Peter Schaar ist Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin und Bundesbeauftragter für den Datenschutz und die Informationsfreiheit a.D.
ZD 2025, 245 In die Datenschutzdebatte ist in den letzten Wochen viel Bewegung gekommen. Aus Brüssel wurden Forderungen eines ungewöhnlichen Bündnisses aus dem EVP-Europaabgeordneten Axel Voss und dem Datenschutzaktivisten Max Schrems zur Änderung der Datenschutz-Grundverordnung (DS-GVO) bekannt, in deren Mittelpunkt eine Reduzierung der Datenschutzanforderungen für kleine und mittlere Unternehmen steht. Eine hochkarätig besetzte Expertenkommission hat Vorschläge für einen „handlungsfähigeren Staat“ vorgelegt, die auch eine Neuordnung des Datenschutzes beinhalten. Schließlich wurden aus den Koalitionsverhandlungen zur Bildung einer neuen Bundesregierung Entwürfe für eine grundlegende Änderung der Rechtsgrundlagen und Aufsichtsstrukturen für den Datenschutz bekannt. Am auffälligsten war dabei die Ankündigung, die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in „Beauftragte für Datennutzung“ umzubenennen.
Bei allen Unterschieden im Detail ähneln sich die Vorschläge in der Einschätzung, dass der Datenschutz die technologische Entwicklung behindere und die Wettbewerbsfähigkeit der europäischen Wirtschaft schwäche. Ziel ist es, den Datenschutz zu „verschlanken“, indem Unternehmen und andere verantwortliche Stellen von als bürokratisch empfundenen Pflichten entlastet werden. Da noch nicht absehbar ist, wie sich die sich abzeichnende Koalition aus Unionsparteien und Sozialdemokraten positionieren wird und auch die erwähnte Initiative aus Brüssel noch der Konkretisierung bedarf, soll im Folgenden nur auf die Vorschläge der „Expertenkommission“ näher eingegangen werden, die offenbar auch in den Koalitionsgesprächen zur Bildung der neuen Bundesregierung eine wichtige Rolle spielen.
Vorschläge der Expertenkommission
Am 12.3.2025 hat eine hochrangig besetzte Expertenkommission (bestehend aus den ehemaligen Bundesministern Thomas de Maizière (CDU) und Peer Steinbrück (SPD), dem ehemaligen Präsidenten des BVerfG Andreas Voßkuhle und der Medienmanagerin Julia Jäkel) Vorschläge für einen „handlungsfähigeren Staat“ vorgelegt. Im Kern geht es um eine grundlegende Reform des Staates, die nahezu alle Politikbereiche betreffen soll. Angesichts der wachsenden Herausforderungen an staatliches Handeln ist dieses Vorhaben aller Ehren wert.
Zu den Handlungsfeldern zählen die Experten auch einen „überzogenen Datenschutz“, der für viele inzwischen zu einem Ärgernis geworden sei. So werde die DS-GVO in Deutschland strenger gehandhabt als in anderen EU-Staaten. Die Digitalisierung, der Einsatz von KI, Innovation und Forschung und eine digitale Verwaltung erforderten die Verknüpfung von Daten und nicht deren Abschottung (Initiative für einen handlungsfähigen Staat, Zwischenbericht v. 12.3.2025, S. 50-53, abrufbar unter: https:// hertieschool-f4e6.kxcdn.com/fileadmin/4_Debate/Debate_Photos_Downloads/2024/Initiative_handlungsfaehiger_staat/20250311_Zwischenbericht_interaktiv.pdf).
Reduziert werden müssten insbesondere die umfassenden Informationspflichten gegenüber den Betroffenen. Anstelle dieser Pflichten, die eine von den Adressaten nicht zu bewältigende Informationsflut auslösten, solle ein „einklagbares Recht der Bürgerinnen und Bürger auf Information“ treten. Die Betroffenen sollen zudem ein „Tracking-Recht“ erhalten, also die Möglichkeit, die Verwendung ihrer Daten nachzuvollziehen, verbunden ggf. mit einer entsprechenden Löschungsverpflichtung.
