25.05.2018 und jetzt? - Deutsche Vereinigung für Datenschutz
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
2/2018
41. Jahrgang
ISSN 0137-7767
12,00 Euro
Deutsche Vereinigung für Datenschutz e.V.
25.05.2018 – und jetzt?
www.datenschutzverein.de
■ Die Umsetzung der DSGVO in Deutschland ■ Das neue Recht auf Datenüber
tragbarkeit aus Sicht der Betroffenen ■ Vereine unter der DSGVO ■ Der Be-
triebsrat als datenschutzrechtlicher „Verantwortlicher“ im Sinne der DSGVO
■ 40 Jahre DANA – Rückblick eines nicht völlig Unbeteiligten ■ BigBrother-
Awards 2018 ■ Nachrichten ■ Rechtsprechung ■ Buchbesprechungen ■
Inhalt
Thilo Weichert Thilo Weichert
Die Umsetzung der DSGVO in Deutschland 68 EuGH: Facebook-Fanpagebetreiber
mitverantwortlich für Nutzertracking 98
Anne Riechert
Das neue Recht auf Datenübertragbarkeit Presseerklärung der DVD
aus Sicht der Betroffenen 74 DVD: Sachsen-Anhalt
Datenschutz-Entwicklungsland!? 101
Philipp Schmidtke
Vereine unter der DSGVO 82 Datenschutznachrichten
Robert Zieske Deutschland 102
Der Betriebsrat als datenschutzrechtlicher
„Verantwortlicher“ im Sinne der DSGVO 89 Ausland 109
Heinz Alenfelder Technik-Nachrichten 119
40 Jahre DANA –
Rückblick eines nicht völlig Unbeteiligten 92
Rechtsprechung 119
Klaus-Jürgen Roth
BigBrotherAwards 2018 94 Buchbesprechungen 122
Thilo Weichert
Cevisio Software und
Systeme GmbH aus Torgau 97
Termine
Mittwoch, 01. August 2018
Redaktionsschluss DANA 3/2018
Sonntag, 09. September 2018
Vorstandssitzung der DVD in Kiel
Interessenten melden sich bitte in der Geschäftsstelle der DVD an.
Montag, 10. September 2018
Sommerakademie des ULD Schleswig-Holstein
https://datenschutzzentrum.de/sommerakademie/2018/
Samstag, 20. Oktober 2018
DVD-Vorstandssitzung
Bonn
Sonntag, 21. Oktober 2018
DVD-Mitgliederversammlung
Bonn
Donnerstag, 01. November 2018
Redaktionsschluss DANA 4/2018
Foto: Uwe Schlick / pixelio.de
DANA • Datenschutz Nachrichten 2/2018
66
DANA
Editorial
Datenschutz Nachrichten Der 25.05.2018 liegt hinter uns. Wir leben im Zeitalter der Datenschutzgrundverord-
ISSN 0137-7767 nung. Und jetzt?
41. Jahrgang, Heft 2
In den letzten Wochen (vor und auch seit dem 25.05.2018) hat sich Hektik breit ge-
macht in Deutschland, in Europa und in der Welt. Facebook hat kurz vor der Anwend-
Herausgeber barkeit der Datenschutzgrundverordnung (DSGVO) noch schnell ca. 1,5 Milliarden
Deutsche Vereinigung für Nutzerkonten aus irischen Rechenzentren in andere Rechenzentren weltweit verscho-
Datenschutz e.V. (DVD) ben, um diese in Zukunft nicht nach der DSGVO verarbeiten zu müssen.
DVD-Geschäftstelle:
Reuterstraße 157, 53113 Bonn Webseitenbetreiber haben aus Angst vor Abmahnungen ihre Webseiten zum 25.05.2018
Tel. 0228-222498 abgeschaltet. Viele Menschen in Deutschland haben sich über Unmengen an Mails in
IBAN: DE94 3705 0198 0019 0021 87 ihren Posteingängen gewundert, die sie darüber informierten, dass sie ohne Einwilli-
Sparkasse KölnBonn gung leider nicht mehr Mails vom Absender bekommen könnten.
E-Mail: dvd@datenschutzverein.de
www.datenschutzverein.de Datenschutzbeauftragte scheinen gefühlt zu einer extrem raren Spezies geworden zu
sein, denn fast überall wird geklagt, dass der Markt der Datenschutzbeauftragten und
Redaktion (ViSdP)
Frank Spaeing -berater abgegrast ist und dass auch niemand mehr für Datenschutz qualifizierte Mit-
c/o Deutsche Vereinigung für arbeiter auf dem freien Arbeitsmarkt findet.
Datenschutz e.V. (DVD) Nun stellt sich also die Frage „Und jetzt?“, wie geht es weiter im Datenschutz?
Reuterstraße 157, 53113 Bonn
dvd@datenschutzverein.de In der vorliegenden DANA-Ausgabe widmen sich unsere Autoren Themen, die alle in
Den Inhalt namentlich gekenn- diese Zeit des Umbruchs passen und sich an dieser Frage abarbeiten – entweder weil
zeichneter Artikel verantworten die sie den aktuellen Zustand beschreiben (Thilo Weichert - Die Umsetzung der DSGVO in
jeweiligen Autoren. Deutschland), weil sie neue Thematiken erklären (Anne Riechert - Das neue Recht auf
Layout und Satz Datenübertragbarkeit aus Sicht der Betroffenen), weil sie alte Fragestellungen nach
Frans Jozef Valenta, 53119 Bonn dem neuen Recht betrachten (Robert Zieske - Der Betriebsrat als datenschutzrecht-
valenta@datenschutzverein.de licher „Verantwortlicher“ im Sinne der DSGVO) oder weil sie schlicht und ergreifend
Hinweise zur Umsetzung geben wollen (Philipp Schmidtke - Vereine unter der DSGVO).
Druck
Onlineprinters GmbH Außerdem wird vom BigBrotherAward 2018 berichtet, das EuGH-Urteil zu Facebook-
Rudolf-Diesel-Straße 10 Fanpages kommentiert und die aktuelle Presseerklärung der DVD zur gescheiterten
91413 Neustadt a. d. Aisch Wahl des neuen Landesdatenschutzbeauftragten in Sachsen-Anhalt abgedruckt.
www.diedruckerei.de
Tel. +49 (0) 91 61 / 6 20 98 00 Abgeschlossen wird das vorliegende Heft wie üblich mit Datenschutz- und Tech-
Fax +49 (0) 91 61 / 66 29 20 niknachrichten, aktueller Rechtsprechung und Buchbesprechungen.
Bezugspreis Und alle behandelten Themen zeigen uns, dass der Umbruch noch lange nicht beendet
Einzelheft 12 Euro. Jahresabonnement ist, dass die unruhigen Zeiten uns wohl noch einige Zeit begleiten werden.
42 Euro (incl. Porto) für vier
Hefte im Kalenderjahr. Für DVD-Mit- Ich wünsche Ihnen eine interessante Lektüre für die Sommertage.
glieder ist der Bezug kostenlos. Das Jah-
resabonnement kann zum 31. Dezember Frank Spaeing
eines Jahres mit einer Kündigungsfrist
von sechs Wochen gekündigt werden. Die
Kündigung ist schriftlich an die DVD-
Geschäftsstelle in Bonn zu richten. Autorinnen und Autoren dieser Ausgabe:
Copyright Heinz Alenfelder
Die Urheber- und Vervielfältigungsrechte Vorstandsmitglied in der DVD,
liegen bei den Autoren. alenfelder@datenschutzverein.de, Köln
Der Nachdruck ist nach Genehmigung
Prof. Dr. Anne Riechert
durch die Redaktion bei Zusendung
Stiftung Datenschutz, a.riechert@stiftungdatenschutz.org
von zwei Belegexemplaren nicht nur
gestattet, sondern durchaus erwünscht, Klaus-Jürgen Roth
wenn auf die DANA als Quelle hingewie- dvd@datenschutzverein.de
sen wird. Bild: ClipDealer
Philipp Schmidtke
Leserbriefe Ass.Jur., Datenschutzberater der ds2 Unternehmensberatung GmbH & Co. KG,
Leserbriefe sind erwünscht. Deren philipp.schmidtke@ds-quadrat.de
Publikation sowie eventuelle Kürzungen
bleiben vorbehalten.
Dr. Thilo Weichert
Vorstandsmitglied in der DVD, Netzwerk Datenschutzexpertise,
Abbildungen, Fotos weichert@datenschutzverein.de, Kiel
Frans Jozef Valenta, Adobestock,
Robert Zieske
pixelio, digitalcourage, iStock,
Datenschutzjurist und Referent bei der Deutschen Kreditbank AG,
robert.zieske@gmx.de
DANA • Datenschutz Nachrichten 2/2018
67
25.05.2018 – und jetzt?
