Eugen Ehmann

Roßnagel, Europäische Datenschutz-Grundverordnung


Alexander Roßnagel, Europäische Datenschutz-Grundverordnung. Vorrang des Unionsrechts - Anwendbarkeit des nationalen Rechts, Baden-Baden (Nomos) 2017, ISBN 978-3-8487-3074-2, € 48,-

ZD-Aktuell 2017, 04250    Als wissenschaftliches Werk verstanden kann der vorliegende Sammelband tatsächlich einen Beitrag zur Datenschutzrechtswissenschaft leisten (so der vom Herausgeber Roßnagel in § 1/Einleitung, Rdnr. 54 erhobene Anspruch), denn Wissenschaft darf alles und soll alles dürfen (so nicht nur Art. 5 Abs. 3 Satz 1 GG, sondern auch Art. 13 GRCh) – vor allem auch Gegenkonzepte zum europarechtlichen „Mainstream“ aufstellen. Bei Streitfällen in der Praxis, die der Herausgeber am Ende seines Vorworts anspricht, ist man dagegen gut beraten, die hier vertretenen Auffassungen außen vor zu lassen. Anders als im Vorwort als Hoffnung formuliert, können sie nämlich in keiner Weise dazu beitragen, mögliche Streitfälle in der Praxis zu vermeiden. Im Gegenteil tragen sie die Gefahr in sich, nicht wissenschaftlich ausgerichtete Praktiker auch dort zum Streiten zu animieren, wo dies jedenfalls auf der Basis der Rechtsprechung des EuGH keinerlei Aussicht auf Erfolg hat.

Dies beruht vor allem darauf, wie das Werk den Anwendungsvorrang des Unionsrechts interpretiert. Schon der erste Absatz des Vorworts macht hier stutzig. An einem Widerspruch nationalen Rechts zu einer Verordnung soll es demnach fehlen, wenn – so die Formulierung als Trias - nationale Regelungen die Vorgaben der Verordnung präzisieren, konkretisieren oder ihnen zur Durchsetzung verhelfen. Die zunächst aufkeimende Vermutung, mit diesen Formulierungen könnte die Nutzung unterschiedlich ausgestalteter Öffnungsklauseln durch den nationalen Gesetzgeber gemeint sein, wird schon im nächsten Satz des Vorworts widerlegt. Dort ist nämlich ausgeführt, die Öffnungsklauseln der Grundverordnung würden die Situation noch „zusätzlich“ verkomplizieren.

Schon das Vorwort geht demnach davon aus, dass der nationale Gesetzgeber bei einer Verordnung über eine Art generellen Freibrief für Präzisierungen und Konkretisierungen auch dort verfügt, wo sie ihm ihrem Wortlaut nach keinerlei Freiräume belässt. Diese Auffassung zieht sich wie ein roter Faden durch die weitere Darstellung. Besonders deutlich wird sie in § 2/Grundlagen, Rdnr.13. Dort meint Roßnagel, nationales Datenschutzrecht könne neben der Datenschutzgrundverordnung (DS-GVO) „mindestens aus drei Gründen" anwendbar sein: explizite und implizite Öffnungsklauseln, die der nationale Gesetzgeber ausfüllt; Präzisierung abstrakter Vorgaben der Verordnung, um Handlungs-und Bewertungsmaßstäbe zu bieten, die der Verordnung fehlen; Konkretisierung von Vorgaben der Verordnung, um eine „unfertige Regelung im Text der Verordnung erst anwendbar“ zu machen. Dass er - nur - im Zusammenhang mit der Fallgruppe „Präzisierung abstrakter Vorgaben“ als Einschränkung anführt, Entscheidungen der Verordnung dürfe dabei nicht widersprochen werden, ist im Gesamtkontext gesehen nicht mehr als eine Worthülse, um einen offensichtlichen Widerspruch gegen eine gefestigte EuGH-Rechtsprechung zu vermeiden. Insgesamt entsteht das Bild einer Datenschutz-Rechtsordnung, bei der der europäische Gesetzgeber auch durch eine Verordnung lediglich eine Art Rahmen vorgibt, die der jeweilige nationale Gesetzgeber dann weitgehend nach seinem Gutdünken ausfüllen kann – und zwar überall dort, wo er meint, es solle etwas präziser oder anders geregelt werden, als dies in der Verordnung geschehen ist.

