Digitale-Gesetze-Strategie - Agilität oder „Act“ionismus?

Barbara Schmitz

ist Rechtsanwältin und Justiziarin bei der SWMH Service GmbH in München sowie Mitglied des Wissenschaftsbeirats der ZD.

 

 

 

 

ZD 2022, 189      DS-GVO, TTDSG, ePrivacy-VO, DID-RL, DSA, DMA, DGA, DA - die Aufzählung der beschlossenen, anstehenden und in Planung befindlichen Gesetze und Regelungsvorschriften des Unionsgesetzgebers und des nationalen Gesetzgebers drohen unübersichtlich zu werden. Genauso wie die bereits erschienenen, geplanten oder in Konsultationsverfahren befindlichen (Orientierungs-)Hilfen und Empfehlungen von Datenschutzaufsichtsbehörden.

Zwangsläufig rückt das Oscar-Wilde-Zitat aus seinem Essay „The Critic as Artist“ (Intentions by Oscar Wilde, 1891, S. 95) in den Blick: „... it is more difficult to talk about a thing than to do it, and that to do nothing at all is the most difficult thing in the world, the most difficult and the most intellectual.“

Eins ist den o.g. Regelungsnormen gemeinsam: Sie sollen die Digitalisierung regeln und so die gesellschaftlichen Verhältnisse bei der Nutzung digitaler Technologien ordnen und steuern. Aber warum dieses Überangebot? Es entsteht der Eindruck, dass es einfacher zu sein scheint, Regelungen zu schreiben und zu erlassen, als über Ziel, Sinn und Zweck vorhandener Rechtsnomen, sei es kodifiziertes oder Gewohnheitsrecht, nachzudenken. Mit der Folge, dass alles und nichts richtig zusammenpasst und iRv Omnibus-Verfahren andere Gesetze mit ähnlichen Zielen gleich mit geändert werden.

Sicher, ohne Gesetze geht es nicht. Gesetze geben Schutz vor Willkür und zeigen die Leitplanken auf, in denen die geregelten Rechte und Pflichten ausgeübt werden können. Digitalisierung erfordert globale Vernetzung. Vorhandene nationale Gesetze decken diese globalen Herausforderungen des technologischen Wandels nicht mehr ausreichend ab. Die hierfür nötigen Vorschriften sollten jedoch für alle Beteiligten überschaubar und verständlich sein. Eine amorphe Masse an Vorschriften droht unkontrollierbar zu werden. Es besteht die Gefahr, dass die Normen an Bedeutung verlieren, insbesondere, wenn neue Gesetze Grundsätze wiederholen, die bereits rechtliche Geltung haben, und so der erforderliche Ordnungsrahmen verfehlt wird. Stand Januar 2022 stehen insgesamt 52 Gesetzesvorhaben auf der Agenda der Digitalstrategie der EU-Kommission. Ist dies noch Agilität oder schon Aktionismus?

Ebenfalls Teil der europäischen Digitalstrategie, mit der die EU-Kommission einen „wertebasierten digitalen Wandel“ anstrebt, ist die DS-GVO. Sie ist das europäische Masterdokument und sie ist gut. Das zeigen der in den vergangenen vier Jahren geführte Diskurs und auch die inzwischen vorhandene Rechtsprechung. So werden abstrakte Rechtsnormen konkretisiert und iRd juristischen Methodik Teil der Rechtsanwendung. Ein normaler und üblicher Vorgang. Und ja, nicht jeder ist mit diesen Ergebnissen einverstanden - aber auch das ist nicht überraschend und kommt in allen Rechtsgebieten vor.

Die Vorschriften der DS-GVO regeln die Datenverarbeitung von personenbezogenen Daten im Kontext der Digitalisierung auf der Grundlage von Art. 8 GRCh. Dabei wird allen Akteuren sowohl der Zivilgesellschaft als auch des Staats und des Markts Rechnung getragen. Die eingebaute Technikneutralität (s. Erwägungsgrund 15 DS-GVO) ermöglicht agile Methoden und damit schnelle Reaktionen auf Veränderungen.