Thilo Weichert
Die Umsetzung der DSGVO in Deutschland
Die Umsetzung europäischen Rechts Art. 12 der Allgemeinen Erklärung der in den Ländern und auf Bundesebene,
in den einzelnen EU-Mitgliedstaaten Menschenrechte vom 10.12.1948 de- nach der Vereinigung 1990 auch in den
wird bestimmt durch die jeweilige na- finiert wird mit dem Schutz des Men- neuen Bundesländern. Erneut war die
tionale Geschichte vor dem Entste- schen vor „willkürlichen Eingriffen in Erfahrung mit einem totalitären Ge-
hen der europäischen Rechtsnormen, sein Privatleben, seine Familie, sein sellschaftsmodell, das der DDR, in der
durch regionale Einflussnahmen auf Heim oder seinen Briefwechsel“. Das staatliche Überwachung eine zentrale
die EU-Gesetzgebung, durch inner- Konzept des Schutzes der Privatheit Rolle spielte, förderlich für die Adaption
staatliche Debatten sowie die adminis- bzw. von Privacy, wie es in der Men- eines demokratisch und freiheitlich ver-
trative und gerichtliche Anwendung schenrechtserklärung normiert ist, standenen Datenschutzes.
der Regelungen. Bei der Europäischen ist bis heute z. B. in den USA vorherr- Die Erarbeitung der europäischen Da-
Datenschutz-Grundverordnung (DS- schend, auch wenn es – als ausschließ- tenschutzrichtlinie, die 1996 in Kraft
GVO) kommt als weiterer Aspekt das liches Schutzkonzept – spätestens seit trat,8 war stark von der deutschen Ge-
Erlassen flankierender (umsetzender) der informationstechnischen Entwick- setzgebung geprägt. Es flossen zudem
nationaler Gesetze hinzu, für die es lung in den 70er Jahren des letzten Mechanismen aus anderen Staaten ein,
angesichts der vielen Spezifizierungs- Jahrhundert nicht mehr passt und im- etwa die Idee der Selbstregulierung
bzw. Öffnungsklauseln in der DSGVO mer weniger zeitgemäß wird. durch Verhaltensregeln oder das Verbot
einen großen Spielraum gibt. Es ist interessant, dass in den USA automatisierter Einzelentscheidungen.
eher als in Europa, mit dem Aufsatz von Schon bei der Umsetzung der EG-Daten-
1 Vorgeschichte Samuel D. Warren und Louis D. Brandeis schutzrichtlinie von 1996 zeigte sich,
zum „Right to Privacy“3, ein modernes dass die nationale Politik der Bundesre-
Die deutsche Geschichte des Daten- Verständnis ausgearbeitet und insbe- gierung nicht danach strebte, die Richt-
schutzes ist schillernd und geht weit sondere von Alan F. Westin in den 60er linie optimal umzusetzen. Erst drei Jah-
zurück. Sie beeinflusste die Geschichte Jahren4 weiterentwickelt wurde. Dieser re nach der vorgegebenen Frist, nämlich
des Datenschutzes generell. Wesentli- Ansatz der „information privacy“ ge- 2001, wurde ein Bundesdatenschutzge-
che Impulse für den Datenschutz in Eu- gen „data surveillance“, der sich in den setz verabschiedet, das wenig innovativ
ropa und global wurden in Deutschland USA aber bis heute nicht durchsetzen und eher bürokratisch war.9
durch Bundesländer gesetzt. konnte, wurde vom deutschen Recht Zuvor waren es wieder die Bundeslän-
Die Vorgeschichte beginnt nicht erst teilweise rezipiert. Prägend für die Wei- der, die inhaltlich die Richtung vorga-
im Jahr 1970, als in Hessen das welt- terentwicklung des allgemeinen Per- ben. In den ersten Jahren der deutschen
weit erste moderne Datenschutzgesetz sönlichkeitsrechts zu einem Recht auf Datenschutzgesetzgebung war Hessen
erlassen wurde1, sondern erheblich Datenschutz war in Deutschland in den unter dem Einfluss von Spiros Simitis
früher. Eine Quelle liegt in der juristi- 60er Jahren zudem die kritische Auf- wegweisend und inspirierend. Nach der
schen Entwicklung eines allgemeinen arbeitung des Nationalsozialismus, der EG-Richtlinie 1995 war es Schleswig-
Persönlichkeitsrechts durch die Recht- Informationstechnik nutzte, um ethni- Holstein, das unter dem Einfluss von
sprechung des Reichsgerichts und sche, kulturelle und politische Minder- Helmut Bäumler im Jahr 2000 inno-
später des Bundesgerichtshofes (BGH) heiten zu erfassen, zu unterdrücken, zu vative und moderne Elemente ins Da-
in Form von speziellen Ausprägungen verfolgen und zu vernichten. Vor die- tenschutzrecht einführte: Das dortige
und Differenzierungen. So wurde das sem historischen Hintergrund entstand Landesdatenschutzgesetz enthielt ei-
Recht am eigenen Bild im Jahr 1907 im 1971 das Gutachten „Grundfragen des nen umfassenden Verarbeitungsbegriff,
Kunsturhebergesetz normiert. Es folg- Datenschutzes“ von Steinmüller und eine Regelung zu Datenvermeidung und
te das Recht am gesprochenen Wort. anderen, das die Basis für die deutsche Datensparsamkeit, sah Gütesiegel- und
Im berühmten Herrenreiterurteil des Gesetzgebung legte. Diese nahm als Auditverfahren und ein strukturiertes
BGH aus dem Jahr 19582 entwickelte Ausgangspunkt nicht die Privatsphäre, Verfahren bei der Einführung neuer In-
das höchste deutsche Zivilgericht jen- sondern das personenbezogene Datum.5 formationstechnik (IT) mit Dokumenta-
seits der klassischen Einteilung von öf- Die weitere deutsche Entwicklung tion, Test und Freigabe vor, regelte den
fentlicher, sozialer und intimer Sphäre wurde vielfach beschrieben und kann technischen Datenschutz technikneu
aus dem Persönlichkeitsrecht einen weitgehend als bekannt vorausgesetzt tral über Schutzziele, benannte explizit
Anspruch auf Selbstvermarktung. Da- werden.6 Meilensteine waren dabei das spezielle Sicherungsmaßnahmen wie
mit wurden rechtliche Grundlagen ge- Volkszählungsurteil des Bundesverfas- z. B. die Verschlüsselung, normierte
schaffen, die sich vom üblichen Privat- sungsgerichts aus dem Jahr 19837 sowie gemeinsame Verfahren, mobile Systeme
sphärenschutz absetzen, wie er z. B. in die Etablierung der Datenschutzgesetze und die Internetveröffentlichung, privi-
DANA • Datenschutz Nachrichten 2/2018
68
25.05.2018 – und jetzt?
legierte die pseudonyme Datenverarbei- 2 Die Verabschiedung der DSGVO die Entfaltung der IT-Wirtschaft in Euro-
tung und ergänzte das Aufsichtsregime pa und die Entwicklung des segensrei-
um Service-, Beratungs- und Zertifizie- Mit dem Beginn der Diskussion über chen Big Data behindert. Um das „Öl des
rungsfunktionen.10 In der Praxis kamen die DSGVO 2012 verlagerte sich der 21. Jahrhunderts“, personenbezogene
Forschungsaktivitäten der Aufsichtsbe- Schwerpunkt der Datenschutzdiskussi- Daten, nutzbar zu machen, müsse die
hörde hinzu. Vieles von dem, was 2000 on vollständig nach Brüssel bzw. nach Zweckbindung aufgeweicht und „Da-
in Schleswig-Holstein Gesetz und Praxis Europa. Insbesondere die zuständige tenreichtum“ praktiziert werden.14
wurde, war damals weltweit einzigartig Kommissarin Viviane Reding und der Von derartigen Angriffen relativ un-
und findet sich heute in der DSGVO wie- Berichterstatter im EU-Parlament Jan- beeindruckt einigten sich die europä-
der. Keines dieser Instrumente wurde Philipp Albrecht sorgten dafür, dass Sa- ischen Institutionen nicht nur auf ein
von der Bundespolitik bei der Ausarbei- botageversuche von Gegnern digitaler Präzisierung der Datensparsamkeit und
tung der DSGVO offensiv gefördert, Eini- Grundrechte abgewehrt und eine fort- der Zweckbindung, sondern auf weitere
ges aber zumindest aufgegriffen (z. B. schrittliche Gesetzgebung vorangetrie- zeitgemäße Instrumente des digitalen
Datensparsamkeit, Audits, Definition ben wurden. Grundrechtsschutzes in einer globali-
der Pseudonymisierung). Die deutsche Politik stellte sich an die sierten Informationsgesellschaft: har-
Der bisher letzte innovative Impuls, Spitze der Saboteure. Durch ihre inner- monisierte verbindliche Regelungen,
der aus Deutschland hinsichtlich des halb und außerhalb der EU-Institutio- Marktortprinzip, One-Stop-Shop für Un-
digitalen Grundrechtsschutzes kam, nen vorgetragenen Bedenken und die ternehmen und Betroffene, verbesserte
stammte nicht aus der Politik, sondern politische Querschüsse war insbeson- Betroffenentransparenz, „Privacy by
vom Bundesverfassungsgericht, das dere die Bundesregierung dafür verant- Default“ und „Privacy by Design“, gene-
2008 analog zum Schutz der räumlichen wortlich, dass sich die Verabschiedung relle Anwendbarkeit der Datenschutz-
Privatsphäre in Art. 13 GG oder der so- der DSGVO verzögerte. Inhaltliche Ver- Folgenabschätzung, rechtssicherere
zialen Privatsphäre der Familie in Art. 6 suche der Verwässerung wurden von Drittlands-Datentransfers, verbesserte
GG einen besonders schützenswerten den EU-Gremien zurückgewiesen. Es Beschwerde- und Rechtsschutzmög-
Bereich digitaler Privatsphäre in Form wurde versucht, anstelle einer direkt lichkeiten, wirksame Sanktionen.
