Abo

Aufsatz : Die DS-GVO als Datenwirtschaftsverfassung : aus der RDV 5/2022, Seite 258 bis 264

„So war die DS-GVO nicht gemeint“ von Stefan Brink, Jan Oetjen, Rolf Schwartmann und Axel Voß in F.A.Z. 18. Juli 2022 auf dem Prüfstand

Lesezeit 1 Min.

Wenn gleich vier Datenschutzexperten behaupten, in der Anwendung der DS-GVO laufe einiges schief, muss etwas dran sein. Die Autoren Stefan Brink, Jan Oetjen, Rolf Schwartmann und Axel Voß kritisieren in ihrem F.A.Z.- Beitrag aus dem Juli 2022 die Anwendung der DS-GVO und fordern in neun Punkten einen Richtungswechsel.[1] Auf den Punkt gebracht: Unternehmen sollen nicht im vorauseilenden Gehorsam handeln. Aufsichtsbehörden und Gerichte sollen das Recht auf Schutz personenbezogener Daten nicht als „Supergrundrecht“ verstehen, sondern in Einklang mit anderen Schutzgütern bringen. Der Gesetzgeber soll schnell und zukunftsorientiert handeln. Nur so hat Europas Digitalwirtschaft in der Zukunft eine Chance. Klare Worte, doch sind sie berechtigt? Grund genug, um die neun Forderungen auf den Prüfstand zu stellen. Die diskutierten Passagen sind hier grau unterlegt.

„Europas Digitalwirtschaft soll im internationalen Wettbewerb zu einem Ökosystem der fairen digitalen Wertschöpfung werden. Dabei kommt es entscheidend auf die rechtlichen Rahmenbedingungen an. Aktuell entstehen in Ergänzung des Data Governance Act mit dem Data Act und der KI-Verordnung Gesetze, die auf die Weitergabe und Nutzung von Daten zum Wohl von Gesellschaft, Wirtschaft und Staat gerichtet sind. Bei ihnen ist der Datenschutz kein Bremsklotz der wirtschaftlichen Entwicklung, sondern integraler Bestandteil des Rechtsrahmens. Ebenso unbestreitbar ist: „Big Data“ und Anwendungen künstlicher Intelligenz setzen die Verkehrsfähigkeit von Daten voraus. Und: Wettberber aus USA und China beherrschen bislang den europäischen Markt. Sie setzen faktisch die Standards und stellen die Plattformen. Wenn Europas Digitalwirtschaft im internationalen Wettbewerb bestehen soll, dann müssen mehrere Faktoren zusammenwirken.“

Europas Daten liegen in den Händen von wenigen Tech-Giganten. Das beeinträchtigt nicht nur den Wettbewerb, sondern hemmt auch Innovationen innerhalb des europäischen Binnenmarktes. Die EU-Kommission hat schon 2020 die Reißleine gezogen und in einem Maßnahmenpapier zur „europäischen Datenstrategie“[2]dargelegt, wie Europa den digitalen Wandel vollziehen kann. Die „europäische Datenstrategie“ sieht vor, dass ein europäischer Binnenmarkt für Daten entsteht. Die EU-Kommission hat eine neue Art der Datenverwaltung vorgeschlagen, bei der Daten EU-weit zum Nutzen von Unternehmen, Forschungseinrichtungen und öffentlichen Stellen weitergegeben werden sollen. Damit dieser ambitionierte Plan aufgeht und zugleich Datenschutz- und Wettbewerbsrecht gewahrt werden, braucht es mehr als bloß eine Absichtserklärung. Daher hat die Kommission eine Vielzahl von Maßnahmen getroffen, um einen digitalen Binnenmarkt für Daten zu schaffen. Das Fundament bildet die DS-GVO, damit Nutzer das nötige Vertrauen aufbringen, um sich auf datengetriebene Innovationen einzulassen.[3] Darauf bauen eine Vielzahl weiterer Rechtsakte auf, darunter das Gesetz über digitale Märkte (DMA), das Gesetz über digitale Dienste (DAS), Datengesetz (DA), Daten-Governance-Gesetz (DGA) und die KI-Verordnung (AIA). Doch es braucht mehr als nur Regelungen zur Datennutzung. Die EU-Kommission schlägt weitere Maßnahmen mit Blick auf Technologien und Infrastrukturen vor. So wird ein einheitlicher elektronischer Identitätsnachweis für alle Onlinedienste vorgeschlagen.[4] Sogar ein europäisches Chip-Gesetz[5] ist geplant, um die Versorgung mit Halbleitertechnologien innerhalb Europas auch in Krisenzeiten zu gewährleisten. Die ambitionierten Pläne der Kommissionspräsidentin Ursula von der Leyen kann man gutheißen oder mit Skepsis betrachten. Doch worin sich alle einig sind, ist dass die Abhängigkeiten von Asien und den USA aufgelöst werden müssen.

