30 Jahre Datenschutz-Richtlinie (RL 95/46/EG)

ZD 2025, 667   Wenn die DS-GVO als Gold-Standard des Datenschutzes bezeichnet wurde (Albrecht CR 2016, 88 (98)), so käme der Datenschutz-Richtlinie (RL 95/46/EG - DS-RL) der Silber-Status zu. Man braucht zwecks Lobs der DS-RL (s. Ehmann/Helfrich, EG Datenschutz-RL, 1999) als Vorgängerin der DS-GVO (VO (EU) 2016/679) nur auf deren Anteile an der DS-GVO verweisen. Die DS-RL enthielt ein vielversprechendes Arsenal von Instrumenten, etwa Erforderlichkeit, Zweckbindung, aber primär das Verbot der Verarbeitung personenbezogener Daten (s. Leitsatz 1 zu EuGH ZD 2020, 36 mAnm Ukrow), das diese Instrumente in der Wirkung begrenzt und relativiert. Dies hat die DS-GVO verstärkt mit erweitertem Begriff der Verarbeitung übernommen. Dennoch sind große Unterschiede zu verzeichnen, etwa fehlte es der DS-RL an Durchsetzungsmacht und einheitlicher Umsetzung. Die Grundprinzipien sind weitgehend gleich, ebenso die vielen Probleme. Eines dieser Probleme ist die ausufernde Personenbeziehbarkeit der Daten als Schutzgut iRe Verbots mit Erlaubnissen. Zugleich verzichtet die DS-GVO auf ein materielles Schutzgut, während die DS-RL in Art. 1 Abs. 1 RL 95/46/EG die Mitgliedstaaten verpflichtet hatte, „den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten“ zu gewährleisten.

Die DS-GVO verfolgt wie die DS-RL bipolar zwei Schutzrichtungen: den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Datenverkehr. Die DS-GVO hebt die DS-RL in Art. 94 DS-GVO auf, übernimmt viele Ansätze und Regelungen der DS-RL und bestimmt u.a. in Art. 94 Abs. 2 DS-GVO, dass Verweise auf die DS-RL als Verweise auf die DS-GVO gelten. So ist bereits signalisiert, dass die DS-GVO die DS-RL zwar formal ersetzt, aber inhaltlich Kontinuität wahren will. Erwägungsgrund 9 DS-GVO sagt deutlich: „Die Ziele und Grundsätze der RL 95/46/EG besitzen nach wie vor Gültigkeit, doch hat die Richtlinie nicht verhindern können, dass der Datenschutz in der Union unterschiedlich gehandhabt wird, Rechtsunsicherheit besteht ...“ Weil die Umsetzung der DS-RL in den Mitgliedstaaten (zu) unterschiedlich erfolgte, regelt die EU nun den Datenschutz mit direkter Wirkung, um möglichst eine einheitliche Wirkung zu erreichen. Aus den Eckpfeilern der DS-RL, die Art. 6, 7 und 8 DS-RL, wurden Art. 5, 6 und 9 DS-GVO. Einige Errungenschaften, die der EuGH schon aus der RL entwickelt hatte, baut die DS-GVO zu einer starken Regelung aus, etwa Art. 17 DS-GVO mit dem Recht auf Vergessenwerden (ZD 2014, 350 mAnm Karg = MMR 2024, 455 mAnm Sörup - Google Spain; s.a. ZD 2020, 36 mAnm Ukrow - GC u.a./CNIL). Weitere Errungenschaften betreffen Aufsicht, Auskunft, Sicherheit, Haftung und Schadensersatz sowie Bußgeld. Die Durchsetzbarkeit der DS-GVO ist ungleich stärker.

Datenorientierung – Schutzgut

Die DS-GVO baut die Datenorientierung noch aus und steht insoweit den Digitalakten gegenüber, die - in teils strittigem Umfang - auch datenschutzrelevante Regeln enthalten. Vor allem die KI-VO enthält eine Regelung, die datenschutzrelevant ist, und zeigt, dass der Schutzbedarf auf anderer Ebene als der der Daten liegt: Art. 5 KI-VO spricht ein Verbot für spezielle „Praktiken“ ohne Einwilligungsvorbehalt aus. Diese Praktiken sind zB ausgerichtet auf Manipulation, Täuschung zwecks Verhaltensänderung über Beeinträchtigungen der Entscheidungsfähigkeit. Die Schutzgüter, um deren Wahrung es geht, sind aus der GRCh ableitbar, sind also abstrakt von den Grundrechten gedeckt, die schon die RL im Blick hatte, wie auch nun die DS-GVO, ohne sie konkret zu nennen. Mit Art. 15 DS-RL (nun Art. 22 DS-GVO) gab es bereits einen Ansatz in Richtung der Regulierung von Anwendungen.