des Grundrechts auf Gewährleistung anwendbaren Verordnung lediglich eine
der Vertraulichkeit und Integrität in- einen allgemeinen Rahmen festlegende 3 Wider eine unabhängige und wirk-
formationstechnischer Systeme schuf.11 Richtlinie durchzusetzen. Der Bundes- same Datenschutzkontrolle
Positive gesetzgeberische Konsequen- rat demonstrierte mit einer Subsidiari-
zen wurden aus diesem Urteil bis heute tätsrüge sein provinzielles Verständnis Man sollte erwarten, dass die deut-
nicht gezogen. vom Datenschutz. Der damalige Bun- sche Politik, die sich gegenüber dem
Bezeichnend ist, dass auch in an- desinnenminister Hans-Peter Friedrich europäischen Gesetzgeber nicht durch-
deren Bereichen des digitalen Grund- brachte anstelle der staatlichen Regu- setzen konnte, nun den von der EU ge-
rechtsschutzes nicht der Bundes-, son- lierung privatwirtschaftliche Selbstre- setzten rechtlichen Rahmen akzeptie-
dern die Landesgesetzgeber innovati- gulierung ins Gespräch. Sein Ministe- ren und umsetzen würde. Doch erleben
onsfördernd waren bzw. sind. So ist in rium veranstaltete Symposien und Ta- wir bei der Umsetzung der DSGVO wie
Deutschland bisher nur in Brandenburg gungen, in denen Wirtschaftsvertreter auch der zeitgleich verabschiedeten
ein allgemeines Recht auf Informati- das Wort führten, die für den privaten Datenschutzrichtlinie für Polizei und
onszugang verfassungsrechtlich veran- Bereich die Abschaffung des Gesetzes- Justiz eher das Gegenteil: Was in Brüs-
kert.12 Auch das deutsche Bundesver- vorbehalts forderten. Ironischerweise sel erreicht wurde, versuchen Berlin
fassungsgericht verweigert sich hier erfolgte dieser Widerstand gegen die und einige Landeshauptstädte wieder
der grundgesetzlichen Anerkennung DSGVO mit dem Verweis auf die angeb- zurückzuschrauben. Einfallstore hier-
neuer Informationsrechte, die für eine lich so fortschrittliche deutsche Daten- für sind die vielen Öffnungsklauseln.
demokratische Informationsgesell- schutzgesetzgebung, die sich seit 2001 Die von der Bundespolitik vorgegebene
schaft essenziell sind. In diesem Fall nur wenig weiterentwickelt und nicht Strategie ist offensichtlich: Wenn schon
waren es die Bundesländer Branden- modernisiert hatte. Noch Ende 2015, viele materielle Regelungen von Europa
burg (1998), Berlin (1999), Schleswig- wenige Tage vor dem Abschluss des Tri- festgelegt sind, so kann deren Anwen-
Holstein (2000) und Nordrhein-West- logs zwischen Kommission, Parlament dung prozedural beschränkt werden.
falen (2001), bevor auch der Bund zu- und Europäischem Rat, profilierte sich Die Politik beschreitet dabei nicht nur
mindest auf einfachgesetzlicher Ebene die Spitze der Bundesregierung mit An- den Weg über die Haushalte, indem die
einen Anspruch auf Zugang zu hoheit- gela Merkel, Siegmar Gabriel und Alex- Aufsichtsbehörden so schwach ausge-
lichen Informationen normierte. Vor- ander Dobrindt parteiübergreifend mit stattet werden, dass sie mangels Perso-
bilder waren politisch insofern die USA Angriffen auf die in der DSGVO vorge- nal und Ressourcen den Anforderungen
und die skandinavischen Länder13; in sehene Zweckbindung und das Prinzip zur Gesetzesumsetzung schlicht nicht
der Rechtsprechung sind dies der Euro- der Datensparsamkeit. Beseelt von Ein- genügen können. Diese Strategie wird
päische Gerichtshof in Luxemburg und drücken aus Pilgerfahrten ins Silicon vor vielen Bundesländern mit erschre-
der Europäische Gerichtshof für Men- Valley erklärten sie unisono, mit Zweck- ckender Konsequenz verfolgt. Verblüf-
schenrechte in Straßburg. bindung und Datensparsamkeit würden fend ist, dass lammfromme Beauftragte
DANA • Datenschutz Nachrichten 2/2018
6925.05.2018 – und jetzt?
wie z. B. auf Bundesebene für ihre Zahn- zwar künftig im EU-Recht ausdrücklich der Rechtswidrigkeit einer Datenver-
losigkeit zumindest mit einem gewissen verboten. Ob dies auch umgesetzt wird, arbeitung nicht zu deren Beendigung
Ressourcenzuwachs belohnt wurden. muss sich zeigen.19 führt. Gerade bei der schon angespro-
Die Aufsichtsbehörde in Hamburg, zu- Ein Angriff auf die Unabhängigkeit chenen Finanzverwaltung und bei den
ständig in Deutschland für Google, Fa- enthält auch die Repräsentanz Deutsch- Strafverfolgungs- und sog. Sicherheits-
cebook und viele weitere große Unter- lands im europaweit zentralen Daten- behörden werden Datenschutzverstöße
nehmen, soll ihre Aufgabe künftig mit schutzgremium – dem Europäischen regelmäßig von der Fach-, Dienst- und
insgesamt 25 Stellen stemmen – ein ab- Datenschutzausschuss (EDSA). Während Rechtsaufsicht gedeckt. Diese erweist
surdes Ansinnen!15 der Vorsitz bei der Bundesbeauftragten sich oft als besonders unsensibel in Da-
Ungenügende Ausstattung scheint liegen soll, die nach deutschem föde- tenschutzfragen und als unrechtstreu.
aber als Rückversicherung nicht zu ge- ralen Recht nur einen eingeschränkten Es scheint erklärter politischer Wille zu
nügen, um den Vollzug der DSGVO zu Zuständigkeitsbereich hat und insbeson- sein, dass sich hieran nichts ändert.
