Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben.

Gerade waren wir an der Einwilligung bei Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO schnell vorbeigelaufen; nun sehen wir sie aus der Nähe: Die Königin der informationellen Selbstbestimmung. In der fiktiven selbstbestimmtesten aller Datenschutzwelten wäre nur die Einwilligung überhaupt eine Rechtfertigung für Datenverarbeitungen. „Volunti non fit iniuria“ – „Freiwilligen geschieht kein Unrecht“, meinten schon die alten Römer und finden wir auch heute noch im Datenschutz. Allerdings gilt das natürlich nur, wenn bestimmte Voraussetzungen erfüllt sind – und damit befasst sich Artikel 7. Das zeigt schon der Titel: Bedingungen für die Einwilligung. Welche Bedingungen hätten wir da?

Absatz 1

Der Verantwortliche muss die Einwilligung nachweisen können. Das passt zu Art. 5 Abs. 2 DS-GVO und verursacht einen gewissen, oft lästigen Aufwand. Vielleicht und hoffentlich bringt die Zeit Besserung, denn viele Einwilligungsformulare sind immer noch viel zu lang und umständlich. Das liegt meist an der verständlichen Angst, irgendetwas Wichtiges zu vergessen. Dann wird verständlicherweise manchmal lieber zu viel, als zu wenig aufgeschrieben. Wie gesagt, hoffentlich wird es besser oder einfacher im Laufe der Zeit…

Momentan ist (noch?) vieles umstritten und unsicher. Gerade deshalb hier einige Thesen zur Diskussion:

• Wenn jemand etwas tut, dass nach allgemeiner Erwartung bestimmte Datenverarbeitungen beim Kommunikationspartner nach sich zieht, willigt er bzw. sie in diese Verarbeitungen ein. Natürlich nur, solange sich im Einzelfall kein anderer Wille zeigt. Beispiele:
  • Wer eine Visitenkarte überreicht, muss nicht gefragt werden, ob die Daten auf dieser Karte gespeichert und genutzt werden dürfen.
  • Wer in eine Kamera lacht und posiert, ist mit dem Foto einverstanden.
  • Wer eine unverschlüsselte E-Mail schickt, ist mit einer unverschlüsselten Antwort zufrieden. Auch darüber wird ja gestritten: Betroffene dürfen in Risiken einwilligen. Natürlich.
    
• Bei Minderjährigen entscheiden die Sorgeberechtigten über die Einwilligung. Dafür gilt meines Erachtens:
  • Wenn ein Einwilligungsformular bei Einwilligung Sorgeberechtigte unterschrieben ist, dürfen die Verantwortlichen davon ausgehen, dass Sorgeberechtigte unterschrieben haben. Die Geburtsurkunde wird ebenso wenig gebraucht, wie Erklärungen des Jugendamts… .
  • Wenn ein Unterzeichner behauptet, die andere Sorgeberechtigte mit zu vertreten, darf der Verantwortliche sich darauf verlassen.
    
• Einwilligungen dürfen auch als Liste von mehreren Personen (z.B. von Teilnehmenden einer Veranstaltung) eingeholt werden.

• In Erwägungsgrund 42 Satz 4 der DS-GVO heißt es: „Damit sie in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen.“ Man darf es dabei auch belassen und weitere Informationen auf Rückfrage anbieten. Mit anderen Worten: Betroffene dürfen selbst entscheiden, wieviel Detail-Information sie vor ihrer Entscheidung haben möchten.

• Da fehlende oder fehlerhafte Einwilligungen zu Schadenersatzforderungen führen können, darf (nicht: muss) die Einwilligung bis zum Ablauf der Verjährungsfrist gespeichert bleiben (zehn Jahre nach Ende der Verarbeitung).

• Es genügt, anstelle der konkreten Einwilligung nachzuweisen, dass der Workflow eine Datenverarbeitung erst nach Einwilligung zulässt. Zum Beispiel: Erst nach Abhaken des Einwilligungs-Kästchens kann der Newsletter bestellt werden.

Einverstanden? Oder haben wir Zank?

Absatz 2

… gibt mal wieder Anlass zum Nörgeln. Satz 2 ist sowieso überflüssig. Und Satz 1 ist grammatisch falsch, weil das Ersuchen um Einwilligung natürlich immer „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen“ muss, nicht nur bei Schriftform.

Absatz 3

Einwilligungen dürfen widerrufen werden. Man kann es sich also später auch noch anders überlegen. Das muss den Betroffenen vorab auch mitgeteilt werden und der Widerruf darf nicht aufwändig sein. Verboten: Einwilligung per E-Mail, Widerruf nur per Einschreibebrief.

Freiwilligkeit und Widerruflichkeit heißt für die Verantwortlichen: Einwilligungen sind nicht planbar. Deshalb eignen sie sich nicht für Datenverarbeitungen, die man unbedingt und auf Dauer braucht. Wenn ein Unternehmen Fortbildungsplanung auf die amerikanische Konzernmutter überträgt und dazu Einwilligungen der ganzen Belegschaft einholt, ist das nicht nachhaltig.

Absatz 4

… ist missglückt, weil man ja, wenn eine Datenverarbeitung zur Erfüllung eines Vertrags erforderlich ist, meist gar keine Einwilligung braucht (siehe Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO). Nur unbeteiligte Dritte müssten vielleicht zustimmen. Zum Beispiel: Unternehmen A möchte Frau B zum 100. Geburtstag per Zeitungsinserat gratulieren; Frau B willigt ein.

Was der Gesetzgeber wohl sagen wollte – in klarer und einfacher Sprach: Bei der Prüfung von Freiwilligkeit muss beachtet werden, welche Nachteile man ohne Einwilligung erleidet und ob diese Nachteile nötig sind oder zumindest zumutbar. Zum Beispiel: Verlag A bietet Informationen im Internet entweder ohne Tracking und gegen Geld oder kostenlos, mit Tracking bei Einwilligung. Das darf man (derzeit?) koppeln – vielleicht nicht nötig, aber zumutbar.

Aber wiederum nicht bei Leistungen, auf die Betroffene einen Anspruch haben. Zum Beispiel: Eine Behörde will Ihren Antrag nur bearbeiten, wenn Sie einem Foto für die Öffentlichkeitsarbeit zustimmen. – Nicht nötig und nicht zumutbar. Besser: Die Behörde bearbeitet erst den Antrag und fragt dann nach der Einwilligung.

Manche reden vom Kopplungsverbot (absolut und relativ). Das heißt aber nur: Unnötige und unzumutbare Kopplungen sind verboten. Es bleibt dabei: Was nötig ist und was zumutbar, darauf kommt‘s an. Und darüber kann man manchmal streiten. Eine Entscheidungshilfe kennt übrigens der Volksmund aus der Bibel: „Was Du nicht willst, das man Dir tu, das füg auch keinem Andern zu.“

Auf bald!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Hinein ins Vergnügen – oder wie immer Sie diesen Artikel empfinden. Jedenfalls gehört er sicher zu den bekanntesten und am häufigsten zitierten innerhalb der DS-GVO. Schließlich finden sich hier die Rechtsgrundlagen aka Erlaubnistatbestände, täglich Brot für alle Verantwortlichen und ihre Datenschutzbeauftragten. Deshalb eine kleine Gedächtnisübung und -prüfung zur Auflockerung des Spaziergangs: Buchstabe (a) betrifft? Buchstabe (b) befasst sich mit? (c)? (d)? – bis wohin?

Absatz 1

Mit der Einwilligung befassen uns bei den nächsten Wanderzielen (Art. 7 und Art. 8) gleich noch ausführlicher. Deshalb laufen wir am Buchstaben (a) einfach vorbei. Bei der Datenverarbeitung für die Durchführung und Anbahnung von Verträgen (b) ist wichtig und wird gelegentlich in der Praxis übersehen, dass unbedingt die betroffene Person (potentielle) Vertragspartei sein muss. Bei einem Vertragsschluss mit einer GmbH hilft (b) deshalb nicht für die Speicherung der Personalien der Geschäftsführung. Insoweit muss auf (c), (e) oder (f) zurückgegriffen werden.

Buchstabe (c) erlaubt Datenverarbeitung zur Erfüllung rechtlicher Verpflichtungen des Verantwortlichen – also nicht rechtlicher Pflichten Dritter. Durch dieses sehr kleine Schlüsselloch wird das gesamte Recht der Europäischen Union und aller Mitgliedstaaten wichtig als riesengroßer Quell möglicher Datenverarbeitungen. Wenn zum Beispiel die Aufbewahrungsfristen für Arbeitszeitbelege im Mitgliedstaat A bei zwei Jahren und Mitgliedstaat B bei zehn Jahren liegen, unterscheidet sich die rechtmäßige Datenverarbeitung trotz Datenschutz-Grundverordnung zwischen den Staaten ganz erheblich. Das Recht von Drittstaaten taugt nicht als Rechtspflicht nach (c), siehe Absatz 3 Satz 1.

Buchstabe (d) ist überflüssig, weil es Buchstaben (f) gibt. Wenn lebenswichtige Interessen von Menschen geschützt werden müssen, können die gegenläufigen Interessen der Betroffenen nie überwiegen. Die Einschränkung von (f) für Behörden schadet insoweit nicht: Entweder gehört der Lebensschutz zu den Behördenaufgaben, dann (e), oder nicht, dann (f).

Buchstabe (e) ist in der zweiten Variante („Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde“) klar und in der ersten Variante („Wahrnehmung einer Aufgabe … die im öffentlichen Interesse liegt“) seltsam. Dürfen wir etwa alle Daten verarbeiten, wenn es im öffentlichen Interesse liegt? Wahrscheinlich ist es so nicht gemeint und die DS-GVO hat auch an dieser Stelle Löschpotenzial.

Der wichtige Buchstabe (f) schließlich erlaubt Verarbeitungen immer dann, wenn die gegenläufigen Interessen der Betroffenen nicht überwiegen – bei gleichstarken Interessen also: Datenverarbeitung erlaubt. Satz 2 wird manchmal missverstanden: Auch Behörden dürfen sich auf (f) berufen, allerdings nicht, wenn sie als Behörde, also hoheitlich handeln. Eine Stadtverwaltung darf ihren pensionierten Beschäftigten also Weihnachtskarten an die Wohnanschrift senden, solange diese nicht ablehnen. Aber sie darf nicht ohne gesetzliche Grundlage deren Wohnungsgrundriss speichern, weil man das im Brandfall vielleicht mal brauchen könnte. Ob eine Datenverarbeitung durch das berechtigte Interesse erlaubt ist, bereitet in der Praxis manchmal Kopfzerbrechen. Hilfreich für die Abwägung der Betroffenen-Interessen ist oft: Einfach mal einige Menschen aus der betroffenen Gruppe fragen.

Während Absatz 1 zur Datenschutz-Grundausbildung gehört, werden die Folge-Absätze 2 bis 4 seltener gelesen. Deshalb an dieser Stelle die Bitte: Tun Sie es doch gleich jetzt einmal!

Absatz 2

Absatz 2 am besten danach sofort wieder vergessen. Aus ihm ergibt sich gar nichts – das aber so richtig kompliziert.

Absatz 3

Absatz 3 ist sehr inhaltsarm; am wichtigsten wohl noch die schon erwähnte Festlegung in Satz 1: Pflichten im Sinne von Absatz 1 Buchstaben (c) und (e) kommen nur aus dem Recht der Europäischen Union und der Mitgliedstaaten, also nicht zum Beispiel aus brasilianischem Recht. Alles andere versteht sich von selbst und wäre auch so, wenn Absatz 3 nach dem ersten Satz enden würde.

Absatz 4

Dann aber Absatz 4 – der hat es in sich. Oder sagen wir mal: Vielleicht. Die noch ungeklärte Frage ist, ob Absatz 4 als eigene Rechtsgrundlage für Datenverarbeitungen mit Zweckänderung funktioniert, oder ob immer noch zusätzlich eine Grundlage aus Absatz 1 benötigt wird. Also: Macht Absatz 4 die Zweckänderung leichter oder schwerer? Diskutiert wird das momentan vor allem mit Blick auf die (massenhaften) Zweckänderungen, wenn KI-Systeme mit Datenbeständen trainiert werden. Was meinen Sie? Der Gesetzgeber könnte es natürlich klarstellen – aber das ist sehr unwahrscheinlich. Positiv gesehen: Die Entscheidung bleibt den Datenschützern überlassen, und letztlich dem EuGH.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Das erste Kapitel liegt hinter uns. Ging doch, oder? Schon müde vom… Laufen? Mit vier Artikeln gehört Kapitel I zu den kürzeren der DS-GVO. Kleine Abfrage unnützen Wissens: Wie lang ist das kürzeste Kapitel der DS-GVO? Und das längste? – Antworten erst am Ende des Blog-Beitrags und einstweilen Ihren Tipp am besten wieder notieren.

Kapitel II trägt den bedeutungsschweren Titel Grundsätze und fällt mit sieben Artikeln immerhin fast doppelt so lang aus wie sein Vorgeher. Die Grundsätze für die Verarbeitung personenbezogener Daten in Art. 5 kommen recht übersichtlich daher. Jedenfalls gehören sie nicht zu den besonders verwirrenden Regeln der DS-GVO. Aber bei genauem Hinsehen finden wir sicher wieder Verbesserungspotenzial. Absatz 1 listet die eigentlichen Grundsätze und Absatz 2 klärt, wer sie zu befolgen hat. Zäumen wir das Pferd von hinten auf, schauen uns also zuerst Absatz 2 an.

Absatz 2

Die erste Aussage ist drolliges und schlechtes Juristen-Deutsch: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich.“ Andere Sprachfassungen kommen wenigstens ohne Wortwiederholung aus, im Englischen zum Beispiel: „The controller shall be responsible […]“.

Die zweite Aussage: Der Verantwortliche muss die Einhaltung der Grundsätze nachweisen können. Das Gesetz verwendet dafür den Begriff Rechenschaftspflicht (accountability). Gelegentlich wird das mit einer Beweislastumkehr gleichgesetzt. Ganz dasselbe ist es allerdings nicht, wie wohl zuerst Veil (ZD 2018, 9, 12) gezeigt hat: In Ordnungswidrigkeiten- und Strafverfahren kann z.B. wegen DS-GVO-Verstößen nicht einfach mit der Begründung verurteilt werden, die Beschuldigten hätten ihre Unschuld beweisen müssen und das sei ihnen nicht gelungen. Deshalb müssen auch Datenschutz-Aufsichtsbehörden beispielsweise in Bußgeldverfahren den jeweiligen Verstoß der verantwortlichen Stelle nachweisen. Sie können nicht ein Bußgeld verhängen mit der Begründung, der Verantwortliche könne nicht beweisen, dass er keine Fehler gemacht hat.

