Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Der nächste Frühlings-Spaziergang führt rund um Artikel 26, ein besonders schönes Gebilde: Mehrere Bäume – nein: Verantwortliche – sind hier verflochten und ineinander verwachsen. Die obligate Text-Kritik (Wie könnte die DS-GVO klar und kurz lauten?) erledigen wir zuerst und schauen dann genauer auf das Gebilde und sein ganz spezielles Problem.

Inhaltliche Kritik

Wieder einmal von hinten lesend erfahren wir in Absatz 3, dass Absätze 1 und 2 nicht sehr wichtig sind. Die Betroffenen können bei gemeinsamer Verantwortung jeden Verantwortlichen in die Pflicht nehmen. Was die Verantwortlichen (nach Absatz 1 und 2) vereinbaren und zur Verfügung stellen, ist für die Außenhaftung ganz egal. Deshalb sind Absatz 1 und 2 meines Erachtens überflüssig. Geregelt werden muss nur (Absatz 3), dass bei gemeinsamer Verantwortung alle Verantwortlichen gemeinsam für alles geradestehen. Wie sie intern ihre Pflichten verteilen und ob sie die Pflichten überhaupt verteilen – vielleicht erledigen sie ja alles gemeinsam – können sie selbst entscheiden. Sie tragen ja die Konsequenzen.

Der Gesetzgeber lässt es aber nicht bei der Vorschrift gemeinsamer Außenhaftung, sondern verlangt mehr Aufwand. Eine Vereinbarung nach Absatz 1 und 2 muss (!) erstellt werden. Mindest-Inhalt: Absatz 1 Satz 2 und Absatz 2 Satz 1. Kann-Inhalt: Absatz 1 Satz 3 – Nennung einer Anlaufstelle, die der Betroffene aber nicht anlaufen muss. Zusatz-Arbeit: Das Wesentliche – hat der Gesetzgeber versehentlich klein geschrieben und in den bisherigen Evaluierungen der DS-GVO nicht als Fehler berichtigt – wird nochmals gesondert „vertextet“ und den Betroffenen zur Verfügung gestellt. Für die Betroffenen ist es – wie Absatz 3 regelt – sowieso egal.

Vorschlag für eine präzise DS-GVO: Erster Halbsatz und letzter Halbsatz des Artikels. Alles dazwischen ist keine Kunst und kann weg. Es bliebe: „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke oder Mittel der Verarbeitung fest, kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem Verantwortlichen geltend machen.“

Auswirkungen in der Praxis

Aus der eigentlich wichtigen Regelung des Artikel 26 – gemeinsame Haftung der gemeinsam Verantwortlichen füreinander – ergibt sich das eigentlich wichtige Problem der Norm: Wann besteht diese „Mithaftung“?

Nicht zufällig sind große Datenverarbeiter wie Meta und Microsoft sehr bemüht, nicht in den Status einer gemeinsamen Verantwortlichkeit mit all den vielen Verantwortlichen zu geraten, deren personenbezogene Daten sie unter anderem auch zur Weiterentwicklung des eigenen Produkts verarbeiten. Deshalb ist auch nicht zufällig, dass die wohl wichtigste Entscheidung in diesem Kontext Meta betraf: Der Europäische Gerichtshof (EuGH) entschied (Urt. v. 05. Juni 2018, Az. C-210/16, übrigens noch zur Vorgänger-Norm in der Datenschutz-Richtlinie 95/46) für Facebook-Fanpages, dass Meta und die jeweiligen Fanpage-Betreiber gemeinsam Verantwortliche sind.

Zentral an dieser Entscheidung war und ist die Aussage, dass eine gemeinsame Festlegung von Zwecken und Mitteln nicht gemeinsame Zwecke und Mittel verlangt. Es genügt auch, wenn mehrere Verantwortliche gemeinsam dieselben Daten verarbeiten und dabei jeder sein eigenes Süppchen kocht. Das ist weitgehend und eine ganz schlechte Nachricht für die großen Software-Anbieter.

So sieht es der EuGH und er darf das europäische Recht verbindlich auslegen. Aber die Frage ist erlaubt: Ist das überzeugend? Sollte es vielleicht noch einmal überdacht werden? Zumindest der eine Verantwortliche (Beispiel: der Fanpage-Betreiber) übermittelt/überlässt personenbezogene Daten dem anderen. Ist dann nicht die entscheidende Frage (nur), ob es für diese Übermittlung/Überlassung eine Rechtsgrundlage gibt? Gibt es sie nicht, liegt der Rechtsverstoß in der Übermittlung, also in der Nutzung einer vom anderen Verantwortlichen überlassenen Software im Wissen, dass der Software-Anbieter die Daten zu eigenen Zwecken nutzt.

Wie gesagt – bis der EuGH sich anders positioniert, ist die Frage für die Praxis entschieden. Wer Microsoft 365 einsetzt und Datenverarbeitungen zur Produktweiterentwicklung duldet, sitzt mit Microsoft in einem Boot. Das findet auch Microsoft nicht angenehm. Neuer Lösungsversuch von dort: Im Vertrag nach Artikel 28 erteilt der Lizenznehmer/Nutzer an Microsoft den Auftrag zur Produkt-Weiterentwicklung. Naja.

Ihnen schöne und echte Frühjahrs-Spaziergänge, gern auch mal ohne DS-GVO!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Die heutige Etappe führt uns bei wunderbarem Frühlings-Wetter zu schönen Aussichten: Datenschutz by design und by default, also durch datenschutzfreundliche Technikgestaltung und Voreinstellungen. Letztere sind ja eigentlich nur ein Teilbereich der Technikgestaltung. Klingt wie „Datenschutz automatisch“.

Ein kurzer Überblick

Anfangs kämpfen wir uns natürlich wieder durch den Dschungel der furchtbar verworrenen Sprache der DS-GVO. Aber so ist sie nun einmal, die DS-GVO: Von uns verlangt sie Klarheit und Prägnanz, selbst liefert sie das Gegenteil. Vielleicht ein besonders raffiniertes Manöver des Gesetzgebers: Das abschreckend schlechte Beispiel?