I. Die DS-GVO als Wirtschaftsverfassung des Datenbinnenmarktes begreifen

„Die DS-GVO ist mehr als „nur“ eine Datenschutzverordnung, sie ist der Kern der „Wirtschaftsverfassung des Datenbinnenmarktes“. Art. 1 DS-GVO und deren Erwägungsgrund 4 schützen nicht nur natürliche Personen bei der Verarbeitung personenbezogener Daten, sie schützen ausdrücklich auch den „freien Verkehr solcher Daten“. Dieser darf aus Gründen des Datenschutzes in der EU weder eingeschränkt noch verboten werden. Zugleich liefert die DS-GVO die Rechtsgrundlagen für legitime Datenverarbeitungen. Dies sind die Verfolgung interessengerecht abgewogener Zwecke, Verträge über die Datenweitergabe und die freiwillige und informierte Einwilligung. Die im Bürgerlichen Gesetzbuch umgesetzte Richtlinie für Digitale Inhalte hat völlig konsequent Daten zum Wirtschaftsgut erklärt. Das aktuell in der EU entstehende Datenrecht baut diesen Ansatz aus. Es setzt auf eine umfassende Datenweitergabe unter Wahrung der Interessen persönlich Betroffener. Auf dieser Basis kann im Binnenmarkt mit personenbezogenen Daten gearbeitet, geforscht und gewirtschaftet werden. Personenbezogene Daten sind also – anders als uns manche öffentliche Diskurse glauben machen wollen – keine „res extra commercium“, die dem privatnützigen Wirtschaften entzogen wäre. Nur sehr wenige Datenverarbeitungen sind so risikoreich, dass man sie tabuisieren muss und die Weitergabe und Nutzung dieser sensiblen Daten selbst durch Einsatz von Verschlüsselungs- und Pseudonymisierungstechnik nicht rechtfertigen kann.“

Die DS-GVO sollte besser Daten-Grundverordnung heißen, denn sie regelt nicht nur den Datenschutz, sondern auch die Datenverkehrsfreiheit.[6] Das ergibt sich unmittelbar aus dem vollständigen Titel der DS-GVO, denn sie ist eine Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.[7] Ebenso ausdrücklich regelt das europäische Primärrecht, dass der Unionsgesetzgeber die Kompetenz hat, Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und über den freien Datenverkehr zu erlassen, Art. 16 Abs. 2 AEUV. Ist die DS-GVO deshalb eine Wirtschaftsverfassung? Ja, wenn man den Begriff der Verfassung nicht im formellen Sinne, sondern als Rechtsordnung versteht. Wirtschaftsordnung ist die DS-GVO deshalb, weil sie einerseits im europäischen Wirtschaftsraum Pflichten bei der Datenverarbeitung regelt, anderseits regelt sie Rechte der an der Datenverarbeitung Beteiligten. Dazu gehören nicht nur die umfangreichen Betroffenenrechte gem. Art. 12 ff. DS-GVO. Auch Verantwortlichen steht nach den europäischen Grundrechten wie der unternehmerischen Freiheit gem. Art. 16 GRCh und dem Recht auf Eigentum gem. Art. 17 GRCh das Recht auf Datenverarbeitung zu. Darüber hinaus dienen Datenschutz und Datenverkehrsfreiheit nicht nur dem Schutz des Einzelnen. Beide Schutzgüter sollen die in Art. 3 EUV, 179 AEUV verankerten Ziele der Union fördern. Dazu gehört insbesondere die Schaffung eines (digitalen) Binnenmarktes.[8]

II. Mut zur Freiheit bei den Verantwortlichen

„Wir erleben seit 2018 – dem Jahr des Wirksamwerdens der DS-GVO – eine äußerst defensive Debatte über die Nutzung persönlicher Informationen, gerade so als hätte Europa der zukunftsorientierten und in vielerlei Hinsicht gewinnbringenden Verarbeitung personenbezogener Daten abgeschworen. Umgekehrt schüttet eine frustrierte Datenwirtschaft das Kind mit dem Bade aus, wenn sie dem gewachsenen und vitalen Datenschutz Wirtschaftsfeindlichkeit oder Gestrigkeit unterstellt. Verantwortliche in Staat und Wirtschaft müssen vielmehr den Mut und die Weitsicht aufbringen, die Rolle s.o. des Datenschutzes zu verstehen und zu respektieren, aber eben auch nicht zu überhöhen. Dazu gehört, dass sie ihre Verantwortung bei der Auslegung des Datenschutzrechts erkennen und selbstbewusst wahrnehmen. Dabei darf man auch Widerspruch gegenüber einer zu engen Anwendungspraxis von Aufsichtsbehörden erheben und sollte den Konflikt mit potentiellen Klägern auf Schadensersatz wegen behaupteter Datenschutzverletzungen nicht scheuen. Verantwortliche können europaweit auf die Kontrollmechanismen des Rechtsstaats, insbesondere die fachkundiger werdenden Gerichte vertrauen. Mut statt Frust lautet die Devise.“

