Seit fünf Jahren regelt die Datenschutz-Grundverordnung (DS-GVO) den Datenschutz in Deutschland und in Europa. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Prof. Dr. Alexander Roßnagel zieht anlässlich des Jubiläums eine gemischte Bilanz, die Stärken und Schwächen des Regelwerks aufzeigt.
Als den größten Erfolg der DS-GVO hebt der HBDI hervor, „dass sie Werte zum Ausdruck bringt, auf die sich die Mitgliedstaaten der Europäischen Union für ihren Weg in die digitale Gesellschaft geeinigt haben. Ihre Grundsätze für die Ausgestaltung der Grundrechte auf Datenschutz und Selbstbestimmung sind notwendige Bedingungen für eine lebenswerte Gesellschaft. Die Verordnung zeigt damit einen dritten Weg der weltweiten Digitalisierung auf – zwischen der Kontrolle des Alltagslebens in China und der Datenausbeutung des kalifornischen Digitalkapitalismus. Diesen Weg wollen viele Staaten der Welt mitgehen und geben sich Datenschutzgesetze, die an der DS-GVO orientiert sind.“
Eine zweite Stärke der DS-GVO sei, so Roßnagel weiter, dass sie Datenschutzregelungen enthielten, die erstmals einheitlich und verbindlich in der gesamten Europäischen Union gelten. Sie habe damit die Diskussion über Notwendigkeit und Inhalt des Datenschutzes gefördert und den Respekt vor den Grundrechten der betroffenen Personen gestärkt. „Insbesondere mit der Ermöglichung harter Sanktionen, aber auch mit ihrer Etablierung unabhängiger, starker Aufsichtsbehörden hat sie dem Datenschutz neue Beachtung eingebracht“, sagt Roßnagel.
Fünf Jahre Erfahrung mit der DS-GVO zeigten aber auch ihre Schwachstellen: Sie habe nicht zu einer einheitlichen Datenschutzpraxis in der Europäischen Union geführt. „Viele Regelungen sind abstrakt und lassen Raum für unterschiedliche Interpretationen. Zahlreiche Öffnungsklauseln schaffen zudem Spielräume für einander widersprechende Gesetze in den Mitgliedstaaten“, führt Roßnagel aus. Damit zusammen hänge die fehlende Modernisierung der Betroffenenrechte und der sogennanten Erlaubnistatbestände. Gemeint sind Regelungen, die bestimmte Datenverarbeitungen ausdrücklich erlauben. Die DS-GVO hat diese Bestimmungen von der Datenschutz-Richtlinie von 1995 übernommen. Sie differenziert dabei nicht zwischen Datenschutzrisiken, die durch die Datenverarbeitung in einem Fußballverein entstehen, und denen, die durch Big Data und Künstliche Intelligenz in weltweiten Plattformen auftreten. Die Konkretisierung dieser technik- und risikoneutralen Regelungen sei in der Praxis schwierig und hochumstritten, so Roßnagel. Als Beispiel nennt er die notwendige Abwägung bei datengetriebenen Geschäftsmodellen zwischen berechtigten Interessen des Verantwortlichen und schutzwürdigen Interessen der betroffenen Person: „Die Verordnung gibt dafür keine geeigneten Kriterien vor. Die mangelnde Bestimmtheit vieler Regelungen der Verordnung bindet täglich Millionen von Arbeitsstunden, behindert Innovationen und Investitionen. Sie begünstigt außerdem gesellschaftliche Macht, die sich ohne klare Grenzen leichter durchsetzen kann“, betont der HBDI.
„Die Vielfalt von Meinungen zu Datenschutzfragen hat ihren tieferen Grund in der mangelnden Bestimmtheit der Regelungen. Die Unterschiede in der Auslegung der Verordnung durch die unabhängigen Aufsichtsbehörden ist jedoch erheblich geringer als die Meinungsvielfalt bei neuen Rechtsfragen zwischen Gerichten. Dort nimmt die Öffentlichkeit sie klaglos hin“, stellt Roßnagel fest. Dabei hätten der Europäische Datenschutzausschuss und die Konferenz der unabhängigen Aufsichtsbehörden des Bundes und der Länder in kurzer Zeit zu einer erstaunlichen Vereinheitlichung der Aufsichtspraxis geführt. Auch die Rechtsprechung des Europäischen Gerichtshofs helfe dabei, Datenschutzfragen zu klären. Der HBDI betont, dass beim Urteil über die Entwicklung des Datenschutzes unter der DS-GVO insbesondere die jeweiligen Startbedingungen in den einzelnen EU-Staaten zu beachten seien: „Bei allen Klagen über die uneinheitliche Anwendung des Datenschutzrechts darf man nicht vergessen, dass die DS-GVO eine gemeinsame Kultur des Datenschutzes voraussetzt, die es vor ihrem Inkrafttreten in der Europäischen Union schlicht nicht gab. Angesichts dessen ist es erstaunlich, wie schnell und weitgehend sich die sehr unterschiedlichen Datenschutzkulturen in den Mitgliedstaaten bereits verändert und aufeinander zu bewegt haben.“
Herausforderungen für den Datenschutz auf der Grundlage der DS-GVO sieht Roßnagel in den nächsten Jahren vor allem in der Entwicklung hin zu einer Datenökonomie: „Um Unternehmen und Behörden, Politikern und Forschenden immer mehr Datennutzungen zu ermöglichen, hat der Unionsgesetzgeber bereits viele Regelungen erlassen und bereitet noch weitere vor, die zur Preisgabe von Daten verpflichten und den Zugang zu Daten erleichtern. Diese Regelungen wie der Data Governance Act und der Data Act oder die Verordnung zum Europäischen Datenraum für Gesundheitsdaten“, so Roßnagel, „bestimmen zwar, dass die DS-GVO unberührt bleibt, enthalten jedoch viele Bestimmungen, die die Umsetzung der Verordnung behindern oder unmöglich machen. Entscheidend für einen Ausgleich zwischen Datennutzung und Datenschutz wird sein, dass personenbezogene Daten vor ihrer Preisgabe anonymisiert werden. Will man aber die Frage beantworten, wann eine ausreichende Anonymisierung vorliegt, dann rächt es sich, dass die DS-GVO keine Definition einer Anonymisierung enthält und keine praktikablen Anforderungen an sie stellt. Um diese Schlüsselfrage der Datenökonomie werden sich viele Konflikte entzünden.“