Eine solche Ausrichtung würde effektiver gelingen, wenn das materielle Schutzgut, etwa Privatsphäre, aus dem Versteck geholt würde. Die ePrivacy-RL (RL 2002/58/EG v. 12.7.2002) blieb als spezielle Regelung (Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht/Karg, 2. Aufl. 2025, DS-GVO Art. 95 Rn. 1) auch unter der DS-GVO bestehen; gem. Art. 95 DS-GVO gilt diese RL für den TK-Sektor weiter, lediglich enthält Erwägungsgrund 173 DS-GVO einen Auftrag für die Überarbeitung der entsprechenden Rechtsgrundlagen an die Kommission, der bisher nicht erfüllt wurde (Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht/Karg, 2. Aufl. 2025, DS-GVO Art. 95 Rn. 1). Zentrale datenschutzrechtliche Vorgaben zur nationalen Umsetzung der ePrivacy-RL, insbesondere zum Schutz der Privatsphäre bei Endeinrichtungen, finden sich zwischenzeitlich innerhalb des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG). Interessant ist dabei, dass Privatsphäre zusammen mit Vertraulichkeit ausdrücklich in Art. 1 Abs. 1 ePrivacy-RL genannt ist. Das eröffnet Querverbindungen sowohl zur DS-GVO als auch zu BVerfG-Entscheidungen, zuletzt „Trojaner II“.

Risikoorientierung als direkte Orientierung an Gefahren für die Persönlichkeit und deren materiellrechtlich ausgeprägten Sphären sowie eine effektive Einbeziehung materieller Schutzpositionen bei der DS-RL und nun der DS-GVO fehlt (Ausnahmen sind Art. 8 und 15 DS-RL bzw. Art. 9 und 22 DS-GVO). Indirekt kommen diese aber über die Ansprüche auf Ersatz immateriellen Schadens dann doch zum Tragen. Deshalb sind die Schutzpositionen, die sich bei den Digitalakten finden, ein beachtlicher Beitrag (auch iVm Regeln, die auf FRAND-Kriterien uÄ abstellen). Die DS-GVO stellt allerdings Ansätze dafür zur Verfügung, um materielle Schutzgüter direkt einzubeziehen oder zu implementieren (Art. 25 DS-GVO - Privacy by Design und Privacy by Default; s. schon Hes/Borking, Privacy-Enhancing Technologies: The Path to Anonymity, 1995; Cavoukian, Privacy by Design-Foundational Principles, 1995/2009/2011; Hornung ZD 2011, 51 mwN - zB in Fn. 9).

Eine Adressierung der Hersteller, Importeure usw. fehlt der DS-GVO genauso wie der DS-RL. Der Hebel, dass nicht-datenschutzkonforme Produkte oder Systemgestaltungen eine Nichterfüllung bzw. einen Mangel darstellen, wird kaum benutzt. Jedoch kommt zusätzlicher Druck über die Digitalakte einschließlich DID-RL (umgesetzt etwa in § 327e BGB und (auch B2B-relevant) in § 434 BGB) mit Merkmalen wie Funktionalität, Kompatibilität, Interoperabilität, Sicherheit, die nun auch vor allem beim Data Act Bedeutung gewinnen, wie etwa beim „Cloud Switching“. Eine wesentliche Komponente des Erfolgs sowohl der DS-RL (Art. 17), als auch der DS-GVO (Art. 24, 25, 28, 32, 35 DS-GVO iVm Art. 5 lit. f DS-GVO und den Informationspflichten) ist die Sicherheit, die inzwischen einen sehr hohen Stellenwert hat und starke Beachtung findet, nicht zuletzt durch die Regelung in Art. 28 DS-GVO iVm Art. 32 DS-GVO und die starken Sanktionen, aber auch durch zusätzliche Regelungen wie die NIS2-RL oder DORA.

