3 Fortentwicklung des Governance-Rahmens
Die Herausforderungen des Grundrechtsschutzes durch die Digitalisierung sind somit durch die Datenschutz-Grundverordnung nicht bewältigt. Vielmehr setzt das Erreichen dieses Ziels weiterhin eine risikogerechte Modernisierung des Datenschutzrechts in der Europäischen Union voraus. Wie diese Voraussetzung hergestellt werden kann, bleibt daher eine dringend zu lösende Aufgabe. Daher untersucht der folgende Abschnitt Möglichkeiten, das Datenschutzrecht innerhalb des Regelungsrahmens der Datenschutz-Grundverordnung fortzuentwickeln.
3.1 Fortentwicklung durch Behörden und Gerichte
Im Governance-Rahmen der Datenschutz-Grundverordnung kommt eine wichtige Rolle für die Fortentwicklung des Datenschutzrechts den nationalen Aufsichtsbehörden und dem Europäischen Datenschutzausschuss zu. Sie treffen Entscheidungen im Einzelfall und geben Stellungnahmen und Empfehlungen ab. Auch die nationalen Gerichte und der Europäische Gerichtshof tragen zum besseren Verständnis der Verordnung bei. Sie alle konkretisieren die abstrakten Vorgaben der Verordnung und passen sie – soweit der Text der Verordnung dies ermöglicht – immer wieder an die neuen Herausforderungen an. Sie können dadurch viele Defizite der Verordnung ausgleichen, ihre Vorgaben zu praktikablen Anforderungen fortentwickeln und dadurch für mehr Rechtssicherheit sorgen.
Der Datenschutzausschuss oder einzelne Aufsichtsbehörden sind allerdings durch ihre spezifischen Aufgaben und Befugnisse beschränkt und können keine Korrektur des Normtextes bewirken. Zwar kommt ihren Aussagen grundsätzlich eine hohe praktische Bedeutung zu. Dennoch bleibt der erste Zugriff auf die Auslegung der Verordnung bei den Verantwortlichen. Vor allem ihre Praxis der Datenverarbeitung prägt in der Breite das Verständnis des gebotenen Datenschutzes. Sie nutzen jede Unklarheit des Textes für ihre Verarbeitungsinteressen. Die Tatsache, dass die Verantwortlichen Bußgelder der Aufsichtsbehörden und selbst deren Verwarnungen auf breiter Front vor Gericht angreifen, zeigt, dass die Rolle der Aufsichtsbehörden wie auch des Ausschusses nicht so stark ist, wie es für eine effektive Governance notwendig wäre. Ihre Interpretation der Verordnung gilt immer nur vorbehaltlich einer Klärung durch die nationalen Gerichte und letztlich den Europäischen Gerichtshof.
Der Europäische Gerichtshof bestimmt zwar als höchste Instanz ultimativ die Auslegung der Datenschutz-Grundverordnung. Ihm sind für die systematische Klärung von Streitfragen rund um die Datenschutz-Grundverordnung jedoch faktische Grenzen gesetzt. Er kann immer nur im Rahmen des jeweiligen Einzelfalls und nur in den Fällen entscheiden, die ihm vorgelegt werden. Er kann zwar anlässlich einer konkreten Streitfrage durch ein seltenes „obiter dictum“ auch eine Aussage zu einer grundsätzlichen Fragestellung treffen. Doch werfen solche Aussagen meist mehr Fragen auf, als sie beantworten. Zudem sind die Kapazitäten des Gerichts begrenzt. Eine zeitnahe Klärung der Streitfragen zum Datenschutzrecht ist angesichts der Masse der Verfahren nicht nur zum Datenschutzrecht ausgeschlossen. Ein Äquivalent zur Verfassungsbeschwerde im deutschen Recht existiert nicht. Dies sowie die Überlastung des Gerichts könnte zukünftig für Deutschland durch das Bundesverfassungsgericht etwas abgemildert werden. Es hat in zwei jüngeren Entscheidungen zum „Recht auf Vergessen“ erklärt, künftig auch die Einhaltung der Grundrechtecharta und damit des Grundrechts auf Datenschutz zu prüfen. Für die Fortentwicklung des Datenschutzrechts durch Gerichte gilt jedoch immer: Bis letztlich ein höchstinstanzliches Gericht in Einzelfällen Defizite der Verordnung beseitigt und für Rechtssicherheit und Interessenausgleich sorgt, vergeht geraume Zeit. Vielfach hat die Dynamik der technischen Entwicklung das Problem dann bereits überholt.