Trotz dieses doch weitreichenden Regelungsumfangs scheint jedoch Bedarf an weiteren Normen zu bestehen. Die nichtvollendete ePrivacy-VO führte dazu, dass der deutsche Gesetzgeber sich aufgerufen fühlte ein neues Gesetz zu schaffen. Das TTDSG regelt seit 1.12.2021 den Datenschutz in den Bereichen Telekommunikation und Telemedien. Was hat das TTDSG, was die DS-GVO nicht hat? Angeblich einen weiteren Anwendungsbereich, da nicht nur personenbezogene Daten berücksichtigt werden, sondern auch Informationen ohne Personenbezug. Es geht beim TTDSG vorrangig um die Geräteintegrität (Hanloser ZD 2021, 399). Fängt also das TTDSG da an, wo die DS-GVO aufhört? Eher das Gegenteil ist der Fall. Abgesehen davon, dass das TTDSG als nationales Recht dem europäischen Harmonisierungsgedanken zuwiderläuft, wäre der Datenschutz in der elektronischen Kommunikation, also in der Telekommunikation und bei den Telemedien, grundsätzlich auch mit der DS-GVO weitestgehend regelbar. Bemerkenswert ist, dass die datenschutzrechtlichen Regelungen für die beiden Bereiche Telekommunikation und Telemedien, die sich bis dato in den jeweiligen Gesetzen befanden, in den Neufassungen zum TKG bzw. TMG komplett herausgenommen wurden. Da der Datenschutz seit der DS-GVO aber europäisch ist, spricht diese Methodik für eine Konzentration auf die DS-GVO als europäisches Recht. Dies zeigt auch die Klarstellung des Verhältnisses von DS-GVO und ePrivacy-RL in Art. 95 DS-GVO und Erwägungsgrund 173 DS-GVO. Danach handelt es sich nicht um ein konkurrierendes Verhältnis, sondern um eine Ergänzung - der ePrivacy-RL durch die DS-GVO für Situationen im Bereich der elektronischen Kommunikation, die keine entsprechende Regelung in der Richtlinie haben. Wichtig ist dabei, dass bereits bestehende rechtliche Regelungen nicht wiederholt und somit zu „zusätzliche Pflichten“ für die Anwender werden. Damit soll eine Überregulierung vermieden werden. Nun wird der Einwand folgen, dass das TTDSG auf nationaler Ebene ja erforderlich wurde, weil das vorhandene TMG die europäische Rechtslage auf Grund der EuGH-Urteile zu „Schrems II“ (ZD 2020, 511 mAnm Moos/Rothkegel) und Planet49 (ZD 2019, 556 mAnm Hanloser) nicht mehr rechtskonform abbildete. Das ist zur kurz gedacht. Die mit „Schrems II“ und „Planet49“ in Frage stehenden Sachverhalte wären und wurden mit den Vorschriften der DS-GVO regelbar. Die Umsetzung der ePrivacy-RL in nationales Recht gem. Art. 17 ePrivacy-RL erfolgte ordnungsgemäß durch die DS-GVO.

Als Zwischenfazit kann festgehalten werden, dass das TTDSG im Bereich Aktionismus anzusiedeln ist. Interessant ist in diesem Zusammenhang der Hinweis der Datenschutzkonferenz (DSK) in der Orientierungshilfe für Anbieter:innen von Telemedien v. 20.12.2021 (OH TM 21), mit der die Datenschutzaufsichtsbehörden von Bund und Ländern Anwendungshilfe für die Umsetzung des TTDSG geben wollen. Hier wird gleich auf Seite 3 im letzten Absatz der Einführung eine Art Disclaimer eingebaut. Demnach steht die OH TM 21 „unter dem ausdrücklichen Vorbehalt eines zukünftigen - möglicherweise abweichenden - Verständnisses der maßgeblichen Vorschriften durch den Europäischen Datenschutzausschuss (EDSA), durch maßgebliche europäische Rechtsprechung sowie Änderungen des europäischen Rechtsrahmens.“ Auf den zukünftigen europäischen Rechtsrahmen wird auch gleich zwei Absätze weiter verwiesen und festgehalten, dass für den Fall, dass die ePrivacy-VO in Kraft tritt, „das TTDSG von der Verordnung als höherrangigem Recht mit unmittelbarer Wirkung in den Mitgliedstaaten abgelöst wird.“

Es ist bereits jetzt erkennbar, dass sowohl die mit dem TTDSG geschaffenen nationalen Regeln als auch die Auslegung der DSK in der OH TM 21 im Widerspruch zu der Vorstellung des Unionsgesetzgebers und anderer europäischer Aufsichtsbehörden stehen. Wie sagte Oscar Wild sinngemäß: do nothing is the most difficult and intellectual thing.

Ebenso hat auch der Unionsgesetzgeber offenbar Bedarf an weiteren digitalen Rechtsakten. Nachfolgend eine Auswahl mit datenschutzrechtlicher Relevanz:

# Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über europäische Daten-Governance (Digital Governance Act - DGA) COM(2020) 767 final v. 25.11.2020,

# Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über einen Binnenmarkt für digitale Dienste (Digital Service Act - DSA) COM(2020) 825 final v. 15.12.2020,

# Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über bestreitbare und faire Märkte im digitalen Sektor (Digital Markets Act - DMA) COM(2020) 842 final v. 15.12.2020 und

# Regulation of the European Parliament and of the Council on ensuring fairness in the allocation of value across the data economy (Data Act) COM(2022) 38 final v. 23.2.2022.