Relativität, Subjektivität

Die Entscheidung für die Delegation der Problemlösung an die Rechtsprechung ist nicht neu. Die Definition des Schutzobjekts mit binärem Charakter (Personenbeziehbarkeit ja/nein) und damit die Bestimmung der Anwendbarkeit ist alt. Diese Weichenstellung zugunsten des Schutzguts „Daten“ hatten seit Anfang der 70er-Jahre landesspezifische Regeln und dann auch für den nicht-öffentlichen Bereich das BDSG (1.2.1977) vorgenommen. Nach damaliger Auffassung war Privatsphäre als Schutzgut, an das die Regelung direkt anknüpfen könnte, wegen ihrer Relativität (GA Steinmüller u.a., 1971, BT-Drs. VI/3826, Anlage 1.) ungeeignet. Man zweifelte an der praktischen Ausgestaltung dieses Instituts im Gesetz. Schon das BVerfG hat dann für „Information“ genau diese Relativität - je nach Verwendungsart, Zweck, Verknüpfbarkeit - zum Kern der Entscheidung für das Informationelle Selbstbestimmungsrecht gemacht und konstatiert, dass es u.a. aufgrund der Verarbeitungs- und Verknüpfungsmöglichkeiten „unter den Bedingungen der automatischen Datenverarbeitung kein ,belangloses` Datum mehr“ gibt (BVerfGE 65, 1 Rn. 150). An die Stelle dieses Grundrechts tritt bei Datenerhebung aus einem IT-System, auf das mit technischen Mitteln zugegriffen wird, das IT-Grundrecht (Leitsatz 3 im Beschl. v. 24.6.2025 - 1 BvR 180/23 Rn. 223, 225 ff. - Trojaner II).

Heute erweist sich das Ausweichen vor den Schwierigkeiten einer Regelung auf der Basis „Privatsphäre“ auf die Ebene der - personenbezogenen - Daten als unnötig. Auch bei der Anwendung (u.a. zwecks Bestimmung der Anwendbarkeit der DS-GVO, des Vorliegens von Art. 9-Daten usw.) treten große Unsicherheiten auf, wenn auch im Detail andere als die bei der „Privatsphäre“. Von der Planungssicherheit beim Adressaten her gesehen sind die Grundprobleme ironischerweise sehr ähnlich (Relativität, Subjektivität). Eine Einteilung der Privatsphäre in einzelne Sphären der Persönlichkeit mit einem absolut geschützten Kern usw. wäre wesentlich konkreter als Schutzgut und deutlich handhabbarer für skalierende Risikoabschätzung und deren Schutzmaßnahmen.

Der EuGH entschied den Streit zu absoluter oder relativer Sichtweise bei der Personenbeziehbarkeit zugunsten der relativen (ZD 2025, 631 mAnm Roßnagel und mAnm Baumgartner = MMR 2025, 875 mAnm Monreal - SRB), in einer weiteren Entscheidung, dass der mögliche immaterielle Schaden auch in subjektiven Kategorien bestehen kann, etwa in „Sorgen und Ärger“ (ZD 2025, 640 mAnm Mekat/Wellmann - Quirin Privatbank). Das muss zwar vom Betroffenen dargelegt werden, baut aber auf höchst relativ zu beurteilenden Phänomenen auf. Dazu „passt“ aber, dass die Digitalakte inklusive KI-VO und nun der in Arbeit befindliche Digital Fairness Act (DFA-E) auf „weiche“ und stark subjektiv orientierte Kriterien und Anforderungen abstellen.

In Kombination bewirken diese Entscheidungen in hohem Maße Subjektivität und Relativität bei der Auslegung, sodass die heutigen Ergebnisse nach langer Zeit der Unsicherheit nun die Schwäche der Grundlage zeigen, die früh angelegt war. Die schon auf Basis der DS-RL ausufernde Auslegung (EuGH ZD 2017, 24 mAnm Kühling/Klar = MMR 2016, 842 mAnm Moos/Rothkegel - Breyer/Deutschland - zur IP-Adresse; BGH-Vorlage, Beschl. v. 28.8.2025 - VI ZR 258/24 zur Frage der Relevanz des Zusatzwissens Dritter) wurde noch stärker subjektiv und relativ bei der Ermittlung der Personenbeziehbarkeit interpretiert. Die Entscheidung (EuGH ZD 2024, 678 mAnm Golland = MMR 2024, 1022 mAnm Hense/Däuble - Lindenapotheke) brachte auch eine stark subjektive Komponente ein, die dem Relativitätsproblem entspricht und dieses auflädt: Auch mittels gedanklicher Kombination oder Ableitung kann auf den Gesundheitszustand der betroffenen Person geschlossen werden (Rn. 84). Gedankliche Verbindung reicht für die Qualifikation als personenbezogene Daten, ggf. auch solche besonderer Kategorien, aus. Das Potenzial von Zusatzwissen ist tendenziell sehr subjektiv, entsprechend unterschiedlich und somit ex ante kaum kalkulierbar.