Absatz 1 besteht aus einem einzigen Satz, der irgendwie – wenn auch nicht literarisch – an Thomas Mann erinnert. Ich habe sieben „und“ gezählt (korrekt?), außerdem „sowie“, „als auch“ und „wie etwa“. Absatz 2 wiederholt den ersten Absatz für einen Teilbereich nochmals mit anderen Worten und Absatz 3 sagt gar nichts aus.

Wie üblich, hier der Versuch einer Übersetzung für schlichte Spaziergänger: Verantwortliche treffen bei der Planung und beim Einsatz ihrer Datenverarbeitung die im Einzelfall angemessenen Maßnahmen für wirksamen Datenschutz. Dazu gehört, dass Datenverarbeitung von Vornherein nur im nötigen Umfang erfolgt, z. B. hinsichtlich der Erhebung und Speicherung von Daten. Dazu gehört außerdem, dass der Personenbezug von Daten angemessen vermieden oder reduziert wird (Anonymisierung oder Pseudonymisierung).

Beim Übersetzen ist Absatz 2 Satz 3 besonders schwierig und rätselhaft. Welche Person ist gemeint? Die betroffene Person? Aber es gibt doch massenhaft Fälle, in denen „ohne Eingreifen der Person“ Daten weltweit veröffentlicht werden. Ist das – auch bei Rechtsgrundlage nach Artikel 6 – verboten? Haben Sie eine Erklärung?

Artikel 25 in der PRaxis

Den Grundsatz finden (fast) alle gut: Persönliche Daten sollen nicht unnütz gefährdet werden. Am besten, der Datenschutz ist eingebaut, also die Systeme minimieren das Risiko. Artikel 25 spricht zwar – wie andere Artikel auch – von technischen und organisatorischen Maßnahmen (unseren „TOM“ im Datenschutz-Slang), aber er wird hauptsächlich mit den technischen Maßnahmen in Verbindung gebracht. Hard- und Software soll datenschutzfreundlich gebaut und konfiguriert sein. Soweit also Einigkeit. Schön.

Herausforderungen gibt es in der Praxis mindestens zwei:

1. Was ist für eine bestimmte Datenverarbeitung angemessen, also welchen Datenschutz-Aufwand muss (!) der Verantwortliche betreiben? Natürlich gibt es einen klaren Bereich: Maßnahmen ohne oder mit ganz geringem Zusatzaufwand sind immer richtig. Aber wann ist die technische Erzwingung eines komplexen Passworts (12 Stellen? 15 Stellen?) oder einer bestimmten Wechsel-Frequenz angemessen? Und wann ist sie unnötige Schikane?
   
2. Wie können kleine Verantwortliche extrem komplexe Systeme datenschutz-optimieren, die von großen Nicht-Verantwortlichen erstellt und permanent verändert werden? Das ist zu verschwurbelt gefragt? Also konkreter: Wie konfigurieren Frau Bäcker und Herr Blumenhändler SOPHOS und Microsoft 365?

Die schlechte Nachricht: Beide Themen sind nicht für die Ewigkeit allgemein lösbar, sondern brauchen die Prüfung bzw. Entscheidung im konkreten Fall. Wir werden uns also immer wieder – und sogar für die selben Datenverarbeitungen immer wieder – mit diesen Fragen befassen müssen. Die gute Nachricht: Das ist sinnvoll investierte Zeit und bringt echten Datenschutz. In diesem Sinn: Viel Spaß beim Frühjahrsputz!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Passend zum Jahreswechsel betreten wir neues Terrain: Kapitel IV der DS-GVO – „Verantwortlicher und Auftragsverarbeiter“ – beginnt mit Abschnitt 1 „Allgemeine Pflichten“ und führt uns durch Artikel, die jede/r Datenschützer/in bestens kennt. Aber vielleicht gibt es auch hier auf den zweiten Blick Neues zu entdecken?

Art. 24 mit der schwurbeligen Überschrift „Verantwortung des für die Verarbeitung Verantwortlichen“ lohnt eine genaue Besichtigung nur in Absatz 1. Die Absätze 2 und 3 gehören in die Rubrik „Streichungspotenzial“. Sie sind inhaltsleer und überflüssig. Vielleicht gerade deshalb zuerst dazu:

Absatz 2

Dieser Absatz verlangt mit großem Ernst, dass der Verantwortliche geeignete Vorkehrungen trifft, wenn sie angemessen sind. Das muss er schon nach Absatz 1. Grund für Absatz 2 ist wahrscheinlich, dass der Gesetzgeber Artikel mit mehreren Absätzen schöner findet.

Absatz 3

Auf den darauffolgenden Absatz trifft dasselbe zu: Nichts würde sich verändern, wenn er in der DS-GVO fehlte. Wer sich Verhaltensregeln oder Zertifizierungsverfahren unterwirft, die nach Art. 40 und 42 der DS-GVO genehmigt werden, außerdem (wichtig!) diese Regeln und Verfahren dann auch einhält, der hat wahrscheinlich einige Pflichten als Verantwortlicher erfüllt. Das ist einerseits selbstverständlich und hilft andererseits in der Praxis nicht weiter, weil: Ob die Verhaltensregeln oder Zertifizierungsverfahren wirklich eingehalten werden, muss man eben doch prüfen. Und selbst wenn sie nachweisbar eingehalten werden, ist damit noch nicht die Erfüllung sämtlicher Pflichten nachgewiesen.

Absatz 1

Absatz 1 ist der Kern von Artikel 24:

• Der Verantwortliche gemäß Art. 4 Nr. 7 DS-GVO muss geeignete technische und organisatorische Maßnahmen umsetzen, damit die Verarbeitung personenbezogener Daten nachweisbar DS-GVO-konform erfolgt. Der Gesetzgeber hat auch gleich noch ein halbes Dutzend Kriterien mitgeliefert für die Beurteilung der Frage, welche Maßnahmen nötig sind. Berücksichtigt werden sollen Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere der Risiken.

