Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Willkommen – heute zu einer wirklich langen Etappe. Artikel 28 gehört zu den Marathon-Artikeln der DS-GVO.

Er regelt ein besonderes Konstrukt – die Auftragsverarbeitung. Wer davon nie gehört hat, ist im Datenschutz nicht einmal Anfänger. Wer es vollständig verstanden hat, ist noch nicht geboren.

Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter

Der Auftragsverarbeiter wird in Artikel 4 Nr. 8 definiert als eine „Stelle, die personenbezogene Daten im Auftrag eines anderen verarbeitet“. In der Datenschutzpraxis gibt es sehr überraschende und komplizierte Zuordnungen, wann jemand als Verantwortlicher und wann als Auftragsverarbeiter gesehen wird. Dazu später mehr.

Die Auftragsverarbeitung als datenschutzrechtliche Privilegierung

Als Ausgangspunkt und wichtigste Orientierung: Die Auftragsverarbeitung sieht der Gesetzgeber als Privilegierung im Datenschutz. Normalerweise ist ja die Weitergabe von Daten an andere Rechtsträger eine Datenverarbeitung (Übermittlung), für die eine Rechtsgrundlage gebraucht wird. Sehr oft schalten Verantwortliche andere Rechtsträger für die Datenverarbeitung als Dienstleister ein (weil die Dienstleister Spezialwissen haben oder bessere Ausrüstung oder mehr Personal oder…). Der Verantwortliche lässt sich also helfen. Dafür fehlen uns aber im Datenschutz auf dem „üblichen Weg“ die Rechtsgrundlagen:

• Weitergabe der Daten vom Auftraggeber an den Dienstleister als Übermittlung – da würde vielleicht manchmal das „berechtigte Interesse“ aus
  Artikel 6 Abs. 1 UAbs. 1 lit. f) eingreifen, aber auch nicht immer (z. B. selten bei öffentlichen Stellen).
• Bearbeitung der Daten beim Dienstleister für den Auftraggeber – auch da bliebe hauptsächlich das „berechtigte Interesse“ und manchmal gar nichts.

Praktisches Beispiel: Eine Schule beauftragt einen IT-Dienstleister mit der EDV-Betreuung. Dann verarbeitet der Dienstleister viele Daten der Lehrer und Schüler. Wo ist dafür die Erlaubnisnorm? Mit den Lehrern und Schülern hat der Dienstleister keinen Vertrag. Von ihnen hat er auch keine Einwilligung. Die Schule dürfte die Daten verarbeiten, der Dienstleister – eigentlich – nicht.

Und der Kunstgriff der Auftragsverarbeitung ist nun: Wenn der Dienstleister nur das macht, was die Schule darf und wenn er es nur für die Schule, nach deren Weisungen tut, dann ist es erlaubt (als Auftragsverarbeitung).

Systematik der Auftragsverarbeitung

Klingt logisch und klar, ist manchmal trotzdem kompliziert. Aber fangen wir mit dem Einfachen an und laufen wir – wie schon häufiger – rückwärts, beginnend beim letzten, zehnten Absatz.

Dieser Absatz 10 enthält eine konsequente Aussage: Wenn der Auftragsverarbeiter die Weisungen seines Auftraggebers (des Verantwortlichen) missachtet, dann ist er nicht mehr Auftragsverarbeiter, sondern selbst verantwortlich. Passt.

Auch Absatz 9 ist klar und schnell abgewandert: Die Datenschutz-Regelungen zwischen dem Verantwortlichen und dem Auftragsverarbeiter brauchen Textform. Damit man später nachlesen kann und im Streitfall jedenfalls nicht streiten muss, ob etwas geregelt war. Das passt auch zu Artikel 5 Absatz 2.

Absatz 8 hat keine Relevanz in der Praxis. (Oder kennen Sie Vertragsklauseln einer Aufsichtsbehörde? Dann bin ich für einen Hinweis dankbar.)

Absatz 7 betrifft das selbe Thema und ist sehr praxisrelevant: Die Kommission hat Klauseln „geschrieben“ (Näheres hier: Standardvertragsklauseln für Verantwortliche und Auftragsverarbeiter in der EU/im EWR). Einzelheiten „führen uns heute zu weit“ (vom Wanderweg ab).

Absatz 6 ist Streich-Potential. Gäbe es ihn nicht, würde sich nichts ändern. Und für Absatz 5 gilt dasselbe.

Bei Absatz 4 geht es um die – extrem häufigen und praxisrelevanten – Sub-Auftragsverarbeiter (und Sub-Sub- und Sub-Sub-Sub- etc.). Umständlich und unvollständig versucht Absatz 4 zu sagen: Für weitere Auftragsverarbeiter in derselben Kette gelten die Regeln nach Abs. 1 – 3 entsprechend; der jeweilige direkte Auftraggeber ist weisungsberechtigt und gegenüber seinem Auftraggeber wieder weisungsgebunden. Eigentlich gehört das zusammengefasst mit Absatz 2: Jeder Auftragsverarbeiter darf nur eigene Auftragsverarbeiter (unter-) beauftragen, wenn ihm das vom eigenen jeweiligen Auftraggeber erlaubt ist (allgemein oder für den Einzelfall). In der Praxis braucht jeder Auftragsverarbeiter eigene Dienstleister – es geht also eigentlich nie ohne die allgemeine Erlaubnis.

Bleiben noch Absatz 1 und 3. Der erste klärt, dass es um die „TOM“ geht, also um ausreichende Schutzvorkehrungen. (Eine extra Rechtsgrundlage braucht der Auftragsverarbeiter für die Verarbeitung ja gerade nicht, solange er sich an die Weisungen des Verantwortlichen hält. Sonst: Siehe Absatz 10.)

Zum Herzstück des Artikel 28

Und damit sind wir endlich beim Herz-Stück des Artikel 28: Der Absatz 3 legt fest, was – zwischen Verantwortlichen und Auftragsverarbeitern – festgelegt werden muss. Die Buchstaben a bis h (und der folgende Schluss-Satz) lassen sich sehr gut in eine Checkliste verwandeln. Wer einen AV-Vertrag prüft, muss alle Punkte der Checkliste wiederfinden. Sonst ist der Vertrag noch nicht gut.

Die DS-GVO verlangt also nicht, einen bestimmten Vertragsinhalt oder ganz bestimmte Klauseln. Aber die Inhalte aus Absatz 3 müssen gesichert sein. Und in der Praxis wird natürlich oft diskutiert, ob sie im Einzelfall noch gesichert sind. Nur zwei Beispiele:

Bei Buchstabe h gibt es dieselbe Diskussion (und dieselbe Antwort). Dort wollen aber manche Auftragsverarbeiter nicht „nur“ Geld für Inspektionen, sondern anstelle der Inspektion auf irgendwelche Nachweise abstellen (beliebt: „Wir sind doch 27001-zertifiziert.“). Das geht nicht. Dokumente und Zertifikate genügen nicht, um den „Echt-Zustand“ zu prüfen; der Verantwortliche oder „von ihm beauftragte Prüfer“ müssen also hereingelassen werden. Wenn der Auftragsverarbeiter Sicherheitsbedenken hat (wer ein Rechenzentrum für zehntausende Kunden betreibt, hat ungern täglich Hunderte Prüfer zu Gast), kann er z. B. mit dem Verantwortlichen verabreden, dass eine bestimmte dritte Einrichtung die Prüfungen durchführt. Aber das darf kein Prüfer aus dem Lager des Auftragsverarbeiters sein und er muss dem Verantwortlichen gehorchen (auch beim Prüfungsumfang).

Buchstabe e verlangt, dass der Auftragsverarbeiter den Verantwortlichen unterstützt, wenn es um Betroffenenrechte geht (z. B. Auskunftsanfrage, für deren Antwort Informationen vom Auftragsverarbeiter gebraucht werden). Oft schreiben Auftragsverarbeiter in ihre Vertragsmuster „machen wir, kostet aber extra“. Manchmal behaupten Datenschützer, das sei unzulässig. Das ist ein Irrtum: Die DS-GVO verlangt vom Auftragsverarbeiter nicht, dass er seine Pflichten kostenlos erfüllt. Der Verantwortliche kann über den Preis verhandeln – aber nicht mit einem DS-GVO-Verstoß argumentieren.

Fazit

Bis hierhin war alles recht einfach, oder? Nun zum (anfangs angekündigten) „Endgegner“: Wer ist Auftragsverarbeiter? Wer Verantwortlicher? Und wer „Gemeinsam Verantwortlicher“?

Die „Mittel und Zwecke“ der Verarbeitung legt der Verantwortliche fest, sagt Art. 4 Nr. 7.

Meist reduziert sich das auf die „Zwecke“. Die Mittel bestimmt oft der Auftragsverarbeiter, den der Verantwortliche gerade deshalb beauftragt hat (besseres Know How, bessere Ressourcen). Der Auftragsverarbeiter bekommt das Ziel genannt; er verarbeitet und „liefert“.

Wenn er nebenher – sehr oft – die Daten des Verantwortlichen zur Weiterentwicklung der eigenen Produkte nutzt, sind beide „Gemeinsam Verantwortliche“. (Da hilft es gar nichts, wenn der Dienstleister á la Google in den AV-Vertrag schreibt, er sei auch zur Produktentwicklung beauftragt. Den Auftrag hat sich der Dienstleister selbst erfunden.)

Und der Betriebsarzt? „Bitte untersuchen Sie die Höhentauglichkeit unserer Monteure.“ Klassisch Auftragsverarbeitung. Aber alle Datenschützer sind einig: Nein, der Betriebsarzt ist Verantwortlicher. Das Kurzpapier Nr. 13 der Datenschutzkonferenz (also der deutschen staatlichen Aufsichtsbehörden) formuliert in Anhang B:

„Keine Auftragsverarbeitung … sind beispielsweise in der Regel die Einbeziehung eines

• Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
• Inkassobüros mit Forderungsübertragung,
• Bankinstituts für den Geldtransfer,
• Postdienstes für den Brieftransport,

und vieles mehr.“

(Besonders gelungen für die Orientierung Hilfesuchender: „beispielsweise“ und „in der Regel“ und „und vieles mehr“.)

Begründung? Fehlanzeige. Es gibt wohl auch keine juristische, jedenfalls findet man nichts davon in der DS-GVO. Und genau das ist das Schwierige an Artikel 28: Wann man ihn nicht anwendet, steht nicht im Gesetz. Wie beim Wandern braucht es also Intuition, Orientierungssinn und Erfahrung.

Wir treffen uns dann bei Etappe 29!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nicht gelesen haben. Die heutige Etappe durch den Artikel 27 ist eher unspektakulär und hauptsächlich wichtig als Verbindungsweg zum Artikel 28 – der es in sich hat.

Worum Geht´s?

Die DS-GVO verpflichtet nach Artikel 3 Abs. 2 viele Verantwortliche und Auftragsverarbeiter außerhalb der EU – wenn sie personenbezogene Daten Betroffener verarbeiten,

• um ihr Verhalten in der EU zu beobachten oder
• um ihnen Waren/Dienstleistungen in der EU anzubieten.

Immer wenn Staaten – oder Staatenbünde wie die EU – über ihr eigenes Hoheitsgebiet hinausregieren wollen, haben sie dasselbe Problem: Wie setzt man sich im Ausland durch? (Man kann natürlich auch Regeln aufstellen ohne die Chance einer effektiven Umsetzung. Aber meist sieht das nicht gut aus.)

Artikel 27 klärt nur einen ganz kleinen Teil dieses Problems: Verantwortliche mit Sitz außerhalb der EU müssen Vertreter in der EU benennen und zwar als Ansprechpartner „insbesondere für die Aufsichtsbehörden und betroffene Personen“. Das „insbesondere“ heißt im üblichen juristischen Sprachgebrauch: Dies sind nur (besonders wichtige) Beispiele. Also dürfen auch Andere die Vertreter in DS-GVO-Fragen kontaktieren.

Die Benennung muss schriftlich erfolgen (Abs. 1), aber nicht gegenüber der Aufsichtsbehörde und auch nicht gegenüber den Betroffenen. Die Betroffenen erfahren vom Vertreter und seinen Kontaktdaten durch die Information nach Art. 13 (bzw. 14) Abs.1 lit. a. Die Aufsichtsbehörde liest entweder auch die Datenschutz-Information oder das Verarbeitungs-Verzeichnis; dort wird der Vertreter mit Kontaktdaten auch genannt (Art. 30 Abs. 1 Satz 2 lit. a). Beim Auftragsverarbeiter steckt die Nachricht ebenfalls im VVT (Art. 30 Abs. 2 lit. a).

Der Vertreter kann „zusätzlich … oder an … Stelle“ seiner Auftraggeber (Verantwortlicher/Auftragsverarbeiter) als Anlaufstelle für Datenschutzfragen dienen. Er kann auch die VVTs erstellen und muss sie der Aufsichtsbehörde auf Anforderung bereitstellen (siehe Art. 30 Abs. 1, 2 und 4). Außerdem muss er mit der Aufsichtsbehörde allgemein zusammenarbeiten (Art. 31).

Der Vertreter kann nicht in „irgendeinem“ EU-Staat ansässig sein, sondern nur in einem derjenigen Staaten, in denen sein Auftraggeber aktiv ist (also Betroffene beobachtet und/oder ihnen Waren/Dienstleistungen anbietet).

Was erreicht der Gesetzgeber? Vor allem kürzere Wege für die Aufsichtsbehörden und die Betroffenen. Allerdings: Wenn sich der Verantwortliche/Auftragsverarbeiter – auch – an diese DS-GVO-Vorschrift nicht hält, bleibt doch nur der lange, schwierigere Weg ins Ausland.

Was droht dem Vertreter? Erwägungsgrund 80 meint in Satz 6, bei Verstößen seiner Auftraggeber solle „der bestellte Vertreter Durchsetzungsverfahren unterzogen werden“. Im Normtext der DS-GVO findet sich dazu aber nichts. Artikel 82 gibt Schadenersatzansprüche nur gegen Verantwortliche und Auftragsverarbeiter. Ein Versehen des Gesetzgebers? Vielleicht.

Nach Artikel 58 Abs. 1 lit. a kann die Aufsichtsbehörde den Vertreter anweisen, Informationen bereitzustellen. Aber droht bei Verstößen Bußgeld? Artikel 83 erwähnt zwar in Abs. 5 lit. e die Pflichten zur Info-Bereitstellung, aber nicht den Vertreter. Und derselbe Artikel befasst sich in Abs. 4 lit. a zwar (u. a.) mit Verstößen gegen Artikel 30 und 31 (da sind ja auch Pflichten des Vertreters geregelt, siehe oben), meint aber ausdrücklich nur Fehlverhalten des Verantwortlichen und des Auftragsverarbeiters. Ein Versehen des Gesetzgebers? Höchstwahrscheinlich.

Fazit

Artikel 27 versucht im Rahmen des Möglichen, für die schwer greifbaren DSGVO-Akteure („weit weg“) einen leichter greifbaren Ansprechpartner („nah dran“) aufzubauen. Aber in der Umsetzung (Sanktionen gegen den greifbaren Ansprechpartner) hat der Gesetzgeber gepatzt. Schön wäre: Reparieren.

Etappenziel erreicht – gute Erholung vor dem nächsten Abschnitt!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Der nächste Frühlings-Spaziergang führt rund um Artikel 26, ein besonders schönes Gebilde: Mehrere Bäume – nein: Verantwortliche – sind hier verflochten und ineinander verwachsen. Die obligate Text-Kritik (Wie könnte die DS-GVO klar und kurz lauten?) erledigen wir zuerst und schauen dann genauer auf das Gebilde und sein ganz spezielles Problem.

Inhaltliche Kritik

Wieder einmal von hinten lesend erfahren wir in Absatz 3, dass Absätze 1 und 2 nicht sehr wichtig sind. Die Betroffenen können bei gemeinsamer Verantwortung jeden Verantwortlichen in die Pflicht nehmen. Was die Verantwortlichen (nach Absatz 1 und 2) vereinbaren und zur Verfügung stellen, ist für die Außenhaftung ganz egal. Deshalb sind Absatz 1 und 2 meines Erachtens überflüssig. Geregelt werden muss nur (Absatz 3), dass bei gemeinsamer Verantwortung alle Verantwortlichen gemeinsam für alles geradestehen. Wie sie intern ihre Pflichten verteilen und ob sie die Pflichten überhaupt verteilen – vielleicht erledigen sie ja alles gemeinsam – können sie selbst entscheiden. Sie tragen ja die Konsequenzen.

Der Gesetzgeber lässt es aber nicht bei der Vorschrift gemeinsamer Außenhaftung, sondern verlangt mehr Aufwand. Eine Vereinbarung nach Absatz 1 und 2 muss (!) erstellt werden. Mindest-Inhalt: Absatz 1 Satz 2 und Absatz 2 Satz 1. Kann-Inhalt: Absatz 1 Satz 3 – Nennung einer Anlaufstelle, die der Betroffene aber nicht anlaufen muss. Zusatz-Arbeit: Das Wesentliche – hat der Gesetzgeber versehentlich klein geschrieben und in den bisherigen Evaluierungen der DS-GVO nicht als Fehler berichtigt – wird nochmals gesondert „vertextet“ und den Betroffenen zur Verfügung gestellt. Für die Betroffenen ist es – wie Absatz 3 regelt – sowieso egal.

Vorschlag für eine präzise DS-GVO: Erster Halbsatz und letzter Halbsatz des Artikels. Alles dazwischen ist keine Kunst und kann weg. Es bliebe: „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke oder Mittel der Verarbeitung fest, kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem Verantwortlichen geltend machen.“

Auswirkungen in der Praxis

Aus der eigentlich wichtigen Regelung des Artikel 26 – gemeinsame Haftung der gemeinsam Verantwortlichen füreinander – ergibt sich das eigentlich wichtige Problem der Norm: Wann besteht diese „Mithaftung“?

Nicht zufällig sind große Datenverarbeiter wie Meta und Microsoft sehr bemüht, nicht in den Status einer gemeinsamen Verantwortlichkeit mit all den vielen Verantwortlichen zu geraten, deren personenbezogene Daten sie unter anderem auch zur Weiterentwicklung des eigenen Produkts verarbeiten. Deshalb ist auch nicht zufällig, dass die wohl wichtigste Entscheidung in diesem Kontext Meta betraf: Der Europäische Gerichtshof (EuGH) entschied (Urt. v. 05. Juni 2018, Az. C-210/16, übrigens noch zur Vorgänger-Norm in der Datenschutz-Richtlinie 95/46) für Facebook-Fanpages, dass Meta und die jeweiligen Fanpage-Betreiber gemeinsam Verantwortliche sind.

Zentral an dieser Entscheidung war und ist die Aussage, dass eine gemeinsame Festlegung von Zwecken und Mitteln nicht gemeinsame Zwecke und Mittel verlangt. Es genügt auch, wenn mehrere Verantwortliche gemeinsam dieselben Daten verarbeiten und dabei jeder sein eigenes Süppchen kocht. Das ist weitgehend und eine ganz schlechte Nachricht für die großen Software-Anbieter.

So sieht es der EuGH und er darf das europäische Recht verbindlich auslegen. Aber die Frage ist erlaubt: Ist das überzeugend? Sollte es vielleicht noch einmal überdacht werden? Zumindest der eine Verantwortliche (Beispiel: der Fanpage-Betreiber) übermittelt/überlässt personenbezogene Daten dem anderen. Ist dann nicht die entscheidende Frage (nur), ob es für diese Übermittlung/Überlassung eine Rechtsgrundlage gibt? Gibt es sie nicht, liegt der Rechtsverstoß in der Übermittlung, also in der Nutzung einer vom anderen Verantwortlichen überlassenen Software im Wissen, dass der Software-Anbieter die Daten zu eigenen Zwecken nutzt.

Wie gesagt – bis der EuGH sich anders positioniert, ist die Frage für die Praxis entschieden. Wer Microsoft 365 einsetzt und Datenverarbeitungen zur Produktweiterentwicklung duldet, sitzt mit Microsoft in einem Boot. Das findet auch Microsoft nicht angenehm. Neuer Lösungsversuch von dort: Im Vertrag nach Artikel 28 erteilt der Lizenznehmer/Nutzer an Microsoft den Auftrag zur Produkt-Weiterentwicklung. Naja.

Ihnen schöne und echte Frühjahrs-Spaziergänge, gern auch mal ohne DS-GVO!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Die heutige Etappe führt uns bei wunderbarem Frühlings-Wetter zu schönen Aussichten: Datenschutz by design und by default, also durch datenschutzfreundliche Technikgestaltung und Voreinstellungen. Letztere sind ja eigentlich nur ein Teilbereich der Technikgestaltung. Klingt wie „Datenschutz automatisch“.

Ein kurzer Überblick

Anfangs kämpfen wir uns natürlich wieder durch den Dschungel der furchtbar verworrenen Sprache der DS-GVO. Aber so ist sie nun einmal, die DS-GVO: Von uns verlangt sie Klarheit und Prägnanz, selbst liefert sie das Gegenteil. Vielleicht ein besonders raffiniertes Manöver des Gesetzgebers: Das abschreckend schlechte Beispiel?

Absatz 1 besteht aus einem einzigen Satz, der irgendwie – wenn auch nicht literarisch – an Thomas Mann erinnert. Ich habe sieben „und“ gezählt (korrekt?), außerdem „sowie“, „als auch“ und „wie etwa“. Absatz 2 wiederholt den ersten Absatz für einen Teilbereich nochmals mit anderen Worten und Absatz 3 sagt gar nichts aus.

Wie üblich, hier der Versuch einer Übersetzung für schlichte Spaziergänger: Verantwortliche treffen bei der Planung und beim Einsatz ihrer Datenverarbeitung die im Einzelfall angemessenen Maßnahmen für wirksamen Datenschutz. Dazu gehört, dass Datenverarbeitung von Vornherein nur im nötigen Umfang erfolgt, z. B. hinsichtlich der Erhebung und Speicherung von Daten. Dazu gehört außerdem, dass der Personenbezug von Daten angemessen vermieden oder reduziert wird (Anonymisierung oder Pseudonymisierung).

Beim Übersetzen ist Absatz 2 Satz 3 besonders schwierig und rätselhaft. Welche Person ist gemeint? Die betroffene Person? Aber es gibt doch massenhaft Fälle, in denen „ohne Eingreifen der Person“ Daten weltweit veröffentlicht werden. Ist das – auch bei Rechtsgrundlage nach Artikel 6 – verboten? Haben Sie eine Erklärung?

Artikel 25 in der PRaxis

Den Grundsatz finden (fast) alle gut: Persönliche Daten sollen nicht unnütz gefährdet werden. Am besten, der Datenschutz ist eingebaut, also die Systeme minimieren das Risiko. Artikel 25 spricht zwar – wie andere Artikel auch – von technischen und organisatorischen Maßnahmen (unseren „TOM“ im Datenschutz-Slang), aber er wird hauptsächlich mit den technischen Maßnahmen in Verbindung gebracht. Hard- und Software soll datenschutzfreundlich gebaut und konfiguriert sein. Soweit also Einigkeit. Schön.

Herausforderungen gibt es in der Praxis mindestens zwei:

1. Was ist für eine bestimmte Datenverarbeitung angemessen, also welchen Datenschutz-Aufwand muss (!) der Verantwortliche betreiben? Natürlich gibt es einen klaren Bereich: Maßnahmen ohne oder mit ganz geringem Zusatzaufwand sind immer richtig. Aber wann ist die technische Erzwingung eines komplexen Passworts (12 Stellen? 15 Stellen?) oder einer bestimmten Wechsel-Frequenz angemessen? Und wann ist sie unnötige Schikane?
   
2. Wie können kleine Verantwortliche extrem komplexe Systeme datenschutz-optimieren, die von großen Nicht-Verantwortlichen erstellt und permanent verändert werden? Das ist zu verschwurbelt gefragt? Also konkreter: Wie konfigurieren Frau Bäcker und Herr Blumenhändler SOPHOS und Microsoft 365?

Die schlechte Nachricht: Beide Themen sind nicht für die Ewigkeit allgemein lösbar, sondern brauchen die Prüfung bzw. Entscheidung im konkreten Fall. Wir werden uns also immer wieder – und sogar für die selben Datenverarbeitungen immer wieder – mit diesen Fragen befassen müssen. Die gute Nachricht: Das ist sinnvoll investierte Zeit und bringt echten Datenschutz. In diesem Sinn: Viel Spaß beim Frühjahrsputz!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Passend zum Jahreswechsel betreten wir neues Terrain: Kapitel IV der DS-GVO – „Verantwortlicher und Auftragsverarbeiter“ – beginnt mit Abschnitt 1 „Allgemeine Pflichten“ und führt uns durch Artikel, die jede/r Datenschützer/in bestens kennt. Aber vielleicht gibt es auch hier auf den zweiten Blick Neues zu entdecken?

Art. 24 mit der schwurbeligen Überschrift „Verantwortung des für die Verarbeitung Verantwortlichen“ lohnt eine genaue Besichtigung nur in Absatz 1. Die Absätze 2 und 3 gehören in die Rubrik „Streichungspotenzial“. Sie sind inhaltsleer und überflüssig. Vielleicht gerade deshalb zuerst dazu:

Absatz 2

Dieser Absatz verlangt mit großem Ernst, dass der Verantwortliche geeignete Vorkehrungen trifft, wenn sie angemessen sind. Das muss er schon nach Absatz 1. Grund für Absatz 2 ist wahrscheinlich, dass der Gesetzgeber Artikel mit mehreren Absätzen schöner findet.

Absatz 3

Auf den darauffolgenden Absatz trifft dasselbe zu: Nichts würde sich verändern, wenn er in der DS-GVO fehlte. Wer sich Verhaltensregeln oder Zertifizierungsverfahren unterwirft, die nach Art. 40 und 42 der DS-GVO genehmigt werden, außerdem (wichtig!) diese Regeln und Verfahren dann auch einhält, der hat wahrscheinlich einige Pflichten als Verantwortlicher erfüllt. Das ist einerseits selbstverständlich und hilft andererseits in der Praxis nicht weiter, weil: Ob die Verhaltensregeln oder Zertifizierungsverfahren wirklich eingehalten werden, muss man eben doch prüfen. Und selbst wenn sie nachweisbar eingehalten werden, ist damit noch nicht die Erfüllung sämtlicher Pflichten nachgewiesen.

Absatz 1

Absatz 1 ist der Kern von Artikel 24:

• Der Verantwortliche gemäß Art. 4 Nr. 7 DS-GVO muss geeignete technische und organisatorische Maßnahmen umsetzen, damit die Verarbeitung personenbezogener Daten nachweisbar DS-GVO-konform erfolgt. Der Gesetzgeber hat auch gleich noch ein halbes Dutzend Kriterien mitgeliefert für die Beurteilung der Frage, welche Maßnahmen nötig sind. Berücksichtigt werden sollen Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere der Risiken.

• Satz 2 stellt klar, dass die Maßnahmen geprüft und aktuell gehalten werden müssen. Berufserfahrene Datenschützer haben dazu immer wieder den PDCA-Zyklus gezeigt bekommen und schlimmstenfalls anderen gezeigt. Wer davon noch nichts gehört hat, benutze die Suchmaschine seiner Wahl.

Mit dem ausdrücklichen Bezug auf „unterschiedliche Eintrittswahrscheinlichkeiten und Schwere der Risiken“ enthält Absatz 1 Satz 1 eine wichtige und sinnvolle Regel: Datenschutzmaßnahmen sollen nicht Ressourcen vergeuden, sondern im angemessenen Rahmen bleiben. Natürlich lässt sich lange und heftig darüber streiten, was im Einzelfall risikoangemessen ist. Aber klar ist jedenfalls, dass nicht jede denkbare Sicherungsmaßnahme erfolgen muss. Auch im Datenschutz gilt die Regel: Nicht so sicher wie möglich, sondern so sicher wie nötig.

In der Praxis werden aus den beiden Faktoren Eintrittswahrscheinlichkeit und Schwere des Risikos dann oft Matrizen gebastelt, z. B.: Eintrittswahrscheinlichkeit niedrig, unbekannt und hoch sowie Schwere geringfügig, merklich und existenziell ergibt ein Feld mit neun Kästchen. Ähnliche Risikobewertungen finden sich in der IT- und Informationssicherheit. Leider ist in den seltensten Fällen eine eindeutige Quantifizierung möglich (z. B. von x E-Mails mit sensiblen Daten werden y E-Mails versehentlich an falsche Empfänger zugestellt, mit erheblichen aber nicht existenziellen Folgen für die Betroffenen). Möglich und ausreichend ist aber fast immer, dass fachkundige Personen (z. B. diejenigen Menschen, die eine Datenverarbeitung durchführen) sich auf eine gemeinsame Risiko-Einschätzung verständigen und diese begründen.

Sinnvoll ist ganz oft auch der in Art. 35 Abs. 9 DS-GVO für die Datenschutzfolgenabschätzung vorgesehene Weg: Betroffene oder deren Interessenvertreter beteiligen. Und oft sind ja auch die datenverarbeitenden Personen selbst von der Bearbeitung betroffen, beispielsweise die Personal- und IT-Abteilung entwickelt ein Verfahren zur digitalen Übermittlung der Gehaltsabrechnungen an die Beschäftigten. Die dabei tätigen Mitarbeiter werden eine realistische Meinung haben, wie sehr es schmerzt, wenn die eigene Gehaltsabrechnung dem Kollegen zugeht.

Immer wieder begegnet man in der Praxis übertriebenen Abstufungen, teils unfreiwillig komisch (z. B.: Eintrittswahrscheinlichkeit ganz klein, klein, eher klein, eher groß, groß und ganz groß). Gute Argumente und Möglichkeiten, mehr als drei Stufen zu trennen, sind mir bisher nicht begegnet.

Die Verantwortlichen sollen Art, Umfang, Umstände und Zwecke der Verarbeitung in den Blick nehmen. Etliches davon fließt in die Risikobewertung ein. Bei sehr umfangreichen Verarbeitungen erhöht sich meist das Fehlerrisiko. Bei „verinselten“ IT-Anwendungen ohne Netzanbindung sind viele Risiken minimiert. Und manches ist wichtig für die Frage, wie viel Rest-Risiko erlaubt ist, z. B. bei gesetzlich zwingend vorgeschriebenen Verarbeitungen.

Dann bleibt noch zu beachten, dass die „geeigneten technischen und organisatorischen Maßnahmen“ nicht nur eine gesetzeskonforme Verarbeitung sicherstellen sollen, sondern überdies den entsprechenden Nachweis. Deshalb gehört z. B. auch ein Zugriffsprotokoll bei Datenbanken mit sensiblen Inhalten zu den technischen und organisatorischen Maßnahmen nach Art. 24 Abs. 1 DS-GVO.

Sind wir bald da?

So weit, so einfach. Art. 24 Abs. 1 Satz 1 DS-GVO enthält aber noch ein sehr schwieriges Grundsatzproblem des Datenschutzes überhaupt. Wir können es nur kurz anschauen und wandern dann weiter – bei einem Spaziergang wird es nicht zu lösen sein:

Wenn der Verantwortliche Risiken abschätzen und geeignete Schutzmaßnahmen treffen soll, muss er die Verarbeitung natürlich kennen und beherrschen. Genau dies ist in der Praxis aber meist nicht der Fall. Ganz oft (fast immer) werden IT-Verfahren eingesetzt, ohne dass der nach der DS-GVO Verantwortliche die Verfahren wirklich kennt und beherrscht. – Bitte nicht die übliche Antwort dann darf er die Verfahren nicht einsetzen. Ein Problem verschwindet nicht, wenn man es verbietet.

Wenn Dachdeckermeister X mit dem Firmen-Lkw durch die Stadt fährt, darf er sich auf die letzte Hauptuntersuchung verlassen und muss den Lkw nicht selbst technisch prüfen. Für das IT-Verfahren seiner Lohnbuchhaltung soll aber geradestehen. Irgendetwas ist da im Datenschutzrecht noch unausgereift. Letztlich geht es vielleicht um die Grenze zwischen der Verantwortung des Softwareanbieters und des Softwarenutzers. Für Gesundheits- und Umweltschäden gibt es Regeln zur Produkthaftung. Wieso nicht auch für Datenschutzverletzungen?

Auch Verantwortliche, die sich tatsächlich Mühe geben sind mit der Verantwortung nach Art. 24 DS-GVO derzeit häufig überfordert. Das hat in den letzten Jahren die Sympathiehürde für den Datenschutz nicht gerade reduziert. Ein besseres Konzept ist noch nicht gefunden.

Vielleicht 2026? Ihnen alles Gute fürs neue Jahr!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Heute geht es „durch und um“ die Beschränkungen der Betroffenenrechte. Dann haben wir den dritten Touren-Abschnitt (Kapitel III DS-GVO) geschafft und stehen staunend vor Kapitel IV, dem gewaltigen Gebirge Verantwortlicher und Auftragsbearbeiter.

Ein Überblick

Zu Artikel 23 gehört Erwägungsgrund 73, der leider wenig taugt und kaum eigene Informationen bringt. Ärgerlich oder lustig – je nach Tageslaune – jedenfalls falsch ist der dortige Satz 2: Beschränkungen der Betroffenenrechte sollen (englische Sprachfassung: should) den Anforderungen der EU-Charta und der Europäischen Menschenrechtskonvention entsprechen. Bitte den Gesetzeswortlaut nicht ernst nehmen. Die Beschränkungen müssen (must) natürlich die Vorgaben der Charta und der EMRK einhalten. Grund- und Menschenrechte sind kein „nice to have“.

Die Norm selbst ist klar strukturiert: Absatz 1 regelt, dass Betroffenenrechte nur gesetzlich und nur aus den dort gelisteten Gründen eingeschränkt werden dürfen. Absatz 2 schreibt vor, welchen Mindestinhalt die Beschränkungen brauchen.

Absatz 2

Bei der praktischen Anwendung von Artikel 23 ist es oft sinnvoll von hinten, also bei Absazt 2 zu beginnen. Ob Beschränkungsgesetze in die Liste von Absatz 1 passen und dann auch noch eine „notwendige und verhältnismäßige Maßnahme darstellen“, lässt sich häufig nicht sicher beurteilen. Viel schneller ist zu klären, ob ein (vermeintliches) Beschränkungsgesetz den Mindestinhalt nach Absatz 2 aufweist. Fehlen solche (Mindest-Pflicht-)Inhalte, ist das Gesetz ohnehin keine wirksame Beschränkung von Betroffenenrechten. Absatz 1 braucht dann nicht mehr geprüft zu werden.

Wer die Einleiteformel in Absatz 2 sorgfältig gelesen hat (sehr schön!) wendet jetzt vielleicht ein, dass die Mindestinhalte nur gegebenenfalls verlangt werden. Also doch nicht immer? Tatsächlich ist die Formulierung (wieder einmal) monströs: Spezifische Vorschriften sind „insbesondere gegebenenfalls […] zumindest in Bezug auf […]“ nötig. Ein Blick in die englische Sprachfassung hilft (meine ich) weiter. Dort ist gegebenenfalls mit where relevant ersetzt. Die Mindestanforderungen gelten also, wo sie relevant sind. Aha. Das muss wirklich nicht gesetzlich geregelt werden. Streichen wir das „insbesondere gegebenenfalls“ mal weg.

Art. 23 Abs. 2 DS-GVO legt die Hürden für wirksame Beschränkungen der Betroffenenrechte hoch und oft reisst der Gesetzgeber diese Hürden. Zum Beispiel: § 32 Abs. 1 Nr. 5 BDSG streicht die Informationspflicht nach Art. 13 Abs. 3 DS-GVO, wenn sonst „eine vertrauliche Übermittlung von Daten an öffentliche Stellen gefährdet würde“. Missbrauchsgefahren liegen auf der Hand. Die Norm im BDSG klärt nicht einmal, wer über den Vertraulichkeitsbedarf entscheidet. Die Schutzvorkehrungen nach § 32 Abs. 2 Satz 1 und 2 BDSG gelten – laut dortigem Satz 3 – ausdrücklich nicht.

Damit bleibt nur Absatz 3: Die Information muss nachgeholt werden. Missbrauchsgarantien gegen verspätete Information? Keine. § 32 Abs. 1 Nr. 5 BDSG ist deshalb m. E. unwirksam – weil mit Art. 23 Abs. 2 lit. d) DS-GVO nicht vereinbar. Noch besser als nationale Beschränkungsgesetze wäre natürlich, die Betroffenenrechte gleich in der DS-GVO klar und abschließend zu regeln, siehe unser 12. und 13. Wandertag für das Informationsrecht.

Absatz 1

Damit laufen wir zu Absatz 1 und dort sind wir ganz schnell durch: Wie schon gesagt, regelt er, dass Beschränkungen der Betroffenenrechte durch Gesetz erfolgen müssen. Bei den zulässigen Gesetzeszielen würden eigentlich die Buchstaben e), i) und j) genügen. Alle anderen Buchstaben sind Beispielsfälle für die in e) geregelten „wichtigen Ziele des allgemeinen öffentlichen Interesses“.

Und auch diesmal zum Abschluss eine Knobelfrage: Fällt Ihnen ein Gesetz ein, dass sich nicht unter „wichtige Ziele des allgemeinen öffentlichen Interesses“ fassen ließe? Nein? Dann würde bei Absatz 1 vielleicht auch schlicht genügen: „Beschränkungen der Betroffenenrechte dürfen nur auf gesetzlicher Grundlage erfolgen.“

Auf Wiedersehen in der vierten Etappe!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren..

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Der heutige Spaziergang betrifft automatisierte Entscheidungen im Einzelfall einschließlich Profiling, also einen Bereich im Datenschutz, der sich – anders als üblich – nicht in erster Linie damit befasst, dass möglichst wenige Daten in möglichst sicherer Weise verarbeitet werden. Der rechtspolitische Hintergrund für Artikel 22 DS-GVO ist vielmehr die Befürchtung, dass menschliches Leben durch Maschinen verwaltet und gestaltet wird. Diese Dystopie hat angesichts der KI-Entwicklung derzeit wieder an Aktualität gewonnen.

Artikel 22 beginnt in Absatz 1 radikal mit einem Verbot vollautomatisierter Verarbeitungen, wenn sie Menschen erheblich beeinträchtigen. Das wird dann in Absatz 2 und Absatz 3 durch weitgehende Ausnahmen eingeschränkt. Absatz 4 bringt Rück-Ausnahmen und Rück-Rück-Ausnahmen.

Absatz 1

Das radikale Verbot bezieht sich auf automatisierte Verarbeitung einschließlich Profiling. Für Profiling findet sich eine gesetzliche Definition in Art. 4 Nr. 4 DS-GVO: automatisierte Verarbeitung personenbezogener Daten zur Bewertung „bestimmter persönlicher Aspekte“. Die Verarbeitung ist in Art. 4 Nr. 2 DS-GVO sehr allgemein definiert und automatisierte Verarbeitung dürfte dann alle Fälle betreffen, in denen die Prozesse ohne menschliches Zutun ablaufen. Diese Verfahrensabschnitte können natürlich mehr oder weniger lang und umfangreich sein. Sie beginnen nach dem letzten menschlichen Zutun, z. B. manuelle Dateneingabe, und enden wiederum vor der ersten menschlichen Aktion, z. B. manuelle Durchsicht der Verarbeitungsergebnisse.

Wichtig und richtig ist in Absatz 1 zunächst die Grundentscheidung: Automatisierte Verarbeitungen sind nicht immer (ihrer Natur nach) für Betroffene problematisch. Zum Beispiel wird bei einer vollständig automatisierten Kreditantrags-Prüfung mit positivem Ergebnis (Kreditbewilligung) der Betroffene zufrieden sein. Den Wortlaut von Absatz 1 muss und darf man deshalb wohl etwas „zurechtstutzen“. Dort heißt es nämlich, die Entscheidung dürfe schon dann nicht automatisiert erfolgen, wenn sie Betroffenen gegenüber „rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“. Dabei ist übersehen, dass „rechtliche Wirkung“ nicht immer „erhebliche Beeinträchtigung“ bedeutet. Bei vorteilhafter rechtlicher Wirkung greift Absatz 1 nicht ein. Verbesserungsvorschlag für den Gesetzestext: „[…] unterworfen zu werden, die sie erheblich beeinträchtigt“.

Absätze 2 und 3

Die Absätze 2 und 3 klären, wann vollautomatisierte Entscheidungen doch erlaubt sind: a) bei Erforderlichkeit vor Abschluss oder Erfüllung eines Vertrags, b) bei gesetzlicher Grundlage oder c) bei Einwilligung. In allen drei Ausnahmefällen müssen die Betroffenenrechte natürlich gewährleistet sein.