Eine strukturelle Fortentwicklung sowohl durch die Aufsichtsbehörden und den Datenschutzausschuss wie auch durch die Gerichte findet außerdem ihre Grenze im Wortlaut des Gesetzestextes. Sie kann nur vom Unionsgesetzgeber oder – innerhalb des von der Datenschutz-Grundverordnung gewährten Spielraums – vom nationalen Gesetzgeber umgesetzt werden.
3.2 Evaluation der Datenschutz-Grundverordnung als Chance ihrer Fortentwicklung
Notwendig ist eine Fortentwicklung des Textes der Datenschutz-Grundverordnung aus vier Gründen. Erstens kann die Datenschutz-Grundverordnung schon infolge der ständig fortschreitenden Digitalisierung kein statisches Regelungswerk sein. Vielmehr muss der Schutz der Werte, die in diesem Wandel unverändert bleiben sollen, sich immer wieder den Herausforderungen anpassen. Zweitens ist die Datenschutz-Grundverordnung nur eine erste Fassung einer unionsweiten Datenschutzregelung, eine Sammlung von unterschiedlichen, nur mühsam systematisierten Kompromissergebnissen, die bei den vieldimensionalen Interessengegensätzen und den 2015 gegebenen Machtverhältnissen durchsetzbar waren. Sie ist ein legislativer Versuch, der angesichts neuer Herausforderungen für Persönlichkeitsrechte und Demokratie immer wieder neu zu konzipieren und zu verhandeln ist. Drittens konnten die Autoren der Verordnung die vielen und vielfältigen Praxisprobleme in allen von ihr erfassten Wirtschafts-, Verwaltungs- und Gesellschaftsbereichen gar nicht kennen. Daher ist wenig verwunderlich, dass sich in der Praxis sehr viele Probleme zeigen, den Vorgaben der Verordnung in den verschiedenen Anwendungsbereichen eine nachvollziehbare und lebenspraktische Form zu geben. Schließlich enthält die Verordnung strukturelle Defizite – wie ihre Risikoneutralität und fehlende Vorgaben für Hersteller – die den gebotenen Grundrechtsschutz auch gegenüber den neuen und künftigen Herausforderungen verhindern.
Mit Art. 97 DSGVO ist in der Verordnung deshalb ein Mechanismus zu ihrer regelmäßigen Evaluation und Weiterentwicklung vorgesehen, der als Chance der Modernisierung der Verordnung gesehen werden muss. Nach Abs. 1 hat die Kommission bereits zwei Jahre nach Geltungsbeginn der Datenschutz-Grundverordnung bis zum 25. Mai 2020 über ihre Bewertung und Überprüfung zu berichten und den Bericht zu veröffentlichen. Danach sollen Evaluationen alle vier Jahre erfolgen. Nach Abs. 2 soll die Kommission „insbesondere“ die Anwendung und die Wirkungsweise des Kap. V über die Übermittlung personenbezogener Daten an Drittländer insbesondere im Hinblick auf Angemessenheitsfeststellungen und des Kap. VII über Zusammenarbeit und Kohärenz überprüfen. Sie kann nach Abs. 3 für die Evaluation „Informationen von den Mitgliedstaaten und den Aufsichtsbehörden anfordern“. Nach Abs. 4 hat sie die „Standpunkte und Feststellungen des Parlaments, des Rates und anderer einschlägiger Stellen oder Quellen“ zu berücksichtigen. Nach Abs. 5 legt die Kommission in ihrem Bericht „erforderlichenfalls geeignete Vorschläge zur Änderung“ der Datenschutz-Grundverordnung vor und „berücksichtigt dabei insbesondere die Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft“.
Wie sich aus Art. 97 Abs. 2 und 5 DSGVO ergibt, soll die Kommission in ihren Evaluationen nicht nur die Umsetzung der Kap. V und VII untersuchen, sondern die jeweilige Ausgestaltung der gesamten Verordnung daraufhin überprüfen, welche Defizite bei ihrer Anwendung zu erkennen sind, und auch Änderungen der Datenschutz-Grundverordnung vorschlagen, die diese Defizite beseitigen. Dabei sind nicht nur die jeweils gegenwärtigen Datenschutzpraktiken zu berücksichtigen, sondern – wie Abs. 5 deutlich macht – auch die absehbaren Herausforderungen. Daher beschränken sich die allermeisten Stellungnahmen von Mitgliedstaaten und Verbänden zur Evaluation der Verordnung nicht nur auf Probleme der Umsetzung, sondern erstrecken sich auch auf Vorschläge zur Verbesserung des Verordnungstextes.