Diese Gedanken sind in Rdnr. 32 von § 2/Grundlagen nochmals deutlich aufgegriffen. Dort führt Roßnagel folgendes konkrete Beispiel an: Gem. Art. 15 Abs. 1 lit. h DS-GVO kann der Betroffene Auskunft über die „verwendete Logik" der automatisierten Entscheidungsfindung verlangen. Dies ist deutlich weniger präzise als die derzeitige Regelung in § 34 Abs. 2 und 4 BDSG, wonach der Betroffene ganz konkret Auskunft über die Berechnung und das Zustandekommen von Wahrscheinlichkeitswerten verlangen kann. Die somit ab Geltung der DS-GVO eintretende Unschärfe kann man gut oder schlecht finden und die weitere Diskussion wird zeigen, ob der Begriff der „verwendeten Logik" auch aus europarechtlicher Sicht so interpretiert werden kann oder gar muss, dass er i.E. der Regelung des jetzt geltenden BDSG entspricht. Dabei kommt es aber nicht darauf an, was bisher noch im BDSG steht, sondern was die Interpretation nach europarechtlichen Maßstäben ergibt. Aus Sicht von Roßnagel löst sich das Problem indessen ganz anders: Da die Formulierung im BDSG als Präzisierung des Begriffs der „verwendeten Logik" verstanden werden könne, habe das Auskunftsrecht des Betroffenen eben weiterhin diesen Inhalt. Die konkretere nationale Regelung soll also neben der DS-GVO fortgelten. Europarechtlich gesehen muss man ganz klar sagen: nein, das ist nicht so.

Ein möglicherweise missverständliches Einzelbeispiel? Keineswegs. Dies belegt etwa Rdnr. 38 von § 1 /Einleitung. Dort wird die Auffassung vertreten, bei der Interessenabwägung im Erlaubnistatbestand des Art. 6 Abs. 1 1. Unterabs. lit. f. DS-GVO werde man sich angesichts der Abstraktheit dieser Vorgabe in Deutschland auch künftig hinsichtlich der Videoüberwachung weiterhin an § 6b BDSG ausrichten, für das Gebiet der Werbung an § 28 Abs.3 BDSG. Auszusetzen hat der Verfasser an diesem methodischen Ansatz offensichtlich nichts. Er konstatiert lediglich, dass „europäischer Datenschutz“ damit hinsichtlich der Zulässigkeit der Datenverarbeitung künftig „in jedem Mitgliedstaat praktisch einen anderen Inhalt“ haben werde. Zweifel daran, ob nicht gerade dieses Ergebnis schon von vornherein gegen eine solche Herangehensweise spricht, äußert er nicht.

Selbstverständlich ist es jedem unbenommen, solche Sichtweisen zu teilen. Dafür lassen sich punktuell durchaus reputierliche Gründe nennen, etwa die Sorge vor einer Verunsicherung der Rechtsanwender durch die Beseitigung differenzierter bestehender Regelungen (so Roßnagel in § 1/Einleitung, Rdnr. 29). Zumindest mit der Rechtsprechung des EuGH sind sie jedoch in keiner Weise zu vereinbaren. Hierfür genügt es, auf Jensen/Knoke, ZD-Aktuell 2016, 05416 zu verweisen. Sie legen anhand der EuGH-Entscheidung C-582/14 - Breyer (MMR 2016, 842 m. Anm. Moos/Rothkegel = ZD 2017, 24 m. Anm. Kühling/Klar) sehr klar dar, dass gesetzlich vorweggenommene abschließende Wertungen des nationalen Gesetzgebers in Bezug auf abstrakt formulierte Vorgaben einer Unionsrichtlinie nicht zulässig sind. Wenn dies schon hinsichtlich einer Richtlinie gilt, bei der nationale Handlungsspielräume von der Grundkonstruktion des EU-Rechts her noch eher nahe liegen könnten, ist in keiner Weise davon auszugehen, dass der EuGH dies bei einer Verordnung anders sehen wird. Den Autorinnen ist darin zuzustimmen, dass die Haltung des Gerichtshofs aus deutscher Perspektive durchaus auch zu einer Senkung des Datenschutzniveaus führen kann, dass sie andererseits aber die Harmonisierung des Datenschutzrechts innerhalb der EU beschleunigt.