Rechenschaftspflicht oder Dokumentationspflicht (ein bisschen komplizierter: Revisionsfähigkeit) trifft es also besser als Beweislastumkehr. Die Verantwortlichen müssen die DS-GVO nicht nur einhalten, sondern das auch zeigen können. Das bedeutet für Bußgeldverfahren: Wenn zum Beispiel bei einer zwischenzeitlich verstorbenen betroffenen Person nicht geklärt werden kann, ob sie in eine Datenverarbeitung eingewilligt hat oder nicht, würde das Bußgeld nicht wegen fehlender Einwilligung verhängt, sondern wegen fehlender Dokumentation. Damit genug der langen Ausführungen zum kurzen Absatz 2 und hinein in Absatz 1.

AbsATZ 1

Buchstabe a) stellt scheinbar drei Grundsätze auf, von denen bei genauem Hinsehen aber nur einer übrig bleibt: Personenbezogene Daten sollen „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“. Zum ersten Grundsatz, nämlich der Rechtmäßigkeit, ist erstaunlicherweise schon viel geschrieben worden. Er besteht jedoch nur aus Luft: Es ist ja gerade Aufgabe des Gesetzgebers zu klären, was rechtmäßig ist. Der Grundsatz Tue das Richtige taugt nichts.

Nicht sehr viel besser steht es mit dem Grundsatz von Treu und Glauben – in der englischen Sprachfassung: fairness. Was fair ist, muss durch Spielregeln geklärt werden. Ansonsten können die Meinungen sehr weit auseinandergehen. Fußballfreunde wissen, was gemeint ist?

Echten Inhalt besitzt deshalb wohl nur der Grundsatz der Transparenz: Alle sollen wissen, wer welche Daten über sie besitzt und wofür diese Daten genutzt werden. Datenschutz-Veteranen erinnern sich an das berühmte, nun reichlich 40 Jahre alte Volkszählungsurteil des Bundesverfassungsgerichts. Schon damals war erkannt, dass informationelle Selbstbestimmung viel damit zu tun hat, zu wissen, wo welche Daten verarbeitet werden.

Buchstabe b) behandelt die Zweckbindung. Dieser Grundsatz ist vor allem wichtig als prinzipielles Verbot der Vorratsdatenspeicherung. Aus Sicht der Verantwortlichen ergeben sich daraus manchmal große Schwierigkeiten, nicht nur für Wünsche der staatlichen Überwachung (an die Datenschützer natürlich zuerst denken). Auch bei „chaotischen“ und „ergebnisoffenen“ Verarbeitungsvorgängen (Stichworte: KI, Data Mining, Marketing, aber auch: Forschung) sind Ziele und Zwecke der Datenverarbeitungen anfangs häufig noch unklar, also nicht so genau beschreibbar, wie Datenschützer sich das wünschen würden.

Gruselvorstellung für Historiker: Hätte in mittelalterlichen Klöstern die DS-GVO gegolten, wie viele Dokumente zum Klosterleben wären uns verloren gegangen? Hätten Unternehmen nach der Deutschen Reichsgründung 1871 die DS-GVO befolgt: Wüssten wir genauso viel über die Sozial- und Wirtschaftsgeschichte des Deutschen Kaiserreiches? Übrigens können sich Historiker bei Art. 5 Abs. 1 lit. b) DS-GVO nicht nur über den Grundsatz der Zweckbindung ärgern, sondern auch darüber, dass – hier wie öfter in der DS-GVO – von „wissenschaftlichen oder historischen Forschungszwecken“ die Rede ist, also die Geschichtswissenschaft in Brüssel also offenbar nicht als „Wissenschaft“ gesehen wird.

Schlussbemerkung zu Buchstabe b: Der zweite Halbsatz bedeutet natürlich nicht, dass Datenverarbeitungen für Archiv-, Forschungs- und statistische Zwecke immer zulässig wäre. Solche Zwecke gelten nur „nicht als unvereinbar mit den ursprünglichen Zwecken“. Bei diesen Zielen scheitert die Verarbeitung also nicht von vornherein an einer Unzulässigkeit der Zweckänderung (Ausblick nach vorn: Art. 6 Abs. 4). Trotzdem wird natürlich jeweils eine Rechtsgrundlage für die Verarbeitung zum geänderten Zweck benötigt.

Buchstabe c): Datenminimierung ließe sich gut verbinden mit Buchstaben b) Zweckbindung und Buchstaben e) Speicherbegrenzung – letztlich nur der zeitliche Aspekt der Datenminimierung. Alle drei Buchstaben gemeinsam ergeben: Personenbezogene Daten bitte nur verarbeiten, soviel und solange dies für einen konkreten Zweck nötig ist.

Buchstabe d) schreibt vor, dass die Verantwortlichen die Richtigkeit personenbezogener Daten anzustreben haben. Das ist – bei genauerem Hinsehen – seltsam und hat mit informationeller Selbstbestimmung gar nicht viel zu tun: Vielleicht ist betroffenen Personen ja ganz recht, wenn verantwortliche Stellen sich irren? Beispiel: Bei Vereinsmitglied A ist in der Buchhaltung fehlerhaft vermerkt, dass der Mitgliedsbeitrag des laufenden Jahres schon gezahlt wurde. Laut DS-GVO ein Datenschutzverstoß – aber ist das sinnvoll? Würde nicht für das Selbstbestimmungsrecht der Anspruch auf Berichtigung genügen? Dann kann die betroffene Person selbst entscheiden, ob ihr die Berichtigung wichtig ist oder ob sie vielleicht gern ein bisschen günstiger dasteht.

Buchstabe e) war oben schon erwähnt; das muss genügen. Und Buchstabe f) behandelt die in der Informationssicherheit bekannte Trias von Vertraulichkeit, Integrität und Verfügbarkeit (schöne alte Eselsbrücke: CIA – confidentiality, integrity, availability). Allerdings wurde die „Verfügbarkeit“ im Klammerzusatz vergessen. Verbesserungsvorschlag: „[…] f) in einer Weise verarbeitet werden, die ihre Integrität, Vertraulichkeit und Verfügbarkeit durch geeignete technische und organisatorische Maßnahmen gewährleisten“.

Klitzekleiner Korrekturhinweis zum Schluss: Absatz 1 müsste natürlich mit einem „Punkt“, nicht mit Semikolon enden. Vielleicht wird es bei der zweiten DSGVO-Evaluation bemerkt. Nun aber schnellen Schrittes zum spannenden Artikel 6! Auflösung zu den eingangs gestellten Quizfragen: Am kürzesten und längsten sind die Kapitel … ach nein, schauen Sie selbst!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Im Weitergehen noch zwei Blicke zurück auf Artikel 3:

(1) Ein Beispiel zum kleinen Anwendungsbereich von Absatz 3 erhielt ich noch zugeschickt (Dank an artikel91.eu): Mitarbeiterexzess in einer EU/EWR-Botschaft. Fiktiver Fall: Das Botschafts-Einlasspersonal nimmt die Liste der Tagesbesucher und nutzt sie, um Werbeprospekte zu verschicken.

(2) Und auf meine Schlussfrage zu Artikel 3 Absatz 1 (Wo gilt die DS-GVO schon am längsten?) war die Antwort nicht korrekt. Sie haben es alle bemerkt, aber taktvoll geschwiegen? Richtig ist wohl: Diejenige Botschaft eines EU/EWR-Staates, die in östlicher Richtung der Datumsgrenze am nächsten liegt. Ziemlich wahrscheinlich in Neuseeland. Oder gibt es solche Botschaften auch in Kiribati? Samoa?