Statt der Probleme der Relativität der Privatsphäre handelt die Rspr. nach bald 50 Jahren (seit BDSG) die Relativität und Subjektivität des zentralen Schutzguts Daten ab, und dies mit extensiver Tendenz auch beim Begriff der Daten selbst (s. schon Forgó/Helfrich/Schneider, Betrieblicher Datenschutz/Heidrich/Forgó/Moos, 3. Aufl. 2019, Teil VIII. Kap. 1. Rn. 11-13; s.a. EuGH ZD 2025, 631 Rn. 83 mAnm Roßnagel und mAnm Baumgartner = MMR 2025, 875 mAnm Monreal mit Verweis auf EuGH ZD 2018, 113 Rn. 55, 59 - Nowak). Die Uferlosigkeit wird noch bei der Beurteilung gesteigert, wenn auch der subjektive immaterielle Schaden erstattungsfähig ist (ZD 2025, 640 mAnm Mekat/Wellmann - Quirin Privatbank). Wegen der mehrfachen Relativität und Subjektivität bei Daten und dem Schaden sind Risiken im Vorhinein schwer objektiv ermittelbar (etwa auch bei Art. 32 und 35 DS-GVO). Schade also, dass der Ansatz der DS-RL zu Privatsphäre nicht weiterverfolgt wurde.

Die weite Ausdehnung der Personenbeziehbarkeit in der DS-GVO ist sowohl für die Planung von Projekten und Systemen im IT-Bereich als auch bei Anwendung und Abgrenzung der Digitalakte oft ein „Showstopper“. Das betrifft diese Brisanz der Kombination vor allem bei sensiblen Daten (Art. 9 DS-GVO), weil die gedankliche Ableitung reicht (s. schon BVerfGE 65, 1 Rn. 150 zur Verknüpfbarkeit als Risiko). Personenbezug und Kategorisierung unterliegen einem sog. Subsumtionsglücksspiel.

Die angedeuteten Risiken der Anwendung der DS-GVO betreffen uU Verarbeiter, die sich eigentlich nicht in einem Joint Controllership (JC) miteinander sehen. Auch die gemeinsame Verantwortlichkeit war bereits in der DS-RL angelegt (Art. 2 lit. d DS-RL: „,für die Verarbeitung Verantwortlicher` die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“), was aber wenig bekannt ist. In der DS-GVO ist diese Konstellation explizit ausgestaltet, Art. 26 DS-GVO. Die bisherige Rechtsprechung führt dazu, dass gegenüber der Auftragsverarbeitung nur die Alternative JC (Art. 26 DS-GVO) besteht, nicht die Möglichkeit der Kombination (s. zB EuGH ZD 2024, 209 Rn. 85 mAnm R. Schneider). Diese Formen der Zusammenarbeit können nicht kombiniert - allenfalls phasenweise ausgetauscht - werden. Aber auch das ist wegen der Reichweite der Grundentscheidung über Zwecke und Mittel fraglich. Jedenfalls setzt die Regelung zu JC ggf. von den Parteien unbemerkt und ungewollt ein, wie einige Entscheidungen, zunächst noch unter Geltung der DS-RL, zeigen (EuGH ZD 2018, 357 mAnm Marosi/Matthé und mAnm Schulz = MMR 2018, 501 mAnm Moos/Rothkegel - Facebook-Fanpages; EuGH ZD 2018, 469 mAnm Hoeren - Zeugen Jehovas zu Art. 2, 3 DS-RL, Art. 10 GRCh; EuGH ZD 2024, 328 mAnm Halim/Marosi = MMR 2024, 390 mAnm Keppeler/R. Schneider - TC-String zu Branchenorganisation; JC verneint EuGH ZD 2019, 455 mAnm Hanloser = MMR 2019, 579 mAnm Moos/Rothkegel – Fashion-ID).

