Am 25. Mai 2021 jährt sich das Datum zur Anwendbarkeit der Datenschutz-Grundverordnung (DS-GVO) bereits zum dritten Mal. Bestanden in den ersten beiden Jahren die Herausforderungen insbesondere in der Bewältigung des Überraschungsmomentes sowie der Ergründung, medialen Aufbereitung und Beseitigung von Datenschutz-Mythen und Rechtsunsicherheiten, waren die vergangenen zwölf Monate hauptsächlich durch pandemiebedingte Fragestellungen geprägt. Home-Office, Kontaktnachverfolgung und Videokonferenzen – selbstverständlich inklusive der stets mitschwingenden Datenübermittlung in Drittländer – bestimmten in dieser Zeit die Arbeit aller Datenschützenden. Anlass genug für eine kurze Betrachtung des datenschutzrechtlichen Ist-Zustandes.
EVALUATION DER DS-GVO IM JAHR 2020
Gemäß Art. 97 Abs. 1 S. 1 DS-GVO hatte die Kommission bis zum 25. Mai 2020 dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung der DS-GVO vorzulegen. Dieser wurde mit rund einem Monat Verspätung am 24. Juni 2020 veröffentlicht. Gegenstand dieses Berichts können gemäß Art. 97 Abs. 2 DS-GVO insbesondere die Anwendung und Wirkweise des Kapitels V der DS-GVO über die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen sowie des Kapitels VII bezüglich der Zusammenarbeit und Kohärenz der Aufsichtsbehörden sein. Die Kommission hat dabei die Möglichkeit unter Berücksichtigung der Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft geeignete Vorschläge zur Änderung der Verordnung vorzulegen.
In ihrem Bericht zieht die Kommission eine überwiegend positive Bilanz, greift in den Ausführungen aber insbesondere hinsichtlich der Zusammenarbeit der Aufsichtsbehörden untereinander zu kurz. Zwar ist hervorzuheben, dass die (personelle) Ausstattung der Aufsichtsbehörden zur Sicherstellung ihrer Aufgaben und Befugnisse gemäß Artt. 57, 58 DS-GVO nicht den aktuellen Anforderungen entspricht, jedoch stellt dies nur ein Teil des wesentlichen Problems dar. Im Speziellen am Beispiel der irischen Datenschutzaufsichtsbehörde wird deutlich, dass das sogenannte „One-Stop-Shop-Prinzip“ Potenzial zu Nachbesserungen bietet: Von 197 bei der irischen Aufsichtsbehörde anhängigen Verfahren, liegen gerade einmal zu vier Verfahren Entscheidungen vor.
DAS PROBLEM MIT DER DRITTLANDÜBERMITTLUNG
Mit Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) in der „Schrems II“-Entscheidung das sogenannte „EU-US-Privacy Shield“ für unzulässig erklärt. Die Begründung liegt darin, dass innerhalb der USA insbesondere aufgrund der Zugriffsmöglichkeiten von Geheimdiensten Datenverarbeitungen keinem gleichwertigen Datenschutzniveau unterliegen. Zwar sind Datenübermittlungen in die USA weiterhin möglich, beispielsweise unter Nutzung der Standardvertragsklauseln, jedoch sind hierbei technische und organisatorische Maßnahmen zu treffen, um einen möglichen Zugriff seitens der US-Behörden grundsätzlich auszuschließen.
Speziell im Bereich von Internetseiten, z.B. bei der Implementierung von US-amerikanischen Videodiensten, stellt sich immer wieder die Frage, auf welche Rechtsgrundlage nach Kapitel V der DS-GVO die Datenverarbeitung gestützt werden kann. Insbesondere unter Berücksichtigung der Rechtsprechung des EuGH und BGH zur Cookie-Thematik drängt sich hierbei oftmals die ausdrückliche Einwilligung der betroffenen Person gemäß Art. 49 Abs. 1 S. 1 lit. a DS-GVO auf. Strittig ist dabei jedoch, ob die „Ausnahmen für bestimmte Fälle“ nach Art. 49 DS-GVO überhaupt im Rahmen von Internetseiten und den damit einhergehenden regelmäßigen Datenverarbeitungen und einer Vielzahl von Anwendungsfällen herangezogen werden dürfen. Wird dies verneint – eine nicht selten vertretene Meinung – führt das zwangsläufig zum Ausschluss derartiger Inhalte mit datenschutzrechtlichem Drittlandbezug. An dieser Stelle tritt bei Seitenbetreibern vor allem bei Diensten mit fehlenden gleichwertigen Alternativen innerhalb der EU schnell Ernüchterung ein. Es muss somit die Frage erlaubt sein, ob sich der internationale Datenschutz mit der DS-GVO in der Sackgasse befindet.