behindern. Dank der Lobbyarbeit ins- dere nicht für die Aufsicht in der Privat- Es ist kein Trost, dass es andere EU-
besondere von Anwaltsverbänden wur- wirtschaft zuständig ist, wird die Vertre- Staaten Deutschland nachmachen oder
de die gesamte Datenschutzprüfung im tung der Landesaufsicht im EDSA – unter gar die Falsch- oder Nichtumsetzen des
Bereich von Berufsgeheimnissen in § 29 Missachtung von deren Unabhängigkeit EU-Rechts noch toppen, allen voran Ös-
Abs. 3 BDSG so reguliert, dass umfassen- – politisch vom Bundesrat bestimmt.20 terreich, das mit seiner ÖVP-FPÖ-Mehr-
de Kontrollen unmöglich gemacht wer- Der Angriff auf die föderale Struktur heit aus dem Datenschutzrecht einen
den können. Entgegen der deutschen der unabhängigen Datenschutzaufsicht zahnlosen Tiger zu machen versucht,
Gesetzeslage wurde der Staatsanwalt- beschränkt sich nicht hierauf: Viel- der nur wenig brüllen und fast gar nicht
schaft justizielle Unabhängigkeit zuge- mehr wird zentralisiert, wo es nur geht: mehr beißen darf.24
sprochen und diese so von Aufsichts- Schon in den Jahren 2011/2012 wurde
kontrollen freigestellt.16 Dem Landes- die Aufsicht für wesentliche Sozialbe- 4 Wider die Verständlichkeit
gesetzgeber in Niedersachsen genügte reiche (Arbeitslosenverwaltung, Kran-
selbst dies nicht. Er erklärte gleich das kenkassen) von den Ländern auf den Man kann die DSGVO sicherlich dafür
gesamte strafrechtliche Ermittlungsver- Bund übertragen.21 Die nächste Kompe- kritisieren, dass sie oft vage formuliert
fahren einschließlich der polizeilichen tenzbeschneidung der Länderaufsicht ist. Auch sind manche Begrifflichkeiten
Datenerhebung, Speicherung und Aus- erfolgte 2017 für die Finanzverwaltung. wenig überzeugend gewählt bzw. ins
wertung für kontrollfrei.17 Dass es sich Derart stellt das Bundesfinanzministeri- Deutsche übersetzt. Doch kann man der
bei der Verarbeitung von Berufsgeheim- um sicher, dass es sich nicht mehr mit DSGVO nicht den Vorwurf machen, sie sei
nissen sowie bei strafrechtlichen Er- missliebiger Kritik der Landesaufsicht unsystematisch aufgebaut und schwer ver-
mittlungen um persönlichkeitsrechtlich an Datenschutzverstößen der Steuer- ständlich. Dieses schon bisher bestehen-
besonders intensive Eingriffe handelt behörden, etwa durch die Verweigerung de Defizit des deutschen Datenschutz-
und insofern das BVerfG eine besonders des Auskunftsrechtes, auseinanderset- rechts wird bei der Umsetzung der DSGVO
intensive Prüfung einforderte18, ließ die zen muss. Obwohl hier weitestgehend fortgeführt, ja noch gesteigert.
jeweiligen Gesetzgeber kalt. Diese nah- Landesbehörden tätig werden, wurde Die deutschen Gesetzgeber haben es
men damit sehenden Auges einen Ver- die Aufsicht einfach der Bundesbeauf- sich fast durchgängig zur Aufgabe ge-
stoß gegen deutsches Verfassungsrecht tragten zugeschlagen.22 macht, das nationale Recht so umständ-
und zugleich auch einen Verstoß gegen Die Datenschutzkontrolle wird zu- lich zu formulieren, dass es von norma-
die bedingungslos formulierte unab- dem durch die Beschneidung der Ab- len Menschen überhaupt nicht, und von
hängige Kontrollzusicherung in Art. 8 hilfebefugnisse behindert, die – so das Fachleuten nur nach einem umfassenden
Abs. 3 Grundrechte-Charta in Kauf. EU-Recht – wirksam sein müssten. Tat- Studium verstanden und ausgelegt wer-
Auch gegen die Unabhängigkeit der sächlich verzichtet das BDSG hierauf den kann. Es ist geradezu absurd, dass
Datenschutzaufsicht fand der deut- explizit im gesamten Telekommuni- das deutsche Recht praktisch durchgän-
sche Gesetzgeber wirksame Vorkehrun- kations- und Postbereich.23 Statt den gig die DSGVO nicht beim Namen nennt,
gen. So ignorieren Bund wie Länder potenziell hohen Bußgeld-Sanktionen, sondern mit der Bezeichnung „Verord-
das europarechtliche Erfordernis eines wie sie in der DSGVO vorgesehen sind, nung (EU) 2016/679 des Europäischen
transparenten Bestellungsverfahrens. soll hier als schärfstes Schwert wei- Parlaments und des Rates vom 27. April
Die bisherigen Geheimprozesse bei der terhin die zumeist völlig unwirksame 2016 zum Schutz natürlicher Personen
Auswahl der Behördenleitungen wer- förmliche Beanstandung zur Anwen- bei der Verarbeitung personenbezoge-
den fortgeschrieben. Die Notwendig- dung kommen. Dem folgend sehen die ner Daten, zum freien Datenverkehr und
keit einer Ausschreibung sowie einer deutschen Datenschutzgesetze künftig zur Aufhebung der Richtlinie 95/46/
öffentliche Diskussion über die Auswahl auch keine wirksamen Sanktionen ge- EG (Datenschutz-Grundverordnung)
ist nirgends vorgesehen. Die Besetzung genüber öffentlichen Stellen vor. Es ist (ABl. L 119 vom 4.5.2016; L 314 vom
der Stellen war schon bisher oft davon eine geradezu klassische Erfahrung der 22.11.2016, S. 72) in der jeweils gelten-
bestimmt, verdiente Politiker zu versor- Datenschutzkontrolle im öffentlichen den Fassung“ beschreibt25 oder mit dem
gen und auf Kompetenz und Erfahrung Bereich, dass die mit einer Beanstan- nicht weniger allgemein verständlichen
der Kandidaten zu verzichten. Dies ist dung verknüpfte förmliche Feststellung „Kürzel“ „Verordnung (EU) 2016/679“.26
DANA • Datenschutz Nachrichten 2/2018
7025.05.2018 – und jetzt?
Dass es anders geht zeigte der bayeri- Facebook bisher nur ein müdes Lächeln vom ersten Tag an auf die neue Rechts-
sche Gesetzgeber, der einmal für die auslöste. Ein weiterer Grund war, dass, lage umstellen. Dies ist – insbesondere
„DSGVO“ eine Quellenangabe vornimmt wie schon dargestellt, der Datenschutz aus Kapazitätsgründen – eine Herkules
und diese Bezeichnung danach so (ohne in der offiziellen Politik keine oder kaum aufgabe, zumal die politische Rücken-
Bindestrich!) verwendet.27 Auch die Ver- eine Lobby hatte, geschweige denn auf stärkung weiterhin weitgehend fehlt.
wendung des ausgeschriebenen Namens Verständnis oder gar auf Engagement Da muss der behördliche Datenschutz
„Datenschutz-Grundverordnung“ ist bür- stieß und weiterhin stößt.29 Selbst eine jetzt durch, will er sich nicht auf längere
gerfreundlicher und verständlicher, als sich als digitale Bürgerrechtspartei ge- Zeit ganz verabschieden. Zur Herkules
das, was die Ministerialbürokratie den rierende Partei wie die FDP konnte im aufgabe gehört es, zeitnah auf Anfra-
Gesetzgebern regelmäßig vorgegeben Bundestagswahlkampf 2017 ungestraft gen und Beschwerden zu reagieren. Es
hat bzw. vorgibt. von ihren Wählern bundesweit plakatie- geht nicht an, dass ich z. B. für eine gut
Die Anwendbarkeit des Datenschutz- ren „Digital first – Bedenken second“,30 begründete juristisch ausgearbeitete
rechts wird weiter dadurch erschwert, wobei mit Bedenken nicht zuletzt der Beschwerde gegen ein in Deutschland
dass nicht versucht wurde, die Umset- Datenschutz gemeint war. agierendes US-amerikanisches Petiti-
zung der DSGVO-Regelungen direkt im Im zeitlichen Vorlauf zur direkten onsportal trotz mehrfacher Anfragen
bereichsspezifischen Recht vorzuneh- Anwendbarkeit der DSGVO haben wir außer einem Zwischenbescheid bis
men. Dies hat zur Folge, das oft Regeln ein erstaunliches Phänomen erlebt: heute keine Antwort bekommen habe.32
aus drei Ebenen anzuwenden sind: Rechtsanwälte, Unternehmensberater Wenn das Personal für die Bearbeitung
1. DSGVO, 2. umsetzende allgemeine und professionelle Datenschützer muss- fehlt, so muss es von den Behörden of-
nationale oder Landesnormen, 3. be- ten vor dem 25.05.2018 Überstunden fensiv eingefordert werden.