• Satz 2 stellt klar, dass die Maßnahmen geprüft und aktuell gehalten werden müssen. Berufserfahrene Datenschützer haben dazu immer wieder den PDCA-Zyklus gezeigt bekommen und schlimmstenfalls anderen gezeigt. Wer davon noch nichts gehört hat, benutze die Suchmaschine seiner Wahl.

Mit dem ausdrücklichen Bezug auf „unterschiedliche Eintrittswahrscheinlichkeiten und Schwere der Risiken“ enthält Absatz 1 Satz 1 eine wichtige und sinnvolle Regel: Datenschutzmaßnahmen sollen nicht Ressourcen vergeuden, sondern im angemessenen Rahmen bleiben. Natürlich lässt sich lange und heftig darüber streiten, was im Einzelfall risikoangemessen ist. Aber klar ist jedenfalls, dass nicht jede denkbare Sicherungsmaßnahme erfolgen muss. Auch im Datenschutz gilt die Regel: Nicht so sicher wie möglich, sondern so sicher wie nötig.

In der Praxis werden aus den beiden Faktoren Eintrittswahrscheinlichkeit und Schwere des Risikos dann oft Matrizen gebastelt, z. B.: Eintrittswahrscheinlichkeit niedrig, unbekannt und hoch sowie Schwere geringfügig, merklich und existenziell ergibt ein Feld mit neun Kästchen. Ähnliche Risikobewertungen finden sich in der IT- und Informationssicherheit. Leider ist in den seltensten Fällen eine eindeutige Quantifizierung möglich (z. B. von x E-Mails mit sensiblen Daten werden y E-Mails versehentlich an falsche Empfänger zugestellt, mit erheblichen aber nicht existenziellen Folgen für die Betroffenen). Möglich und ausreichend ist aber fast immer, dass fachkundige Personen (z. B. diejenigen Menschen, die eine Datenverarbeitung durchführen) sich auf eine gemeinsame Risiko-Einschätzung verständigen und diese begründen.

Sinnvoll ist ganz oft auch der in Art. 35 Abs. 9 DS-GVO für die Datenschutzfolgenabschätzung vorgesehene Weg: Betroffene oder deren Interessenvertreter beteiligen. Und oft sind ja auch die datenverarbeitenden Personen selbst von der Bearbeitung betroffen, beispielsweise die Personal- und IT-Abteilung entwickelt ein Verfahren zur digitalen Übermittlung der Gehaltsabrechnungen an die Beschäftigten. Die dabei tätigen Mitarbeiter werden eine realistische Meinung haben, wie sehr es schmerzt, wenn die eigene Gehaltsabrechnung dem Kollegen zugeht.

Immer wieder begegnet man in der Praxis übertriebenen Abstufungen, teils unfreiwillig komisch (z. B.: Eintrittswahrscheinlichkeit ganz klein, klein, eher klein, eher groß, groß und ganz groß). Gute Argumente und Möglichkeiten, mehr als drei Stufen zu trennen, sind mir bisher nicht begegnet.

Die Verantwortlichen sollen Art, Umfang, Umstände und Zwecke der Verarbeitung in den Blick nehmen. Etliches davon fließt in die Risikobewertung ein. Bei sehr umfangreichen Verarbeitungen erhöht sich meist das Fehlerrisiko. Bei „verinselten“ IT-Anwendungen ohne Netzanbindung sind viele Risiken minimiert. Und manches ist wichtig für die Frage, wie viel Rest-Risiko erlaubt ist, z. B. bei gesetzlich zwingend vorgeschriebenen Verarbeitungen.

Dann bleibt noch zu beachten, dass die „geeigneten technischen und organisatorischen Maßnahmen“ nicht nur eine gesetzeskonforme Verarbeitung sicherstellen sollen, sondern überdies den entsprechenden Nachweis. Deshalb gehört z. B. auch ein Zugriffsprotokoll bei Datenbanken mit sensiblen Inhalten zu den technischen und organisatorischen Maßnahmen nach Art. 24 Abs. 1 DS-GVO.

Sind wir bald da?

So weit, so einfach. Art. 24 Abs. 1 Satz 1 DS-GVO enthält aber noch ein sehr schwieriges Grundsatzproblem des Datenschutzes überhaupt. Wir können es nur kurz anschauen und wandern dann weiter – bei einem Spaziergang wird es nicht zu lösen sein:

Wenn der Verantwortliche Risiken abschätzen und geeignete Schutzmaßnahmen treffen soll, muss er die Verarbeitung natürlich kennen und beherrschen. Genau dies ist in der Praxis aber meist nicht der Fall. Ganz oft (fast immer) werden IT-Verfahren eingesetzt, ohne dass der nach der DS-GVO Verantwortliche die Verfahren wirklich kennt und beherrscht. – Bitte nicht die übliche Antwort dann darf er die Verfahren nicht einsetzen. Ein Problem verschwindet nicht, wenn man es verbietet.

Wenn Dachdeckermeister X mit dem Firmen-Lkw durch die Stadt fährt, darf er sich auf die letzte Hauptuntersuchung verlassen und muss den Lkw nicht selbst technisch prüfen. Für das IT-Verfahren seiner Lohnbuchhaltung soll aber geradestehen. Irgendetwas ist da im Datenschutzrecht noch unausgereift. Letztlich geht es vielleicht um die Grenze zwischen der Verantwortung des Softwareanbieters und des Softwarenutzers. Für Gesundheits- und Umweltschäden gibt es Regeln zur Produkthaftung. Wieso nicht auch für Datenschutzverletzungen?

Auch Verantwortliche, die sich tatsächlich Mühe geben sind mit der Verantwortung nach Art. 24 DS-GVO derzeit häufig überfordert. Das hat in den letzten Jahren die Sympathiehürde für den Datenschutz nicht gerade reduziert. Ein besseres Konzept ist noch nicht gefunden.

Vielleicht 2026? Ihnen alles Gute fürs neue Jahr!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Heute geht es „durch und um“ die Beschränkungen der Betroffenenrechte. Dann haben wir den dritten Touren-Abschnitt (Kapitel III DS-GVO) geschafft und stehen staunend vor Kapitel IV, dem gewaltigen Gebirge Verantwortlicher und Auftragsbearbeiter.