Bei Buchstaben b) wird das gleich im Absatz 2 geklärt. Für die Buchstaben a) und c) regelt es der Gesetzgeber – damit das Gesetz nicht zu leicht lesbar wird – gesondert in Absatz 3. Mindestens nötig ist nach Absatz 3 – das wird man auch auf Abs. 2 lit. b) übertragen können –, dass Betroffene sich über die automatisierte Entscheidung beschweren, ihren eigenen Standpunkt darlegen können und dann auf Seiten des Verantwortlichen ein Mensch eingreift – also die Entscheidung noch einmal prüft. Fast immer wird bei automatisierten Entscheidungen eine Datenschutz-Folgenabschätzung erforderlich sein. Am besten führt man sie bei „vollautomatisierten“ Verfahren immer durch.

Absatz 4

Der letzte Absatz klingt beim Überfliegen logisch und richtig: Besondere Kategorien personenbezogener Daten bekommen natürlich besonderen Schutz. Aber näher betrachtet ist Absatz 4 wahrscheinlich völlig überflüssig. Der besondere Schutz für solche Daten ist durch Art. 9 DS-GVO bereits gewährleistet. Wenn die dortigen Voraussetzungen eingehalten sind, ist gar nicht verständlich, weshalb bei automatisierten Entscheidungen nochmals spezielle Regeln gelten sollen.

Nach Art. 22 Abs. 4 DS-GVO wäre z. B. verboten, dass ein elektronisches Schließsystem automatisch Beschäftigten, die wegen Krankheit arbeitsunfähig sind oder wegen Schwangerschaft einem Beschäftigungsverbot unterliegen, den Zugang verweigert (Transponder, Schlüsselkarten etc. deaktiviert). Nötig und sinnvoll scheint das nicht. Außerdem sind die Rück-Rück-Ausnahmen in Absatz 4 – bezogen auf Art. 9 Abs. 2 Buchstaben a) und g) –praktisch deckungsgleich mit Art. 22 Abs. 2 lit. b) und c) DS-GVO. Die Rück-Ausnahme in Absatz 4 betrifft also letztlich nur die Ausnahme nach Absatz 2 lit. a). Einmal mehr gilt: Mit der DSGVO können wir Datenschützer niemandem erklären, wie klare und verständliche Texte aussehen.

Mitmach-Aufgaben zum Schluss der Etappe: Ein Anwendungsbeispiel für Art. 22 Abs. 2 lit. a) DS-GVO ist wahrscheinlich der Bargeld-Automat, wenn er kein Geld herausrückt. Fallen Ihnen noch andere ein?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Wer den Artikel 21 liest – und dafür ist der Spaziergang ja gedacht – fragt sich vielleicht: „Habe ich mich verlaufen? Sind wir hier nicht schon vorbeigekommen?“ Tatsächlich ist die Landschaft dem Artikel 18 zum Verwechseln ähnlich. Es wäre möglich – und sinnvoll? – beide Vorschriften zu verbinden. Laufen wir das Widerspruchsrecht nach Artikel 21 ab:

Was beinhaltet Artikel 21?

Absatz 1 gibt das Recht zum Widerspruch für Datenverarbeitungen im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt sowie aufgrund eines berechtigten Interesses, Art. 6 Abs. 1 Satz 1 lit. e) und f) DS-GVO. Voraussetzung sind Gründe der Betroffenen, die sich aus ihrer besonderen Situation ergeben, also einfach Umstände des Einzelfalls. Weiter verarbeitet werden dürfen die Daten dann nur noch, wenn der Verantwortliche zwingende schutzwürdige Gründe nachweisen kann oder die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

Absätze 2 und 3 klären, dass bei Datenverarbeitung für Direktwerbung die Betroffenen jederzeit widersprechen können – also auch ohne besondere Einzelfall-Umstände – und dieser Widerspruch die Direktwerbung in jedem Fall verbietet – also ohne weitere Interessenabwägung. Absatz 4 verlangt entsprechende Hinweise an die Betroffenen – seltsamerweise zusätzlich zu Artikel 13 Abs. 2 lit. b) und Artikel 14 Abs. 2 lit. c) DS-GVO in einer verständlichen und von anderen Informationen getrennten Form. Warum und wie von anderen Informationen getrennt? Absatz 5 provoziert die Rätselfrage: Gibt es automatisierte Verfahren, bei denen keine technischen Spezifikationen verwendet werden? Ich kenne keine.

Und Absatz 6 erlaubt – auch außerhalb von Einwilligung und Vertrag, also weitergehend als Absatz 1 – bei der Datenverarbeitung zu statistischen Zwecken und Forschungszwecken den Widerspruch, „es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich“. Wie so oft ist die DS-GVO auch hier wieder wunderbar unpräzise, umständlich und rätselhaft:

• Was ist Folge des Widerspruchs nach Absatz 6? Wahrscheinlich ein Verarbeitungsverbot, genau wie in Absatz 1 Satz 2. Das wird nur nicht gesagt.

• Darf dann trotzdem für andere Zwecke weiter verarbeitet werden, wenn die Anforderungen aus Absatz 1 Satz 2 erfüllt sind? Wahrscheinlich ja, es wird nur nicht gesagt.

• Artikel 89 DS-GVO regelt ja insgesamt nur Verarbeitungen, die im öffentlichen Interesse liegen. Wann soll dann ein Widerspruch nach Absatz 6 überhaupt wirksam sein? Wenn er doch bei öffentlichem Interesse nicht gilt? Hier wäre der Wanderleiter dankbar für Hinweise aus der Gruppe.

In der Praxis ist das Widerspruchsrecht nach Artikel 21 DS-GVO fast bedeutungslos. Wie andere Betroffenenrechte auch, wurde es sehr kompliziert konstruiert. Vielleicht wollte der Gesetzgeber den Betroffenen möglichst viele Rechte geben. Aber wie das Sprichwort weiß: Manchmal ist weniger mehr. Mit den Ansprüchen auf Auskunft und Löschung nach Art. 15 und 17 DS-GVO dürfte alles Wesentliche erreichbar sein.

Zur Verständlichkeit

„Fun-Fact“ zum Abschluss der heutigen Etappe: Die DS-GVO betont und verlangt immer wieder einfache, klare, präzise und leicht verständliche Sprache. Es gibt inzwischen wissenschaftlich etablierte Tools, mit denen Lesbarkeit bzw. Verständlichkeit recht gut beurteilt werden können. Und natürlich lassen sich diese Tools auch auf die DS-GVO anwenden.