Beim Spazieren sieht man ihn langsam näher rücken: Artikel 4 liegt lang gestreckt mit 26 einzelnen Nummern vor uns. Die Begriffsdefinitionen für Zwecke dieser Verordnung habe ich – Entschuldigung – erstmals für diesen Blogbeitrag komplett gelesen. Natürlich gibt es alte Bekannte:

Nummer 1

Art. 4 Nr. 1 klärt die personenbezogenen Daten, also vielleicht den absoluten Grundbegriff des Datenschutzrechts überhaupt. Die Schweizer sprechen übrigens von Personendaten. Schön ist dieser Begriff auch nicht, aber vielleicht etwas kürzer und weniger sperrig?

Wer bis hierhin mitspaziert ist, hat bemerkt, dass die DS-GVO durchaus ein beachtliches, oft unterschätztes Erholungs- und Heiterkeitspotenzial besitzt, auf das wir uns konzentrieren. Schließlich gehen wir spazieren und arbeiten nicht. In diesem Sinne: Art. 4 Nr. 1 ist ein wunderschönes Beispiel für die klare und einfache Sprache, in der wir Datenschutzrechtler uns bemühen, Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form […] zu übermitteln„: Beraubt man den zweiten Halbsatz seiner Füllung ergibt sich die Aussage: „Als identifizierbar wird eine natürliche Person angesehen, die […] identifiziert werden kann.“ Das ist … naja. Logisch richtig und einwandfrei.

Die Informationen aus der soeben weggelassenen Satz-Füllung bei Nr. 1 sind wenig hilfreich: Wenn direkte oder indirekte Identifikation genügt, dann heißt das: Es genügt jede Identifizierung. Auch die beispielhafte Aufzählung der Identifizierungsmöglichkeiten schafft eher Verwirrung – warum wird physisch und physiologisch unterschieden?

Die wichtige Information, dass nur lebende Menschen als Betroffene geschützt werden sollen (Erwägungsgrund 27) fehlt, ebenso die noch wichtigere Abgrenzung, wann von einer Identifizierbarkeit auszugehen ist. Dazu äußert sich Erwägungsgrund 26, vor allem in Sätzen 3 und 4: „Um festzustellen, ob eine [natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die […] wahrscheinlich genutzt werden […]. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich […] genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“ Wäre das nicht schön in Nr. 1?

Stattdessen bringt Nr. 1 in der deutschen Sprache noch einen Übersetzungsfehler mit. Bei „im Folgenden ,betroffene Person´“ fehlt in anderen Sprachen das im Folgenden – und zwar zu Recht, weil der Begriff betroffene Person ja schon in Artikel 3 benutzt wird.

Nummer 2

Aber schlimmer geht immer, bemerkt man bei der Definition für den Begriff Verarbeitung: Streicht man alles Überflüssige und Inhaltslose, dann bezeichnet „Verarbeitung jeden […] Vorgang oder jede […] Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“. Das ist wenig Inhalt in einem verwirrenden, langen Satz. So dürfen wir bitte keine Datenschutzinformationen schreiben.

Nummer 3

Sogar eindeutig falsch ist dann die Begriffsdefinition in Nr. 3: Eine Einschränkung der Verarbeitung ist natürlich nicht die Markierung von Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Wer in einer Karteikiste die Karteikarten zu ausgeschiedenen Mitarbeitern mit roten Klebezetteln versieht, hat die Verarbeitung der entsprechenden Daten noch nicht eingeschränkt. Merke: Man hat Ziele noch nicht erreicht, wenn man sie sich setzt.

Nummer 4

Auch bei Nr. 4 ist die Definition schiefgegangen. Profiling kann sinnvoll verwendet werden für die „Verarbeitung personenbezogener Daten mit dem Ziel, künftiges Verhalten vorherzusagen“. Der zweite Satzteil in Nr. 4 ist also korrekt. Der erste jedoch nicht: Profiling ist nicht schon die „Datenverarbeitung zur Bewertung persönlicher Aspekte“: Person A misst 1,95 m; das finde ich groß.

Nummer 7

Beim Verantwortlichen ist momentan der zweite Teil der Definition noch nicht abschließend sicher: Könnten die Europäische Union oder der Mitgliedstaat wirklich Verantwortliche nach Belieben festlegen? Kann zum Beispiel die Bundesrepublik gesetzlich bestimmen, dass für alle Datenverarbeitungen deutscher Zollbehörden das Hauptzollamt Dresden verantwortliche Stelle ist?

Nummer 12

Die Verletzung des Schutzes personenbezogener Daten hat bei den Artikeln 33 und 34 Bedeutung. Nach der Definition in Nr. 12 liegt eine solche Verletzung nur vor, wenn es tatsächlich „zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten“ kommt. Verdachtsfälle sind nach dieser Definition keine Verletzung, also auch nicht meldepflichtig.

Mit einem kurzen Überblick über wesentliche Formulierungen aus Artikel 4 ist das kurze erste Kapitel der DS-GVO schon abgewandert. Auf zu Kapitel 2!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Warnung vorweg: Das folgende ist Werbung in eigener Sache, also naturgemäß nicht neutral.

Nach jahrelanger Arbeit ist im Dezember der erste und bislang einzige Kommentar zum Datenschutzgesetz der Evangelischen Kirche Deutschlands (DSG-EKD) erschienen. Er vereint 19 Autoren, darunter alle Aufsichtsbehörden der Evangelischen Kirche in Deutschland (EKD), staatliche Aufsichtsbehörden, im Kirchendatenschutz spezialisierte Berater sowie Vertreter der Kirchenverwaltung und der Wissenschaft.

Der Kommentar behandelt das Datenschutzrecht der EKD vollständig und eigenständig, verweist Leser also nicht auf die Datenschutz-Grundverordnung und deren Kommentierungen. Damit wird ein großer Vorteil des DSG-EKD und des kirchlichen Datenschutzes genutzt: Während staatliches Datenschutz-Recht über Datenschutz-Grundverordnung, Bundesdatenschutzgesetz und Landesgesetze verstreut ist – vielleicht nie so zersplittert war, wie derzeit – regeln die Kirchen den Datenschutz „in einem Guss“. Das bietet den anwendenden Personen deutlich mehr Klarheit und Übersicht.

753 Seiten kosten 119,00 Euro. Für alle im Bereich der EKD tätigen Datenschutzbeauftragten kann das Buch die tägliche Arbeit hoffentlich erleichtern und gehört sicher zu den notwendigen Mitteln, die von der jeweiligen Einrichtung zur Verfügung gestellt werden (§ 37 Abs. 1 Satz 5 DSG-EKD).

Die Evaluierung des DSG-EKD hat im vergangenen Jahr begonnen und wird im laufenden Jahr vielleicht abgeschlossen. Es wäre schön, wenn der kirchliche Gesetzgeber die hier und da in den letzten Jahren sichtbar gewordenen Verbesserungsmöglichkeiten nutzt, gleichzeitig aber den Mut findet und behält, den Datenschutz eigenständig, unter Berücksichtigung kirchlicher Besonderheiten und im besten Falle einfacher, klarer und wirksamer als in der Datenschutz-Grundverordnung zu regeln.

Alle Mitwirkenden am Kommentar freuen sich über Reaktionen aus dem Leserkreis, sei es Kritik, Lob oder eine Anregung für künftige Änderungen/Ergänzungen.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Nach unserem Blick auf Artikel 2 nun: Wo die Datenschutz-Grundverordnung eigentlich gilt – der sogenannte räumliche Geltungsbereich. Außerdem schauen wir uns heute an, was die DS-GVO mit der Sonne zu tun hat – und wir lösen ein Neujahrsrätsel. Auf gehts!