Ein Überblick

Zu Artikel 23 gehört Erwägungsgrund 73, der leider wenig taugt und kaum eigene Informationen bringt. Ärgerlich oder lustig – je nach Tageslaune – jedenfalls falsch ist der dortige Satz 2: Beschränkungen der Betroffenenrechte sollen (englische Sprachfassung: should) den Anforderungen der EU-Charta und der Europäischen Menschenrechtskonvention entsprechen. Bitte den Gesetzeswortlaut nicht ernst nehmen. Die Beschränkungen müssen (must) natürlich die Vorgaben der Charta und der EMRK einhalten. Grund- und Menschenrechte sind kein „nice to have“.

Die Norm selbst ist klar strukturiert: Absatz 1 regelt, dass Betroffenenrechte nur gesetzlich und nur aus den dort gelisteten Gründen eingeschränkt werden dürfen. Absatz 2 schreibt vor, welchen Mindestinhalt die Beschränkungen brauchen.

Absatz 2

Bei der praktischen Anwendung von Artikel 23 ist es oft sinnvoll von hinten, also bei Absazt 2 zu beginnen. Ob Beschränkungsgesetze in die Liste von Absatz 1 passen und dann auch noch eine „notwendige und verhältnismäßige Maßnahme darstellen“, lässt sich häufig nicht sicher beurteilen. Viel schneller ist zu klären, ob ein (vermeintliches) Beschränkungsgesetz den Mindestinhalt nach Absatz 2 aufweist. Fehlen solche (Mindest-Pflicht-)Inhalte, ist das Gesetz ohnehin keine wirksame Beschränkung von Betroffenenrechten. Absatz 1 braucht dann nicht mehr geprüft zu werden.

Wer die Einleiteformel in Absatz 2 sorgfältig gelesen hat (sehr schön!) wendet jetzt vielleicht ein, dass die Mindestinhalte nur gegebenenfalls verlangt werden. Also doch nicht immer? Tatsächlich ist die Formulierung (wieder einmal) monströs: Spezifische Vorschriften sind „insbesondere gegebenenfalls […] zumindest in Bezug auf […]“ nötig. Ein Blick in die englische Sprachfassung hilft (meine ich) weiter. Dort ist gegebenenfalls mit where relevant ersetzt. Die Mindestanforderungen gelten also, wo sie relevant sind. Aha. Das muss wirklich nicht gesetzlich geregelt werden. Streichen wir das „insbesondere gegebenenfalls“ mal weg.

Art. 23 Abs. 2 DS-GVO legt die Hürden für wirksame Beschränkungen der Betroffenenrechte hoch und oft reisst der Gesetzgeber diese Hürden. Zum Beispiel: § 32 Abs. 1 Nr. 5 BDSG streicht die Informationspflicht nach Art. 13 Abs. 3 DS-GVO, wenn sonst „eine vertrauliche Übermittlung von Daten an öffentliche Stellen gefährdet würde“. Missbrauchsgefahren liegen auf der Hand. Die Norm im BDSG klärt nicht einmal, wer über den Vertraulichkeitsbedarf entscheidet. Die Schutzvorkehrungen nach § 32 Abs. 2 Satz 1 und 2 BDSG gelten – laut dortigem Satz 3 – ausdrücklich nicht.

Damit bleibt nur Absatz 3: Die Information muss nachgeholt werden. Missbrauchsgarantien gegen verspätete Information? Keine. § 32 Abs. 1 Nr. 5 BDSG ist deshalb m. E. unwirksam – weil mit Art. 23 Abs. 2 lit. d) DS-GVO nicht vereinbar. Noch besser als nationale Beschränkungsgesetze wäre natürlich, die Betroffenenrechte gleich in der DS-GVO klar und abschließend zu regeln, siehe unser 12. und 13. Wandertag für das Informationsrecht.

Absatz 1

Damit laufen wir zu Absatz 1 und dort sind wir ganz schnell durch: Wie schon gesagt, regelt er, dass Beschränkungen der Betroffenenrechte durch Gesetz erfolgen müssen. Bei den zulässigen Gesetzeszielen würden eigentlich die Buchstaben e), i) und j) genügen. Alle anderen Buchstaben sind Beispielsfälle für die in e) geregelten „wichtigen Ziele des allgemeinen öffentlichen Interesses“.

Und auch diesmal zum Abschluss eine Knobelfrage: Fällt Ihnen ein Gesetz ein, dass sich nicht unter „wichtige Ziele des allgemeinen öffentlichen Interesses“ fassen ließe? Nein? Dann würde bei Absatz 1 vielleicht auch schlicht genügen: „Beschränkungen der Betroffenenrechte dürfen nur auf gesetzlicher Grundlage erfolgen.“

Auf Wiedersehen in der vierten Etappe!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren..

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Der heutige Spaziergang betrifft automatisierte Entscheidungen im Einzelfall einschließlich Profiling, also einen Bereich im Datenschutz, der sich – anders als üblich – nicht in erster Linie damit befasst, dass möglichst wenige Daten in möglichst sicherer Weise verarbeitet werden. Der rechtspolitische Hintergrund für Artikel 22 DS-GVO ist vielmehr die Befürchtung, dass menschliches Leben durch Maschinen verwaltet und gestaltet wird. Diese Dystopie hat angesichts der KI-Entwicklung derzeit wieder an Aktualität gewonnen.

Artikel 22 beginnt in Absatz 1 radikal mit einem Verbot vollautomatisierter Verarbeitungen, wenn sie Menschen erheblich beeinträchtigen. Das wird dann in Absatz 2 und Absatz 3 durch weitgehende Ausnahmen eingeschränkt. Absatz 4 bringt Rück-Ausnahmen und Rück-Rück-Ausnahmen.