Im Gegensatz dazu zeigte die Kommission in ihrem Evaluationsbericht vom 24. Juni 2020 kein Interesse, bereits nach so kurzer Zeit den mühsam ausgehandelten Kompromiss, den die Datenschutz-Grundverordnung darstellt, auch nur in Kleinigkeiten in Frage zu stellen und beschränkte sich auf die Untersuchung von einzelnen Umsetzungsproblemen. Da sie nach Art. 17 Abs. 2 EUV allein das Recht hat, Gesetzesinitiativen in den Prozess der Unionsgesetzgebung einzubringen, kann letztlich sie bestimmen, ob und wenn ja welche Änderungsvorschläge sie aufgreift oder ignoriert. Daher muss ihr gegenüber immer wieder deutlich gemacht werden, dass sie zur ständigen Fortentwicklung des Grundrechtsschutzes verpflichtet ist.
Wie umfassend der Evaluationsauftrag auch verstanden wird, ein selbstreflexiver, kontinuierlicher Prozess der Anpassung ist möglich, gewollt und auch notwendig, um mit technischen Innovationen Schritt zu halten oder Mängel im Regelwerk zu beseitigen. Gerade bei letzterem ist es aufgrund der Eigenschaften der digitalen Welt ein unhaltbarer Zustand, wenn erkannte Mängel persistieren. Aber auch die mangelhafte Adressierung oder Nicht-Adressierung aufkommender Techniken über einen längeren Zeitraum ist angesichts der Schäden, die drohen, wenn personenbezogene Daten erst einmal in der Welt sind, inakzeptabel. Die Union kann ihrem Schutzauftrag für die Rechte und Freiheiten des Einzelnen nur gerecht werden, wenn sie dafür sorgt, dass das Datenschutzrecht mit den realen Möglichkeiten der Datenverarbeitung Schritt hält. Eine regelmäßige Überprüfung und gegebenenfalls Anpassung des Datenschutzrechts ist mithin auch verfassungsrechtlich geboten.
3.3 Notwendige praktische Verbesserungen der Datenschutz-Grundverordnung
Dabei zeigt sich, dass bereits kleine textliche Änderungen in der Datenschutz-Grundverordnung eine große Wirkung bezogen auf die Gewährleistung von Rechtssicherheit, die Erhöhung der Praxistauglichkeit der Regelungen und den Ausgleich des Machtungleichgewichts zwischen Verantwortlichem und betroffener Person entfalten können. Einige Beispiele:
Das Verhältnis der Erlaubnistatbestände in Art. 6 Abs. 1 DSGVO zueinander ist im Text der Verordnung ungeklärt. So besteht Streit darüber, ob ein Verantwortlicher, der von der betroffenen Person eine Einwilligung eingefordert hat, seine Datenverarbeitung nachträglich auf überwiegende berechtigte Interessen stützen kann, wenn die betroffene Person die Einwilligung widerrufen hat. Er hat die betroffene Person nicht über den neuen Erlaubnistatbestand informiert und nimmt ihr damit außerdem das Recht zur Datenübertragung nach Art. 20 DSGVO. Daher sollte Art. 6 Abs. 1 DSGVO klarstellen, dass ein Verantwortlicher sich neben einer Einwilligung nicht zusätzlich auf einen gesetzlichen Erlaubnistatbestand berufen kann. Wenn er von der betroffenen Person eine Einwilligung einfordert, muss er sich auch auf die Regeln zu einer Einwilligung einlassen. Er muss dann vor allem einen Widerruf der Einwilligung gegen sich gelten lassen und kann nicht trotz des Widerrufs die Datenverarbeitung unter Berufung auf einen anderen gesetzlichen Erlaubnistatbestand fortsetzen; zudem muss er der betroffenen Person eine Übertragung ihrer Daten ermöglichen.
Ein anderes Beispiel ist das Gebot der Datenvermeidung, das in § 3a BDSG-alt noch enthalten war. Es fehlt in der Datenschutz-Grundverordnung. Diese kennt nur das Minimierungsgebot, personenbezogene Daten nur insoweit zu verarbeiten, wie dies zur Erreichung des Zwecks der Verarbeitung erforderlich ist. Den Zweck kann der Verantwortliche aber so wählen, dass die Verarbeitung vieler Daten erforderlich wird. Das Gebot der Datenvermeidung würde den Verantwortlichen aber verpflichten, seine Zwecke so auszuwählen, dass möglichst wenige personenbezogene Daten verarbeitet werden. Es sollte deshalb in Art. 5 DSGVO aufgenommen werden.
