Grundsätzlich soll die DS-GVO für einen einheitlichen Datenschutz in der EU sorgen. Sie hat vor allem drei hervorzuhebende Änderungen gebracht. Dies sind

• die Stärkung der Betroffenenrechte,
• die umfassenden Durchsetzungsbefugnisse der Datenschutzaufsichtsbehörden und
• die Verfahren zur Abstimmung einheitlicher Rechtspositionen zur Umsetzung der DS-GVO unter den Datenschutzaufsichtsbehörden.

Fünf Jahre DS-GVO sind ein Anlass für eine Bilanz, für Rückblick und Ausblick.

Erreicht hat die DS-GVO, dass das Bewusstsein für den Datenschutz geschärft wurde. Unternehmen mussten sich bei der Anpassung ihrer Prozesse intensiv mit den Einzelheiten ihrer Datenverarbeitungen auseinandersetzen, sei es im Rahmen ihrer Informationspflichten oder bei der Identifizierung von Verfahren mit einer Pflicht zur Datenschutz-Folgenabschätzung. Die Bürger*innen haben sich ebenfalls seit Geltung der DS-GVO viel intensiver um den Schutz ihrer Daten gekümmert. Die Verdreifachung der Beschwerden bei der LDI NRW belegt dies eindrücklich. Auch die anderen Datenschutzaufsichtsbehörden haben eine ähnliche Steigerung von Beschwerden verzeichnet, nachdem die DS-GVO Geltung erlangt hat.

Beim Ausblick in die Zukunft fällt auf, dass kaum ein Wirtschaftssektor so dynamisch ist, wie die Datenverarbeitung. Wir können zum Beispiel noch gar nicht überschauen, wie sich die Verfahren der Künstlichen Intelligenz auf die Grundrechte auswirken. Chancen und Gefahren der rasanten technischen Entwicklung will die Datenstrategie der EU aufgreifen. Diese geht einher mit einer Reihe von neuen Rechtssetzungsakten, die auch Auswirkungen auf die Datenschutzpraxis haben werden. Dabei ist ein Ziel der Datenstrategie auch die Wahrung des Datenschutzgrundrechts.

Starke Betroffenenrechte

Die DS-GVO hat mit den starken Betroffenenrechten die Personen, um deren Daten es geht, in den Mittelpunkt der Regelungen gestellt. Sie sollen nicht ohne rechtlichen Grund Informationen über sich preisgeben müssen, sie sollen davor geschützt werden, dass Daten unerlaubt genutzt werden und auch transparent informiert sein, wer über welche Informationen zu ihrer Person verfügt. Das ist der Markenkern des Datenschutzes, der von der deutschen Rechtsentwicklung geprägt ist. Allen voran hat das Europäische Parlament im Gesetzgebungsverfahren diesen wichtigen Akzent gestärkt, der die DS-GVO zu einem vorbildlichen Datenschutzregelwerk macht.

Durchsetzungsbefugnisse der Aufsichtsbehörden

Für die deutschen Datenschutzaufsichtsbehörden stellen hingegen die im Vergleich zur vorherigen Rechtslage viel stärkeren Durchsetzungsbefugnisse eine rechtliche Entwicklung dar, die viele Neuerungen und auch noch Unsicherheiten in der Rechtsanwendung gebracht hat. Traditionell hat Datenschutz vor der DS-GVO in Deutschland vor allem durch Beratung und Information gewirkt. Bußgelder konnten bei klar definierten Tatbeständen verhängt werden, die Bußgeldhöhe war relativ überschaubar. Die Beseitigung von festgestellten Verstößen bei der Datenverarbeitung oder von technischer und organisatorischer Mängel war zwar nach der letzten Fassung des Bundesdatenschutzgesetzes vor der DS-GVO möglich. Eine Untersagung war aber nur in einem gestuften Verfahren unter besonderen Voraussetzungen vorgesehen.

