Barbara Schmitz

Viel Lärm um die DS-GVO


Barbara Schmitz ist Corporate Data Protection Officer und Syndikusanwältin bei Osram GmbH in München.

ZD 2020, 173  D ie begriffliche Anlehnung an die Shakespearsche Drama-Komödie „Viel Lärm um nichts“ passt gut auf die letzten zwei Jahre mit der DS-GVO.

Wie in einem guten Drama, gibt es auch bei der Entstehungsgeschichte der DS-GVO drei Hauptakteure: die Europäische Kommission, das Europäische Parlament und den Europäischen Rat. Alle drei legten in den Jahren 2012 bis 2015 Vorschläge für eine Datenschutzreform vor. Die Entwicklungsgeschichte dieser Entwurfsphase beinhaltet sämtliche Elemente eines typischen Dramas. Der Bedarf, i.R.d. technischen Fortschritts eine Datenschutzreform auf den Weg zu bringen, bildet die Vorgeschichte. Entwurfsvorlagen, Ablehnungen und Erörterungen spiegeln den Spannungsbogen wider. Die dann folgende knapp einjährige Trilogphase ist das „Tragische Moment“. Die Veröffentlichung der DS-GVO am 4.5.2016 im Amtsblatt der Europäischen Union hätte das Happy End sein können. Die digitale Revolution kann kommen - wir sind ihr datenschutzseitig gewappnet.

Die angestrebte Harmonisierung des Datenschutzrechts (Erwägungsgrund 3 DS-GVO) mit dem Ziel einer einheitlichen Rechtsanwendung sollte die Gemeinsamkeit in Sachen Schutz der Privatsphäre der europäischen Mitgliedstaaten ausdrücken. Alle EU-Bürger sollen nicht nur auf europäischer, sondern auch auf internationaler Ebene geschützt werden. Die DS-GVO macht nicht an den europäischen Grenzen halt, sondern verpflichtet auch Unternehmen und verantwortliche Stellen außerhalb der EU zu einer datenschutzkonformen Verarbeitung personenbezogener Daten.

Wie großartig ist das!?

Doch bereits in den zwei Jahren Übergangszeit bis zum europaweiten Inkrafttreten der DS-GVO am 25.5.2018 wurden die Errungenschaften der Reform laut kritisiert.

Aber was ist eigentlich so schlimm an der DS-GVO? Der eine oder andere hält die DS-GVO für unzureichend. Das ist zu kurz gedacht. Die DS-GVO besteht aus Rechtsnormen und die sind per se allgemeinverbindlich. Das bedeutet, dass sie darauf ausgerichtet sind, für eine unbestimmte Anzahl von Einzelfällen bestimmte Rechtsfolgen herbeizuführen. Deswegen gibt es auch eigentlich nichts zu kritisieren, sondern gilt es, die Chancen der Gestaltungsmöglichkeiten zu ergreifen. Zu viel Lärm um nichts.

Die DS-GVO hat es geschafft, den Datenschutz zu einem beherrschenden gesellschaftlichen Diskurs zu machen. Ein Diskurs, der als Austausch zwischen vernünftig argumentierenden Individuen zu verstehen ist. Auch wenn man angesichts der jüngsten Debatten am Vorhandensein einer entsprechenden Diskursethik beim Thema Datenschutz zweifeln mag, hat diese anhaltende gesellschaftliche Diskussion dennoch dazu geführt, dass deutlich mehr Menschen als früher sich ihrer informationellen Selbstbestimmung bewusst geworden sind. Und das ist ein Erfolg!

Selbstverständlich sind Regeln und Anwendung der DS-GVO im Bedarfsfall kritisch zu hinterfragen. Die anstehende Evaluierung gem. Art. 97 DS-GVO trägt auch dazu bei. Allerdings sollte auch hier leiser getreten werden: Anders als derzeit öffentlich vermittelt, ist mit der Evaluierung nicht angedacht, die DS-GVO grundlegend zu verändern.