Die besondere Schutzbedürftigkeit von Kindern berücksichtigt die Datenschutz-Grundverordnung in sechs Regelungen – allerdings nicht vollständig und nicht systematisch. Daher sollte der Wortlaut der Verordnung diesen besonderen Aspekt zusätzlich und ausdrücklich berücksichtigen – z. B. bei der Veränderung des Verarbeitungszwecks in Art. 6 Abs. 4 DSGVO, bei der Einwilligung in die Verarbeitung besonderer Kategorien von personenbezogenen Daten in Art. 9 Abs. 2 lit. a DSGVO, beim Widerspruch nach Art. 21 DSGVO, bei der Einwilligung in automatisierte Entscheidungen nach Art. 22 Abs. 2 lit. c DSGVO und bei der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.
Werden Daten bei der betroffenen Person erhoben, so ist diese nach Art. 13 Abs. 1 und 2 DSGVO unmittelbar zum Zeitpunkt der Erhebung über Einzelheiten zur Datenverarbeitung zu informieren. Dies wird in der Praxis häufig so verstanden, dass bei Vertragsschluss oder beim ersten Kontakt mit der betroffenen Person in umfangreichen Datenschutzerklärungen oder Allgemeinen Geschäftsbedingungen alle denkbaren Eventualitäten künftiger Datenverarbeitungen beschrieben werden müssen. Dies geschieht oft schon lange Zeit vor der tatsächlichen Erhebung der Daten und vor der Entscheidung der betroffenen Person, ob sie mit der Datenverarbeitung einverstanden ist. Dies hat zur Folge, dass sie sich an die umfassenden Inhalte der – unter Umständen Jahre zuvor erfolgten – Information nicht mehr erinnern wird, wenn ihre Daten (dann irgendwann) tatsächlich erhoben werden. Die Praxis entspricht damit nicht der Zielsetzung der Datenschutz-Grundverordnung, die betroffene Person so zu informieren, dass sie ihre informationelle Selbstbestimmung optimal ausüben kann. Damit der Zweck der Informationspflicht nicht ausgehöhlt wird, sind Ergänzungen am Wortlaut von Art. 13 Abs. 1 und 2 DSGVO geboten, die klarstellen, dass die Information situationsadäquat erfolgt, nämlich unmittelbar vor der konkreten Datenerhebung und der potentiellen Entscheidung der betroffenen Person.
Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO bezieht sich nur auf personenbezogene Daten, die die betroffene Person dem Verantwortlichen „bereitgestellt“ hat. Sonstige Daten werden nicht erfasst. Beim Wechsel von einer Bank zur anderen oder von einem E-Mail-Provider zum anderen hieße das, dass zwar die selbst getätigten Überweisungen und die selbst versendeten E-Mails (Ausgangspostfach) mit umziehen können, Überweisungen und E-Mails von Dritten aber nicht (Eingangspostfach). Diese widersinnige Folge des Wortlauts von Art. 20 DSGVO kann durch die Ersetzung des Begriffs „bereitgestellt“ durch „verursacht“ geklärt werden.
Art. 22 Abs. 1 DSGVO normiert das „Recht“ der betroffenen Person, „nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie ähnlicher Weise erheblich beeinträchtigt“. Dies ist grundsätzlich als Verbot von automatisierten Entscheidungen im Einzelfall zu interpretieren. Problematisch ist, dass dieses Verbot sehr eng formuliert ist und damit leicht zum Nachteil der betroffenen Person angewendet werden kann. Zum einen erfasst Art. 22 Abs. 1 DSGVO lediglich die Entscheidung selbst, nicht aber die vorhergehende automatisierte Verarbeitung und auch nicht die auf einer automatisierten Verarbeitung beruhende Entscheidung. Um diesem Defizit zu begegnen, sollte das Wort „ausschließlich” in Art. 22 Abs. 1 DSGVO gestrichen werden. So würden auch solche automatisierten Entscheidungen unter das Verbot fallen, in denen ein Mensch die Letztentscheidung fällt, ohne diese inhaltlich beeinflussen zu können. Zum anderen soll das Verbot nur gelten, wenn die Entscheidung eine Rechtswirkung entfaltet oder die betroffenen Personen auf ähnliche Weise erheblich beeinträchtigt. Um auch andere Einschränkungen zu erfassen, sollte für das Verbot genügen, wenn die Entscheidung geeignet ist, die betroffene Person in erheblicher Weise zu beeinträchtigen.
Ein großer Mangel der Verordnung besteht darin, dass sie zwar das Profiling punktuell erwähnt, seine besonderen Risiken aber nicht ausreichend regelt. Um diesen zu begegnen, sind risikoadäquate Regelungen notwendig. Die Datenschutz-Grundverordnung könnte gesetzlich festlegen, für welche Zwecke Profiling zulässig ist und für welche nicht. Vergleichbar mit der Regelung in Art. 9 DSGVO für besondere Kategorien personenbezogener Daten könnte die Regelung festlegen, dass Profiling grundsätzlich nicht erlaubt ist und nur in den ausdrücklich vorgesehenen Fällen zugelassen ist.