Erster Absatz

Absatz 1 klärt gleich das Wichtigste und alle typischen Fälle: Die DS-GVO gilt immer, wenn Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Rahmen der Tätigkeiten einer Niederlassung […] in der Union verarbeiten. Das heißt unter anderem:

• Die Datenverarbeitung muss einer Niederlassung in der Europäischen Union zugeordnet werden können. Niederlassung umfasst jede ortsfeste Einrichtung, die für eine gewisse Dauer besteht (mindestens: bestehen soll) und an der sich Ressourcen des Verantwortlichen oder Auftragsverarbeiters bündeln. Hierzu zählen Personal- und Sachmittel, wie zum Beispiel Büroeinrichtung, IT-Infrastruktur und Maschinen.
  
  Der Geschäftssitz eines Verantwortlichen oder Auftragsverarbeiters ist immer Niederlassung. Ebenso müssen sich Unternehmen daran festhalten lassen, wenn sie zum Beispiel im Handelsregister Niederlassungen ihrer Unternehmen eintragen.
  
  Trotzdem gibt es natürlich Zweifelsfälle, sowohl hinsichtlich des erforderlichen Zeitraums, als auch mit Blick auf die notwendige Substanz. Konkrete Beispiele: Beschäftigt ein US-amerikanisches Unternehmen einen Außendienstmitarbeiter, der in Berlin wohnt und arbeitet, dort vom Home-Office aus für den Absatzmarkt Deutschland zuständig ist, dann liegt eine Niederlassung des US-Unternehmens vor. Anders ist es, wenn das Unternehmen einen selbständigen Handelsvertreter in Deutschland für den Vertrieb beauftragt. Dann ist der Handelsvertreter Verantwortlicher und das US-Unternehmen besitzt keine Niederlassung in der Europäischen Union. So auch, wenn das US-Unternehmen mit eigenem Personal eine „Absatz-Tour“ quer durch Deutschland veranstaltet, dabei umfangreich personenbezogene Daten potentieller Kunden einsammelt und auf der zweimonatigen Tour insgesamt 20 Großstädte für jeweils drei Tage besucht. Hierbei liegt keine Niederlassung vor, da keine ortsfeste Einrichtung von einiger Dauer besteht.
  
• Entscheidend ist ausdrücklich der Ort der Niederlassung, nicht der Ort der Datenverarbeitung. Das ist weise, weil bei automatisierter Datenverarbeitung – und dort liegt ja der Schwerpunkt der DS-GVO – der Verarbeitungsort gar nicht immer sicher bestimmt werden kann. In welchem Rechenzentrum weltweit befinden sich die in der Cloud gespeicherten Daten gerade? Außerdem erleichtert es den Aufsichtsbehörden die Rechtsdurchsetzung oder ermöglicht sie überhaupt erst: Die Niederlassung kann man „greifen“ und Sanktionen notfalls dort vollstrecken. Das ist beim Ort der Verarbeitung viel schwieriger.
  
• Die DS-GVO gilt auch, wenn nur der Auftragsverarbeiter sich im räumlichen Geltungsbereich befindet. EU-Auftragsverarbeiter dürfen also auch für Auftraggeber außerhalb der EU nur das durchführen, was die DS-GVO erlaubt. Das ist gut so – aber definitiv kein Wettbewerbsvorteil…

Fehlt noch was zu Absatz 1? Ja: Die DS-GVO gilt auch in den Staaten des Europäischen Wirtschaftsraums (EWR) Island, Liechtenstein und Norwegen, weil der gemeinsame EWR-Ausschuss am 06. Juli 2018 die Anwendung der DS-GVO ab 20. Juli 2018 beschlossen hat.

Und – vielleicht eher ein Funfact: Die DS-GVO gilt auch außerhalb Europas nach Art. 3 Abs. 1, nämlich in denjenigen Gebieten, die nach Art. 349 und 355 AEUV (Vertrag über die Arbeitsweise der Europäischen Union) als Gebiete in äußerster Randlage zur Europäischen Union gehören. Bei einigen Territorien klingt Datenschutz plötzlich wie Sommer, Sonne, Badestrand: Martinique, Guadeloupe, Französisch-Guyana, Réunion und Mayotte sowie Saint Martin (für Frankreich), Madeira und die Azoren (für Portugal) und die Kanaren (für Spanien).

Auf die Frage Wo gilt die DSGVO schon am längsten? wäre also die richtige Antwort: auf Réunion, weil dieser Teil der Europäischen Union einfach ihr östlichster Zipfel ist. Der 25. Mai 2018 begann dort, als in Berlin am 24. Mai die Glocken gerade 22:00 Uhr schlugen. Von drei Stunden Zeitverschiebung hatte Berlin infolge Sommerzeit eine Stunde aufgeholt. Réunion kennt keine Zeitumstellung.

Zweiter Absatz

Nach diesem „Badeausflug“ bummeln wir weiter zu Absatz 2 mit dem sogenannten Marktortprinzip. Verantwortliche und Auftragsverarbeiter sind weltweit der DS-GVO unterworfen, wenn sie Daten verarbeiten, um Betroffenen in der Europäischen Union Waren oder Dienstleistungen anzubieten – auch wenn es kostenlos geschieht – oder wenn sie das Verhalten Betroffener in der Europäischen Union beobachten.

Das Ziel ist klar und ehrenwert: Datenschutz für alle, die sich in der Europäischen Union aufhalten. Die Durchsetzung ist allerdings teils schwer bis unmöglich: Wie erreicht eine Datenschutz-Aufsichtsbehörde chinesische Verantwortliche, die über einen kenianischen Auftragsverarbeiter über ein Internetportal personenbezogene Daten in der Europäischen Union einsammeln? Oder noch ehrgeiziger und vielleicht noch absurder: Wie setzt die Aufsichtsbehörde durch, dass australische, indische und russische Geheimdienste beobachtete Personen in der Europäischen Union korrekt gemäß Art. 13 DS-GVO informieren? Ist es richtig, dass der EU-Gesetzgeber derartige Ansagen macht? Oder macht er sich damit lächerlich? Vielleicht ist das eine gute Frage für die nächste Evaluierung der DS-GVO; wahrscheinlich lässt sie sich auf einem Spaziergang nicht abschließend beantworten.

Dritter Absatz

Da kommt auf dem Wege noch Absatz 3 in den Blick. Die DS-GVO soll auch gelten, wenn ein nicht in der Union niedergelassener Verantwortlicher (hier sind Auftragsverarbeiter nicht gleichgestellt!) personenbezogene Daten an einem Ort verarbeitet, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt. Wer könnte hier gemeint sein? Bitte Hände weg vom Kommentar und nicht gleich weiterlesen! Notieren Sie mal Ihre eigenen Vermutungen!

Mein erster Gedanke betraf die Botschaften von EU-Mitgliedstaaten. Kraft Völkerrechts gelten sie als exterritorial. Die deutsche Botschaft in Washington ist also zum Beispielder Bundesrepublik zugehörig. Dafür hätte es Absatz 3 aber bei näherer Überlegung nicht gebraucht: Verantwortlicher ist dort ja der jeweilige Mitgliedstaat selbst und der ist allemal in der Europäischen Union „niedergelassen“. Wegen der fehlenden Anwendbarkeit der DS-GVO auf die Außenpolitik greift die Verordnung zwar nicht für diplomatische Akten, aber zum Beispiel durchaus für die Verarbeitung der Beschäftigtendaten.