Im Rahmen der Evaluierung der DS-GVO geht es weder um die Überprüfung der Regelungen zum Verfahrensverzeichnis noch um die zur Benennungspflicht für Datenschutzbeauftragte oder Abschaffung der Informationspflichten. Der Überprüfungs- und Bewertungsauftrag der Kommission umfasst in erster Linie zwei Evaluierungsschwerpunkte, die Überwachung des Schutzniveaus in Drittländern (Art. 97 Abs. 2 lit a DS-GVO) sowie die Zusammenarbeit der Aufsichtsbehörden (sog. Kohärenzverfahren, Art. 97 Abs. 2 lit b DS-GVO). Eine ergänzende Schwerpunktprüfung der Kommission dürfte auch die nicht adäquate nationale Umsetzung der DS-GVO in verschiedenen Mitgliedstaaten sein - auch die in Deutschland. Aber das nur leise am Rande.

Die derzeit stattfindenden bzw. bereits stattgefundenen Befragungen der Unternehmen und Verbraucher durch Aufsichtsbehörden und Handelskammern sind daher für das Evaluierungsverfahren primär nicht erforderlich, trotzdem aber ein geeignetes Instrument, um Rechtsunsicherheiten zu identifizieren und den Verbrauchern und Unternehmen weitere und aktualisierte Informationen und Handreichungen der Aufsichtsbehörden und (Unternehmens- und Verbraucher-)Verbände für die alltagstaugliche Umsetzung an die Hand geben zu können.

Zu einer grundlegenden Änderung der DS-GVO wird es aber zum Glück nicht führen. Was i.Ü. auch nicht notwendig ist. Das Regelungskonzept der DS-GVO hat sich bisher bewährt. Der Mut der Aufsichtsbehörden und Gerichte hat zu praxisnahen und -tauglichen Auslegungen geführt. Das lässt hoffen, dass auch die in der öffentlichen Diskussion und der medialen Berichterstattung aufgeführten Irrsinns-Beispiele einem unaufgeregten Umgang in Datenschutzdingen Platz machen.

Nachfolgend ein paar dieser Beispiele im Irrsinns-Check:

Löschkonzept - Löschen geht nicht!

Gelöscht werden musste immer schon. Doch insbesondere dort, wo personenbezogene Daten von Betroffenen mit anderen Informationen in Beziehung stehen, bestand und besteht Unklarheit über Art und Umfang der Löschung. Der Hinweis, dass bei Verstößen nun empfindliche Bußgelder drohen, hilft da auch nicht weiter, ist aber auch nicht die Schuld der DS-GVO.

Das Erstellen eines Löschkonzepts mit der Auflistung der Lösch-, Aufbewahrungs- und Speicherfristen ist dabei die geringste Herausforderung. Erfahrungsgemäß ist das eine mühevolle Arbeit, aber nichts Neues und hätte längst schon mal gemacht werden können.

Anders die technische Seite des Löschens. Was tatsächlich wie gelöscht werden kann, ohne dass am nächsten Tag ganze Unternehmensbereiche stillstehen, ist wohl die am schwersten zu lösende Herausforderung. Eine Lösung wären einheitliche Datenschutzstandards der Systemanbieter durch genehmigte Verhaltensregeln gem. Art. 40 DS-GVO. Die Möglichkeit der Verhaltensregeln gab es auch schon unter der DS-RL (Art. 27), aber mit Blick auf den Bußgeldrahmen der DS-GVO ist ein gewisser Umsetzungsdruck entstanden. Danke, DS-GVO!

Informations-, Transparenz-, Auskunftspflichten - Innovationshemmnisse

Eine ähnliche Herausforderung scheinen die Informations-, Transparenz- und Auskunftspflichten darzustellen. Die Fragen nach Umfang und Art der Datenschutzerklärung und der Auskunft stellen Unternehmen und Verbraucher offenbar vor existenzielle Probleme. Aber was ist an einfachen und verständlichen Datenschutzerklärungen so schlecht? Und warum sollten Vereine, Ärzte, Apotheker und alle anderen KMU personenbezogene, teils sogar besondere Kategorien personenbezogener Daten ohne entsprechende (Schutz-)Pflichten verarbeiten dürfen? Die DS-GVO verlangt auch hier nichts Neues. Eine Datenschutzerklärung kann in einem One-Pager alles Erforderliche abdecken. Und nein, eine Datenschutzerklärung muss nicht unterschrieben werden, es reicht, wenn die betroffenen Personen die Gelegenheit haben, sie zur Kenntnis nehmen zu können (LfD Niedersachsen, FAQ zu Informationspflichten). Die Forderung nach Ausnahmeregelungen für KMU ist nicht gerechtfertigt. Der angeblich durch die DS-GVO zusätzlich entstandene Aufwand ist hausgemacht. Die Vorteile des Datenschutzes werden eingefordert und genutzt, die Bereitschaft, im Gegenzug auch die entsprechenden Anforderungen umzusetzen, ist jedoch nicht vorhanden, getreu dem Motto: "Wasch mir den Pelz, aber mach mich nicht nass." Das geht mit der DS-GVO nicht mehr.

