Sibylle Gierschmann

Robrecht, EU-Datenschutzgrundverordnung: Transparenzgewinn oder Information-Overkill


Bettina Robrecht, EU-Datenschutzgrundverordnung: Transparenzgewinn oder Information-Overkill, Edewecht (OlWIR) 2015, ISBN 978-3-95599-022-0, € 24,80

ZD-Aktuell 2016, 04186     Die EU-Datenschutzgrundverordnung (DS-GVO) ist am 14.4.2016 nunmehr auch vom Europäischen Parlament beschlossen worden. Sie tritt zwei Jahre und zwanzig Tage nach ihrer Veröffentlichung im Amtsblatt in Kraft. Viel Zeit bleibt damit nicht, um sich mit der Verordnung und ihren Auswirkungen in der Praxis auseinanderzusetzen. Es wird eine Weile dauern, bis sich die Rechtsanwender mit der 260-seitigen Verordnung mit ihren 99 Artikeln und 173 Erwägungsgründen im Detail auseinandergesetzt haben. Umso größere Aufmerksamkeit erfahren derzeit Publikationen, welche sich jetzt schon mit der Verordnung auseinandersetzen. Das Büchlein von Bettina Robrecht (73 Seiten) leistet hier einen wichtigen und kurzweiligen Beitrag, der sich mit den Informationspflichten der Unternehmen kritisch auseinandersetzt. Zwar bezieht sich der Text im Wesentlichen auf den Verordnungsstand des Kommissionsentwurfs vom 25.1.2012, dennoch behalten viele der Ausführungen auch für den nunmehr finalen Stand der Verordnung ihre Gültigkeit, sodass eine Lektüre durchaus lohnt.

Das Buch besteht aus insgesamt vier Kapiteln, wobei sich das letzte Kapitel mit Lösungsansätzen zur Erhöhung der Transparenz von Informationen auseinandersetzt. Zunächst stellt die Autorin die Informationspflichten nach dem Kommissionsentwurf sowie dem Parlamentsbeschluss zur DS-GVO dar. Sie beleuchtet dann im zweiten Kapitel den durch das Internet vorangetriebenen technologischen Fortschritt und gesellschaftlichen Wandel und kommt zu dem Schluss, dass es drei Verarbeitungskonstellationen zu berücksichtigen gilt: Erstens, die bilaterale Datenverarbeitung zur Abwicklung eines Vertrags. Zweitens, die multilaterale Datenverarbeitung in der Online-Umgebung (insb. in sozialen Netzwerken) und, drittens, das „Internet der Dinge“. Sie stellt fest, dass sich diese Konstellationen in der Eingriffsintensität und dem Transparenzerfordernis gegenüber dem Betroffenen unterscheiden. Während im bilateralen Verhältnis auf Grund der klaren Zweckbestimmung des Vertrags die Verarbeitungssituation für den Betroffenen im Regelfall überschaubar ist, besteht bei multilateralen Datenverarbeitungen die Gefahr, dass der Betroffene kaum Kontrolle über seine Daten hat und die verantwortliche Stelle nicht eindeutig identifizieren kann. Noch schwieriger sei die Situation beim „Internet der Dinge“, da hier die Kommunikation der Geräte in aller Regel unsichtbar für den Nutzer erfolgt.

Die dann im dritten Kapitel dargestellten Informationspflichten der Unternehmen nach dem Kommissionsentwurf der DS-GVO sowie den i.Ü. nach wie vor geltenden Regelungen zum Fernabsatz zeigen das Dilemma und die Kritik der Autorin an dem Verordnungsentwurf: Es besteht die Gefahr eines „Informations-Overkills“. Unternehmen werden vor die kaum lösbare Aufgabe gestellt eine Vielzahl an Informationen bei teilweise nur begrenztem Platz (Postkarte, mobile Anwendungen) darstellen zu müssen. Demgegenüber steht kaum ein Mehrgewinn für die Nutzer, die schon jetzt die Datenschutzinformationen – wie aktuelle Studien belegen – kaum wahrnehmen. Je umfangreicher die Informationen sind, umso mehr besteht die Gefahr, dass noch nicht einmal die wesentlichen Informationen den Nutzer erreichen.

Auch wenn einige der Gesichtspunkte im finalen Verordnungsentwurf ansatzweise korrigiert wurden (die Art. 11-E entfällt, die vom Parlament vorgeschlagenen Piktogramme wurden nicht übernommen, die Aufzählung der Informationspflichten ist grundsätzlich abschließend), haben die wesentlichen Teile der Kritik der Autorin nach wie vor Bestand. Insb. entspricht der in Art. 13 und 14 DS-GVO abgebildete Informationskatalog im Umfang dem des bisher in § 4e BDSG geregelten Verfahrensverzeichnisses zuzüglich der Informationen über bestehende Rechte auf Auskunft, Widerruf einer Einwilligung und Möglichkeit der Beschwerde bei einer Aufsichtsbehörde. Überspitzt gesagt: Statt einer Meldepflicht gegenüber den Aufsichtsbehörden besteht nunmehr eine Meldepflicht gegenüber den Nutzern. Ferner ist die unspezifische Aufforderung i.Ü. „alle weiteren Informationen zur Verfügung zu stellen, die … notwendig sind“ nun zwar nicht mehr im Verordnungstext enthalten, sie wurde aber in den 60. Erwägungsgrund geschoben (der auch den Gedanken der Piktogramme wieder aufleben lässt). Fehlen solche „weiteren“ Informationen, droht nicht gleich ein Bußgeld gem. Art. 83 Abs. 5 lit. b DS-GVO, dennoch könnte eine Aufsichtsbehörde im Einzelfall auf die Angabe weiterer Informationen bestehen.

Die abschließend vorgeschlagenen Ansätze der Autorin zur Lösung des Dilemmas zwischen Transparenz und „Informations-Overkill“ werden nun nicht mehr in den Verordnungstext einfließen. Insbesondere fordert die Autorin interoperable und internationale Mindeststandards, statt Detailregelungen mit ausufernden Informationspflichten. Schön wäre gewesen, wenn die Autorin hier den Ansatz, wonach unterschiedliche Verarbeitungssituationen unterschiedliche Informationserfordernisse haben, konsequent zu Ende gegangen wäre. Aber auch so lassen sich aus den Lösungsansätzen Schlussfolgerungen für die heutige Praxis ziehen: Die Informationen sollten abgestuft bereitgestellt werden, wobei wesentliche Informationen zur verantwortlichen Stelle und zuständigen Aufsichtsbehörde auf einen Blick erfassbar sein sollen. Ferner sollten datensparsame Alternativen von Internet- und Mobildiensten durch Zertifikate unabhängiger Institutionen erkennbar gemacht werden, begleitet durch Aufklärungskampagnen dazu, warum Datensparsamkeit im Interesse des Nutzers sein kann. Das Buch stößt die richtige Diskussion an. Letztlich muss aber die Praxis zeigen, welche „Informationsmodelle“ sich am Markt durchsetzen können.

 

Dr. Sibylle Gierschmann, LL.M. (Duke University), ist Fachanwältin für Urheber- und Medienrecht und Partnerin bei Taylor Wessing Partnergesellschaft mbH.