Es gibt mehrere Gründe, weshalb Unternehmen Konflikte mit den Datenschutzaufsichtsbehörden scheuen. Zwar sind bei vielen Unternehmen bereits kurze Zeit nach Geltung der DS-GVO die Sorgen vor Bußgeldern in Millionenhöhe verschwunden. Auch das Vorabentscheidungsverfahren zur Auslegung des Art. 83 DS-GVO[9] dürfte dafür sorgen, dass die Aufsichtsbehörden in punkto Bußgelder zunächst einmal innehalten. Jedoch dürfte es mehr als nur Mut verlangen, sich gegen die Auffassung der Aufsichtsbehörden zu richten. Unternehmen scheuen einen Konflikt mit den Behörden, denn sie können sich keine negativen Schlagzeilen leisten. Jede behördliche Mitteilung über ein Aufsichts- oder Bußgeldverfahrens kann zu einem Reputationsverlust führen.[10] Zudem muss das Unternehmen damit rechnen, sich vor den Zivilgerichten auf der Beklagtenseite wiederzufinden. Schadensersatz nach Art. 82 DS-GVO ist nicht nur das „neue“ Bußgeld, sondern mittlerweile ein florierendes Geschäftsmodell.[11]

Verantwortliche, die dennoch in die Offensive gehen wollen, müssen nicht erst abwarten, bis ein Aufsichts- oder Bußgeldverfahren gegen sie eröffnet wird. Sie können vorbeugenden Rechtsschutz in Anspruch nehmen und vor den Verwaltungsgerichten klären lassen, ob Sanktionsandrohungen der Aufsichtsbehörden, z.B. in Form von Pressemitteilungen, im Einklang mit der DS-GVO stehen.[12] Schließlich braucht es neben Mut vor allem Geduld. Viel Geduld, denn gerichtliche Verfahren im Datenschutz können fast ein Jahrzehnt dauern, wie das Verfahren „Facebook Fanpages“ zeigt.[13]

III. Umdenken bei der Datenschutzaufsicht

„Damit die Wirtschaft die von der DS-GVO gewährte Freiheit leben kann, müssen die Datenschutzaufsichtsbehörden ein verlässliches und einheitliches Maß beim Vollzug des Datenschutzes finden. Sie müssen die Wechselwirkung zwischen Datenschutz und der Notwendigkeit nach umfassender Weitergabe von Daten unterstützen. Zugleich müssen sie sich auf ein einheitliches und verlässliches Vorgehen einigen. Genau mit dieser Zielsetzung wurde in der DS-GVO der Europäische Datenschutzausschuss eingesetzt, um für eine harmonische Umsetzung des Rechts in der gesamten EU zu sorgen. Das funktioniert bislang noch nicht überzeugend: Aktuell muss es die Wirtschaft beispielsweise ausbaden, dass Europas Datenschutzaufsichtsbehörden sich nicht auf ein effektives Vorgehen gegen Facebook einigen können, obwohl der Tech-Gigant wesentliche Vorgaben der DS-GVO ignoriert. Irland ist für Facebook zuständig, aber bisher nicht bereit, das Unternehmen in die Schranken zu weisen. Streitpunkt ist u.a. die Intransparenz über die Verantwortung der Datenverarbeitung beim Betrieb von Fanpages. Weil sich unter Europas Datenschutzbehörden keine klare Mehrheit dafür findet, Irland zu einem energischen Vorgehen gegen Facebook zu zwingen, hat man in Deutschland jetzt damit begonnen, gegen die Fanpagebetreiber – zunächst gegen Behörden, dann aber auch gegen Unternehmen – vorzugehen. Sie wollen Facebook „über Bande“ dazu zwingen, sich an das Datenschutzrecht anzupassen. Facebook sitzt das bislang aus, während Europas Wirtschaft auf Bußgelder und Schadensersatzklagen wegen Datenschutzverstößen wartet, weil man bei der Kommunikation und in seinen Geschäftsmodellen von Sozialen Netzwerken abhängig ist.“

Die Datenschutzaufsichtsbehörden mussten sich schon öfter dem Vorwurf aussetzen, untätig zu sein.[14] Viel gravierender sind hingegen die Meinungsverschiedenheiten unter den Aufsichtsbehörden, die zu Rechtsunsicherheiten bei den Unternehmen führen.[15] Daher wurde schon häufiger eine Zentralisierung der Datenschutzaufsicht angeregt.[16] Eine Zentralisierung wäre jedenfalls für den nicht-öffentlichen Bereich der Datenschutzaufsicht verfassungsrechtlich möglich.[17] Eine verbindliche und einheitliche Auffassung der deutschen Datenschutzaufsichtsbehörden könnte auch erreicht werden, indem die Datenschutzkonferenz institutionalisiert wird.[18] Anders als beim Europäischen Datenschutzausschuss sind Beschlüsse der Datenschutzkonferenz nicht verbindlich. Zwar sind die Mitglieder der Datenschutzkonferenz bemüht, eine einheitliche Anwendung des Datenschutzrechts zu erreichen.[19] Dem steht jedoch nicht entgegen, dass die Mitglieder der Datenschutzkonferenz in eigenen Publikationen abweichende Positionen vertreten. Zwingend ist eine Neugestaltung der deutschen Datenschutzaufsicht nicht, denn es zeichnet sich bereits ein Umdenken ab. Die Aufsichtsbehörden haben erkannt, dass mehr Prävention geleistet werden muss, indem die Beratung ausgeweitet wird und Digitalisierungsprojekte von Verantwortlichen begleitet werden.[20]