Mit der DS-GVO können sämtliche Verstöße gegen die darin festgelegten Datenschutzregelungen zu gestuften Anordnungen bis zum vollkommenen Verbot einer Datenverarbeitung oder zu Bußgeldern in erheblicher Höhe führen. Damit ist ein Wechsel in der Datenschutzaufsicht von einer nicht nur beratenden und mahnenden Aufsichtsbehörde zu einer stärker handlungsorientierten Aufsicht eingeleitet. Dieser Wechsel vollzieht sich schrittweise und ist auch noch nicht abgeschlossen. Bei der LDI hat der Beratungsaspekt weiterhin hohes Gewicht, denn wie die DS-GVO bereichsspezifisch anzuwenden ist, ist vielfach erklärungsbedürftig. Bei hartnäckiger Verweigerung einer datenschutzgerechten Verarbeitung oder bewusster Verletzung von Datenschutzrechten, werden allerdings stufenweise auch die neuen Möglichkeiten der DS-GVO zur Anwendung gebracht. Dies ist auch noch abhängig von den personellen Ressourcen der Behörde, die erst schrittweise ansteigen, da die DS-GVO eine ganze Reihe von neuen Aufgaben und Herausforderungen für die Datenschutzaufsicht gebracht hat.

Einheitliche Anwendung der DS-GVO

Durch den Wechsel von einer Datenschutzrichtlinie mit Umsetzungsvarianten in den Mitgliedstaaten der EU zur DS-GVO, die unmittelbar geltendes Recht in der gesamten EU enthält, sollten einheitliche Datenschutzregelungen für die Wirtschaft, die Verwaltung und die Bürger*innen in der EU eingeführt werden. Ein uneinheitlicher Datenschutz in den Mitgliedstaaten sollte vor allem den Wettbewerb im Binnenmarkt nicht mehr behindern. Aus Teilen der Wirtschaft, ganz besonders im föderalen Deutschland, wird darüber geklagt, dass dieses Ziel nicht erreicht wurde und die Praxis der Aufsichtsbehörden sehr unterschiedlich sei.

Diese Kritik lässt außer Betracht, wie ambitioniert und einzigartig das System ist, das die DS-GVO vorsieht, um eine möglichst einheitliche Anwendung dieser Regeln zu etablieren. In keinem anderen Verwaltungsbereich gibt es bisher eine Zusammenarbeit, die mit dem Europäischen Datenschutzausschuss (EDSA) vergleichbar ist. Mit Leitlinien und mit Einzelentscheidungen in grenzüberschreitenden Fällen ist der EDSA auf einem guten Weg zur einheitlichen Rechtsanwendung. Dieser Weg ist aber keine Kurzstrecke, vielleicht auch kein Dauerlauf, sondern ein andauernder Prozess.

Unterschiedliche Auslegungsmöglichkeiten des Rechts sind zunächst einmal alltäglich. Selbst bei den relativ klar geregelten Betroffenenrechten zeigt die Rechtsprechung zum Beispiel zum Auskunftsanspruch, dass es nicht nur bei den Aufsichtsbehörden unterschiedliche Rechtsmeinungen geben kann. Der EDSA hat mit seinen Leitlinien zu den Betroffenenrechten jedenfalls die einheitliche Sicht der Aufsichtsbehörden dargelegt und den Verantwortlichen die nötigen Anhaltspunkte gegeben.

Bei der Frage nach der Erlaubnis für die Datenverarbeitung sind schon die gesetzlichen Regelungen von vornherein nicht so eindeutig. Hier operiert das Datenschutzrecht mit einer Reihe von Rechtsbegriffen, die erst in der Praxis Kontur gewinnen. Interessenabwägung, Erforderlichkeit, Zweckbestimmung sind nur einige davon, deren praktische Anwendung vom Einzelfall her betrachtet werden muss. Betroffene Personen und Verantwortliche haben häufig sehr unterschiedliche Vorstellungen davon, wie die Interessen gewichtet werden sollten, was für einen Verarbeitungszweck erforderlich ist oder was von diesem Zweck noch umfasst ist – oder eben nicht mehr. Auch die Aufsichtsbehörden haben nicht immer dieselben Antworten bei der Einordnung dieser Rechtsbegriffe. Das mag unter Umständen daran liegen, dass konkret zu entscheidende Fälle gar nicht gleich, sondern nur ähnlich sind. Eine einheitliche Rechtsanwendung kann immer nur so weit erreicht werden, wie sich bestimmte typische Sachverhalte herausbilden lassen.

Hinzu kommt, dass sich die Techniken und Technologien zur Datenverarbeitung laufend weiterentwickeln und verändern und dann unter Umständen auch neu zu bewerten sind. Dies wird ein ständiger Prozess bleiben, denn die Datenverarbeitung selbst unterliegt einem Wandel und ist immer wieder mit den rechtlichen Voraussetzungen abzugleichen.