Ein prominentes Beispiel ist auch der Datenschutz durch Technikgestaltung. Die zugrundeliegende Vorschrift des Art. 25 Abs. 1 DSGVO etabliert zwar eine Pflicht des Verantwortlichen, nicht aber des Herstellers von Datenverarbeitungssystemen. Ohne eine Pflicht des Herstellers, kann aber in den meisten Fällen der Verantwortliche dieser Pflicht nicht genügen. Daher sind in der Verordnung auch entsprechende Pflichten der Hersteller vorzusehen.
Probleme, wie die hier beispielhaft vorgestellten, können durch eine Änderung des Normtextes einzelner Vorschriften gelöst werden und hätten leicht im Prozess der Evaluation der Datenschutz-Grundverordnung aufgegriffen und umgesetzt werden können. Dass die Kommission dies nicht getan hat, ist bedauerlich. Sie warten aber weiterhin auf ihre Erörterung und Umsetzung.
3.4 Strukturelle Modernisierung der Datenschutz-Grundverordnung
Soweit Änderungen in der grundlegenden Konzeption der Datenschutz-Grundverordnung in Frage stehen, um die Effektivität des Grundrechtsschutzes zu verbessern, oder Fortentwicklungen des europäischen Datenschutzrechts bedacht werden müssen, um dieses gegenüber den künftigen Herausforderungen der Digitalisierung zu wappnen, bedürfen sie im Rahmen der Ko-Regulierung des europäischen Datenschutzrechts umfassenderer und längerfristiger Untersuchungen und Diskussionen in den Mitgliedstaaten und der Union. Diese sollten folgende Aspekte berücksichtigen:
Das wohl bedeutsamste strukturelle Defizit der Datenschutz-Grundverordnung ist ihre Risikoneutralität gegenüber Herausforderungen für die Grundrechte der betroffenen Personen. Eine Fortentwicklung des Datenschutzrechts muss die Form einer risikogerechten Regulierung annehmen, die techniknah und bereichsspezifisch ist. Sie muss Vorgaben zur Systemgestaltung enthalten, die zwar keine technischen Merkmale vorgeben, aber technische Funktionen einzelner Techniklinien regeln.
Die Regelungen zu den Voraussetzungen der Zulässigkeit der Datenverarbeitung, zur Zulässigkeit von Zweckänderungen, zu konkreten Rechten der betroffenen Personen und zu den Pflichten der Verantwortlichen müssen spezifisch für bestimmte Technikfunktionen oder bereichsspezifisch für bestimmte Anwendungsprobleme konkretisiert werden. Grundsätzlich sind zwei unterschiedliche Ansatzpunkte für im richtigen Sinn technikneutrale, aber risikospezifische Datenschutzregelungen möglich:
- Entweder regelt das Datenschutzrecht Funktionen von Techniken, die in vielen Wirtschafts-, Gesellschafts- und Verwaltungsbereichen zum Einsatz kommen – wie etwa Videoüberwachung, Cloud Computing oder algorithmenbasierte Entscheidungsverfahren – und fordert für diese bereichsübergreifend die Ausgestaltung einzelner wichtiger Funktionen – wie z. B. die Nachvollziehbarkeit und Begründbarkeit von algorithmenbasierten Entscheidungen.
- Oder es regelt Ausprägungen von Datenschutzvorgaben in spezifischen Anwendungsbereichen – wie z. B. für Smart Cars, Smart Buildings oder Social Networks. In diesen Regelungen fordert es bereichsspezifische Ausgestaltungen von Technikfunktionen – wie etwa im Smart Car bestimmte Anzeigen vor der Verarbeitung von bestimmten personenbezogenen Daten, Möglichkeiten der Intervention von Fahrern oder die Zulässigkeit von Speicherungen oder Weitergaben von Daten an Dritte – und berücksichtigt dabei die spezifischen Bedingungen und Ausprägungen ihrer Anwendung.
Notwendig ist immer, die geeigneten Anforderungen an die Verantwortlichen, aber auch an die Hersteller und Anbieter von Techniksystemen zu stellen, mit deren Hilfe die Verantwortlichen die Anforderungen erfüllen sollen.