reichsspezifisches Recht. Das BDSG bzw. schieben. Zwar war seit 2 Jahren be- Ein Lichtblick für den Datenschutz ist
die Landesdatenschutzgesetze (LDSG) kannt, welche Datenschutzregeln künf- schon seit einigen Jahren, in jedem Fall
werden zu einer Art Scharnierrecht, in tig gelten. Doch bewusst wurde es vie- seit der Zulassung der Verbandsklage bei
dem oft, aber nicht immer, nur die Öff- len Behörden und Privatunternehmen Datenschutzverstößen, der Verbraucher-
nungsklauseln der DSGVO paraphrasiert erst weniger als ein halbes Jahr vor dem schutz.33 Dieser betätigt sich nicht als
werden. Das dadurch verursachte Re- Termin. Einen wesentlichen Beitrag zur Konkurrenz, sondern als natürliche Er-
gelungschaos ist besonders groß, weil großen Datenschutznachfrage leisteten gänzung zu den Aufsichtsbehörden. Die
in Deutschland die Öffnungsklauseln Geschäftemacher, die mit der starken DSGVO bestärkt in Art. 80 diese Entwick-
extensiv und oft über den zulässigen Sanktions- und Abmahnmöglichkeiten lung. Würden echte Sammelklagen zuge-
Rahmen hinaus in Anspruch genom- dafür warben, die Aufgabe des Daten- lassen, und nicht nur, wie in Deutschland
men wurden. In der DSGVO angelegte schutzes auf sich outzusourcen und geplant, sog. Musterfeststellungsklagen,
Abwägungsregeln sind als solche im damit oft für überteuertes Geld in wenig so wäre der Effekt des Verbraucherschut-
nationalen Recht oft nicht zu erkennen, kompetente Hände zu übertragen.31 Da- zes sicher noch erheblich größer.
so dass zusätzlich zur nationalen Norm bei handelte es sich nicht um eine Auf- Ein weiterer Lichtblick sind im Bereich
auf die DSGVO-Grundnorm zurückge- klärungs-, Werbe- oder Sympathiekam- des Beschäftigtendatenschutzes in jün-
griffen werden muss. Insbesondere bei pagne, sondern um ein Drohszenario, gerer Zeit einige Betriebsräte.34 Diese
den durch die DSGVO grds. zugelasse- das nicht nur völlig überzogen war und haben die Möglichkeit und das Recht,
nen Einschränkungen der Betroffenen- ist, sondern auch oft mit falschen Fak- durch Kollektivvereinbarungen – nun
rechte werden äußerst unbestimmte ten argumentierte. So sehr dies zu kri- im Rahmen des Art. 88 DSGVO – gemein-
Formulierungen verwendet, so dass die tisieren ist, bewirkt hat dies, dass sich sam mit den Arbeitgebern rechtssetzend
Rechtsanwendenden keine klaren Vor- viele Unternehmen erstmals überhaupt tätig zu werden. Sie stoßen zwar hin-
gaben erkennen können. mit Datenschutz beschäftigt haben. Wer sichtlich des informationstechnischen
sich bisher an das Recht gehalten hat, und des rechtlichen Know-hows allzu
5 Die Praxis des Datenschutzes muss auch in Zukunft wenig befürch- oft an Grenzen. Insofern muss und kann
ten: Aufsichtsbehörden sind nicht nur mit Beratung gegengesteuert werden.
Es ist – ohne dass diese Feststellung aus Kapazitätsgründen dem Verhält- Mangelnde Kooperationsbereitschaft
von den Datenschutzbehörden als Kri- nismäßigkeitsgrundsatz verpflichtet. der Arbeitgeber stößt künftig auf ein
tik an der eigenen Tätigkeit wahrge- Als zusätzliche von Abmahnvereinen umfängliches Abhilfeinstrumentarium.
nommen werden muss – offensichtlich, feststellbare Pflichtverletzung kommt Da inzwischen selbst die Gewerkschaf-
dass wir in Deutschland ein gewaltiges bei Internetpräsenz allenfalls die Infor- ten das Thema entdeckt haben, wenn-
Vollzugsdefizit beim Datenschutz hat- mationspflicht nach Art. 12 ff. DSGVO in gleich dort das Bewusstsein für die Pro-
ten und weiterhin haben. Dies hat viele Betracht, die einzuhalten kein Hexen- blematik entwicklungsfähig ist, gibt es
Gründe. Einer ist die teilweise katastro- werk darstellt. Anlass zum Optimismus. Dass wir auch
phale Ausstattung der Aufsichtsbehör- Es ist nun leider so, dass es tatsächlich 35 Jahre nach dem Volkszählungsurteil
den.28 Ein weiterer Grund ist die bisher bei vielen der Drohung bedurfte, dass immer noch kein Beschäftigtendaten-
maximale Sanktionshöhe von 300.000 €, der Datenschutz ernst genommen wird. schutzgesetz haben35, lag bisher nicht
die bei rechtswidrig agierenden Global- Dieser Ernst könnte schnell verfliegen, nur am Unwillen der Politik und der
konzernen wie Google, Microsoft oder wenn sich die Aufsichtsbehörden nicht Arbeitgeberseite, sondern auch am feh-
DANA • Datenschutz Nachrichten 2/2018
7125.05.2018 – und jetzt?
lenden Bewusstsein und Druck seitens Selbstverwaltung untereinander und zu- auch schon Aufgaben im Bereich der In-
der Gewerkschaften. einander, vor einer Gefährdung infolge formationsfreiheit wahrnimmt, an.
So sehr sich die DSGVO aktuellen Her- der automatisierten Datenverarbeitung
ausforderungen bei der Umsetzung stel- zu bewahren“.37 In Frage stand das In- 7 Praktischer Ausblick
len muss, so gewaltig ist das in ihr ste- formationsgleichgewicht zwischen Re-
ckende Potenzial. Dabei handelt es sich gierung und Parlament.38 Das BVerfG hat Eine Bestandsaufnahme ist ohne ei-
letztlich um das globale Gegenmodell in seinem Volkszählungsurteil zudem nen Ausblick unvollständig. Die DSGVO
zur den totalitären und autoritären Re- herausgestellt, dass Datenschutz „eine enthält Potenziale, die noch nicht im
gulierungen in Russland oder in China elementare Funktionsbedingung eines Ansatz gehoben sind.
sowie zum ökonomisch motivierten US- auf Handlungs- und Mitwirkungsfähig- Dies gilt für die Datenschutzzertifizie-
amerikanischen Regulierungsverzicht. keit seiner Bürger begründeten freiheit- rung, die auch 18 Jahre, nachdem sie in
Ein Gegenmodell ist die DSGVO dabei lichen demokratischen Gemeinwesens Schleswig-Holstein eingeführt wurde,
nicht nur als innergesellschaftliche Al- ist“.39 Direkte gesetzgeberische Konse- immer noch ein Schattendasein fristet.
ternative zum vorherrschenden System, quenzen sind aber aus dieser Erkenntnis Ohne eine unabhängige, transparente
etwa für die (außerparlamentarische) bisher nicht gezogen worden. und fachlich seriöse Zertifizierung wer-
Opposition in den USA. Es hat auch hohe Der rechtliche Ansatz der DSGVO ist den künftig viele Datenschutzpflichten
Attraktivität für Schwellenstaaten, die in Art. 1 Abs. 1 erheblich weiter, indem nicht verlässlich umgesetzt werden
sich den Hegemonialbestrebungen etwa er als Schutzzweck generell „die Grund- können.
von China oder den USA bei der Digitali- rechte und Grundfreiheiten natürlicher Verhaltensregeln, also Normen der
sierung nicht unterordnen wollen. Personen“ nennt. Davon erfasst sind regulierten Selbstregulierung, haben
Das BVerfG hat mit seiner Schritt- also auch der Schutz des Telekommu- bisher in der deutschen Datenschutz-
macherfunktion für den Datenschutz nikationsgeheimnisses (Art. 7 GRCh), praxis nur eine untergeordnete Rolle
mit dem EuGH Unterstützung erhalten. vor Diskriminierung (Art. 21 GRCh) und gespielt.42 Dies kann und wird sich vo-
Der EuGH hat die Möglichkeit, über den der Meinungs- und Informationsfreiheit raussichtlich ändern, da so nunmehr
Rahmen nationaler Rechtsanwendung (Art. 11 GRCh), das Recht auf Zugang zu Entlastungen etwa für kleine und mitt-
hinaus europaweit einheitliche Aus- Dokumenten (Art. 42 GRCh) sowie auch lere Unternehmen (KMU) erzielt und die
legungen vorzugeben. Angesichts des die Schutzrechte für Arbeitnehmer oder Generalklauseln des Art. 6 DSGVO aus-
Umstands, dass von der deutschen Poli- Verbraucher (Art. 27 ff., 38 GRCh).40 gefüllt werden können. Wirtschaftsver-
tik auf Bundes- und Landesebene keine Die unabhängigen Aufsichtsbehörden bände werden diese Möglichkeit voraus-
Impulse zu erwarten sind, sind Impulse dürfen sich also nicht auf ein enges Ver- sichtlich nutzen. Dadurch wird zugleich
aus der Rechtsprechung umso wichtiger. ständnis beschränken, sondern müssen größtmögliche Sachnähe, Rechtsicher-
Bei aller Kongruenz zwischen nationa- bei ihrer Aufgabenbeschreibung einem heit und Verbindlichkeit sowie kritische
ler und europäischer Rechtsprechung umfassenden Grundrechtsansatz fol- Kontrolle bewirkt.
