Die Datenschutz-Grundverordnung auf dem Prüfstand
Tilman Herbrich
Schriftleitung
Datenschutz-Berater
Sehr geehrte Leserinnen und Leser,
Obwohl die DSGVO mit gut 500 Tagen noch nicht einmal den Kinderschuhen entwachsen ist, wird sie bereits der ersten Leistungskontrolle unterzogen. Die EU-Kommission hat Parlament und Rat bis zum 25. Mai 2020 einen Bericht über die Bewertung und Überprüfung der DSGVO vorzulegen. Einst von Prof. Dr. Thomas Hoeren scherzhaft als die „größte Katastrophe des 21. Jahrhunderts“ kritisiert, bezeichnete Regierungsrat im BMJV Peter Schantz die Einführung der DSGVO zutreffend als „Beginn einer neuen Zeitrechnung“. Die DSGVO traf im Mai 2018 einen empfindlichen Nerv und kam, retrospektiv betrachtet, genau zum richtigen Zeitpunkt einer gesellschaftlichen Debatte zum Umgang mit staatlicher und privater Datenverarbeitung, die bis heute leidenschaftlich geführt wird. Sie war und ist ein wichtiger Baustein für die Harmonisierung des Datenschutzrechts in der Union und zur Förderung eines funktionierenden Binnenmarktes durch Wettbewerbsangleichung.
Die DSGVO hat in ihrer kurzen Lebenszeit schon mehr für die Beseitigung von Umsetzungs- und Vollzugsdefiziten im Datenschutzrecht getan, als jahrzehntelange Partikulargesetzgebung in der Prä-DSGVO-Ära. Wer bereits vor 2018 grenzüberschreitend im Datenschutz beraten hat, sehnt sich nicht nach dieser Zeit, sondern empfindet es als ausgesprochen anregend, dass weltweit, von Japan bis Brasilien, von den USA bis Südafrika die DSGVO als Referenzobjekt dient und zum Exportschlager wird. Aus global agierenden Unternehmen ist viel eher zu hören, dass man die DSGVO schlicht als weltweiten Goldstandard akzeptiere und auf länderspezifische Anpassungen verzichte. Man wird auch kaum leugnen können, dass der DSGVO gelungen ist, ein Bewusstsein für die Konsequenzen von Datenverarbeitungen zu schaffen und eine Stärkung der Betroffenenrechte zu erreichen. Dieser Trend wird nicht nur durch die Unternehmens- und Behördenpraxis, sondern auch durch offizielle Statistiken über Auskunftsersuchen und Beschwerden bei Aufsichtsbehörden belegt.
Die Untergangspropheten haben nicht Recht behalten, der prophezeite Super-GAU ist nicht eingetreten. Visitenkarten und Klingerschilder erfreuen sich reger Beliebtheit und die stets und ständig überlasteten Aufsichtsbehörden gehen bislang sehr besonnen mit der Sanktionierung von Datenschutzverstößen um. Die von der Wirtschaft nicht zu Unrecht beklagten Kosten für die Umsetzung der DSGVO resultieren teils aus Defiziten der Vergangenheit, teils auch aus schierer Panik vor den auf Papier harten Sanktionsdrohungen des neuen Regelwerks. Zugegebenermaßen läuft nicht alles rund und wir Rechtsberater stoßen heute noch auf mehr ungelöste als gelöste Fragen. Anfang Oktober haben nun die Regierungen der Mitgliedstaaten ihre Positionen für den Standpunkt des Rates vorgelegt, den die Kommission bei der Evaluation einzubeziehen hat. Vor allem sind laut Verordnung die Entwicklungen in der Informationstechnologie einzubeziehen. Allein die niederländische Regierung hat dies in ihrer Bewertung der DSGVO thematisiert. Kritisch verhalten sich vor allem Entwicklungen im Bereich von Machine Learning als Grundlage „Künstlicher Intelligenz“. Dies zeigt nicht zuletzt das kürzlich veröffentliche Gutachten der deutschen Datenethikkommission.
Man darf eines nicht vergessen: Es war das Ziel, eine Rahmenverordnung zu schaffen, die sich technikneutral verhält. Erst sektorspezifische Regulierungen können die notwendige Rechtssicherheit leisten. Insofern gilt es, die digitale Binnenmarktstrategie der Kommission voranzutreiben. Außerdem benötigen neue Gesetze Zeit. Dies gilt umso mehr, als der EuGH in der „Planet49“-Entscheidung erneut eine europarechtlich „autonome und einheitliche“ Auslegung vorgegeben hat. In diesem Sinne wünsche ich Ihnen im Namen des Redaktionsteams eine spannende Lektüre.
Ihr
Tilman Herbrich