Diese Gesetzesvorschläge führen eine bereits seit 2014 bestehende Digitalstrategie fort. So wurde im November 2018 die sog. Free-Flow-of-Data-Verordnung (FFD-VO - RL (EU) 2018/1807, ABl. L 303 v. 28.11.2018, 59) beschlossen und im Mai 2019 die Richtlinie über bestimmte vertragliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen (DID-RL - RL (EU) 2019/770, ABl. L 136 v. 22.5.2019, 1). All diese Vorhaben haben zum Ziel, Europa langfristig fit zu machen für das digitale Zeitalter. Die Intention ist dabei die gesellschaftliche Entwicklung und der nachhaltige Umgang mit digitalen Technologien unter Berücksichtigung der Grundrechte und Freiheiten aller am Wirtschafts- und Gesellschaftsleben Beteiligten. Digitale Kompetenz ist dabei ebenso ein Ziel wie Datenökonomie und Datenfairness. Für 2022 hat der Ratsvorsitz das Mandat, Gespräche zum weiteren Vorgehen in Bezug auf die Kommissionsvorschläge mit dem EU-Parlament aufzunehmen.

Insgesamt haben die vorgeschlagenen Rechtsakte DGA, DSA, DMA und DA einen Vorschriftenumfang von knapp 200 Artikeln. Die bereits beschlossenen Richtlinien DID-RL und FFD-VO haben einen Umfang von zusammen knapp 70 Artikeln. Das ergibt fast 300 Artikel zusätzlich zu den 99 Artikeln und 173 Erwägungsgründen der DS-GVO. Dieses Zahlenspiel ist vor allem deswegen bemerkenswert, weil alle diese Gesetze und Gesetzesvorhaben ausdrücklich betonen, dass die DS-GVO von den Regelungen „unberührt“ bleibt und damit immer auch anzuwenden ist. Ohne die Verarbeitungsgrundsätze nach Art. 5 DS-GVO geht kaum etwas, und die DS-GVO ist Voraussetzung für das Erfordernis der Einwilligung, und die Anforderungen an eine solche bestimmen „das Sammeln von Daten auf der Grundlage des Datenaltruismus“ (s. Art. 21 DGA-E). Wenn es dann aber bei den Auslegungen der nationalen und europäischen Aufsichtsbehörden zu den Anforderungen an eine wirksame Einwilligung bleibt, dürfte es schwierig werden mit dem geplanten Datenaltruismus.

Ebenso helfen die vielen Gesetze nicht bei der wichtigen Klärung der Begriffe „Daten“ und „Informationen“. Kafkaesk wird es bei den Begriffsbestimmungen im DMA. Dort heißt es unter Art. 2:

# Nr. 19: „Daten“ jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material;

# Nr. 20: „personenbezogene Daten“ alle Informationen iSd Art. 4 Nr. 1 DS-GVO;

# Nr. 21: „nicht personenbezogene Daten“ Daten, bei denen es sich nicht um personenbezogene Daten iSd Art. 4 Nr. 1 DS-GVO handelt.

Wenn schon immer neue Gesetze, dann wäre es an der Zeit, die Gelegenheit zu nutzen und die vermeintlichen oder auch tatsächlichen Ungenauigkeiten in der DS-GVO zu beseitigen. So zB die ungenaue Begriffsbestimmung zu „Daten“ und „Informationen“ aus der DS-GVO zu präzisieren. Die Recherche in den 300 Artikeln der Gesetzesvorhaben hat keine solche Präzision ergeben.

Fazit: Es geht bei alledem um nicht weniger als die Vereinbarkeit von Schutz der Privatsphäre und Datenkommerzialisierung. Dafür sind Leitkriterien und Orientierungshilfen unverzichtbare Instrumente. Bei einem Übermaß droht jedoch der gewünschte Effekt eines geordneten Miteinanders zu verpuffen. Es bleibt zu hoffen, dass sich alle Stakeholder des gemeinsamen Orientierungsrahmens für den digitalen Wandel bewusst sind und sich auf das Wesentliche beschränken. Mit der DS-GVO ist eine starke Grundlage bereits vorhanden, die es sinnhaft auf die entsprechenden Situationen anzuwenden gilt. Kein Grund für Aktionismus - ganz im Sinne von Oscar Wilde: do nothing is the most difficult and the most intellectual thing.