3.5 Fortentwicklung der normativen Innovationen
Die Datenschutz-Grundverordnung enthält einige echte regulative Innovationen für den Datenschutz. Sie sind mit hohen Erwartungen und vielen Hoffnungen verbunden: Sie sollen nicht nur zu mehr Datenschutzschutz, sondern auch zu einem gerechteren, passgenaueren und praktikableren Datenschutz führen. Obwohl die Datenschutz-Grundverordnung vor über vier Jahren in Kraft getreten ist und seit mehr als zwei Jahren in den Mitgliedstaaten gilt, sind diese Innovationen noch nicht umgesetzt, können noch nicht genutzt werden oder stoßen auf Schwierigkeiten. Die Datenschutz-Grundverordnung hat sie zwar eingeführt, oft aber nur benannt, angekündigt oder angedeutet. Sie regelt diese Innovationen nur in Ansätzen und lässt viele wichtige Details offen. Alle diese Innovationen sind über die bestehenden Regelungen hinaus von weiteren Kriterien, Verfahrensregelungen, Initiativen, Konzepten, Erprobungen und materiellen Vorbedingungen abhängig. Da sie fehlen, können die Innovationen nicht unmittelbar angewendet, umgesetzt oder in Anspruch genommen werden. Bei allen Innovationen behindert die Datenschutz-Grundverordnung selbst ihre Effektivität.
Der Erfolg des Datenschutzrechts ruht vornehmlich auf zwei Säulen: effektive Abschreckung vor Rechtsverstößen und greifbarer Nutzen für die beteiligten Akteure. Datenschutzrecht wird häufig als eine Last wahrgenommen – sowohl bezogen auf Innovation als auch auf wirtschaftlichen Erfolg. Dies führt zu Versuchen, strenge datenschutzrechtliche Vorgaben zu umgehen. Es ist deshalb wichtig, auf regulatorischer Basis Marktanreize zu schaffen, die Datenschutz als Wettbewerbsvorteil etablieren, anstatt ihn zum Nachteil werden zu lassen. Das Recht muss daher Anreize setzen, die eigenen Interessen zu mobilisieren, um Datenschutz zu verbessern. Für Hersteller, Entwickler und Anwender von Datenverarbeitungssystemen muss sich Datenschutz lohnen. Dies kann dadurch erreicht werden, dass Datenschutz eine positive Marktinformation – wie etwa ein Zertifikat – sein kann, die einen Wettbewerbsvorteil bewirkt. Ein weiterer Anreiz lässt sich dadurch setzen, dass nachgewiesene datenschutzfreundliche Systemgestaltungen bei der öffentlichen Auftragsvergabe berücksichtigt werden. Direkte wirtschaftliche Vorteile für die betreffenden Unternehmen können auch steuerliche Regelungen bieten, die datenschutzgerechtes Verhalten belohnen. Andere Anreize setzen beim Verhalten der Nutzenden an und versuchen, diese dazu anzuhalten, ihre eigenen personenbezogenen Daten besser zu schützen. Das gilt für die Förderung von Maßnahmen zum Selbstdatenschutz und für das Nudging. Solche Anreize hat die Datenschutz-Grundverordnung unzureichend geregelt. Sie sind durch Ergänzungen in der Verordnung weiterzuentwickeln.
Anreize, die dabei herausstechen, sind Audits und Zertifizierungen. Die Datenschutz-Grundverordnung regelt jedoch weder eine Produktbestätigung noch ein Verfahren einer kontinuierlichen Verbesserung eines Datenschutzmanagementsystems. Sie sieht vielmehr eine Überprüfung und Bestätigung von „Datenverarbeitungsvorgängen“ allein am Maßstab der Einhaltung der Vorgaben der Datenschutz-Grundverordnung vor – also ein drittes Konzept der freiwilligen Überprüfung eines datenschutzrelevanten Objekts. Dabei zielt sie auf das Kunststück einer statischen Überprüfung eines dynamischen Systems, das mit einer auf einen bestimmten Zeitpunkt bezogenen Feststellung seiner Rechtskonformität abgeschlossen wird. Es „prämiert“ die Einhaltung der ohnehin geltenden rechtlichen Vorgaben, ohne näher zu regeln, wie diese Feststellung als Marktinformation verwendet werden darf. Ob diese Form der Überprüfung und Bestätigung auf praktisches Interesse stößt, bleibt abzuwarten. Gleichwohl gibt es keine rechtliche Pflicht, die bestimmt, dass eine Zertifizierung auf die Vorgaben der Datenschutz-Grundverordnung beschränkt sein muss. Daher ist es möglich, Standards zu setzen und zu prüfen, die über das rechtlich geforderte Mindestmaß hinausgehen. Allerdings wären die Ergebnisse dieser Prüfung keine Zertifikate nach Art. 42 DSGVO. Somit verhindert die Verordnung nicht eine Steigerung und Weiterentwicklung des Datenschutzes, unterstützt diese aber auch nicht. Dabei wäre für die zertifizierten Unternehmen die Werbung mit datenschutzkonformen Produkten und Systemen der beste Anreiz, freiwillig den Datenschutz ihrer Verarbeitungsvorgänge zu verbessern. Selbst für die Konformitätsbestätigung nach Art. 42 DSGVO fehlt eine Regelung, ob und wie ein erworbenes Zertifikat durch Werbung kommuniziert werden kann.
