V Vorwort CNPD
Durch das Inkrafttreten der Europäischen Datenschutz-Grundverordnung (nachfolgend die „DSGVO“) am 25. Mai 2018 wurden die Themen Datenschutz und Privatsphäre europaweit, aber auch auf internationaler Ebene, stark mediatisiert. Dabei passierte es des Öfteren, dass das Hauptaugenmerk der neuen Verordnung in den Hintergrund gedrängt wurde: im Zentrum der DSGVO befindet sich die einzelne Person, deren Rechte gestärkt werden. Die Stärkung dieser Rechte ist umso wichtiger in einer zunehmend vernetzten Gesellschaft, in der durch den Aufschwung neuer Technologien immer mehr persönliche Informationen gesammelt, ausgetauscht und verarbeitet werden. Vernetzte Städte, Internet der Dinge, autonomes Fahren, Wirtschaft des Teilens sind alles Bereiche, in denen zunehmend auch persönliche Daten geteilt werden. Sicherheitsverletzungen, Datenverluste, Cyber-Angriffe und Verletzungen der Privatsphäre sind leider eine Realität geworden. Die DSGVO ermöglicht es jeder natürlichen Person, den Gebrauch ihrer persönlichen Daten zu kontrollieren und ist sie der Ansicht, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt, so kann sie von ihrem Recht auf Beschwerde bei bis zu drei verschiedenen Aufsichtsbehörden Gebrauch machen: entweder bei der Aufsichtsbehörde des Mitgliedstaates ihres Aufenthaltsorts, der ihres Arbeitsplatzes oder der des Ortes des mutmaßlichen Verstoßes.
Die Kernaufgabe der luxemburgischen „Commission nationale pour la protection des données“ (kurz „CNPD“) und ihrer 27 Pendants in der Europäischen Union besteht darin, die Anwendung der DSGVO zu überwachen, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Europäischen Union ermöglicht wird. Durch innovative Verfahren der Zusammenarbeit und Kohärenz können die nationalen Behörden länderübergreifend miteinander kooperieren, um Beschlüsse gegenüber multinationalen Verantwortlichen oder Auftragsverarbeiter wirksam durchzusetzen.
Im Zuge der Mediatisierung wurden auch zahlreiche Unwahrheiten über die tatsächlichen Anforderungen der Verordnung verbreitet. Es gehört zu den Aufgaben der CNPD, die Mythen und Desinformationen zu berichtigen, die in den letzten Monaten und Wochen in Umlauf geraten sind.
Die Ziele der DSGVO, nämlich das Datenschutzrecht innerhalb Europas stärker zu vereinheitlichen und zu modernisieren, sind sicherlich erreicht worden. Allerdings müssen alle betroffenen Akteure durch den für Luxemburg neuen Ansatz der DSGVO, von der a priori Kontrolle hin zur a posteriori Kontrolle, einen Lernprozess durchlaufen, um ihre jeweiligen Rechte und Pflichten in einer globalisierten Welt, in der persönliche Daten als Gold der post-industriellen Gesellschaft gehandelt werden, besser zu verstehen; in einer Welt in der die Grenzen zwischen physikalischbiologischer Realität und digitaler Wirklichkeit zunehmend zu einer virtuellen Welt verschmelzen, die aus einer Kombination aus künstlicher Intelligenz, Robotik, Quantenrechner sowie aus Nano – und Gentechnologien besteht. Es ist sehr wichtig, dass hier kein rechtsfreier Rahmen entsteht, in dem persönliche Daten ungeschützt bleiben.
Diese Entwicklungen erfordern einen soliden, transparenten und klar durchsetzbaren europäischen Datenschutzrechtsrahmen, der es ermöglicht, eine Vertrauensbasis zwischen allen Wirtschaftsteilnehmern, einschließlich kleinen und mittleren Unternehmen, zu schaffen, um den digitalen Binnenmarkt zu fördern. Die digitale Wirtschaft kann sich über die nationalen und europäischen Grenzen hinaus nur mit dem Vertrauen des Verbrauchers entwickeln, welches durch die Neuerungen der DSGVO gestärkt wird. Zeitgleich soll die DSGVO demnach den einzelnen Personen ermöglichen, einerseits neue Technologien zu nutzen, andererseits aber auch vor exzessiven und unfairen Verarbeitungen geschützt zu sein. Durch die allgemeine Pflicht, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („privacy by design“ und „privacy by default“) zu garantieren, wird das Thema Datenschutz zum Basisbestandteil aller innovativen Entwicklungen und Überlegungen.
Auch die Arbeit und Organisation der CNPD musste überdacht und neu strukturiert werden, damit sie ihrer doppelten Rolle als Informations- und Beratungsstelle, sowie als Kontrollinstanz gerecht werden kann. Nicht außer Acht zu lassen ist in diesem Zusammenhang, dass alle Aufsichtsbehörden direkte Zeugen der digitalen Evolution sind, die einen erheblichen Wandel der Gesellschaft und des Alltagslebens der Bürger zur Folge hat. Es ist heutzutage nicht mehr ausreichend zu überprüfen, ob Verarbeitungstätigkeiten im Einklang mit der neuen Datenschutz-Grundverordnung stehen, denn es ist ein nicht zu vernachlässigender Aspekt hinzugekommen: die von einem ethischen Standpunkt aus gesehene Prüfung der Auswirkungen von Datenverarbeitungen auf das Privatleben der betroffenen Personen und wie diese dazu beitragen kann, Ungleichheiten und Ungerechtigkeit in der Ära der Digitalisierung zu bekämpfen. Dies sind die zentralen Herausforderungen der Zukunft im Bereich des Datenschutzes.
Abschließend möchte die CNPD sich bei den Autoren für ihr erhebliches Engagement und einschlägiges Fachwissen bedanken, mit denen sie dieses Praxishandbuch verfasst haben. Denn obwohl die DSGVO die Datenschutzvorschriften auf europäischer Ebene harmonisiert, enthält sie dennoch mehr als 70 Öffnungsklauseln, die es den einzelnen Mitgliedsstaaten ermöglichen, präzisere Regeln in verschieden Bereichen vorzusehen. Die Luxemburgische Regierung hat die Gelegenheit genutzt, um einigen Eigenheiten des nationales Datenkosmos Rechnung zu tragen. Diese spezifischen Regeln unterstützen Luxemburgs Bestrebungen sich als ein digitaler Vorreiter in Europa zu positionieren. Die CNPD ist überzeugt, dass dieses Praxishandbuch allen, im Bereich des Datenschutzes tätigen, Interessengruppen in ihrer täglichen Arbeit eine gute Unterstützung sein wird.
Esch/Belval, der 21. Januar 2019 | Tine A. Larsen |