Absatz 1

Das radikale Verbot bezieht sich auf automatisierte Verarbeitung einschließlich Profiling. Für Profiling findet sich eine gesetzliche Definition in Art. 4 Nr. 4 DS-GVO: automatisierte Verarbeitung personenbezogener Daten zur Bewertung „bestimmter persönlicher Aspekte“. Die Verarbeitung ist in Art. 4 Nr. 2 DS-GVO sehr allgemein definiert und automatisierte Verarbeitung dürfte dann alle Fälle betreffen, in denen die Prozesse ohne menschliches Zutun ablaufen. Diese Verfahrensabschnitte können natürlich mehr oder weniger lang und umfangreich sein. Sie beginnen nach dem letzten menschlichen Zutun, z. B. manuelle Dateneingabe, und enden wiederum vor der ersten menschlichen Aktion, z. B. manuelle Durchsicht der Verarbeitungsergebnisse.

Wichtig und richtig ist in Absatz 1 zunächst die Grundentscheidung: Automatisierte Verarbeitungen sind nicht immer (ihrer Natur nach) für Betroffene problematisch. Zum Beispiel wird bei einer vollständig automatisierten Kreditantrags-Prüfung mit positivem Ergebnis (Kreditbewilligung) der Betroffene zufrieden sein. Den Wortlaut von Absatz 1 muss und darf man deshalb wohl etwas „zurechtstutzen“. Dort heißt es nämlich, die Entscheidung dürfe schon dann nicht automatisiert erfolgen, wenn sie Betroffenen gegenüber „rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“. Dabei ist übersehen, dass „rechtliche Wirkung“ nicht immer „erhebliche Beeinträchtigung“ bedeutet. Bei vorteilhafter rechtlicher Wirkung greift Absatz 1 nicht ein. Verbesserungsvorschlag für den Gesetzestext: „[…] unterworfen zu werden, die sie erheblich beeinträchtigt“.

Absätze 2 und 3

Die Absätze 2 und 3 klären, wann vollautomatisierte Entscheidungen doch erlaubt sind: a) bei Erforderlichkeit vor Abschluss oder Erfüllung eines Vertrags, b) bei gesetzlicher Grundlage oder c) bei Einwilligung. In allen drei Ausnahmefällen müssen die Betroffenenrechte natürlich gewährleistet sein.

Bei Buchstaben b) wird das gleich im Absatz 2 geklärt. Für die Buchstaben a) und c) regelt es der Gesetzgeber – damit das Gesetz nicht zu leicht lesbar wird – gesondert in Absatz 3. Mindestens nötig ist nach Absatz 3 – das wird man auch auf Abs. 2 lit. b) übertragen können –, dass Betroffene sich über die automatisierte Entscheidung beschweren, ihren eigenen Standpunkt darlegen können und dann auf Seiten des Verantwortlichen ein Mensch eingreift – also die Entscheidung noch einmal prüft. Fast immer wird bei automatisierten Entscheidungen eine Datenschutz-Folgenabschätzung erforderlich sein. Am besten führt man sie bei „vollautomatisierten“ Verfahren immer durch.

Absatz 4

Der letzte Absatz klingt beim Überfliegen logisch und richtig: Besondere Kategorien personenbezogener Daten bekommen natürlich besonderen Schutz. Aber näher betrachtet ist Absatz 4 wahrscheinlich völlig überflüssig. Der besondere Schutz für solche Daten ist durch Art. 9 DS-GVO bereits gewährleistet. Wenn die dortigen Voraussetzungen eingehalten sind, ist gar nicht verständlich, weshalb bei automatisierten Entscheidungen nochmals spezielle Regeln gelten sollen.

Nach Art. 22 Abs. 4 DS-GVO wäre z. B. verboten, dass ein elektronisches Schließsystem automatisch Beschäftigten, die wegen Krankheit arbeitsunfähig sind oder wegen Schwangerschaft einem Beschäftigungsverbot unterliegen, den Zugang verweigert (Transponder, Schlüsselkarten etc. deaktiviert). Nötig und sinnvoll scheint das nicht. Außerdem sind die Rück-Rück-Ausnahmen in Absatz 4 – bezogen auf Art. 9 Abs. 2 Buchstaben a) und g) –praktisch deckungsgleich mit Art. 22 Abs. 2 lit. b) und c) DS-GVO. Die Rück-Ausnahme in Absatz 4 betrifft also letztlich nur die Ausnahme nach Absatz 2 lit. a). Einmal mehr gilt: Mit der DSGVO können wir Datenschützer niemandem erklären, wie klare und verständliche Texte aussehen.

Mitmach-Aufgaben zum Schluss der Etappe: Ein Anwendungsbeispiel für Art. 22 Abs. 2 lit. a) DS-GVO ist wahrscheinlich der Bargeld-Automat, wenn er kein Geld herausrückt. Fallen Ihnen noch andere ein?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Wer den Artikel 21 liest – und dafür ist der Spaziergang ja gedacht – fragt sich vielleicht: „Habe ich mich verlaufen? Sind wir hier nicht schon vorbeigekommen?“ Tatsächlich ist die Landschaft dem Artikel 18 zum Verwechseln ähnlich. Es wäre möglich – und sinnvoll? – beide Vorschriften zu verbinden. Laufen wir das Widerspruchsrecht nach Artikel 21 ab:

Was beinhaltet Artikel 21?

Absatz 1 gibt das Recht zum Widerspruch für Datenverarbeitungen im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt sowie aufgrund eines berechtigten Interesses, Art. 6 Abs. 1 Satz 1 lit. e) und f) DS-GVO. Voraussetzung sind Gründe der Betroffenen, die sich aus ihrer besonderen Situation ergeben, also einfach Umstände des Einzelfalls. Weiter verarbeitet werden dürfen die Daten dann nur noch, wenn der Verantwortliche zwingende schutzwürdige Gründe nachweisen kann oder die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

Absätze 2 und 3 klären, dass bei Datenverarbeitung für Direktwerbung die Betroffenen jederzeit widersprechen können – also auch ohne besondere Einzelfall-Umstände – und dieser Widerspruch die Direktwerbung in jedem Fall verbietet – also ohne weitere Interessenabwägung. Absatz 4 verlangt entsprechende Hinweise an die Betroffenen – seltsamerweise zusätzlich zu Artikel 13 Abs. 2 lit. b) und Artikel 14 Abs. 2 lit. c) DS-GVO in einer verständlichen und von anderen Informationen getrennten Form. Warum und wie von anderen Informationen getrennt? Absatz 5 provoziert die Rätselfrage: Gibt es automatisierte Verfahren, bei denen keine technischen Spezifikationen verwendet werden? Ich kenne keine.