Dies widerlegt gleichzeitig die Sicht von Roßnagel, der meint, auf Grund der Abstraktheit der Verordnung eine Unterkomplexität ihrer Vorschriften feststellen zu können (§ 1/Einleitung, Rdnr. 29). Das Gegenteil ist richtig: Gerade wegen der im EU-Quervergleich bisher weit auseinanderfallenden Einzelregelungen liegt der Weg zur Vereinheitlichung nicht in hoch detaillierten Verordnungsregelungen, sondern in eher abstrakten Bestimmungen, die dann im Wege des rechtlichen Diskurses ausgefüllt werden müssen. Überraschend kam die Breyer-Entscheidung des EuGH übrigens keineswegs. Vielmehr führt sie jedenfalls in diesem Punkt schlicht die ausdrücklich in Bezug genommene Vorgängerentscheidung C–468/10 - ASNEF (ZD 2012, 33) fort, die bereits aus dem Jahr 2012 datiert. Dass eine ganze Reihe deutscher Datenschützer die Tragweite dieser Entscheidung nicht sahen - oder wohl eher: nicht sehen wollten -,  gehört zu den deutschen Besonderheiten.

Insgesamt dokumentiert der Sammelband eine Haltung, die in Deutschland keineswegs selten ist, aber meist nicht offen geäußert wird. Erst wollte man nicht glauben, dass es zu einer Verabschiedung der DS-GVO kommen werde. Zu unrealistisch erschien es, dass man einen hinreichenden gemeinsamen Nenner zwischen den Mitgliedstaaten finden könne. Seit die Verordnung nun aber doch in Kraft getreten ist und unter der Perspektive, dass sie am 25.5.2018 tatsächlich Geltung erlangen wird, reibt man sich bildlich gesprochen verwundert die Augen. Zu unwirklich erscheint die Aussicht, auf inzwischen lieb gewordene Detailregelungen des deutschen BDSG verzichten zu müssen und sich der Unsicherheit ausgesetzt zu sehen, welche Lösungen stattdessen Klauseln bieten, die an durchaus zentralen Stellen sehr abstrakt ausgefallen sind. Verdrängt wird dabei, dass man noch bis 2009 auch ohne einige der Klauseln auskam, die jetzt aus nationaler Sicht mancher unverzichtbar erscheinen. Man denke hier nur an §§ 28a und 28b BDSG, die erst damals eingeführt wurden. Und verdrängt wird auch, dass es die in jeder Hinsicht wünschenswerte Vereinheitlichung des Datenschutzrechts der Europäischen Union nur geben kann, wenn man eben gerade nicht versucht, möglichst viele derzeit vorhandene nationale Besonderheiten in das neue Recht „hinüber zu retten". Wer bereit ist, bei der Lektüre des Sammelbands auch solche Aspekte im Kopf zu behalten, die angesichts des geschilderten Grundansatzes dort naturgemäß nicht ausgeführt sind, den kann die Lektüre in vielfacher Hinsicht zu Überlegungen anregen. Auf deren Basis mag dann jeder Leser für sich entscheiden, wie er sich zu den Entwicklungen im europäischen Datenschutzrecht positionieren will, die sich nicht erst ab 25.5.2018 ergeben werden, sondern die der EuGH durch Urteile wie die Breyer-Entscheidung faktisch bereits vorwegnimmt (so zutreffend Jensen/Knoke, ZD-Aktuell 2016, 05416).

 

Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken.