Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Heute geht es „durch und um“ die Beschränkungen der Betroffenenrechte. Dann haben wir den dritten Touren-Abschnitt (Kapitel III DS-GVO) geschafft und stehen staunend vor Kapitel IV, dem gewaltigen Gebirge Verantwortlicher und Auftragsbearbeiter.

Ein Überblick

Zu Artikel 23 gehört Erwägungsgrund 73, der leider wenig taugt und kaum eigene Informationen bringt. Ärgerlich oder lustig – je nach Tageslaune – jedenfalls falsch ist der dortige Satz 2: Beschränkungen der Betroffenenrechte sollen (englische Sprachfassung: should) den Anforderungen der EU-Charta und der Europäischen Menschenrechtskonvention entsprechen. Bitte den Gesetzeswortlaut nicht ernst nehmen. Die Beschränkungen müssen (must) natürlich die Vorgaben der Charta und der EMRK einhalten. Grund- und Menschenrechte sind kein „nice to have“.

Die Norm selbst ist klar strukturiert: Absatz 1 regelt, dass Betroffenenrechte nur gesetzlich und nur aus den dort gelisteten Gründen eingeschränkt werden dürfen. Absatz 2 schreibt vor, welchen Mindestinhalt die Beschränkungen brauchen.

Absatz 2

Bei der praktischen Anwendung von Artikel 23 ist es oft sinnvoll von hinten, also bei Absazt 2 zu beginnen. Ob Beschränkungsgesetze in die Liste von Absatz 1 passen und dann auch noch eine „notwendige und verhältnismäßige Maßnahme darstellen“, lässt sich häufig nicht sicher beurteilen. Viel schneller ist zu klären, ob ein (vermeintliches) Beschränkungsgesetz den Mindestinhalt nach Absatz 2 aufweist. Fehlen solche (Mindest-Pflicht-)Inhalte, ist das Gesetz ohnehin keine wirksame Beschränkung von Betroffenenrechten. Absatz 1 braucht dann nicht mehr geprüft zu werden.

Wer die Einleiteformel in Absatz 2 sorgfältig gelesen hat (sehr schön!) wendet jetzt vielleicht ein, dass die Mindestinhalte nur gegebenenfalls verlangt werden. Also doch nicht immer? Tatsächlich ist die Formulierung (wieder einmal) monströs: Spezifische Vorschriften sind „insbesondere gegebenenfalls […] zumindest in Bezug auf […]“ nötig. Ein Blick in die englische Sprachfassung hilft (meine ich) weiter. Dort ist gegebenenfalls mit where relevant ersetzt. Die Mindestanforderungen gelten also, wo sie relevant sind. Aha. Das muss wirklich nicht gesetzlich geregelt werden. Streichen wir das „insbesondere gegebenenfalls“ mal weg.

Art. 23 Abs. 2 DS-GVO legt die Hürden für wirksame Beschränkungen der Betroffenenrechte hoch und oft reisst der Gesetzgeber diese Hürden. Zum Beispiel: § 32 Abs. 1 Nr. 5 BDSG streicht die Informationspflicht nach Art. 13 Abs. 3 DS-GVO, wenn sonst „eine vertrauliche Übermittlung von Daten an öffentliche Stellen gefährdet würde“. Missbrauchsgefahren liegen auf der Hand. Die Norm im BDSG klärt nicht einmal, wer über den Vertraulichkeitsbedarf entscheidet. Die Schutzvorkehrungen nach § 32 Abs. 2 Satz 1 und 2 BDSG gelten – laut dortigem Satz 3 – ausdrücklich nicht.

Damit bleibt nur Absatz 3: Die Information muss nachgeholt werden. Missbrauchsgarantien gegen verspätete Information? Keine. § 32 Abs. 1 Nr. 5 BDSG ist deshalb m. E. unwirksam – weil mit Art. 23 Abs. 2 lit. d) DS-GVO nicht vereinbar. Noch besser als nationale Beschränkungsgesetze wäre natürlich, die Betroffenenrechte gleich in der DS-GVO klar und abschließend zu regeln, siehe unser 12. und 13. Wandertag für das Informationsrecht.

Absatz 1

Damit laufen wir zu Absatz 1 und dort sind wir ganz schnell durch: Wie schon gesagt, regelt er, dass Beschränkungen der Betroffenenrechte durch Gesetz erfolgen müssen. Bei den zulässigen Gesetzeszielen würden eigentlich die Buchstaben e), i) und j) genügen. Alle anderen Buchstaben sind Beispielsfälle für die in e) geregelten „wichtigen Ziele des allgemeinen öffentlichen Interesses“.

Und auch diesmal zum Abschluss eine Knobelfrage: Fällt Ihnen ein Gesetz ein, dass sich nicht unter „wichtige Ziele des allgemeinen öffentlichen Interesses“ fassen ließe? Nein? Dann würde bei Absatz 1 vielleicht auch schlicht genügen: „Beschränkungen der Betroffenenrechte dürfen nur auf gesetzlicher Grundlage erfolgen.“

Auf Wiedersehen in der vierten Etappe!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren..