln.

 

Ein Grundübel des DS-GVO-E sei, so die Autoren weiter, dass „im gesamten Text des BDSG wie der in dem DS-GVO-E „an entscheidender Stelle... keine materiellen Schutzinstrumente auftauchen, die etwa sein könnten Persönlichkeitsrecht, Privatsphäre, Privacy...“ (Rdnr. 70). Diese Beobachtung  ist aus US-Sicht sehr interessant. In den USA herrscht ein umgekehrter Ansatz vor: Der US Supreme Court hat eine ganze Kette sehr detaillierte Entscheidungen zum Thema Privacy als Abwehrrecht über Jahrzehnte erlassen (vgl. im Einzelnen die umfangreiche Dissertation von Philipp Wittmann, der Schutz der Privatsphäre, Baden Baden, 2013). Das Schutzgut „Privacy“ auf der Grundlage des 4th Amendment ist trotz der Angriffe auf das Schutzgut in letzter Zeit richterlich etabliert, aber es gibt in den USA kein übergreifendes BDSG und keine Pläne für ein umfassendes Gesetzeswerk wie das BDSG oder den DS-GVO-E. Die Selbstregulierung der Industrie und die Entscheidungen der Federal Trade Commission (neuerdings auch der FCC) spielen eine große Rolle. Die spannende Frage für die Zukunft ist, wie die beiden unterschiedlichen Ansätze diesseits und jenseits des Atlantiks nach dem DS-GVO-E zusammengeführt werden können. Der DS-GVO-E bietet zu wenig Spielraum für die Akzeptanz des US-Ansatzes und beharrt z.B. auf der formellen, langwierigen Feststellung der EU-Kommission eines „angemessenen Datenschutzes“ im Empfängerland. Für die Datentransfers in die USA gibt es diese Feststellung für bestimmte Datenübertragungen in Form der EU/US-Safe Harbor-Principles, aber selbst deren Geltung stellt u.a. ein Teil des EU-Parlaments in Frage. Dies hat zu Rechtsunsicherheit in den transatlantischen Rechtsbeziehungen geführt. Hinzu kommt: Nach Art. 43a DSGVO-E dürfen z.B. personenbezogene Daten nur mit Genehmigung der zuständigen Aufsichtsbehörde ins Ausland weitergegeben werden, wenn „ein Urteil eines Gerichts oder eine Entscheidung einer Verwaltungsbehörde eines Drittstaats von einem für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter … verlangt, personenbezogene Daten weiterzugeben.“ Zu diesem schlecht aus dem Englischen übersetzen Text kann man stehen wie man will - praktisch ist diese Prozedur z.B. im Fall der US-Discovery (vgl. Spies, in: Forgó/Helfrich, Betrieblicher Datenschutz, Kap. XII, 2) mit ihrem eng gesteckten Zeitrahmen jedenfalls kaum für ein Unternehmen praktisch durchführbar. Der Begriff „unsicheres Drittland“, der sich für die Drittstaaten eingebürgert hat, enthält damit eine neue Qualität für internationale Datentransfers als „rechtsunsicheres Drittland“, das dem internationalen Datenaustausch - ein Rückgrat für international tätige Unternehmen (vgl. Spies, AICGS-Issue Paper 49) - nicht förderlich ist. Oder um Conrad/Schneider zu zitieren: „Wenn der Datenschutz sich nicht erheblich verbessert, ist mit dem Riesenaufwand des DS-GVO-E nichts gewonnen“ (Rdnr. 22).

Dr. Axel Spies ist Rechtsanwalt bei Morgan Lewis, Washington DC.