Das funktioniert zum Beispiel beim sogenannten „Flesch-Index“ (nicht „Flash“). Er bewertet in der üblichen Skalierung Texte mit 0 bis 100 Punkten, wobei hohe Punktzahlen eine leichte Verständlichkeit bedeuten. 0 bis 30 Punkte stehen für sehr schwer verständliche Texte. Die DS-GVO erreicht bei meinen Versuchen – egal in welcher Sprache und auch in kleineren Abschnitten – keine Werte oberhalb von 25. Die ersten 99 Paragrafen des Bürgerliche Gesetzbuch (BGB) schaffen immerhin einen Flesch-Wert von 41 . Das deutsche Einkommensteuergesetz liegt mit §§ 1 bis 10 (das sind deutlich mehr als 10 Paragrafen) bei 27. Datenschutzgesetze sind also fast so klar und leicht verständlich wie das Steuerrecht…

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Das in Artikel 20 DS-GVO geregelte „Recht auf Datenübertragbarkeit“ sorgte seinerzeit für große Aufregung, viel Verwirrung und weckte viele Hoffnungen – also ein typischer Teil der ganzen DS-GVO. Die Aufregung hat sich gelegt. Nach wie vor sind nicht alle Zweifelsfragen geklärt. Der erhoffte Nutzen ist bisher nicht eingetreten – auch insoweit ein typischer Teil der DS-GVO?

Gerade in den letzten Tagen – genau: am 12. September 2025 – kam Art. 20 DS-GVO plötzlich wieder „ins Gerede“, weil seitdem der Data Act angewendet wird. Und dort ist Ähnliches wie in Art. 20 DS-GVO noch einmal geregelt. Aber der Reihe nach…

Zum Artikel 20 DS-GVO

Wenn Betroffene einem Verantwortlichen (1) zur automatisierten Verarbeitung (2) auf Grundlage einer Einwilligung oder eines Vertrags (3) eigene Daten überlassen, dann können sie vom Verantwortlichen verlangen, diese Daten „weiter verwendbar“ (standardisiert und maschinenlesbar) zu erhalten. Sie können auch verlangen, dass der Verantwortliche die entsprechenden Daten zur Weiterverwendung direkt einem anderen Verantwortlichen zuleitet.

Ist das Datenschutz oder kann das weg?

Hat die Norm überhaupt etwas mit Datenschutz zu tun oder gehört sie in den Bereich Wettbewerbsrecht bzw. Kartellrecht? Bekämpft werden sollte damit jedenfalls die Marktmacht großer Anbieter, die mit WhatsApp und Co. ihren Kunden eine „Datenheimat“ anbieten. Und wie es so geht mit Heimat: Hat man sich häuslich niedergelassen und einige Jahre eingerichtet, fällt das Weggehen schwer. Außer natürlich, man kann den Anbieter gesetzlich als „Umzugshelfer“ nutzen, der alle Daten sortiert und einpackt, damit der neue Anbieter für den Kunden die neue Heimat wohnlich einrichten kann. Ohne den Umzugsservice – so der Grundgedanke – zieht kaum jemand um. Die großen Anbieter werden immer größer und neue Anbieter haben kaum eine Chance. Das sollte Artikel 20 ändern.

Noch einmal: Was hat das mit Datenschutz zu tun? Etwas schon, aber nicht sehr viel: Zum Datenschutz gehört die „Kontrolle über eigene Daten“ zumindest in dem Sinne, dass Betroffene wissen, wo sich ihre Daten befinden und weitestmöglich auch darüber bestimmen dürfen, ob die Daten dort verbleiben. Der „Umzugsservice“ geht darüber natürlich deutlich hinaus. Datenschutz beinhaltet eigentlich nicht den Anspruch darauf, dass andere meine Daten für mich pflegen, sortieren und irgendwohin transportieren müssen. Wahrscheinlich gehört Art. 20 DS-GVO also doch eher ins Wettbewerbs- und Kartellrecht oder in das von der Europäische Union neu geschaffene Datenrecht, respektive Datennutzungsrecht – bei dem Datenschutz nur noch eine Facette darstellt.

Dieser Eindruck verstärkt sich noch, weil nach Art. 20 Abs. 3 Satz 2 DS-GVO die öffentliche Hand pflichtenfrei gestellt wird. Das Recht auf Datenübertragbarkeit gilt also nicht gegenüber dem Staat – dabei war Datenschutz zuerst einmal ein Grundrecht – sondern nur gegenüber der Privatwirtschaft.

Anfang September hatte ich Gelegenheit, bei einem Erfahrungsaustausch andere Datenschützer nach Anwendungsfällen von Art. 20 DS-GVO zu fragen. Mir selbst sind in den vergangenen sieben Jahren nämlich keinen echten Anwendungen untergekommen. Die Diskussion im größeren Kreis hat es bestätigt: Natürlich gibt es Datentransfers zum Beispiel beim Wechsel von Dienstleistern. Sie werden aber nicht über Art. 20 DS-GVO abgewickelt – der ja ohnehin nur für die Daten natürlicher Personen gilt, also zum Beispiel einer GmbH nicht weiterhilft. Artikel 20 kann also gern wegfallen, zumal dann, wenn neue Gesetze wie der Data Act „Ähnliches etwas anders regeln“. Was meinen Sie?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Der heutige Ausflug ist winzig kurz – aber besser, wenigstens einige Schritte vor die Tür gehen, als den ganzen Tag drinnen sitzen. Immerhin spazieren wir durch wenig bekannte Gegend. Selbst die/der eine oder andere Datenschutzbeauftragte wird Artikel 19 DS-GVO noch nie gelesen haben. Dann ruhig jetzt nachholen!

Zum Artikel

Satz 1 verlangt vom Verantwortlichen, etwaige Datenempfänger über Maßnahmen nach Artikel 16, 17 und 18 zu informieren. Warum bei Artikel 17 konkret Absatz 1 genannt wird und bei Artikel 18 nicht, ist Geheimnis des Gesetzgebers. Die Informationspflicht besteht allerdings nur, wenn sie mit angemessenem Aufwand erfüllt werden kann. Satz 2 ist überflüssig, weil bereits durch Artikel 15 DS-GVO abgedeckt. Und auch Satz 1 ist nicht durchdacht: Wenn Daten berichtigt oder gelöscht oder beschränkt verarbeitet werden, haben Betroffene gar nicht immer ein Interesse daran, dass „die ganze Welt“ davon erfährt.

Zum Beispiel: Eine Abteilungsleiterin behauptet per E-Mail im Kollegenkreis (falsch), Mitarbeiter X färbe sich die Haare. X stellt das bei ihr richtig und möchte keine weitere Publicity. Darf und muss der Arbeitgeber wirklich eine zweite E-Mail herumsenden „X färbt sich doch nicht die Haare“? Wäre Artikel 19 nicht sinnvoller als ein Anspruch zu gestalten, den Betroffene ausüben können, aber nicht müssen?

Anderes Beispiel: Personalchef A hat in einem Bewerbungsverfahren unerlaubt – peinliche, aber inhaltlich richtige – Daten über Frau X gesammelt, einigen Beschäftigten davon erzählt und die Daten gespeichert. X erfährt viel später davon und verlangt Löschung. Soll A den anderen Beschäftigten die Löschung mitteilen – am besten noch dokumentiert – und damit X noch einmal in Verruf bringen? Also wohl besser: „Wenn von Betroffenen verlangt und mit angemessenem Aufwand möglich, informieren Verantwortliche…“

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.