Und Absatz 6 erlaubt – auch außerhalb von Einwilligung und Vertrag, also weitergehend als Absatz 1 – bei der Datenverarbeitung zu statistischen Zwecken und Forschungszwecken den Widerspruch, „es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich“. Wie so oft ist die DS-GVO auch hier wieder wunderbar unpräzise, umständlich und rätselhaft:

• Was ist Folge des Widerspruchs nach Absatz 6? Wahrscheinlich ein Verarbeitungsverbot, genau wie in Absatz 1 Satz 2. Das wird nur nicht gesagt.

• Darf dann trotzdem für andere Zwecke weiter verarbeitet werden, wenn die Anforderungen aus Absatz 1 Satz 2 erfüllt sind? Wahrscheinlich ja, es wird nur nicht gesagt.

• Artikel 89 DS-GVO regelt ja insgesamt nur Verarbeitungen, die im öffentlichen Interesse liegen. Wann soll dann ein Widerspruch nach Absatz 6 überhaupt wirksam sein? Wenn er doch bei öffentlichem Interesse nicht gilt? Hier wäre der Wanderleiter dankbar für Hinweise aus der Gruppe.

In der Praxis ist das Widerspruchsrecht nach Artikel 21 DS-GVO fast bedeutungslos. Wie andere Betroffenenrechte auch, wurde es sehr kompliziert konstruiert. Vielleicht wollte der Gesetzgeber den Betroffenen möglichst viele Rechte geben. Aber wie das Sprichwort weiß: Manchmal ist weniger mehr. Mit den Ansprüchen auf Auskunft und Löschung nach Art. 15 und 17 DS-GVO dürfte alles Wesentliche erreichbar sein.

Zur Verständlichkeit

„Fun-Fact“ zum Abschluss der heutigen Etappe: Die DS-GVO betont und verlangt immer wieder einfache, klare, präzise und leicht verständliche Sprache. Es gibt inzwischen wissenschaftlich etablierte Tools, mit denen Lesbarkeit bzw. Verständlichkeit recht gut beurteilt werden können. Und natürlich lassen sich diese Tools auch auf die DS-GVO anwenden.

Das funktioniert zum Beispiel beim sogenannten „Flesch-Index“ (nicht „Flash“). Er bewertet in der üblichen Skalierung Texte mit 0 bis 100 Punkten, wobei hohe Punktzahlen eine leichte Verständlichkeit bedeuten. 0 bis 30 Punkte stehen für sehr schwer verständliche Texte. Die DS-GVO erreicht bei meinen Versuchen – egal in welcher Sprache und auch in kleineren Abschnitten – keine Werte oberhalb von 25. Die ersten 99 Paragrafen des Bürgerliche Gesetzbuch (BGB) schaffen immerhin einen Flesch-Wert von 41 . Das deutsche Einkommensteuergesetz liegt mit §§ 1 bis 10 (das sind deutlich mehr als 10 Paragrafen) bei 27. Datenschutzgesetze sind also fast so klar und leicht verständlich wie das Steuerrecht…

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Das in Artikel 20 DS-GVO geregelte „Recht auf Datenübertragbarkeit“ sorgte seinerzeit für große Aufregung, viel Verwirrung und weckte viele Hoffnungen – also ein typischer Teil der ganzen DS-GVO. Die Aufregung hat sich gelegt. Nach wie vor sind nicht alle Zweifelsfragen geklärt. Der erhoffte Nutzen ist bisher nicht eingetreten – auch insoweit ein typischer Teil der DS-GVO?

Gerade in den letzten Tagen – genau: am 12. September 2025 – kam Art. 20 DS-GVO plötzlich wieder „ins Gerede“, weil seitdem der Data Act angewendet wird. Und dort ist Ähnliches wie in Art. 20 DS-GVO noch einmal geregelt. Aber der Reihe nach…

Zum Artikel 20 DS-GVO

Wenn Betroffene einem Verantwortlichen (1) zur automatisierten Verarbeitung (2) auf Grundlage einer Einwilligung oder eines Vertrags (3) eigene Daten überlassen, dann können sie vom Verantwortlichen verlangen, diese Daten „weiter verwendbar“ (standardisiert und maschinenlesbar) zu erhalten. Sie können auch verlangen, dass der Verantwortliche die entsprechenden Daten zur Weiterverwendung direkt einem anderen Verantwortlichen zuleitet.

Ist das Datenschutz oder kann das weg?

Hat die Norm überhaupt etwas mit Datenschutz zu tun oder gehört sie in den Bereich Wettbewerbsrecht bzw. Kartellrecht? Bekämpft werden sollte damit jedenfalls die Marktmacht großer Anbieter, die mit WhatsApp und Co. ihren Kunden eine „Datenheimat“ anbieten. Und wie es so geht mit Heimat: Hat man sich häuslich niedergelassen und einige Jahre eingerichtet, fällt das Weggehen schwer. Außer natürlich, man kann den Anbieter gesetzlich als „Umzugshelfer“ nutzen, der alle Daten sortiert und einpackt, damit der neue Anbieter für den Kunden die neue Heimat wohnlich einrichten kann. Ohne den Umzugsservice – so der Grundgedanke – zieht kaum jemand um. Die großen Anbieter werden immer größer und neue Anbieter haben kaum eine Chance. Das sollte Artikel 20 ändern.

Noch einmal: Was hat das mit Datenschutz zu tun? Etwas schon, aber nicht sehr viel: Zum Datenschutz gehört die „Kontrolle über eigene Daten“ zumindest in dem Sinne, dass Betroffene wissen, wo sich ihre Daten befinden und weitestmöglich auch darüber bestimmen dürfen, ob die Daten dort verbleiben. Der „Umzugsservice“ geht darüber natürlich deutlich hinaus. Datenschutz beinhaltet eigentlich nicht den Anspruch darauf, dass andere meine Daten für mich pflegen, sortieren und irgendwohin transportieren müssen. Wahrscheinlich gehört Art. 20 DS-GVO also doch eher ins Wettbewerbs- und Kartellrecht oder in das von der Europäische Union neu geschaffene Datenrecht, respektive Datennutzungsrecht – bei dem Datenschutz nur noch eine Facette darstellt.