Ist also der US-amerikanische Putzdienst gemeint, wenn er in der deutschen Botschaft die Papierkörbe leert? Vielleicht ein schlechtes Beispiel, weil man diplomatische Papierkörbe dann doch lieber selbst leert. Oder? Die Vermutung passt aber juristisch auch nicht. Absatz 3 nimmt ja – wie erwähnt – gerade nicht auf Auftragsverarbeiter Bezug. Den Washingtoner Putzdienst – wenn es ihn gibt – muss die DS-GVO also nicht kümmern.

Aber Erwägungsgrund 25 deutet darauf hin, dass wir mit Botschaften und Konsulaten schon auf der richtigen Spur sind. Nur komisch: Wer soll denn an solchen Orten als Verantwortlicher nach eigenem Gusto Daten verarbeiten und nicht zum jeweiligen Heimatstaat gehören? Die Facebook/Meta-Fanpage einer deutschen Botschaft, die sich ausschließlich an Publikum vor Ort wendet – bei Erstellung für einen deutschen Adressatenkreis würde ja schon das Marktortprinzip nach Absatz 2 greifen? Vielleicht ist es wirklich nur dieser winzige Anwendungsbereich. Denn wenn wir jetzt in die Kommentare schauen … finden wir auch nichts anderes. Oder haben Sie noch Ideen, während wir dem dem langen, langen Artikel 4 entgegenschlendern?

Ihnen jedenfalls ein gesundes und glückliches 2024!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Auf unserem DS-GVO-Spaziergang erreichen wir nach Betrachtung von Artikel 1 heute mit Artikel 2 eine Trauerstelle für den Datenschutz. Geregelt ist hier der sachliche Anwendungsbereich der DS-GVO und praktisch besonders wichtig ist natürlich vor allem, wo die Datenschutz-Grundverordnung nicht gilt.

Erster Absatz

Im ersten Absatz gibt es gleich eine Formulierung, die bei Datenschutz-Schulungen zur Entscheidung zwingt: Soll man das den Teilnehmenden verschweigen oder sie zur Verzweiflung bringen? Warum gilt der Datenschutz nicht für die nicht automatisierte Verarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen? Beispiel: Herr A beschwert sich telefonisch über das Unternehmen B bei der tätigen Mitarbeiterin Frau C. Diese findet die Beschwerde albern, fertigt sich handschriftliche Notizen und hängt sie zur Erheiterung der Kollegen im Büro an das schwarze Brett oder an die Litfaßsäule vor dem Bürogebäude. Kein Fall für den Datenschutz?

Nach den Vorgaben des Bundesdatenschutzgesetzes und der Landesdatenschutzgesetze gilt Datenschutz bei Behörden allgemein und auch für handschriftliche Notizen. Dasselbe ist für Beschäftigtendaten geregelt. Also: Wenn im Beispiel oben Herr A nicht Kunde, sondern Mitarbeiter – oder Bürger im Behördenalltag – ist, gilt für den handschriftlichen Zettel am schwarzen Brett der Datenschutz.

Warum so kompliziert? Ausnahme und Ausnahme von der Ausnahme? Wie soll man so etwas irgendjemandem in einer klaren und einfachen Sprache (Art. 12 DS-GVO) vermitteln?

Zweiter Absatz

Der zweite Absatz beginnt mit einer Selbstverständlichkeit unter Buchstabe a): Die DS-GVO gilt nur dort, wo die Europäische Union auch Regeln aufstellen darf – also soweit sie von den Mitgliedstaaten Kompetenzen erhalten hat. Diese logische und eigentliche überflüssige Regelung wird allerdings vom Europäischen Gerichtshof (EuGH) erstaunlich eingeschrumpft: Auch die Vorbereitung nationaler Wahlen (Rs. C-306/21) und die an der Haustür klingelnden Zeugen Jehovas bei ihrer Missionierungstätigkeit (Rs. C-25/17) unterliegen dem Anwendungsbereich des Unionsrechts. Das ist juristisch falsch, aber – da es vom EuGH kommt – verbindlich. Roma locuta, causa finita hieß das bei den Juristen des Römischen Reiches. Lässt sich in der Europäischen Union ungefähr auf Luxemburg übertragen.

Der eigentlich wichtige und selbstverständliche Ausnahmebereich nach Art. 2 Abs. 2 lit. a) DS-GVO ist also durch die Rechtsprechung des EuGH fast bedeutungslos.

Die nächste Ausnahme unter Buchstabe b) zwingt, einen Blick in den Vertrag über die Europäische Union zu werfen. Was steht da in Titel V Kapitel 2? Gemeinsame Außen- und Sicherheitspolitik. Dafür gilt die DS-GVO also nicht. Hätte man hinschreiben können; wäre klar und einfach.

Buchstabe c) dann wieder wichtig: Wenn personenbezogene Daten von Menschen ausschließlich persönlich oder familiär verwendet werden, gilt die DS-GVO nicht. Das ist eigentlich nur eine Klarstellung, weil schon unter Buchstabe a) enthalten: Private und familiäre Tätigkeiten fallen nicht in den Anwendungsbereich des Unionsrechts. Allerdings wird auch diese Ausnahme vom EuGH wieder eng ausgelegt (Rs. C-212/13): Wenn jemandem mehrfach Fensterscheiben eingeworfen wurden und er deshalb zum Schutz des eigenen Hauses eine Kamera installiert, ist das jedenfalls nach Luxemburger Verständnis keine private Tätigkeit, falls der Fußweg vor dem Grundstückszaun mitgefilmt wird (von dort flogen die Steine). Merke: Private Tätigkeiten gibt es nur im eigenen Grundstück.

Buchstabe d) ist dann einfach die Abgrenzung zur sogenannten JI-Richtlinie für Justiz und Inneres – RL (EU) 2016/680.

Dritter Absatz

Absatz 3 ist inzwischen teils historisch: Die dort genannte Verordnung (EG) Nr. 45/2001 für die Datenverarbeitung durch EU-Behörden wurde ersetzt durch die Verordnung (EU) 2018/1725. Ärgerlich ist und bleibt aber, dass die Europäische Union für ihre eigenen Datenverarbeitungen der Organe, Einrichtungen, Ämter und Agenturen nicht dieselben Regeln anwenden will, die sie für den Rest der Europäischen Union – die Behörden und die Unternehmen in den Mitgliedstaaten – aufstellt. Das hat ein „Geschmäckle“ und sollte geändert werden.

Absatz 4 ist sodann nur klarstellend: Die Richtlinie über den elektronischen Geschäftsverkehr (auch „E-Commerce-Richtlinie“ genannt) bleibt neben der DS-GVO anwendbar.

Fazit

Der sachliche Anwendungsbereich ist kompliziert geregelt. Dabei soll die DS-GVO doch vereinfachen und harmonisieren… . Oder was meinen Sie?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Kann man in der Datenschutz-Grundverordnung (DS-GVO) spazierengehen? Einen Versuch ist es wert. Vielleicht steht hinter der Idee unbewusst schon die Vorfreude auf weihnachtliches Türchen-Öffnen. Jedoch selbst bei einem täglichen Blog-Beitrag wäre der Spaziergang bis Weihnachten nicht mehr zu schaffen. Bei einem Bummel durch die DS-GVO ist nicht beabsichtigt, einen neuen x-ten Kommentar zu verfassen. Stattdessen soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben.