IV. Kurswechsel beim EuGH

„Die Idee des Vorgehens gegen Fanpagebetreiber stammt vom Europäischen Gerichtshof, dem maßgeblichen Treiber für die offensive Umsetzung des europäischen Datenschutzrechts. Das Gericht hat damit einen entscheidenden Anteil am Geschick der DS-GVO. Der EuGH begreift die DS-GVO im Wesentlichen als Verbraucherschutzrecht und verliert dabei deren Ziel, auch das wirtschaftliche Potenzial personenbezogener Daten zu heben, weitgehend aus den Augen. Auf der einen Seite nimmt er weltweit agierende Unternehmen zu Recht in die Pflicht, ihre Angebote dem lokalen Recht anzupassen. Nach dem Marktortprinzip gilt europäisches Recht nun einmal für alle, die hier anbieten. Auf der anderen Seite geht der EuGH zu weit, wenn er etwa die nur abstrakte und hypothetische Möglichkeit des Zugriffs nicht-europäischer Sicherheitsbehörden ohne konkretes und reales Risiko für persönliche Daten von Europäern als Killerkriterium für globalen Datenaustausch begreift. Die „Schrems II“-Entscheidung des EuGH hat enormen Flurschaden angerichtet. Danach ist selbst die technische Einbindung eines Schrifttyps, die per Datenverarbeitung aus den USA erfolgt, eine Datenschutzverletzung mit der Folge des Schadensersatzes für Unternehmen und Behörden. Das Verbot der Nutzung außereuropäischer Anbieter, etwa von Konferenzsystemen, schneidet Europa von der „Digitalen Daseinsvorsorge“ und Massenkommunikation zu einem Zeitpunkt ab, da nutzbare europäische Alternativen erst noch im Aufbau sind. Die Verwendung von gebräuchlicher Videokonferenzsoftware etwa kann mit existenzbedrohenden Bußgeldern belegt werden, auch wenn es in der Konferenz nur um Wirtschaftszahlen oder ums Wetter geht. Die Klageindustrie steht mit Unterstützung von Legal Tech in den Startlöchern, um Europas Wirtschaft mit Massenklagen zu überziehen – hier immerhin scheint Europa die Nase vorn zu haben.“

Einspruch! Der EuGH ist weder verbraucherfreundlich noch entschied er über ein „Datentransferverbot“. Der EuGH wird missverstanden, denn seine Urteile werden fälschlicherweise „ausgelegt“ wie Gesetze, und es werden Schlüsse gezogen, die nicht in Rechtskraft erwachsen. Der EuGH entscheidet in Vorabentscheidungsverfahren gem. Art. 267 AEUV über die Anwendung europäischen Rechts. Ist ein nationales Gericht der Auffassung, dass ein Europäischer Rechtsakt ungültig ist oder die Auslegung streitig ist, ruft es den EuGH an. Eine Auslegung des Wortlautes der EuGH-Entscheidungen verbietet sich schon deshalb, weil grundsätzlich nur der EuGH selbst bei Zweifeln über Sinn und Tragweite eines Urteils oder Beschlusses im Wege eines Antragsverfahrens für die Auslegung zuständig ist.[21] Ein solches Auslegungsverfahren ist jedoch ausgerechnet bei Vorabentscheidungsverfahren gem. Art. 267 AEUV ausgeschlossen.[22]Die nationalen Gerichte müssen beurteilen, ob durch ein Vorabentscheidungsverfahren die aufgeworfenen Vorlagefragen hinreichend beantwortet wurden oder ob es erforderlich ist, den Gerichtshof erneut anzurufen.

Es ist nicht von der Hand zu weisen, dass der EuGH tendenziell zu einer extensiven Auslegung neigt, damit der Schutzzweck einer Norm die größtmögliche Wirkung entfalten kann. Verbraucherfreundlich ist er deswegen keinesfalls. Auch sieht der EuGH keinen Vorrang des Rechts auf Schutz personenbezogener Daten gem. Art. 8 GRCh gegenüber anderen Grundrechten, denn „das Recht auf Schutz personenbezogener Daten [ist] kein uneingeschränktes Recht, sondern muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden.“[23]

Erforderlich ist daher kein Kurswechsel vom EuGH, sondern vielmehr ein anderes Verständnis seiner Rolle und Funktion innerhalb der Rechtsprechung.