3.6 Wege zur Modernisierung der Datenschutz-Grundverordnung
Da die Informationstechnik und ihre Anwendungen immer wieder Herausforderungen für den Grundrechtsschutz bewirken, ist die risikoadäquate Anpassung des Datenschutzrechts eine permanente und dynamische Aufgabe. Für diese hat die Datenschutz-Grundverordnung statt einer Monopolisierung und Zentralisierung in der Weiterentwicklung des Datenschutzrechts eine sinnvolle Arbeitsteilung zwischen Union und Mitgliedstaaten eingerichtet. Nur so ist die notwendige Komplexität der Datenschutzregelungen angesichts einer sich ständig wandelnden, gesellschaftsweiten Verarbeitung personenbezogener Daten auch zu erreichen.
Die von der Verordnung angeordnete Ko-Regulierung kann auch für die Suche nach einem modernen Datenschutzrecht eingesetzt werden: Diese sollte einem in sich stimmigen, demokratischen und pluralistischen Modell der Evolution des Datenschutzrechts folgen. Rechtsevolution sollte sich an der natürlichen Evolution orientieren, deren Elemente aber gezielt organisieren. Sie muss wie diese auf den Prinzipien der Variation und der Selektion aufbauen. Dieses könnte unter anderem wie folgt aussehen:
Die notwendige Variation von Lösungsansätzen könnte dadurch erreicht werden, dass die Mitgliedstaaten – im weiten Rahmen der Datenschutz-Grundverordnung – vielfältige neue Datenschutzkonzepte erproben, die auf jeweils neue Herausforderungen moderner Informationstechnik reagieren oder diese sogar steuern. Angesichts der Vielfalt und Dynamik der zukünftigen, heute noch unbekannten Herausforderungen der Digitalisierung für die Grundrechte kann auf der Ebene der Mitgliedstaaten mit unterschiedlichen Regelungskonzepten experimentiert werden. Dadurch können vielfältige Quellen dazu beitragen, dass sich in der Union ein lebendiger Datenschutz entwickelt. Statt einer – ohnehin nicht zu erreichenden – Vereinheitlichung der Datenschutzpraxis ermöglichen unbestimmte Rechtsbegriffe und ihre situationsgerechte Konkretisierung, dass in den einzelnen Mitgliedstaaten Datenschutz den lokalen Bedingungen angepasst werden kann. Schließlich bieten die vielen Regelungsmöglichkeiten der Mitgliedstaaten Chancen für eine Modernisierung des Datenschutzrechts, indem dort versucht wird, durch risikoadäquate Regelungen einen ausreichenden Schutz der Grundrechte gegen künftige Herausforderungen zu gewährleisten.
Die Kommission sollte diese Variationen nicht als Verstoß gegen die Datenschutz-Grundverordnung ansehen, sondern deren Anwendung in einem oder mehreren Mitgliedstaaten als geeignetes Mittel verstehen, um eine Erprobung verschiedener Datenschutzkonzepte in der Praxis durchzuführen. Solange derartige mitgliedsstaatliche Variationen nicht gegen grundlegende Festlegungen der Datenschutz-Grundverordnung verstoßen, helfen sie, diese grundlegenden Festlegungen durch Erfahrung mit neuen und angepassten Datenschutzkonzepten zu verbessern.
In den regelmäßigen Evaluationen der Kommission der Datenschutz-Grundverordnung findet eine Bewertung und Selektion der verschiedenen Datenschutzkonzepte statt. In den Diskussionen über den Evaluationsbericht haben alle Interessierte die Möglichkeit, ihre individuellen Bewertungen in die Evaluation einzubringen. Hier werden die Erfolge für den Grundrechtsschutz der betroffenen Personen und für den Ausgleich mit den Grundrechtspositionen und den öffentlichen Interessen der Datenverarbeiter bewertet.