im Bereich des Datenschutzes ist mit gen, der auch gesellschaftliche Funkti- Wurde Datenschutzrecht in den 70er
Aufmerksamkeit zu verfolgen, wie sich onen wie Demokratie, Gewaltenteilung Jahren als im öffentlichen Recht ange-
die Gerichtsentscheidungen in neuen und Solidarität mit einschließt. siedeltes Ordnungsrecht wahrgenom-
Bereichen des digitalen Grundrechts- Letztlich führt die Digitalisierung men, so emanzipierte sich der Daten-
schutzes fortentwickeln. Hinsichtlich nicht nur zu einer Gefährdung der be- schutz in den 90er Jahren im allgemei-
Transparenzansprüchen waren der EuGH stehenden Grundrechte, sondern be- nen Zivilrecht und in den 00er Jahren
sowie der Europäischen Gerichtshof für gründet den Bedarf der Entwicklung speziell für den Verbraucher- und den
Menschenrechte erheblich fortschrittli- neuer, sich hieraus ergebender Instru- Arbeitnehmerschutz. Seit Kurzem er-
cher als das BVerfG. mente. Mit einer „Charta der Digitalen obert der Datenschutz als Querschnitts-
Grundrechte der Europäischen Union“ materie immer mehr Rechtsgebiete.
6 Verfassungsrechtliche Weiterent- wurde hierzu ein erster Diskussions- Besonders interessant sind die Quer-
wicklungen vorschlag vorgelegt.41 Dabei geht es bezüge zum Wettbewerbs-, Kartell- und
auch um einen sozial und freiheitlich Steuerrecht. Durch die 9. GWB-Novelle43
Die Beschränkung des Datenschutzes verträglichen Einsatz von Algorithmen wird erstmals ausdrücklich die Daten-
auf eine eng verstandene „informatio- sowie von auf sog. künstlicher Intel- konzentration als mögliche Beeinträch-
nelle Selbstbestimmung“ als subjektives ligenz basierenden Verfahren. Für die tigung des Wettbewerbs anerkannt.
Individualrecht36 birgt in der Verwal- Regulierung und Kontrolle derartiger Die Weiterentwicklung des Rechts der
tungspraxis Anwendungsrisiken: Schon Verfahren bedarf es dem Gemeinwohl Digitalisierung kann und darf mit der
früh war im Hessischen Datenschutz- verpflichteter, wirtschaftlich und po- DSGVO nicht stehen bleiben. Die Haus-
recht anerkannt, dass es Aufgabe des litisch unabhängiger Instanzen mit aufgaben sind teilweise schon verteilt:
Datenschutzes ist, „das auf dem Grund- rechtlicher wie technischer sowie sons- Dies gilt für Europa, das derzeit die Da-
satz der Gewaltenteilung beruhende tiger wissenschaftlicher Kompetenz und tenschutzregeln für die EU-Institutio-
verfassungsmäßige Gefüge des Staates, ausreichender Ausstattung. Für diese nen und in der E-Privacy-Verordnung
insbesondere der Verfassungsorgane des Funktion bietet sich der Ausbau der be- für den Bereich der Telekommunikation
Landes und der Organe der kommunalen stehenden Datenschutzaufsicht, die oft überarbeitet. Die EU kann aber nur im
DANA • Datenschutz Nachrichten 2/2018
7225.05.2018 – und jetzt?
Rahmen ihrer weiterhin beschränkten 5 Steinmüller/Lutterbeck/Mallmann/ 26 So z. B. durchgängig im Sozialrecht, vgl.
normativen Befugnisse tätig werden. Harbort/Kolb/Schneider, Grundfragen etwa § 67a Abs. 1 SGB X.
Ihre Innovationskraft ist zudem durch des Datenschutzes, Juli 1971, BT-Drs.
VI/3826. 27 § 2 BayDSG.
den sehr weitgehenden Einigungs-
6 Simitis in Simitis, BDSG, 8. Aufl. 2014, 28 Schulzki-Haddouti, Datensouveräni-
zwang begrenzt. Hier sind eher nationa- tät wiederherstellen! www.verdi.de
le Initiativen nötig, die bei Bewährung Einl. Rn. 1 ff.
27.01.2017; zu den rechtlichen Grund-
von Brüssel übernommen werden kön- 7 BVerfG 15.12.1983 – 1 BvR 209/83 u. a., lagen Weichert in Däubler u. a. (Fn. 16)
nen und sollten. Dabei stellt die föde- NJW 1984, 419 ff. Art. 52 Rn. 21-27; s. o. 3.
rale Struktur Deutschlands sowohl eine 8 Richtlinie 95/46/EG v. 24.10.1995, ABl. 29 Netzwerk Datenschutzexpertise, Gabri-
Chance wie auch ein Hindernis dar. Es Nr. 281/31. el, Postmoderne und der Datenschutz,
ist unrealistisch, dass eine neue Föde- www.netzwerk-datenschutzexpertise.de
9 BDSG v. 22.05.2001, BGBl. I S. 904. 01.01.2018; Schuler/Weichert, Daten-
ralismusreform unter den Vorzeichen schutz contra Wirtschaft und Big Data?
10 Landesdatenschutzgesetz SH, v.
der Digitalisierung in Angriff genom- 09.02.2000, GS Schl.-H. II Gl.Nr. 204-4; www.netzwerk-datenschutzexpertise.de
men werden wird. Insofern sollten sich ULD, Neues Datenschutzrecht in Schles- 31.12.2015.
Bund und Länder auf das Instrument wig-Holstein, 1. Aufl. 2000; Bäumler 30 Kritisch Grau, Keine Bedenken und
von Staatsverträgen besinnen, das sich (Hrsg.), Der neue Datenschutz, 1998. leider auch kein Denken, www.cicero.de
im Medienbereich bewährt hat. Über 11 BVerfG U. v. 27.02.2008 – 1 BvR 370/07 26.08.2017.
Bund-Länder-Staatsverträge zu Digita- u. 595/07, NJW 2008, 822. 31 Tricarico, Die Panik, die wir riefen, taz
lisierungsthemen, etwa für eine For- 12 Art. 21 Abs. 3, 4 BbgVerf. 25.05.2018, 9.
schungsinfrastruktur44, können ein-
13 Wegener, Der geheime Staat, 2006, 32 Weichert, Datenschutzrechtliche Bewer-
heitliche Standards festgelegt werden, tung des Internet-Beteiligungsportals
S. 401 ff.
die regional wie national diskutiert wer- Change.org, www.netzwerk-
den müssen und dadurch letztlich ein 14 Weichert/Schuler, Datenschutz contra datenschutzexpertise.de 15.11.2015.
Wirtschaft und Big Data? www.netzwerk-
hohes Akzeptanzpotenzial haben. datenschutzexpertise.de 31.12.2015. 33 Dazu rechtlich Weichert, Verbraucherver-
Ich wünsche mir für die Zukunft kei- bandsklage bei Datenschutzverstößen,
ne Datenschutzskandale. Wenn ich mir 15 Der Hamburgische Beauftragte für Daten- DANA 2017, 4 ff. = www.netzwerk-
schutz und Informationsfreiheit, datenschutzexpertise.de 20.03.2017.
etwas wünschen dürfte, hielte ich eine Tätigkeitsbericht Datenschutz 2016/2017,
massive Verletzung des Datenschutzes S. 18. 34 Eder in Wedde, Handbuch Datenschutz
im Anwaltsbereich für besonders lehr- und Mitbestimmung, 2016, S. 185 ff.
16 Weichert in Däubler/Wedde/Weichert/
reich. Es waren nämlich die Anwalts- Sommer, EU-Datenschutz-Grundverord- 35 Weichert/Schuler, Die EU-DSGVO und die
verbände, die durch ihre Lobbypolitik nung und BDSG-neu, 2018, § 29 BDSG Zukunft des Beschäftigtendatenschutzes,
gegenüber der Bundespolitik eine ver- Rn. 24-29. www.netzwerk-datenschutzexpertise.de
fassungs- und europarechtswidrige 08.04.2016.