V. Sinnvolle wirtschaftliche Rahmenbedingungen für Datenteilung

„Bei der Anwendung der DS-GVO ist also einiges schiefgelaufen. So war sie nicht gemeint. Rechtsprechung und Aufsichtspraxis müssen sich also ändern, wenn der Wille des Europäischen Gesetzgebers nicht in wesentlichen Teilen ignoriert werden soll. Der setzt in den neuen Datengesetzen zum Datenbinnenmarkt nämlich consequent auf Datenteilung und den Einsatz künstlicher Intelligenz. Er schreibt damit die DS-GVO als „Datenwirtschaftsverfassung“ fort. Der Gesetzgeber verfolgt sein Ziel weiter, Anreize für die Datenweitergabe im europäischen Datenökosystem zu schaffen. Das Anwendungsfeld dieses neuen Rechts ist immens. Im Internet der Dinge kommuniziert der Toaster mit Toastbrotlieferanten und die Waschmaschine mit dem Energieversorger. All diese Daten sollen im Binnenmarkt geteilt und verwertet werden. Das ist auch gut so – wirft aber natürlich auch Fragen auf. Etwa beim vernetzten Auto, dem fast alles können den Personal Organizer, der künftig autonom von Budapest nach Dublin fahren wird. Noch ist völlig unklar, wem die Daten gehören, die bei einer Autofahrt durch Europa erhoben werden. Im autonomen Auto sind die Insassen nur noch Fahrgäste des Betreibers und Kunden des Anbieters der Inhalte der Bordelektronik sowie der sie treibenden Werbewirtschaft. Solange es noch einen Fahrer gibt, fragt sich, ob ihm die Daten der Fahrt zustehen, weil er sie produziert hat und sie sich auf ihn beziehen. Oder gehören sie dem Hersteller, der den vernetzten Wagen auf der Straße hält, oder dem Zulieferer für die Bordelektronik, deren Angebote die Insassen nutzen. Oder gehören die Daten dem Navigationsdienst von Google? Da jeder ein gewisses Anrecht auf diese Daten hat, wird der Gesetzgeber die entstehenden Interessenkonflikte weise regeln müssen und eventuell auch zu deren Teilung zwingen können, dabei aber die Unternehmensfreiheiten zu wahren haben.“

Fakt ist, dass ein digitaler Wandel auch ein Umdenken in puncto Datenschutz erfordert. Ein europäisches Datenökosystem, in dem Daten gemeinsam genutzt werden, verträgt sich so gar nicht mit dem bisherigen Verständnis vom Grundsatz der Datenminimierung. Die neuen Datenakte regeln einheitlich, dass sie das Unionsrecht zum Datenschutz, insbesondere die DS-GVO, unberührt lassen. Es versteht sich von selbst, dass das Schutzniveau der DS-GVO nicht unterlaufen werden darf, auch nicht zur Erreichung eines digitalen Binnenmarktes. Unklar bleibt jedoch, was der europäische Gesetzgeber konkret mit „unberührt“ meint. Handelt es sich um einen klarstellenden Hinweis, dass sich der Geltungsbereich beider Regelungen nicht überschneidet? Sind beide Regelungen nebeneinander anwendbar oder wird ein Vorrang des Datenschutzrechts ausgedrückt?[24] Räumt der europäische Gesetzgeber diese Unklarheiten nicht aus, kann nur noch der EuGH für ein einheitliches Verständnis sorgen.

VI. Künstliche Intelligenz praxisgerecht regulieren

„Wenn der Fahrer während der Fahrt unter Auswertung seines Fahrverhaltens von einem Bordcomputer auf seine Fahrtauglichkeit kontrolliert wird, dann kommt künstliche Intelligenz ins Spiel. Hier gilt es mit Augenmaß für die potentiellen Gefahren für Leib, Leben oder Gesundheit von Insassen und Verkehrsteilnehmern zu agieren. Man darf nicht aus jedem Kaffee, der dem Fahrer wegen künstlich intelligent festgestellter Müdigkeit nahegelegt wird, eine Hochrisikoanwendung machen. Das muss den heftig diskutierten Dilemmasituationen von potentiellen „Tötungsentscheidungen“ des Fahrzeugs im Straßenverkehr vorbehalten bleiben. Man muss auf Basis der DS-GVO also zukunftsorientiert ausbuchstabieren, was zulässig ist. In den allermeisten Fällen ist KI ungefährlich und nützlich, und ihr Einsatz dürfte oft, etwa im Gesundheitsbereich oder bei der Verbrechensbekämpfung, sogar ethisch geboten sein, wenn sie ihre Eignung unter Beweis gestellt hat. Wie der Mensch die Kompetenz bekommt, die „intelligente“ Maschine zu verstehen, um sich zur Not auch gegen den Vorschlag des Computers entscheiden zu können, der wie ein Schachcomputer in seinem Kontext nicht geschlagen werden kann, muss ebenfalls im Gesetz mitgedacht und vorgegeben werden. Nur wissend kann der Mensch den Druck auf die Stopp-Taste verantworten.“

Die DS-GVO enthält bereits Instrumente zur KI-Regulierung. Die Datenschutz-Folgenabschätzung gem. Art. 35 DS-GVO soll dazu dienen, mögliche Schäden und deren Eintrittswahrscheinlichkeit bei der Nutzung von KI-Systemen zu ermitteln.[25] Dabei ist insbesondere zu prüfen, welches Diskriminierungspotenzial von einer KI-basierten Datenverarbeitung ausgeht.[26] Das ermittelte Risiko bestimmt, welche technischen und organisatorischen Maßnahmen ergriffen werden müssen, um die Integrität und Vertraulichkeit gem. Art. 5 Abs. 1 lit. f), 32 DS-GVO zu gewährleisten.