Schließlich wirken sich auch rechtliche Entwicklungen auf die Interpretation des Datenschutzrechts aus. Zu erwarten ist etwa, dass die Gesetzgebungsvorhaben, die mit der Europäischen Datenstrategie vorangebracht werden, auch noch einmal zu einer Neubewertung von Sachverhalten führen werden.

All dies zeigt, dass die einheitliche Anwendung der DS-GVO ein ständiger Prozess bleiben und wahrscheinlich auch gar nicht enden wird. Entscheidend ist, dass die Aufsichtsbehörden schrittweise für typische Sachverhalte und in grenzüberschreitenden Fällen eine einheitliche Auffassung erarbeiten, wenn die Differenzen festgestellt werden. Der EDSA gibt dazu mit seinen Leitlinien hilfreiche vereinheitlichende Hinweise. Die Mechanismen der DS-GVO für eine einheitliche Entscheidung bei grenzüberschreitenden Fällen funktionieren. Dies belegen beispielsweise die jüngsten Entscheidungen des EDSA im Fall Facebook.

Nicht nur in den europaweiten Abstimmungsverfahren nach der DS-GVO, sondern auch bei den Datenschutzaufsichtsbehörden in Deutschland ist die Zusammenarbeit von dem Willen getragen, das Datenschutzrecht einheitlich anzuwenden. Die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder hat ihre Geschäftsordnung daran ausgerichtet und will durch ihre Beschlüsse Verlässlichkeit in der Anwendung der DS-GVO in der deutschen Aufsichtspraxis schaffen. Die Aufsichtsbehörden in der DSK binden sich selbst in der Umsetzung ihrer Beschlüsse und machen Gründe für die Abweichung von solchen Beschlüssen transparent. Die Schwierigkeiten zu einheitlichen Maßstäben zu kommen, sind hier dieselben wie für den EDSA. Darüber hinaus sind landesspezifische Abweichungen im öffentlichen Bereich aufgrund unterschiedlicher Rechtslagen in Bund und Ländern bereits in der DS-GVO angelegt, da sie hier Spielräume für den nationalen Gesetzgeber eröffnet. Dies kann in einem föderalen Staat zu unterschiedlichen Regelungen führen. Weitere Schritte für die Optimierung der Zusammenarbeit der Datenschutzaufsichtsbehörden sind in der Diskussion. Zentralisierung der Datenschutzaufsicht kann keine befriedigende Lösung sein. Sie kann angesichts der allgegenwärtigen Datenverarbeitung kaum eine ausreichend Kontrolldichte sicherstellen.

Wo geht die Reise hin?

Der Datenschutz ist mit der DS-GVO stärker geworden. Allerdings befinden wir uns in einem ständigen Prozess, in dem das Recht mit den technischen Möglichkeiten und den Ideen zur Nutzung von Datenverarbeitung immer wieder abgeglichen werden muss. Es wird angesichts der Dynamik der Datenverarbeitung keinen absehbar konsolidierten Stand der Rechtsanwendung geben. Es kann immer nur Klarheit zu einzelnen Fragestellungen erreicht werden. Und in letzter Instanz bringt manchmal erst die Rechtsprechung des Europäischen Gerichtshofs Klarheit.

Verarbeiter von Daten sind gut beraten, wenn sie das Datenschutzrecht von seiner Zielsetzung her betrachten. Sie sollten die betroffenen Personen und deren berechtigte Erwartungen in den Mittelpunkt stellen. Wie wird die jeweilige Person nachvollziehbar und verständlich informiert, warum ihre Daten wie verarbeitet werden, und worauf beruht die Berechtigung zur Verarbeitung? Wer die eigene Datenverarbeitung anhand dieser Fragestellungen kritisch prüft, geht die Sache schon mit einem guten Verständnis davon an, um was es bei dem Grundrecht auf Datenschutz in der Sache geht, und kann viele Fehler vermeiden. Ist ein Datenverarbeitungsprozess hingegen davon geprägt, wie man möglichst viel über Menschen erfährt, ohne dass diese selbst wissen sollen, was tatsächlich mit ihren Daten passiert, kann es gut sein, dass das dann auch von der Datenschutzaufsicht sanktioniert wird.

Datenschutz bleibt ein „moving target“. Wer dieses bewegliche Ziel konkret erreichen will, muss selbst beweglich bleiben und immer wieder neu justieren. Aber die abstrakte Richtung für das Ziel ist festgelegt. Und das leistet die DS-GVO in den ersten fünf Jahren schon sehr gut.