17 Kritisch zu den §§ 1 Abs. 2, 57 Abs. 3
Kontrolleinschränkung erreicht haben, NDSG Weichert, Stellungnahme, www. 36 So z. B. § 1 LDSG SH.
die nicht nur dem Mandantengeheim- netzwerk-datenschutzexpertise.de 37 So z. B. § 1 Nr. 2 HDSG v. 11.11.1986,
nis, sondern letztlich der Anwaltschaft 26.04.2018. Hess GVBl. I S. 309.
insgesamt schadet, ohne dass insofern 18 BVerfG U. v. U. v. 24.04.2013 – 1 BvR 38 Simitis in Simitis (Fn. 6) Einleitung
bei den Anwaltsverbänden ein Erkennt- 1215/07, Rn. 215, NJW 2013, 1516. Rn. 21.
nisprozess zu erkennen wäre.45 Daten- 19 Bernhardt/Ruhmann/Schuler/Weichert,
schutzskandale brachten in der Ver- 39 BVerfG U. v. 15.12.1983 – 1 BvR
Zum Auswahlprozess von Datenschutzbe- 209/83 u. a., NJW 1984, 422.
gangenheit den Datenschutz voran. Die auftragten als Leitung der Aufsichtsbehör-
DSGVO in ihrer aktuellen Fassung wäre den, www.netzwerk-datenschutzexpertise. 40 Weichert in Däubler u. a. (Fn. 16)
de 03.02.2017. Art. 1 DSGVO Rn. 19 ff.
ohne die Snowden-Enthüllungen nicht
möglich gewesen. Datenschutzskan- 20 Sommer in Däubler u. a. (Fn. 16) § 17 41 Initiative von Ende 2016, doku-
dale werden auch künftig passieren. Es BDSG Rn. 4-7. mentiert unter digitalcharta.eu.
wird darum gehen, hieraus die richtigen 21 Unabhängiges Landeszentrum für 42 Weichert in Däubler u. a. (Fn. 16)
Schlussfolgerungen für den digitalen Datenschutz Schleswig-Holstein (ULD), Art. 40 DSGVO Rn. 6 f.
Grundrechtsschutz zu ziehen. Tätigkeitsbericht (TB) 2011, Kap. 4.5.1
(S. 47); ULD, TB 2013, Kap. 4.5.2 (S. 56). 43 G. v. 01.06.2017, BGBl. I S. 1416.
22 Weichert in Däubler u. a. (Fn. 16) § 9 44 Krawczak/Weichert, Medizinforscher und
1 HDSG v. 30.09.1970, Hess. GVBl. 1970, BDSG Rn. 7. Datenschützer fordern Bund-Länder-
625. Staatsvertrag, DANA 2017, 193 ff. = Vor-
23 Weichert in Däubler u. a. (Fn. 16) § 16 schlag einer modernen Dateninfrastruk-
2 BGH 14.02.1958 – I ZR 151/65, BGHZ 26, Rn. 7 ff. tur für die medizinische Forschung in
349. Deutschland, www.netzwerk-
24 Krempl, Straflose Datenschutzverstöße: datenschutzexpertise.de September 2017.
3 Warren/Brandeis, Harvard Law Review, EU-Kommission will im Fall Österreich
Vol. IV Dec. 15, 1890 No. 5, Übersetzung aktiv werden, www.heise.de 25.05.2018, 45 Weichert in Däubler u. a. (Fn. 16)
in DuD 10/2012, 755 ff. vgl. DANA dieses Heft S. 113. § 29 BDSG Rn. 24 ff.
4 Westin, Privacy and Freedom, 1967. 25 So z. B. § 31 Abs. 3b PatG.
DANA • Datenschutz Nachrichten 2/2018
7325.05.2018 – und jetzt?
Anne Riechert
Das neue Recht auf Datenübertragbarkeit
aus Sicht der Betroffenen
Mit dem neuen europäischen Recht I. Um welche Daten geht es? zu finden, inwieweit ein mögliches
auf Datenübertragbarkeit (Artikel 20 Recht auf Datenübertragung tatsächlich
DSGVO) haben Sie das Recht, die von Gemäß Artikel 20 DSGVO ist es erfor- auch zur Stärkung des informationellen
Ihnen bereitgestellten Daten von einem derlich, dass die personenbezogenen Selbstbestimmungsrechts beiträgt und
Anbieter direkt zu erhalten oder unmit- Daten entweder auf Grund einer infor- grundsätzlich in der Praxis Anwendung
telbar zu einem neuen Anbieter über- mierten Einwilligung des Betroffenen finden könnte.
mitteln zu lassen. oder auf der Grundlage eines Vertrags
verarbeitet werden und vom Betroffe- 1. Auskunfteien
Die Frage ist allerdings, ob dadurch nen bereitgestellt wurden.
Ihr Recht auf informationelle Selbstbe- Wesentlich und umstritten ist dabei Positivdaten
stimmung gestärkt wird. das Merkmal des Bereitstellens, da es in Für die Informationen, die bei Wirt-
der Datenschutzgrundverordnung nicht schaftsauskunfteien gespeichert sind,
Insgesamt besteht Uneinigkeit über definiert ist. könnte die Regelung des Artikel 20 DS-
Sinn und Zweck des Artikels 20 DSGVO. Die Artikel-29-Datenschutzgruppe GVO bedeuten, dass davon die Daten be-
Die Regelung wird teilweise einschrän- hat in ihrer Stellungnahme eine wei- troffen sind, die aufgrund einer Einwil-
kend dahin ausgelegt, dass (nur) die Da- te Auslegung vorgenommen. So sollen ligung der betroffenen Person an diese
tenübertragung von einem Dienstleister einerseits Buchtitel, die eine Person übermittelt wurden:
zum anderen erleichtert und Lock-In- in einer Online-Buchhandlung gekauft Hat der Kunde seiner Bank sein Ein-
Effekte vermieden werden sollen.1 So be- hat, oder über einen Musik-Streaming- verständnis dahingehend erteilt, dass
stand auch die ursprüngliche Intention Dienst angehörte Musikstücke in den Daten über die Beantragung, die Auf-
der Europäischen Kommission darin, den Anwendungsbereich des Rechts auf nahme (Kreditnehmer und Kreditbetrag,
Umzug eines Online-Profils von einem Datenübertragbarkeit fallen, da sie auf Laufzeit und Ratenbeginn) und die ver-
sozialen Netzwerk zu einem anderen zu der Grundlage eines Vertrags verarbeitet einbarungsgemäße Abwicklung (z. B.
erleichtern und diesem mit einem ein- werden.5 Entsprechendes gilt für Daten, vorzeitige Rückzahlung, Laufzeitverlän-
zigen Klick zu ermöglichen.2 Da diese die die betroffene Person aktiv angibt, gerung) des in Anspruch genommenen
Einschränkung aber im Wortlaut der Re- etwa durch Eintrag in ein Webformular. Kredits an eine Wirtschaftsauskunftei
gelung des Artikel 20 DSGVO nicht erhal- Andererseits sollen von den „bereitge- übermittelt werden dürfen, besteht die-
ten ist, sollen damit grundsätzlich auch stellten Daten“ ebenso die so genannten ser gegenüber auch ein entsprechender
branchenübergreifende Datenübertra- „observed data“ umfasst, also die Da- Anspruch auf Übertragung dieser Daten
gungen erfasst sein. Dies kann sich etwa ten, die aufgrund der Inanspruchnah- in einem strukturierten, gängigen und
auch auf eine Datenübermittlung von me eines Dienstes erzeugt werden, z.B. maschinenlesbaren Format.
Ihrem Fitness-Tracker zu Ihrer Kranken- Nutzungsdaten, die Suchhistorie des Hier muss man auch davon ausgehen,
versicherung beziehen. Betroffenen oder Daten, die durch einen dass diese Daten von der betroffenen
Die Stiftung Datenschutz hat diese Fitness-Tracker aufgenommen worden Person bereitgestellt wurden, da sie in
Fragen in ihrer Studie „Praktische Um- sind.6 Letzteres ist insbesondere von die Übermittlung eingewilligt und da-
setzung des Rechts auf Datenübertrag- Unternehmen heftig kritisiert worden. mit die Daten „aktiv und wissentlich“
barkeit“ bereits umfassend untersucht.3 Einigkeit besteht hingegen darüber, auch einem Dritten zur Verfügung ge-
In den folgenden Ausführungen werden dass keine Daten erfasst sein sollen, die stellt hat. Die Übermittlung wurde sei-
die einzelnen Voraussetzungen des der Verantwortliche erst auf Grund der tens des Betroffenen also veranlasst.