Dennoch bietet die DS-GVO weder einen umfassenden Schutz der Betroffenen, noch regelt sie die zulässigen Grenzen, innerhalb derer sich Verantwortlicher bewegen dürfen. Die Regelungen zu Profiling gem. Art. 22 DS-GVO sind lückenhaft, denn sie erfassen nur Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung beruhen, nicht hingegen solche, bei denen der Mensch – sei es auch nur in geringem Maße – mitwirkt.[27] Betroffene müssen auch nicht umfassend über Algorithmen informiert werden, denn die Art. 13 Abs. 2 lit. f), 14 Abs. 2 lit. f) DS-GVO fordern nur Angaben zur involvierten Logik, Tragweite und Auswirkungen, soweit eine Verarbeitung im Sinne des Art. 22 Art. 1 DS-GVO vorliegt.

Neben spezifischen Regelungen zur KI braucht es eine gesetzgeberische Klarstellung, in welchen Anwendungsszenarien KI zulässig ist oder nicht. Nicht der Rechtsanwender, sondern der Gesetzgeber muss entscheiden, ob KI im Beschäftigtenverhältnis,[28] zur Kriminalitätsbekämpfung oder für Werbezwecke erlaubt ist.

VII. Datensouveränität stärken

„Wer im Netz unterwegs ist, dem muss der Gesetzgeber Möglichkeiten an die Hand geben, um seine Datensouveränität praktikabel umsetzen zu können. Die Mittel zur Verfügung über Daten sind der Vertrag mit einem Datendienst über die Nutzung der Daten oder die Einwilligung. Beide Erlaubnisgründe konkurrieren miteinander. Das moderne Zivilrecht erkennt das „Zahlen mit Daten“ und damit Personen daten als Wirtschaftsgüter durchaus an. Den Willen zur Nutzung von Onlineangeboten, von der Website bis zur Bordelektronik im vernetzten Fahrzeug, kann man per Einwilligung erklären. Das deutsche Recht schlägt den Weg über Einwilligungsdienste vor, mit deren Hilfe Nutzer ihre Einwilligungen selbstbestimmt bündeln und sinnvoll verwalten können. Dieser Weg ist vielversprechend, das Digitalministerium muss nun zügig den Rechtsrahmen hierzu schaffen.“

Der deutsche Gesetzgeber hat mit § 26 TTDSG einen Rechtsrahmen für anerkannte Dienste zur Einwilligungsverwaltung geschaffen. Die konkrete Ausgestaltung solcher Dienste soll eine Rechtsverordnung regeln, § 26 Abs. 2 TTDSG.[29] Neben dem Einwilligungsmanagement hat der europäische Gesetzgeber durch die Digitale-Inhalte-Richtlinie[30]im Bereich der Vertragsgestaltung mehr Spielraum zugebilligt. Verbraucher und Unternehmen können vertraglich die Bereitstellung personenbezogener Daten vereinbaren.[31]

Für mehr Datensouveränität braucht es jedoch mehr als nur einen gesetzlichen Rahmen. Souverän kann der Betroffene nur agieren, wenn er Online-Dienste nicht bloß konsumiert, sondern deren Funktionsweise in den Grundzügen umreißt. Solange der Nutzer noch immer nicht erkennt, dass Nachrichten auf Social Media-Plattformen zielgruppenorientiert ausgespielt werden oder Kartendienste durch Routenvorschläge den Verkehr lenken, solange fehlt ihm das Bewusstsein, rechtsgeschäftlich verbindlich zu handeln. Ohne Rechtsbindungswillen kann er weder eine freiwillige Einwilligung abgeben, noch vertraglich die Bereitstellung seiner Daten zusichern.[32]

VIII. Faire Standards für fairen Wettbewerb

„Es kommt bei all dem entscheidend darauf an, dass der Zugang zu Onlineangeboten nach transparenten, neutralen, fairen und offenen Standards ermöglicht wird. Aktuell setzen Apple und Google über ihre Webbrowser und App Stores die Regeln, weil sie den Zugang zum Netz für Milliarden Menschen steuern. Unter dem Deckmantel des Datenschutzes wird das damit legitimiert, dass sich der Wille des Nutzers am besten über den Anbieter des Betriebssystems verwalten ließe. Trifft der souveräne Nutzer jedoch auf monopolartige Anbieterstrukturen, so läuft sein Recht, per Einwilligung die Nutzung seiner Daten zu steuern, faktisch leer. Die Souveränität des Nutzers geht dann im Willen der Anbieter der technischen Infrastruktur auf – und wird aufgehoben. Hier braucht es mehr Wettbewerb, notfalls auch durch staatliche Wettbewerbsregulierung und Zerschlagung von verbraucherfeindlichen Monopolen.“

Ein Zuwarten auf die neuen Datenakte DSA und DMA ist gar nicht nötig, um den Wettbewerb datengetriebener Geschäftsmodelle zu regulieren. § 19a GWB erlaubt schon heute die Kontrolle von Digitalkonzernen. Das Bundeskartellamt ist gem. § 19a Abs. 2 GWB befugt, digitalen Plattformen und Netzwerken schädliche Verhaltensweisen im Zusammenhang mit der Datenverarbeitung zu verbieten.[33] Jedenfalls dem Bundeskartellamt kann Untätigkeit nicht vorgeworfen werden. Seit 2021 hat die Behörde mehrere Verfahren gegen Amazon, Google und Facebook eingeleitet und eine überragende marktübergreifende Bedeutung festgestellt.[34]

IX. Medienrecht ist Digitalisierungsrecht: Herausforderungen für Bund und Länder

„Weil alle Bereiche der Wirtschaft im Ergebnis datengetrieben sind, greifen die neu entstehenden EU-Datenakte (zB DA, DGA, KI-VO, DSA, DMA) tief in den Kompetenzbereich von Bund und Ländern in viele Gesetzgebungsfelder über. Insbesondere Medienrecht ist Digitalisierungsrecht und wird zunehmend europarechtlich geprägt. Greifbar ist das bei der Medienregulierung durch den DSA. Bund und vor allem Länder müssen die Entwicklung der europäischen Datenakte in Abgrenzung zur EU beobachten, um die Regulierung in Brüssel frühzeitig politisch begleiten zu können. Der bundes- und länderbezogene Handlungsbedarf und Spielraum muss wegen der Komplexität der Materie auf EU-Ebene und wegen ihres Einflusses auf das innerstaatliche Recht fortlaufend eruiert werden, damit Bund und Länder im Rahmen der Umsetzung des EURechts reagieren und agieren können.“

Die für die Medienregulierung zuständigen Staatskanzleien der Bundesländer werden auf die per Rechtsverordnungen erfolgende Überformung des nationalen Medienrechts besonderes Augenmerk legen müssen. Hier ist ein schwieriges Spannungsverhältnis zur nationalen Medienordnung entstanden. Sie müssen das erkennen und damit umgehen, dass Medienregulierung Digital- und Datenregulierung wird.[35] Eine besondere Aufgabe kommt hierbei daneben den Verbänden zu, denn sie sollten im Rahmen der Anhörungen im Gesetzgebungsverfahren ihre Expertise einbringen, um Kollateralschäden zu verhindern. Der nationale Gesetzgeber sollte auch mit Bedacht entscheiden, welche Behörden für den Vollzug des Digitalisierungsrechts zuständig sein werden, denn die zutändigen Behörden spielen eine entscheidende Rolle bei der Verwirklichung eines digitalen Binnenmarkes.[36]

Kristin Benedikt ist Richterin und Datenschutzbeauftragte am Verwaltungsgericht Regensburg sowie Mitglied im Vorstand der GDD e.V.

[1]Https://www.faz.net/aktuell/wirtschaft/digitec/so-war-die-DS-GVOnicht-gemeint-was-bei-ihrer-anwendung-schieflaeuft-18179521.html.

[2] Europäische Kommission, Eine Europäische Datenstrategie, COM (2020) 66 final.

[3] Europäische Kommission, Eine Europäische Datenstrategie, COM (2020) 66 final, S. 1.

[4] Vorschlag für eine Verordnung des europäischen Parlaments und des Rates zur Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung eines Rahmens für eine europäische digitale Identität, COM(2021) 281 final.

[5] Mitteilung der Kommission an das europäische Parlament, den Rat, den europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Ein Chip-Gesetz für Europa, COM(2022) 45 final.

[6] Vertiefend zur Debatte der Schutzgüter vgl. Botta, DVBl. 2021, 290, 292.

[7] Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 25.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

[8] Mitteilung der Kommission an das europäische Parlament, den Rat, den europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Strategie für einen digitalen Binnenmarkt für Europa, COM(2015) 192 final.

[9] KG Berlin, Beschl. v. 06.12.2021, 3 Ws 250/21.

[10] Schwartmann/Paal/Benedikt, Dataagenda Podcast, Folge 21: Grenzen des Informationshandelns der Datenschutzaufsicht.

[11] Wybitul, c‘t 22/2020, S. 168

[12] Schwartmann/Burkhardt, Rechtsgutachten, Vorbeugender verwaltungsgerichtlicher Rechtsschutz zur Abwehr drohender Bußgeldverfahren im Datenschutzrecht, im Auftrag der Freenet AG.

[13] Das OVG Schleswig entschied mit Urteil vom 25.11.2021, 4 LB 20/13, dass die Anordnung des ULD vom 14.12.2012 zur Sperrung des Facebook-Kontos der Wirtschaftsakademie rechtmäßig erging.