Gleich zu Beginn ein großer, mutiger Sprung: Die 173 Erwägungsgründe lassen wir aus oder behandeln sie nach Belieben bei den Artikeln mit, auf die sie sich beziehen. Ansonsten wäre die Blog-Reihe bis zur Altersrente nicht abzuschließen. Und außerdem sind sie laut Europäischen Gerichtshof ja sowieso nicht wichtig: “ […] So ist darauf hinzuweisen, dass die Begründungserwägungen eines Gemeinschaftsrechtsakts rechtlich nicht verbindlich sind und weder herangezogen werden können, um von den Bestimmungen des betreffenden Rechtsakts abzuweichen, noch, um diese Bestimmungen in einem Sinne auszulegen, der ihrem Wortlaut offensichtlich widerspricht. […]“ (Urt. v. 19.6.2014, Rs. C-345/13, Rn. 31).

Genug der Vorrede, öffnen wir nun das erste Türchen. Zunächst einmal natürlich: Lesen, zum Beispiel hier.

Artikel 1 Absatz 1 DS-GVO

Gleich zu Beginn wird von natürlichen Personen geredet. Warum nicht von Menschen? Die eigene Forderung nach einfacher und verständlicher Sprache hat die DS-GVO jedenfalls gleich im ersten Satz missachtet. Das betrifft übrigens sämtliche Sprachfassungen; im Englischen ist von natural persons und im Französischen von personnes physique die Rede.

Nach Art. 1 Abs. 1 DS-GVO dient die Verordnung einerseits dem Datenschutz und andererseits dem freien Datenverkehr. Ist da nicht ein Widerspruch? Ja und Nein. Dass man beide Ziele in eine Verordnung zusammenpackte hat auch (viel) damit zu tun, dass die Europäische Union für den Datenschutz gar keine Gesetzgebungskompetenz besitzt (ja, wirklich!).  Für Regelungen zum freien Binnenmarkt ist sie demgegenüber zuständig. Und indem man für Datenschutz allgemeine, EU-weit gleiche Regeln schafft, erleichtert man natürlich den Datenverkehr innerhalb der EU und befördert damit den EU-Binnenmarkt. Deshalb braucht man den freien Datenverkehr zumindest als Zuständigkeitsbegründung.

Heute fast völlig vergessen: Erste Entwürfe einer Datenschutz-Verordnung wurden noch wegen fehlender EU-Zuständigkeit kritisiert. Unter anderem der deutsche Bundesrat erhob die sogenannte Subsidiaritätsrüge, also den Einwand, dass die EU nur subsidiär zuständig ist soweit die Mitgliedstaaten ihr Kompetenzen übertragen. Auch Datenschutz-Aufsichtsbehörden (ja, wirklich!) lehnten eine Datenschutz-Verordnung der EU ab, die damalige Pressemitteilung des Landesbeauftragten Rheinland-Pfalz vom 2. April 2012 zum Beispiel hier.

Soweit der Schutz personenbezogener Daten den Binnenmarkt behindert, darf er von der EU vereinheitlicht werden eben um den Binnenmarkt zu fördern. Die DS-GVO (und der EuGH, bekannt für EU-freundliche, zuständigkeitserweiternde Auslegung des EU-Rechts) schießt dabei allerdings deutlich über das Ziel hinaus: Religiöse Betätigung z.B. hat mit dem Binnenmarkt nichts zu tun. Wohl gemerkt: Gemeint sind Gottesdienste etc., nicht wirtschaftliche Betätigungen der Kirchen wie Brauereien, Krankenhäuser und Verlage. Art. 91 DS-GVO ist deshalb in weiten Teilen überflüssig. Anderer Auffassung zuallererst der EuGH: Nach seiner Einschätzung ist sogar das Türklingeln der Zeugen Jehovas für Missionierung ein Thema des Binnenmarkts, siehe Urt. v. 10.7.2018, Rs. C-25/17. Näheres dann in Folge 91 der Reihe…

Artikel 1 Absatz 3 DS-GVO

Artikel 1 Absatz 2 DS-GVO liest sich dann hingegen ohne Probleme, sodass wir direkt einen näheren Blick auf den dritten Absatz werfen wollen: Der freie Datenverkehr in der EU „darf aus Gründen“ des Datenschutzes „weder eingeschränkt noch verboten werden“? Ist nicht die ganze DS-GVO eine Sammlung von solchen Einschränkungen und Verboten?

Auch hier ist die DS-GVO nicht so klar und leicht verständlich, wie sie es selbst von Verantwortlichen im Datenschutz verlangt. Gemeint ist in Absatz 3, dass nationale Vorschriften zum Datenschutz in den Mitgliedstaaten den freien Datenverkehr nicht einschränken dürfen. Wenn einzelne Mitgliedstaaten also zum Beispiel im Rahmen von Spezifizierungsklauseln der DS-GVO höhere Datenschutzanforderungen stellen, dann gelten solche Vorgaben nicht für den Binnenmarkt. Mit anderen Worten: Zum Beispiel kann Deutschland nach Art. 88 DS-GVO für die Beschäftigtendatenverarbeitung ein Schutzniveau oberhalb der DS-GVO verlangen, aber nicht für den Export solcher Beschäftigtendaten in einen anderen EU-Staat.

Für EU-Vorschriften gilt Art. 1 Abs. 3 DS-GVO nicht. Die EU selbst kann also in der DS-GVO und in anderen Regelwerken den freien Datenverkehr durch Datenschutz-Normen einschränken und verbieten. So viel zu Artikel – oder Türchen – Nummer 1; Ihnen eine schöne Woche!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im NOMOS-Verlag ist nun in der Reihe NOMOS Handkommentar, die nach und nach Kommentierungen der Landesdatenschutzgesetze veröffentlicht, der von Stephanie Schiedermair (Universität Leipzig) herausgegebene Kommentar zum Sächsischen Datenschutzdurchführungsgesetz (SächsDSDG) erschienen. Warnung vorab: Der Blog-Autor ist Mitverfasser, eine neutrale Beurteilung des Kommentars deshalb von ihm nicht zu erwarten. Leserinnen und Leser sind eingeladen, sich ein eigenes Urteil zu bilden.

Zum Sächsischen Datenschutzdurchführungsgesetz

Relevant ist die Kommentierung vor allem für die behördlichen Datenschutzbeauftragten in Sachsen und die dortigen Rechtsanwender sowie Berater. An dieser Stelle lohn ein Blick auf die „Gesetzeslandschaft“:

Das Sächsische Datenschutzdurchführungsgesetz regelt die Umsetzung der DS-GVO, soweit hierfür Kompetenzen beim sächsischen Gesetzgeber liegen, also in erster Linie für die Stellen des Freistaates Sachsen. Daneben existiert das Sächsische Datenschutzumsetzungsgesetz (SächsDSUG) zur Umsetzung der Datenschutz-Richtlinie 2016/680 „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr […]“. Für das SächsDSUG ist keine eigene Kommentierung zu erwarten. Bei zahlreichen Einzelfragen kann man aber auf die Kommentierung der – teils identischen, teils sehr ähnlichen – Regeln im Sächsischen Datenschutzdurchführungsgesetz zurückgreifen.

Der Bundesgesetzgeber und einige Landesgesetzgeber (z.B. der Freistaat Bayern) haben sich für die Zusammenfassung beider Bereiche in einem Gesetz entschieden. Dieser „monistische“ Ansatz bietet tatsächlich große Vorteile: Auch in denjenigen Behörden, die nach JI-RL zu arbeiten haben, gelten die entsprechenden Regeln schließlich nur für die Datenverarbeitung z.B. im Zusammenhang mit der Strafverfolgung. Bei der Verarbeitung der eigenen Beschäftigtendaten greifen dann wieder die DS-GVO und in Sachsen das Sächsische Datenschutzdurchführungsgesetz.