HERAUSFORDERUNGEN IN DER PANDEMIE
Im Rahmen der Pandemiebekämpfung wurden vermehrt Stimmen nach einer Lockerung des Datenschutzes beziehungsweise zu einer größeren Flexibilität in der Anwendung datenschutzrechtlicher Regelungen laut. Hierbei wird oft vergessen, dass es sich bei dem Recht auf informationelle Selbstbestimmung um ein aus den Grundrechten hergeleitetes Recht eines jeden Einzelnen handelt. Datenschutz ist somit Grundrechtsschutz.
Auch die Behauptung, der Datenschutz habe 70.000 Todesfälle verursacht, entbehrt jeglicher Grundlage. Ein exakter Blick auf die Normen der DS-GVO ergibt schnell: Datenverarbeitungen zum Schutz „lebenswichtiger Interessen“ (Art. 6 Abs. 1 S. 1 lit. d DS-GVO) sind ebenso ausdrücklich vorgesehen und zulässig wie Datenverarbeitungen „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren“ (Art. 9 Abs. 2 lit. i DS-GVO). Auch ein Blick in andere Länder zeigt, dass Datenschutz und ein erfolgreiches Pandemiemanagement einander nicht widersprechen müssen. Das in diesem Zusammenhang oftmals positiv vorangestellte Land Israel hat bereits im Jahr 2011 ein den europäischen Regelungen gleichwertiges Datenschutzniveau attestiert bekommen. Und auch in anderen Bereichen scheinen die rechtlichen Gegebenheiten nicht sonderlich von den hiesigen abzuweichen.
Oft in Vergessenheit gerät zudem, dass durch den Datenschutz und die Aufsichtsbehörden im Rahmen der Pandemiebekämpfung zahlreiche Maßnahmen mitgetragen werden. Seien es die vielfältigen Listen zur Kontaktnachverfolgung in Restaurants, Geschäften sowie im Rahmen körpernaher Dienstleistungen, die Realisierung von (nicht immer ganz datenschutzkonformen) Homeoffice-Lösungen oder die Nutzung von Videokonferenzsystemen mit Drittlandbezug. Letztgenanntes ist insbesondere im Zusammenhang mit Homeschooling ein viel diskutiertes Thema. Aber hat sich tatsächlich der Datenschutz die Defizite in diesem Bereich zuzuschreiben?
DER SCHLECHTE RUF DES DATENSCHUTZES
Vielfach steht der Datenschutz im Fokus diverser und kontroverser Diskussionen. Diese haben dabei häufig eines gemeinsam: Der Datenschutz verhindere ein bestimmtes Vorgehen oder verbaue Chancen und Möglichkeiten. Leider wird im Hinblick auf solche Debatten zu selten der tatsächliche Wahrheitsgehalt derartiger Behauptungen überprüft. Damit soll nun keine absolut konträre Darstellung erfolgen, grundsätzlich sei alles möglich. Durch die datenschutzrechtlichen Regelungen werden jedoch viel eher Rahmenbedingungen festgelegt, die datenverarbeitende Stellen zu achten und durch technische und organisatorische Maßnahmen sicherzustellen haben. Abstrakt betrachtet gilt Gleiches für eine Vielzahl weiterer Rechtsgebiete.
Dem Datenschutz fehlt es eindeutig an gutem Marketing. Hier gilt es in den nächsten Jahren große Arbeit zu leisten. Denn durch die zunehmende Digitalisierung werden auch die datenschutzrechtlichen Themen weiterhin an Bedeutung, aber auch an Komplexität gewinnen. Großes Potenzial bietet hierzulande die Verbesserung von Koordination und Kommunikation der datenschutzrechtlichen Aufsichtsbehörden untereinander. Deutschland bietet mit seinen 16 Bundesländern ein beachtliches Ausmaß von 17 Landesdatenschutzbeauftragten, ergänzt durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Im Zweifelsfall ergibt sich somit ein Konvolut an datenschutzrechtlichen Auffassungen zu identischen Sachverhalten in Deutschland. Dem Laien kann es in diesem Fall nur an Verständnis fehlen, wenn die DS-GVO auf eine europaweite Vereinheitlichung des Datenschutzrechts abzielt, dann aber Sachverhalte in Berlin und Potsdam jeweils kaum unterschiedlicher bewertet werden könnten. Ein mögliches Instrument besteht hierbei in Form der sogenannten „Datenschutzkonferenz“ (DSK) bereits.
Dass die DS-GVO grundsätzlich ein großes Potenzial bietet und einen Schritt in die richtige Richtung geht, ist kaum zu bestreiten. Das zeigen auch die zahlreichen „Nachahmungen“ der DS-GVO in anderen Ländern und Regionen, wie z.B. Brasilien oder Kalifornien. Nur bedarf es einer stetigen Beobachtung der technischen und rechtlichen Rahmenbedingungen sowie eine damit einhergehende Weiterentwicklung der datenschutzrechtlichen Normierungen. Zukünftige Evaluationen sollten diesen Anforderungen in ausreichendem Umfang Rechnung tragen. In diesem Sinne können wir nur gespannt darauf warten, welche Herausforderungen uns das vierte Jahr der DS-GVO bieten wird.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