[14] Vgl. Verfahren wegen Untätigkeit der Datenschutzaufsichtsbehörden: OVG Hamburg, Urt. v. 07.10.2019 – 5 Bf 279/17); VG Wiesbaden, Urt. v. 27.09.2021 – 6 K 549/21.WI, VG Wiesbaden, Urt. v. 24.09.2021 – 6 K 442/21.WI, VG Ansbach, Urt. v. 07.12.2020 – 14 K 18.02503 und v. 16.03.2020 – AN 14 K 19.00464, VG Berlin, Beschl. v. 21.04.2021 – Az.: 1 K 360.19, OVG Koblenz, Urt. v. 26.10.2020 – 10 A 10613/20.OVG, VG Mainz, Urt. v. 16.01.2020 – 1 K 129/19.MZ, SG Frankfurt(Oder), Urt. v. 08.05.2019 – S 49 SF 8/19.

[15] Beispielhaft für die unterschiedlichen Auffassungen der deutschen Aufsichtsbehörden zum Einsatz von Microsoft 365: Pressemitteilung vom 02.10.2020, Microsoft Office 365: Bewertung der Datenschutzkonferenz zu undifferenziert – Nachbesserungen gleichwohl geboten, abrufbar unter https://www.lda.bayern.de/media/pm/20201002_office365.pdf [28.08.2022].

[16] Wirtschaftsministerkonferenz, Beschlusssammlung der Wirtschaftsministerkonferenz vom 30. November 2020, 4.12.2020; Datenethikkommission der Bundesregierung, Gutachten der Datenethikkommission der Bundesregierung, 2019, S.103.

[17] Martini, DÖV 2021, 609 (612).

[18] SPD/Bündnis 90 /Die Grünen/FDP, Koalitionsvertrag 2021-2025, S. 17.

[19] Geschäftsordnung der Datenschutzkonferenz, Beschluss der DSK vom 05.09.2018, geändert durch Beschluss der DSK vom 29.09.2021, A. II.

[20] Heise Verlag, Auslegungssache: Der Datenschutz-Podcast des c’t magazins, Folge 67: „Der Elefant im Datenraum“ vom 01.07.2022.

[21] Vgl. Art. 158 konsolidierte Fassung der Verfahrensordnung des Gerichtshofs vom 25.09.2012.

[22] Vgl. Art. 108 konsolidierte Fassung der Verfahrensordnung des Gerichtshofs vom 25.09.2012.

[23] EuGH, Urt. 24.09.2019 – C-507/17, Rn 60.

[24] Vgl. zur Auslegung der Wendung „bleiben unberührt“ bei nationalen Vorschriften: Bundesministerium der Justiz und für Verbraucherschutz (BMJV), Handbuch der Rechtsförmlichkeiten, 3. Aufl. 2008, S. 42.

[25] DSK, Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist, Version 1.1 vom 17.10.2018, Nr. 11.

[26] Gutachten der Datenethikkommission, 2019, F 2.6.

[27] Gutachten der Datenethikkommission, 2019, F 4.1.1.

[28] Vgl. Datenschutzkonferenz, Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 29.04.2022, Die Zeit für ein Beschäftigtendatenschutzgesetz ist „Jetzt“!, abrufbar unter: https://datenschutzkonferenz-online.de/media/en/Entschliessung_Forderungen_zum_Beschaeftigtendatenschutz.pdf [28.08.2022].

[29] Referentenentwurf des Bundesministeriums für Digitales und Verkehr, Verordnung zur Regelung eines nutzerfreundlichen und wettbewerbs-konformen Verfahrens zur Einwilligungsverwaltung, zur Anerkennung von Diensten und zu technischen und organisatorischen Maßnahmen nach § 26 Abs. 2 Telekommunikation-Telemedien-Datenschutzgesetz (Einwilligungsverwaltungs-Verordnung – EinwVO), Bearbeitungsstand: 08.07.2022.

[30] Richtlinie (EU) 2019/770 des europäischen Parlaments und des Rates vom 20.05.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen.

[31] Vgl. zur Umsetzung der Digitale-Inhalte Richtlinie §§ 312 Abs. 1 a, § 327 ff. BGB.

[32] Kessen/Reif/Burkhardt, RDV 2022, 64 (67).

[33] Bechtold/Bosch/Bechtold/Bosch GWB § 19a Rn. 4.

[34] Bundeskartellamt, Pressemitteilung vom 06.07.2022: Für Amazon gelten verschärfte Regeln – Bundeskartellamt stellt überragende marktübergreifende Bedeutung fest (§ 19a GWB): Pressemitteilung vom 04.05.2022: Für Meta (vormals Facebook) gelten neue Regeln – Bundeskartellamt stellt „überragende marktübergreifende Bedeutung für den Wettbewerb“ fest; Veröffentlichte Entscheidung vom 30.12.2021: Verfahren nach § 19a GWB gegen Alphabet Inc./Google.

[35] Dazu Fiedler, Das Digitalgesetz der EU vernichtet die Presse im Internet. F.A.Z., abrufbar unter https://www.faz.net/aktuell/feuilleton/medien/digital-services-act-der-eu-vernichtet-pressefreiheit-im-internet-18198207.html.

[36] Vgl. Vorschlag für eine Verordnung des europäischen Parlaments und des Rates über einen Binnenmarkt für digitale Dienste (Gesetz über digitale Dienste) und zur Änderung der Richtlinie 2000/31/EG, Ergw. 74.