Anekdoten - nur mit Einwilligung!

Nun zu den anekdotischen Ereignissen, die je nach medialer Flaute immer wieder gerne in den Fokus des öffentlichen (Datenschutz-)Interesses rücken. Als da sind, der Aushang beim Metzger oder Arzt, dass auf Grund der DS-GVO nun keine namentlichen Aufrufe mehr erfolgen dürfen. Oder wegen der verschärften Regeln zum Datenschutz keine Namen mehr auf den Klingelschildern an den Häusern angebracht werden. Und über allem: Jede Datenerhebung bedarf der Einwilligung.

Das ist Unsinn und das weiß auch jeder. Zumal in keinem der aufgeführten Fälle sich etwas an der Rechtslage durch die DS-GVO geändert hat.

Namentliche Aufrufe beim Metzger oder Friseur unterfallen überhaupt nicht dem Datenschutzrecht. Es findet nämlich keine automatisierte Datenverarbeitung statt. Beim namentlichen Aufruf in der Arztpraxis ist nicht in erster Linie auf das Datenschutzrecht zu schauen, sondern auf die ärztliche Schweigepflicht. Unter diesem Aspekt sind die Aufrufe der Patienten zu beurteilen.

Auch bei den Klingelschildern kann mit oberster aufsichtsbehördlicher Unterstützung (BfDI, 27. TB) Entwarnung gegeben werden. Auch hier liegt keine automatisierte Verarbeitung vor.

Und zum Schluss noch die „überbeanspruchte“ Einwilligung. Schon in der Übergangsphase zur DS-GVO und seitdem hält sich der Mythos, dass für jedwede Datenverarbeitung personenbezogener Daten eine Einwilligung benötigt werde. Der Grund hierfür dürfte sein, dass eine Einwilligung die vermeintlich einfachste Variante für viele zu sein scheint. Mit dem Einholen einer Einwilligung wird die Verantwortung an den Einwilligenden übergeben. Er/Sie hat es ja dann so gewollt. Möglicherweise hat sich diese Denkweise nach dem alten Datenschutzrecht verfestigt. Aber das war damals schon falsch und ist es heute erst recht. Die Einwilligung ist zwar die erste Bedingung, die Art. 6 DS-GVO für eine rechtmäßige Verarbeitung aufführt, aber eben nicht die einzige. Die Bedingungen sind nicht rangmäßig gegliedert. Sie stehen gleichwertig nebeneinander und gelten für den jeweiligen Anwendungsfall. Der datenschutzrechtliche Grundsatz für eine rechtmäßige Verarbeitung ist das Verbotsprinzip mit Erlaubnisvorbehalt und nicht das Verbot mit Einwilligungsvorbehalt. Alle in Art. 6 DS-GVO aufgeführten Bedingungen stellen eine solche Erlaubnis dar.

Zwar kann immer und in jedem Fall eine Einwilligung für die Verarbeitung eingeholt werden - möglicherweise steht sie aus diesem Grund auch an erster Stelle -, aber oft ist eine solche nicht zielführend. Wird die Datenverarbeitung zur Vertragsanbahnung bzw. -erfüllung auf eine Einwilligung gestützt, muss diese Datenverarbeitung eingestellt werden, sobald der Betroffene die Einwilligung dazu widerruft. Dies ist aber für die Durchführung und Abwicklung der Geschäftsbeziehung nicht gewollt. Abgesehen davon ist eine Einwilligung auch nicht „einfach“ einzuholen. Art und Umfang werden in Erwägungsgrund 32 DS-GVO ausführlich beschrieben und sind im Vergleich zum alten Datenschutzrecht sicher auch verschärft worden. Aber mal ehrlich: Ist nicht genau diese Transparenzanforderung an die Einwilligung die Motivation für die Datenschutzreform gewesen?

Also, DS-GVO, aus meiner Sicht alles richtig gemacht! Der Lärm um Dich ist gut auszuhalten und zeigt die gesteigerte Aufmerksamkeit zum Thema Datenschutz.

Danke, DS-GVO!