Dieser Eindruck verstärkt sich noch, weil nach Art. 20 Abs. 3 Satz 2 DS-GVO die öffentliche Hand pflichtenfrei gestellt wird. Das Recht auf Datenübertragbarkeit gilt also nicht gegenüber dem Staat – dabei war Datenschutz zuerst einmal ein Grundrecht – sondern nur gegenüber der Privatwirtschaft.

Anfang September hatte ich Gelegenheit, bei einem Erfahrungsaustausch andere Datenschützer nach Anwendungsfällen von Art. 20 DS-GVO zu fragen. Mir selbst sind in den vergangenen sieben Jahren nämlich keinen echten Anwendungen untergekommen. Die Diskussion im größeren Kreis hat es bestätigt: Natürlich gibt es Datentransfers zum Beispiel beim Wechsel von Dienstleistern. Sie werden aber nicht über Art. 20 DS-GVO abgewickelt – der ja ohnehin nur für die Daten natürlicher Personen gilt, also zum Beispiel einer GmbH nicht weiterhilft. Artikel 20 kann also gern wegfallen, zumal dann, wenn neue Gesetze wie der Data Act „Ähnliches etwas anders regeln“. Was meinen Sie?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Der heutige Ausflug ist winzig kurz – aber besser, wenigstens einige Schritte vor die Tür gehen, als den ganzen Tag drinnen sitzen. Immerhin spazieren wir durch wenig bekannte Gegend. Selbst die/der eine oder andere Datenschutzbeauftragte wird Artikel 19 DS-GVO noch nie gelesen haben. Dann ruhig jetzt nachholen!

Zum Artikel

Satz 1 verlangt vom Verantwortlichen, etwaige Datenempfänger über Maßnahmen nach Artikel 16, 17 und 18 zu informieren. Warum bei Artikel 17 konkret Absatz 1 genannt wird und bei Artikel 18 nicht, ist Geheimnis des Gesetzgebers. Die Informationspflicht besteht allerdings nur, wenn sie mit angemessenem Aufwand erfüllt werden kann. Satz 2 ist überflüssig, weil bereits durch Artikel 15 DS-GVO abgedeckt. Und auch Satz 1 ist nicht durchdacht: Wenn Daten berichtigt oder gelöscht oder beschränkt verarbeitet werden, haben Betroffene gar nicht immer ein Interesse daran, dass „die ganze Welt“ davon erfährt.

Zum Beispiel: Eine Abteilungsleiterin behauptet per E-Mail im Kollegenkreis (falsch), Mitarbeiter X färbe sich die Haare. X stellt das bei ihr richtig und möchte keine weitere Publicity. Darf und muss der Arbeitgeber wirklich eine zweite E-Mail herumsenden „X färbt sich doch nicht die Haare“? Wäre Artikel 19 nicht sinnvoller als ein Anspruch zu gestalten, den Betroffene ausüben können, aber nicht müssen?

Anderes Beispiel: Personalchef A hat in einem Bewerbungsverfahren unerlaubt – peinliche, aber inhaltlich richtige – Daten über Frau X gesammelt, einigen Beschäftigten davon erzählt und die Daten gespeichert. X erfährt viel später davon und verlangt Löschung. Soll A den anderen Beschäftigten die Löschung mitteilen – am besten noch dokumentiert – und damit X noch einmal in Verruf bringen? Also wohl besser: „Wenn von Betroffenen verlangt und mit angemessenem Aufwand möglich, informieren Verantwortliche…“

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Das Wanderziel heißt heute „Recht auf Einschränkung der Verarbeitung“. Wer genauer hinschaut, kann unter dem letzten Farbanstrich auf dem Wegweiser noch „Recht auf Sperrung“ entziffern. So hieß die Sache früher, im Datenschutzrecht vor DS-GVO. Verschaffen wir uns einen ersten Überblick.

Ein Blick auf die Karte

Absatz 1 nennt die (vier) Situationen, in den betroffene Personen eine Einschränkung der Verarbeitung verlangen können. Absatz 2 klärt dann (verspätet), was Einschränkung der Verarbeitung eigentlich bedeutet und Absatz 3 gibt den Betroffenen einen Informationsanspruch, bevor die Einschränkung der Verarbeitung endet, die Daten also wieder ohne Einschränkung verarbeitet werden.

Absatz 2

Beginnen wir mit dem genaueren Hinschauen bei Absatz 2, also der Definition: Einschränkung der Verarbeitung meint, dass die betroffenen Daten „eingefroren“ (alter Begriff: „gesperrt“) werden. Sie bleiben zwar erhalten – also gespeichert – sollen aber prinzipiell sonst keine Verwendung finden. Ausnahmsweise gehts dann doch – und die Ausnahmen sind großzügig:

• Die Einwilligung der betroffenen Person ist als Ausnahme klar und richtig. Schließlich betreiben wir Datenschutzrecht im Interesse informationeller Selbstbestimmung.

• Die Datennutzung für Rechtsansprüche und Rechte Anderer – das können der Verantwortliche sein oder eine dritte Person – geht schon sehr viel weiter und ist schwer abgrenzbar.

• Hinzu kommt dann noch das wichtige öffentliche Interesse.

Im Ganzen zeigt sich – erst recht, wenn wir gleich Absatz 1 näher anschauen – dass die Einschränkung der Verarbeitung eigentlich eine Interessenabwägung darstellt, wie wir sie ähnlich in Artikel 6 Abs. 1 Satz 1 lit. f) DS-GVO und in Artikel 21 DS-GVO finden: In bestimmten Situationen – siehe Absatz 1 – sollen die Verantwortlichen die Datennutzung möglichst weit „herunterfahren“ – siehe Absatz 2.

