Kann man in der Datenschutz-Grundverordnung (DS-GVO) spazierengehen? Einen Versuch ist es wert. Vielleicht steht hinter der Idee unbewusst schon die Vorfreude auf weihnachtliches Türchen-Öffnen. Jedoch selbst bei einem täglichen Blog-Beitrag wäre der Spaziergang bis Weihnachten nicht mehr zu schaffen. Bei einem Bummel durch die DS-GVO ist nicht beabsichtigt, einen neuen x-ten Kommentar zu verfassen. Stattdessen soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben.
Gleich zu Beginn ein großer, mutiger Sprung: Die 173 Erwägungsgründe lassen wir aus oder behandeln sie nach Belieben bei den Artikeln mit, auf die sie sich beziehen. Ansonsten wäre die Blog-Reihe bis zur Altersrente nicht abzuschließen. Und außerdem sind sie laut Europäischen Gerichtshof ja sowieso nicht wichtig: “ […] So ist darauf hinzuweisen, dass die Begründungserwägungen eines Gemeinschaftsrechtsakts rechtlich nicht verbindlich sind und weder herangezogen werden können, um von den Bestimmungen des betreffenden Rechtsakts abzuweichen, noch, um diese Bestimmungen in einem Sinne auszulegen, der ihrem Wortlaut offensichtlich widerspricht. […]“ (Urt. v. 19.6.2014, Rs. C-345/13, Rn. 31).
Genug der Vorrede, öffnen wir nun das erste Türchen. Zunächst einmal natürlich: Lesen, zum Beispiel hier.
Artikel 1 Absatz 1 DS-GVO
Gleich zu Beginn wird von natürlichen Personen geredet. Warum nicht von Menschen? Die eigene Forderung nach einfacher und verständlicher Sprache hat die DS-GVO jedenfalls gleich im ersten Satz missachtet. Das betrifft übrigens sämtliche Sprachfassungen; im Englischen ist von natural persons und im Französischen von personnes physique die Rede.
Nach Art. 1 Abs. 1 DS-GVO dient die Verordnung einerseits dem Datenschutz und andererseits dem freien Datenverkehr. Ist da nicht ein Widerspruch? Ja und Nein. Dass man beide Ziele in eine Verordnung zusammenpackte hat auch (viel) damit zu tun, dass die Europäische Union für den Datenschutz gar keine Gesetzgebungskompetenz besitzt (ja, wirklich!). Für Regelungen zum freien Binnenmarkt ist sie demgegenüber zuständig. Und indem man für Datenschutz allgemeine, EU-weit gleiche Regeln schafft, erleichtert man natürlich den Datenverkehr innerhalb der EU und befördert damit den EU-Binnenmarkt. Deshalb braucht man den freien Datenverkehr zumindest als Zuständigkeitsbegründung.
Heute fast völlig vergessen: Erste Entwürfe einer Datenschutz-Verordnung wurden noch wegen fehlender EU-Zuständigkeit kritisiert. Unter anderem der deutsche Bundesrat erhob die sogenannte Subsidiaritätsrüge, also den Einwand, dass die EU nur subsidiär zuständig ist soweit die Mitgliedstaaten ihr Kompetenzen übertragen. Auch Datenschutz-Aufsichtsbehörden (ja, wirklich!) lehnten eine Datenschutz-Verordnung der EU ab, die damalige Pressemitteilung des Landesbeauftragten Rheinland-Pfalz vom 2. April 2012 zum Beispiel hier.
Soweit der Schutz personenbezogener Daten den Binnenmarkt behindert, darf er von der EU vereinheitlicht werden eben um den Binnenmarkt zu fördern. Die DS-GVO (und der EuGH, bekannt für EU-freundliche, zuständigkeitserweiternde Auslegung des EU-Rechts) schießt dabei allerdings deutlich über das Ziel hinaus: Religiöse Betätigung z.B. hat mit dem Binnenmarkt nichts zu tun. Wohl gemerkt: Gemeint sind Gottesdienste etc., nicht wirtschaftliche Betätigungen der Kirchen wie Brauereien, Krankenhäuser und Verlage. Art. 91 DS-GVO ist deshalb in weiten Teilen überflüssig. Anderer Auffassung zuallererst der EuGH: Nach seiner Einschätzung ist sogar das Türklingeln der Zeugen Jehovas für Missionierung ein Thema des Binnenmarkts, siehe Urt. v. 10.7.2018, Rs. C-25/17. Näheres dann in Folge 91 der Reihe…
Artikel 1 Absatz 3 DS-GVO
Artikel 1 Absatz 2 DS-GVO liest sich dann hingegen ohne Probleme, sodass wir direkt einen näheren Blick auf den dritten Absatz werfen wollen: Der freie Datenverkehr in der EU „darf aus Gründen“ des Datenschutzes „weder eingeschränkt noch verboten werden“? Ist nicht die ganze DS-GVO eine Sammlung von solchen Einschränkungen und Verboten?
Auch hier ist die DS-GVO nicht so klar und leicht verständlich, wie sie es selbst von Verantwortlichen im Datenschutz verlangt. Gemeint ist in Absatz 3, dass nationale Vorschriften zum Datenschutz in den Mitgliedstaaten den freien Datenverkehr nicht einschränken dürfen. Wenn einzelne Mitgliedstaaten also zum Beispiel im Rahmen von Spezifizierungsklauseln der DS-GVO höhere Datenschutzanforderungen stellen, dann gelten solche Vorgaben nicht für den Binnenmarkt. Mit anderen Worten: Zum Beispiel kann Deutschland nach Art. 88 DS-GVO für die Beschäftigtendatenverarbeitung ein Schutzniveau oberhalb der DS-GVO verlangen, aber nicht für den Export solcher Beschäftigtendaten in einen anderen EU-Staat.
Für EU-Vorschriften gilt Art. 1 Abs. 3 DS-GVO nicht. Die EU selbst kann also in der DS-GVO und in anderen Regelwerken den freien Datenverkehr durch Datenschutz-Normen einschränken und verbieten. So viel zu Artikel – oder Türchen – Nummer 1; Ihnen eine schöne Woche!
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