Rechts auf Datenübertragbarkeit nun bereitgestellten Daten selbst ausgewer- Ansonsten wäre es in diesem Falle nicht
aus Sicht des Betroffenen näher dar- tet und erzeugt hat („inferred data“), nachvollziehbar, wenn Daten nur dann
gestellt. Es werden dabei vor allem die z.B. im Rahmen der Profilbildung und als „bereitgestellt“ gelten, sofern der
Leitlinien der Artikel-29-Datenschutz- Scorewerte.7 Betroffene sie selbst übermittelt hat.
gruppe zum Recht auf Datenübertrag- Ein Vermieter könnte beispielsweise
barkeit zugrunde gelegt, da sich die II. Bereitgestellte Daten - dem potenziellen Mieter vorschlagen,
Datenschutzaufsichtsbehörden bei der Einzelfragen und Beispiele die gewünschte Wohnung im Gegenzug
Auslegung und Anwendung der Daten- einer unmittelbaren Datenübermittlung
schutzgrundverordnung an diesen Emp- In den folgenden Beispielen sind seitens der Wirtschaftsauskunftei zu
fehlungen orientieren werden.4 ebenfalls Überlegungen dahingehend vergeben. Mit Einwilligung der betroffe-
DANA • Datenschutz Nachrichten 2/2018
7425.05.2018 – und jetzt?
nen Person können ansonsten nur Ver- von Geldwäsche und anderen Formen Wirtschaftsauskunftei auf Datenüber-
tragspartner der Wirtschaftsauskunftei der Finanzkriminalität verarbeitet wer- tragbarkeit bestehen kann. So erfolgte
unmittelbar auf diese Daten zugreifen, den, so dass von vorneherein kein An- die Übermittlung solcher Negativdaten
was bei privaten Vermietern jedoch spruch auf Datenportabilität besteht.10 an eine Wirtschaftsauskunftei oder von
regelmäßig nicht der Fall sein wird. Andererseits muss entschieden wer- dieser an weitere Dritte in der Vergan-
Die Übertragung der Daten „mit einem den, ob diese Daten, wie etwa Informa- genheit stets aufgrund eines berech-
Klick“ und in einem maschinenlesbaren tionen über bestehende fällige Forde- tigten Interesses. In diesem Falle kann
Format an den Vermieter könnte den rungen, vom Betroffenen im Sinne von keine Bereitstellung durch den Betrof-
Rechtsverkehr vereinfachen, ohne den Artikel 20 DSGVO „bereitgestellt“ wurden. fenen unterstellt werden. Der Betroffe-
„Umweg“ über die Selbstauskunft und Dies müsste gewissermaßen in analoger ne muss zwar in diesem Falle über die
selbstständiger Bereitstellung eines Betrachtung der oben beschriebenen Datenübermittlung informiert werden.
entsprechenden Dokuments (in Papier- Dienstnutzung bzw. Inanspruchnahme Eine Information, auch wenn sie aus-
form) an den Vermieter zu gehen. des Dienstes geschehen. Es müsste un- führlich ist, ist jedoch etwas anderes als
Zum einen ist jedoch zu berücksich- terstellt werden können, dass bei dieser eine vorherige ausdrückliche Einwilli-
tigen, welchen Mehrwert diese Vor- Fallkonstellation gleichermaßen Daten gung. Daher ist bei einer Übermittlung
gehensweise für das informationelle durch das Verhalten der betroffenen Per- aufgrund eines berechtigten Interesses
Selbstbestimmungsrecht der betroffe- son erzeugt werden. So werden die Infor- regelmäßig davon auszugehen, dass die
nen Person mit sich bringt und ob die- mationen über betrügerisches Verhalten Weitergabe der Daten an den Dritten
ses damit tatsächlich gestärkt werden oder die fehlende Zahlungsfähigkeit oder nicht auf Veranlassung des Betroffenen
würde. Zum anderen ist sehr fraglich, Zahlungswilligkeit einer betroffenen Per- erfolgt ist.
ob der Vertragspartner ein Interesse son aufgrund ihres Verhaltens während Gegenüber der Wirtschaftsauskunftei
daran hätte, da Positivdaten nur eine der Laufzeit des Vertrages durch das Kre- kann seitens der betroffenen Person na-
„halbe“ Information darstellen. Der ditinstitut festgestellt. Dies kann darü- türlich ebenfalls ein Auskunftsanspruch
Vertragspartner hat eher ein beson- ber hinaus sogar erforderlich sein, da die geltend gemacht werden (Artikel 15 DS-
deres Interesse an den so genannten Kreditwürdigkeit beurteilt werden muss, GVO). Daher wird es im Hinblick auf die
Negativdaten, also an Daten, die über z.B. auch wenn durch das nicht vertrags- Wirtschaftsauskunfteien wohl bei dem
nicht vertragsgemäßes Verhalten (fäl- gemäße Verhalten Umstände eintreten, gängigen Verfahren verbleiben, dort
lige Forderungen, etc.) informieren. die zur Kündigung des Vertrages berech- eine Selbstauskunft einzuholen und
Nur wenn auch diese Daten von der tigen. Ob eine solche Verarbeitung mit diese bei Bedarf entsprechend weiter-
Datenportabilität erfasst wären, wür- einer Suchhistorie oder aufgezeichneten zuleiten.
de ein entsprechender Anspruch über- Pulswerten als vergleichbar eingestuft
haupt Sinn machen. Diese Frage wird werden kann ist fraglich. Diesbezüglich Scorewert
unter dem folgenden Punkt „Observed sind den Ausführungen der Artikel-29- Beim Scorewert handelt es sich um die
data?“ behandelt.8 Datenschutzgruppe auch keine Hinweise Errechnung eines Wahrscheinlichkeits-
zu entnehmen. Außerdem müsste die wertes auf der Grundlage des vorhande-
„Observed data“? Verarbeitung mit „automatischen Mit- nen Datenbestandes, um das Kreditrisiko
Eingangs wurde darauf hingewie- teln“ erfolgen.11 Selbst wenn man einen zu beurteilen. Dies fällt demgemäß unter
sen, dass Daten, die aufgrund der In- Datenübertragungsanspruch gemäß Ar- den Begriff der „inferred data“, Daten,
anspruchnahme des Dienstes erzeugt tikel 20 DSGVO bejahen würde, stellt sich die der Verantwortliche erst auf Grund
werden, von den Datenschutzaufsichts- im Hinblick auf eine unmittelbare Über- der bereitgestellten Informationen selbst
behörden ebenfalls als „bereitgestellt“ tragung der Daten an Dritte (etwa Ver- ausgewertet und erzeugt hat.
eingeordnet werden. Solche Daten wer- mieter) die Frage, ob eine solche brauch- Diese sind aber vom Auskunftsrecht
den aufgrund von Aufzeichnungen der bare „Auskünfte“ liefert, da bei einem umfasst, wenn auch die deutsche Recht-
Aktivitäten der betroffenen Personen einzigen Verantwortlichen – anders als sprechung die Wahrung der Betriebs-
generiert.9 Aber wie verhält es sich mit bei einer Wirtschaftsauskunftei – keine und Geschäftsgeheimnisse im Rahmen
Informationen, die von Banken, Händ- umfassenden Informationen über den der angewendeten Berechnungsme-
lern, etc. an eine Wirtschaftsauskunftei Schuldner vorhanden sind. thode hervorhebt.12 Eine andere Frage
aufgrund eines berechtigten Interes- Möchte sich die betroffene Person ist, ob ein solcher Scorewert überhaupt
ses übermittelt werden, beispielsweise selbst über den Umfang der Verarbei- gebildet werden darf. Bei Auskunfteien
Daten, die nicht vertragsgemäßes Ver- tung ihrer personenbezogenen Daten richtet sich die Zulässigkeit nach § 31
halten betreffen (Konten- oder Kredit- durch einen Verantwortlichen (etwa BDSG (neu) und Artikel 6 Absatz 1f DS-
kartenmissbrauch oder sonstiges be- einer Bank) erkundigen, könnte sie au- GVO. Hier wird die Frage diskutiert, in-
trügerisches Verhalten) oder Daten über ßerdem einen Auskunftsanspruch ge- wieweit § 31 BDSG (neu) europarechts-
bestehende fällige Forderungen? mäß Artikel 15 DSGVO geltend machen, widrig und damit unanwendbar ist.13 In
Hier stellt sich einerseits die Frage, soweit sich aus § 34 BDSG (neu) nichts diesem Falle bliebe es bei der Scorewert-
welche personenbezogene Daten von anderes ergibt. Berechnung und der Weitergabe an Drit-
Finanzeinrichtungen im Rahmen ihrer Insgesamt ist hiervon zudem abzu- te allein bei Artikel 6 Absatz 1f DSGVO
Pflicht zur Verhütung und Aufdeckung grenzen, ob ein Anspruch gegen die („berechtigte Interessen“).
DANA • Datenschutz Nachrichten 2/2018
75Sie können auch lesen