Absatz 1

Absatz 1 nennt vier Situationen, die sich in zwei Fallgruppen einteilen lassen:

• Buchstaben a) und d) betreffen Sachverhalte, in denen der Verantwortliche die Daten nutzen will und der Betroffene Einwände erhebt; a) Einwände gegen die Richtigkeit der Daten, d) Widerspruch gegen die Verarbeitung gemäß Artikel 21 DS-GVO.

• Bei Buchstaben b) und c) will bzw. muss der Verantwortliche eigentlich die Daten löschen und die betroffene Person verhindert das; b) Betroffene wählen die Einschränkung anstelle der Löschung und c) … ist nur ein Unterfall von b).

Die Buchstaben b) und c) verpflichten letztlich den Verantwortlichen, als Datenarchiv für betroffene Personen herzuhalten. Das ist auf den ersten Blick seltsam und wird auch beim zweiten und dritten Hinschauen nicht sinnvoll. In diesen Konstellationen wäre angemessen, den Verantwortlichen eine Pflicht zur Datenübertragung an die Betroffenen aufzuerlegen, nicht aber von ihnen die Datenaufbewahrung (wie lange eigentlich?) zu verlangen. Die Fallkonstellationen b) und c) aus Absatz 1 ergeben auch bei Artikel 19 DS-GVO Probleme – aber das betrifft schon den nächsten Ausflug …

Ein anderes Fehlerchen in Absatz 1: Wieso müssen Betroffene, wenn sie die Richtigkeit von Daten bestreiten oder der Verarbeitung nach Artikel 21 DS-GVO widersprechen, zusätzlich noch „die Einschränkung der Verarbeitung […] verlangen“? Ergibt sich das nicht schon aus dem Bestreiten bzw. Widersprechen?

Eine Alternativroute

Ein Textvorschlag für Artikel 18 DS-GVO – dann am besten als Absatz in Artikel 6 verlagert – in (hoffentlich) verständlicher und präziser Sprache:

Personenbezogene Daten dürfen – von ihrer Speicherung abgesehen – nur mit Einwilligung der Betroffenen oder bei überwiegenden Interessen Dritter verarbeitet werden, falls

- die Richtigkeit der personenbezogenen Daten von den Betroffenen bestritten wird, und zwar für eine Dauer, die es den Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen, oder

- die Betroffenen Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe der Verantwortlichen gegenüber denen der Betroffenen überwiegen.

Die Betroffenen werden vor Wegfall der Einschränkungen nach Satz 1 informiert.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Nach der kurzen letzten Etappe gibt es jetzt wieder ordentlich etwas „wegzuwandern“.

Ein Recht auf Vergessenwerden?

Artikel 17 zieht sich in die Länge, vor allem weil der Gesetzgeber den Wanderweg wieder in großen Schleifen angelegt hat. Absatz 1 und Absatz 3 könnte man zusammenfassen: „Betroffene können von Verantwortlichen die sofortige Löschung ihrer personenbezogenen Daten verlangen, wenn eine Rechtsgrundlage für die weitere Speicherung fehlt.“

Aber der Reihe nach: Schon die Überschrift enthält sprachlich eine „seltene Orchidee“. Das „Recht auf Vergessenwerden“ kann man Stars und Sternchen, A-, B- und C-Prominenten sowie Influencern wahrscheinlich gar nicht erklären. Wer will schon vergessen werden? Vermutlich führt der Begriff auch andere betroffene Personen, zum Beispiel Kinder und Jugendliche, nur in die Irre und sollte deshalb selbst schnell vergessen werden. Es gibt kein durchsetzbares (!) Recht auf Vergessenwerden und erzieherisch wertvoller als dieser einlullende, trügerische Begriff bleibt allemal die Erkenntnis „Das Internet vergisst nicht.“ Wie beim ökologischen Fußabdruck müssen Betroffene auch beim „data foot print“ zuallererst auf die eigenen „Emissionen“ achten und sollten sich nicht darauf verlassen, dass anschließend Andere den (Daten-)Abfall sauber wegräumen.

„Recht auf Vergessenwerden“ soll originell klingen, ist aber nur albern. Halten wir uns lieber an das „Recht auf Löschung“.

Absatz 1

In Absatz 1 wird es sehr lang abgehandelt. Wie schon erwähnt, lassen sich die dort aufgelisteten Einzelfälle zusammenfassen: Gelöscht werden muss, wenn eine Rechtsgrundlage für die weitere Speicherung fehlt. Der Anspruch auf Löschung bei der betroffenen Person ist dabei immer das Spiegelbild zur Löschpflicht des Verantwortlichen.

Absatz 2

Absatz 2 möchte erreichen, dass der Verantwortliche den Löschauftrag genauso weitergibt, wie er zuvor die personenbezogenen Daten weitergegeben hat. In der Praxis ist die Vorschrift zwar nicht gänzlich bedeutungslos, aber Betroffene sollten sich über die Erfolgsquote keinen Illusionen hingeben: Veröffentlichungen lassen sich selten oder nie rückgängig machen. Hilfreicher ist manchmal ein Effekt, den die DS-GVO gar nicht in Betracht zieht: Die Daten von heute werden zugedeckt durch die Daten von morgen.

Absatz 3

Absatz 3 regelt sehr umständlich Ausnahmen von den Löschpflichten aus Absatz 1 und 2, nämlich genau solche Fälle, in denen eben doch noch eine Rechtsgrundlage zur weiteren Speicherung besteht.

Geht es auch ein bisschen kürzer?

Die Abkürzung zum verschlungenen Wanderweg durch Artikel 17 könnte also beispielsweise insgesamt lauten:

„Recht auf Löschung“

(1) Betroffene können von Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten verlangen, sobald eine Rechtsgrundlage zur weiteren Speicherung fehlt.

(2) Haben Verantwortliche die betreffenden Daten an Dritte weitergegeben, bei denen vermutlich die Rechtsgrundlage zur Speicherung ebenfalls entfallen ist, sollen sie das Löschverlangen mitteilen.

Es geht sogar noch kürzer: Der zweite Absatz ist ganz verzichtbar, wenn man Artikel 19 anschaut. Aber laufen wir erst einmal zum achtzehnten Meilenstein…

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.