Es lag und liegt sehr nahe, die Normen in verschiedene Abschnitte eines Gesetzes zu fassen, weitestmöglich themenidentisch zu regeln und solche (einheitlichen) Regelungen in gesetzestechnisch bewährter Art als allgemeinen Teil „vor die Klammer zu ziehen“ (vgl. im BDSG: Teil 1 Gemeinsame Bestimmungen, Teil 2 Durchführungsbestimmungen zur DS-GVO, Teil 3 Durchführungsbestimmungen zur JI-RL). Ebenso nahe liegt, einem entsprechenden Gesetz dann als letzten Teil noch diejenigen Datenschutznormen anzufügen, die sich weder auf DS-GVO, noch auf JI-RL beziehen. Das sind im Bereich der Bundesländer z.B. die Regeln zu den Datenverarbeitungen des Parlaments (insoweit keine Gesetzgebungskompetenz der EU). Der Freistaat Sachen ist jedoch auch insoweit den Weg der Rechtszersplitterung gegangen und hat eine gesonderte Datenschutzordnung für den Sächsischen Landtag erlassen (selbes Vorgehen z.B. in Baden-Württemberg). Anders der Bundesgesetzgeber, der im Teil 4 des BDSG die Datenverarbeitungen außerhalb DS-GVO und JI-RL regelt.

Ein Nachteil (sicher nicht der größte) des sächsischen Vorgehens besteht nun darin, dass nur ein Teil des Landesdatenschutzrechts wissenschaftlich und publizistisch überhaupt vertiefter Bearbeitung lohnt. Das SächsDSUG und die Landtagsdatenschutzordnung werden wegen der zwergenhaften Anwendungsbereiche hingegen dauerhaft kaum Beachtung in der Fachliteratur finden. Soweit der Ausflug in die Gesetzesstruktur und der Blick auf den bedauerlichen „Datenschutz-Flickenteppich“.

Der Kommentar

Zurück zu den „hard facts“ des Kommentars: 289 Seiten, 69 Euro, Autoren aus Aufsichtsbehörde, Richterschaft, Wissenschaft und Anwaltschaft. Wer in sächsischen Behörden mit Datenschutz befasst ist, sollte testen, ob das Werk die Tagesarbeit erleichtert. Behördliche Datenschutzbeauftragte dürfen ihre Dienststelle dazu auf Art. 38 Abs. 2 DS-GVO (Bereitstellung erforderlichen Ressourcen) hinweisen. Kritik und Hinweise (natürlich auch Lob) sind dem Verlag und den Autoren – u.a. auch mit Blick auf eine mögliche Aktualisierung – willkommen.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Muss man bei einer Auskunft nach Art. 15 DS-GVO die konkreten Empfänger personenbezogener Daten mitteilen? – Die verbindliche Antwort des Europäischen Gerichtshofs (EuGH) lautet: Ja! Im Folgenden eine Anmerkung zum Urteil des EuGH vom 12. Januar 2023 in der Rechtssache C-154/21, abrufbar hier.

Zum Sachverhalt

Art. 15 DS-GVO gibt betroffenen Personen unter anderem „das Recht […] auf folgende Informationen: […] die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“ (Art. 15 Abs. 1 lit. c) DS-GVO).

Die Österreichische Post AG erteilte auf Anfrage eines Betroffenen die Auskunft, sie habe seine Daten als Herausgeberin von Telefonbüchern „Geschäftskunden für Marketingzwecke“ angeboten. Diese Geschäftskunden wurden nicht konkret benannt. Nach Klage des Betroffenen wurde die Österreichische Post AG etwas konkreter, aber nicht konkret: Zu den Empfängern hätten „werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nicht-Regierungsorganisationen (NGO) oder politische Parteien gehört.“

Der Betroffene wollte die konkreten Empfänger benannt haben.

Zwei Gerichtsinstanzen wiesen die Klage des Betroffenen ab mit der Begründung, die Post dürfe nach Art. 15 Abs. 1 lit. c) DS-GVO wählen, ob sie „Empfänger oder Kategorien von Empfängern“ mitteile.

Die Entscheidung

Der Oberste Gerichtshof Österreichs war als letzte Instanz nach Art. 267 Satz 3 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) verpflichtet, den EuGH zu befragen, wie Art. 15 DS-GVO zu verstehen ist. Nach der einschlägigen Rechtsprechung des EuGH besteht Klärungsbedarf auch dann, wenn das entscheidende Gericht selbst die richtige Antwort zu kennen glaubt.

Der OGH tat seine Pflicht und fragte in Luxemburg nach, ob „oder“ bei Art. 15 Abs. 1 lit. c) DS-GVO auch wirklich „oder“ bedeutet – der Verantwortliche also bei der Auskunft frei entscheiden kann, den Empfänger oder die Empfängerkategorie zu nennen. Und er schrieb seine Meinung gleich dazu: Sinnvollerweise müsse die Auswahl bei der betroffenen Person und nicht beim Verantwortlichen liegen, weil sonst kaum ein Verantwortlicher jemals konkrete Empfänger benennen würde. Juristisch zwingend ist dieses Argument allerdings nicht. Es lässt sich auch umdrehen: Welcher Betroffene wird jemals lieber Kategorien von Empfängern als konkrete Empfänger abfragen?

EuGH und OGH sind einer Meinung: Art. 15 Abs. 1 lit. c) DS-GVO bedeutet nach der juristisch maßgeblichen Lesart des EuGH, dass „der Verantwortliche […] verpflichtet ist, der betroffenen Person die Identität für der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv […] sind.„

Daraus ergibt sich für die Praxis: Wenn der Verantwortliche die Daten-Empfänger kennt, muss er sie im Rahmen einer Auskunft nach Art. 15 DSGVO auch konkret benennen. Soweit, so klar. Dank EuGH.

Doch oft liegt hinter einer Antwort schon die nächste Frage – und so auch hier: Was bedeutet Empfänger? Sind dies andere verantwortliche Stellen oder zum Beispiel auch die einzelnen Beschäftigten in einer verantwortlichen Stelle? Auch dies wird demnächst in Luxemburg geklärt. Das Verwaltungsgericht Ostfinnland hat diese Rechtsfrage dem EuGH vorgelegt (Rs. C-579/21) und die Schlussanträge des Generalanwalts (denen der EuGH bei seinen Entscheidungen sehr oft folgt) liegen bereits vor:

Art. 15 Abs. 1 lit. c) DS-GVO gebe dem Betroffenen keinen Anspruch auf konkrete Benennung von Beschäftigten, die in der verantwortlichen Stelle personenbezogene Daten empfangen haben. Der Generalanwalt begründet dies hauptsächlich mit dem Schutz der entsprechenden Beschäftigten. Eine ausdrückliche Stellungnahme zur umstrittenen Frage, ob Art. 15 Abs. 4 DS-GVO (entgegen seinem Urteil) nicht nur auf Abs. 3, sondern auch auf Abs. 1 anwendbar ist – das Auskunftsrecht also durch Interessen anderer Personen eingegrenzt wird – findet sich nicht.

Wenn der EuGH dem Verwaltungsgericht Ostfinnland geantwortet hat, ist vielleicht als Nächstes die Frage zu Art. 15 Abs. 4 DSGVO an der Reihe …

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.