Ergänzt wird dieser Vorschlag durch einen grundlegenden Paradigmenwechsel hin zu einem Verzicht auf eine aktive Entscheidung der Personen, deren Daten verarbeitet werden sollen. „Statt vorherigem Einverständnis zur Verwertung von Daten sind grundsätzlich Widerspruchslösungen vorzusehen“, regt die Expertenkommission an.
Verlagerung der Verantwortung auf die Betroffenen
Auf den ersten Blick möchte man den Experten durchaus Recht geben, zB im Hinblick auf die oft sehr umständlichen Verfahren, die häufig beim Setzen elektronischer „Cookies“ verwendet werden. Bei näherem Hinsehen zeigt sich jedoch, dass die beklagte Überforderung der Betroffenen häufig schlicht darauf zurückzuführen ist, dass diese „Datenschutzhinweise“ bewusst unverständlich formuliert sind oder zentrale Aussagen in ausufernden Texten verstecken. Statt eines Verzichts auf Informationspflichten wäre daher eine Konkretisierung wünschenswert. Es könnte auch vorgesehen werden, dass Datenschutzhinweise bei digitalen Angeboten immer auch maschinenlesbar zu gestalten sind, um sie für digitale Präferenzsysteme der Nutzer (sog. Datenschutzagenten) auswertbar zu machen.
Auch hinsichtlich des geforderten Übergangs von der Einwilligungs- zur Widerspruchslösung vermag das Gutachten nicht zu überzeugen. Denn bereits nach geltendem Datenschutzrecht dürfen personenbezogene Daten grundsätzlich auch ohne Einwilligung der Betroffenen verarbeitet werden. Dies gilt insbesondere, soweit die Verarbeitung für die jeweiligen legitimen Zwecke erforderlich ist, zB für die Begründung und Durchführung von Vertragsverhältnissen, auf der Grundlage einer gesetzlichen Erlaubnis oder bei Vorliegen überwiegender Interessen an der Verarbeitung. Eine Einwilligung ist auch nach derzeitigem Recht nur bei besonders risikobehafteten Vorgängen erforderlich, insbesondere wenn Daten verarbeitet werden sollen, die für die Zweckerreichung nicht erforderlich sind, oder wenn vorhandene Daten für andere als die ursprünglichen Zwecke verwendet werden sollen. Besonders sensible Daten (zB Gesundheitsdaten) dürfen nur verarbeitet werden, wenn eine Einwilligung vorliegt oder eine ausdrückliche gesetzliche Erlaubnis die Verarbeitung erlaubt. Angesichts des ungebremsten Datenhungers insbesondere internationaler Big-Tech-Unternehmen wäre es fahrlässig, die datenschutzrechtlichen Hürden hier abzusenken.
Der Verzicht auf Informationspflichten und der Ersatz der Einwilligung durch Widerspruchslösungen würde die Verantwortung für die Verarbeitung personenbezogener Daten weitgehend auf die Bürgerinnen und Bürger verlagern. Wer nicht selbst recherchiert und Widerspruch einlegt, müsste in Zukunft damit rechnen, dass die ihn betreffenden Daten weit über das erforderliche Maß hinaus verarbeitet und zu anderen als den ursprünglichen Zwecken verwendet werden. Schließlich bleibt das Gutachten eine Antwort auf die Frage schuldig, wie Personen, die nicht ausreichend über die Verarbeitung der sie betreffenden Daten informiert wurden, von ihrem Widerspruchsrecht Gebrauch machen sollen.
Wo bleibt der technologische Datenschutz?
Seit Jahren ist eine grundrechtskonforme Technikgestaltung Gegenstand intensiver Forschungstätigkeit, auf deren Grundlage eine Vielzahl praktikabler Konzepte entwickelt und realisiert wurden. Im Mittelpunkt stehen dabei Lösungen, die Daten - unter Gewährleistung des Datenschutzes und der Privatsphäre - für die Forschung und andere legitime Zwecke nutzbar machen und den Konflikt zwischen Privatsphärenschutz und Datenverwertung entschärfen. Deshalb haben Ansätze wie „Privacy by Design“ und „Privacy by Default“ in die DS-GVO und andere Datenschutzvorschriften Eingang gefunden. Umso erstaunlicher ist es, wie spärlich die Bezugnahme auf technische Datenschutzlösungen in dem Expertenbericht ausfällt.
Das von den Verfassern vorgeschlagene „Datenschutz-Cockpit“, mit dem Betroffene nachvollziehen können, wer ihre Daten zu welchem Zweck nutzt und die Löschung der Daten veranlassen können, ist an sich ein guter Ansatz. Er löst aber nicht das grundsätzliche Dilemma, dass Daten immer umfassender verarbeitet und genutzt werden. Die vagen Hinweise auf Tracking-Rechte der Betroffenen und Löschungspflichten sollten konkretisiert werden.
Datenschutzbeauftragte verzichtbar?
Die DS-GVO sieht vor, dass öffentliche Stellen generell Datenschutzbeauftragte bestellen müssen. Auch nicht-öffentliche Stellen, die besonders risikobehaftete IT-Verfahren betreiben, haben Datenschutzbeauftragte zu bestellen. Das deutsche Datenschutzrecht verpflichtet darüber hinaus auch Unternehmen, wenn mindestens 20 Personen im Unternehmen ständig personenbezogene Daten automatisiert verarbeiten. Die Forderung der Expertenkommission, bei kleinen und mittleren Unternehmen generell auf die Verpflichtung zur Bestellung von Datenschutzbeauftragten zu verzichten, erscheint vor diesem Hintergrund nicht hinreichend durchdacht. Viele kleine und vor allem digitale Unternehmen verarbeiten eine Vielzahl personenbezogener Daten, die einem erheblichen Missbrauchsrisiko unterliegen. Die Forderung, auch für diese Unternehmen generell auf die Bestellung von Datenschutzbeauftragten zu verzichten, würde nicht nur dem europäischen Datenschutzrecht widersprechen, sondern auch das Vertrauen in die zunehmend digitale Wirtschaft untergraben. Wertvolles eigenes Datenschutz-Know-how würde aus den Unternehmen abwandern und müsste teuer von Dritten eingekauft werden.
Zukunft der Datenschutzaufsicht
Es ist nicht zu übersehen, dass sich die deutschen Datenschutzbehörden im Hinblick auf ihre jeweilige Unabhängigkeit mitunter schwer tun, gemeinsame Positionen zu finden. Insbesondere aus Wirtschaft und Wissenschaft wird kritisiert, dass die Datenschutzbehörden teilweise nach uneinheitlichen Kriterien entscheiden und in vergleichbaren Konstellationen zu unterschiedlichen Ergebnissen kommen. Es ist daher nicht verwunderlich, dass sich die Expertenkommission mit dieser unbefriedigenden Situation auseinandersetzt. Das Gutachten schlägt vor, die Aufsicht für den nicht-öffentlichen Bereich (Unternehmen), die heute bei den Ländern liegt, auf die BfDI zu verlagern (s. dazu auch Roßnagel ZD 2025, 181 f.).
Dieser Vorschlag vermag nicht vollständig zu überzeugen. So stellt sich die Frage, ob die vorgeschlagene Zentralisierung mit dem Grundsatz vereinbar ist, dass die Länder für den Vollzug von Bundesrecht zuständig sind. Fraglich ist zudem, wie eine Bundesbehörde ihre Aufsichtsfunktion in der Fläche, insbesondere gegenüber kleinen und mittleren Unternehmen, wahrnehmen soll. Auch für die Bürgerinnen und Bürger wäre es kaum nachvollziehbar, wenn die Bäckerei auf dem Marktplatz von einer Bundesbehörde beaufsichtigt würde, das Rathaus gegenüber aber weiterhin der Datenschutzkontrolle durch eine Landesbehörde unterläge.
Die genannten Probleme ließen sich durch eine Stärkung der Datenschutzkonferenz (DSK) eleganter lösen als durch eine Bundesbehörde, die die Aufsicht bis in die regionalen und örtlichen Strukturen hinein wahrnehmen soll. Leider hat es der Bundesgesetzgeber bisher versäumt, die dafür erforderlichen rechtlichen Voraussetzungen zu schaffen. Die von der Expertenkommission vorgeschlagene neue Föderalismusreform würde ein guter Anlass sein, die Entscheidungsstrukturen im Datenschutz - auch ohne Abschluss eines Staatsvertrags - verbindlich zu gestalten.