Kein risikobasierter Ansatz bei der DS-GVO

Im Zusammenhang mit der Diskussion war verstärkt vom risikobasierten Ansatz die Rede. Tatsächlich ist für diesen in der DS-GVO kaum Raum, mit Ausnahme der Regelungen zu Sicherheit, also vor allem Art. 32 DS-GVO iVm Art. 24 und 35 DS-GVO. Das Prinzip findet sich dagegen in der KI-VO. Mit einem Vorschlag von Wendehorst für eine neue „KI-Datenschutz-VO“ (s.a. ZD-Interview Will/Schneider mit Wendehorst ZD 2025, 247; Wendehorst KIR 2025, 142 (Teil 1) und KIR 2025, 174 (Teil 2); Wendehorst EuDIR 2025, 203; Thiel ZD 2025, 545) kommt dieser Ansatz wieder in die Diskussion. Bei nüchterner Betrachtung ist allerdings ein risikobasierter Ansatz gegenüber Daten nicht gut konstruierbar, wie er im Sicherheitsrecht durchaus sehr verbreitet ist. Würde man allerdings, wie schon die DS-RL forderte, bei den Regelungen auf „Privatsphäre“ abstellen, wäre die risikoorientierte Regelung in Abstufungen der Gefährdungen wesentlich direkter vorzunehmen als bei einem pauschalen Verbot (wie DS-GVO). Das Argument (allzu) weiter oder unsicherer Auslegung iVm Relativität/Subjektivität gegenüber dem Institut „Privatsphäre“ ist angesichts der nun durch den EuGH mühsam erreichten ebenfalls starken Relativität und Subjektivität der Personenbeziehbarkeit obsolet. Der EuGH hat bei Interpretation der GRCh sehr pragmatische Entscheidungen getroffen: „Privatleben“ ist in Art. 7 GRCh, Datenschutz in Art. 8 GRCh jeweils speziell geregelt. „Spezialität“ macht dem EuGH aber keine Schwierigkeiten (s. Heckmann/ Scheurer, jurisPK-Internetrecht/Heckmann, 8. Aufl 2024, Kap. 9 Rn. 16 mwN: „Wenngleich für die Annahme der Spezialität gewichtige dogmatische Gründe sprechen, kann die jedenfalls parallele Einbeziehung des Art. 7 GRCh dazu beitragen, die Essenz des Datenschutzes – letztlich als Schutz der betroffenen Personen, nicht als Schutz der Daten – zu verdeutlichen.“). Der EuGH legt zumindest in Einzelfällen die Artikel der GRCh zielführend zusammen, wodurch „Privatsphäre“ doch in den Datenschutz gelangt, auch wenn die DS-GVO diese materiellrechtliche Institution – anders als die DS-RL – ignorierte und dafür nur noch auf Daten abstellte. 

Das BDSG 2003 und das BDSG 2009 nannten explizit als Zweck (§ 1 Abs. 1 BDSG) das Persönlichkeitsrecht als Schutzgut. Die DS-GVO besagt in Art. 1 Abs. 2 DS-GVO als Ziel, dass die VO die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (s.a. Art. 8 GRCh) schütze. Absatz 3 soll ähnlich wie schon die DS-RL den freien Verkehr von Daten wahren. Wohlwollend wird dies so interpretiert, dass dies den Schutz des Einzelnen vor der Preisgabe und Verwendung seiner Daten bezwecke, womit die „europäische Datenschutzrechtstradition“ fortgeführt werde (Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht/Hornung/Spiecker, 2. Aufl. 2025, DS-GVO Art. 1 Rn. 3 mwN). Das kann sich auf die Formulierung in Art. 1 Abs. 2 DS-RL beziehen, wonach die DS-RL noch explizit auch und „insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten“ gewährleisten wollte.

Perspektive

Es mehren sich die Stimmen und Anzeichen, die Verbesserung der DS-GVO nicht mehr als Tabu zu sehen. Es geht um Justierungen und Angleichungen sowie Brücken zwecks Harmonisierung mit den anderen Digitalakten. Großer Bedarf an Zusammenspiel und Auflösung von Konflikten gibt es zB zwischen DS-GVO und KI-VO (s. zB Wendehorst KIR 2025, 142; Wendehorst KIR 2025, 174; zu Zielkonflikten: Winau/Spiecker gen. Döhmann CR 2025, 647; speziell zu Überschneidung und Zusammenspiel von Art. 6 KI-VO mit Art. 22 DS-GVO Steenbergen KIR 2025, 326). Auch die Kompatibilität mit Regelungen der Nicht-EU-Handelspartner, etwa USA, wäre anzustreben. Es gibt erhebliche Probleme, die zurzeit nur vorläufig gelöst sind: Nach Ungültigkeit von Safe Harbor (EuGH ZD 2015, 549 mAnm Spies = MMR 2015, 753 mAnm Bergt – Schrems I, zu Art. 7, 8 GRCh und Art. 25 Abs. 6, 28 DS-RL) und Privacy Shield (EuGH ZD 2020, 511 mAnm Moos/ Rothkegel = MMR 2020, 597 mAnm Hoeren – Schrems II zu DS-DVO) besteht Unsicherheit, ob auch das EU-US Data Privacy Framework v. 10.7.2023 gekippt wird. Die Gefahr scheint vorläufig abgewendet (EuG v. 3.9.2025 – T-553/23 – Latombe). Die Zeit bis zur Entscheidung des EuGH könnte man nutzen.