Schließlich finden in regelmäßigen Novellen zur Datenschutz-Grundverordnung Festlegungen durch den Unionsgesetzgeber statt, in denen er das in einzelnen Mitgliedstaaten Bewährte unionsweit übernimmt. Nicht alles muss er in der Datenschutz-Grundverordnung regeln. Er sollte keine „One Size Fits All“-Regelungen anstreben, sondern bereichsspezifische Regelungen, die den besonderen Risiken eines Anwendungsbereichs gerecht werden. Nur so kann er der Unterkomplexität der gegenwärtigen Datenschutz-Grundverordnung abhelfen.
4 Konzepte und Instrumente zur Bewältigung der technisch-ökonomischen Herausforderungen
Damit Recht die Grundrechte in einer digitalen Welt schützen und fördern kann, muss es die Entwicklung der Informationstechnik nach rechtlichen Kriterien steuern und technische Systeme grundrechtsverträglich gestalten. Dieser Anspruch einer rechtliche Steuerung ist jedoch mit folgenden Grundproblemen konfrontiert:
- Die technisch-ökonomischen Herausforderungen für den Grundrechtsschutz sind globaler Natur. Die riskanten Techniken werden weltweit von sehr vielen Datenverarbeitern eingesetzt. Vor allem global agierende Großkonzerne mit übergroßer Wirtschaftsmacht bieten besonders datenorientierte Dienste an und beuten Profile von Milliarden Personen aus. Hier stellt sich das Problem, wie nationale Demokratien – in dieser Hinsicht gilt auch die Europäische Union als nationale Demokratie – diese weltweite Gefährdung der Grundrechte begrenzen können.
- Viele soziale Ziele der Machtsteigerung, der Gewinnmaximierung, der Kontrolle und Verhaltenssteuerung erscheinen durch ihre Inkorporation in technische Systeme den betroffenen Personen und den politischen Akteuren als technische Sachzwänge. Die technischen Systeme hätten immer auch anders gestaltet werden können. Sie wurden jedoch meist gezielt so gestaltet, um mit dem technischen Sachzwang jeweils (auch) das gewünschte soziale Ziel zu erreichen. Werden sie z. B. individualisiert angeboten, erzwingen sie die Bildung von Profilen über die Nutzenden und ermöglichen deren Kontrolle. Arbeitet z. B. ein Techniksystem mit bestimmten Statistikmustern, erfordert es die Anwendung von Big Data-Analysen und ermöglicht kollektive Verhaltenssteuerungen. Hier stellt sich das Problem einer grundrechtsförderlichen und machtbegrenzenden Technikgestaltung.
- Soweit Techniksysteme den Charakter von Infrastrukturen der digitalen Gesellschaft annehmen, wie dies etwa bei bestimmten Plattformen und Suchsystemen der Fall ist, entwickeln sie einen besonderen Zwangscharakter. Technische Infrastrukturen sind Techniksysteme, die ständig und flächendeckend Dienstleistungen gleicher Qualität erbringen (sollen). Für ihre Nutzung gelten Bedingungen und Regeln, die alle beachten müssen, die sie nutzen. Wer diese Bedingungen und Regeln bestimmen kann, schafft den idealen Sachzwang. Für die meisten Nutzenden ist die Nutzung der Infrastruktur nicht freiwillig, weil sie auf diese aus sozialen oder beruflichen Gründen angewiesen sind. Sie haben keine Auswahl auf einem Markt verschiedener Möglichkeiten, sondern sind gezwungen, diese Infrastrukturen zu den geforderten Bedingungen zu nutzen. Hier stellt sich das Problem, die gesellschaftliche Verantwortung digitaler Infrastrukturen für die Grundrechte ihrer Nutzenden einzufordern.
- Zu vielen datenhungrigen Technikanwendungen wird aber niemand gezwungen. Vielmehr werden sie freiwillig genutzt, weil sie den Nutzenden die Erfüllung ihrer Träume versprechen. Vor allem die Datenverarbeitung im Alltag (IoT) verspricht eine schöne neue Welt, in der die Informationstechnik zu weniger lästiger Arbeit, zu einem lückenlosen Gedächtnis, zu einer Erweiterung der Sinne, zu mehr Kreativität, zu besserer Gesundheit oder zu alltäglicher Sicherheit verhilft. Diese Wunschträume verführen zur Nutzung dieser Technikanwendungen und zur Inkaufnahme der scheinbar notwendig mit ihnen verbundenen Verarbeitung personenbezogener Daten. Hier stellt sich das Problem, wie Grundrechtsschutz gegen die Risiken der Technik von der individuellen Zustimmung gelöst und objektiviert werden kann.
Trotzt dieser Schwierigkeiten und Widerstände ist grundsätzlich am Ziel von Datenschutz und Selbstbestimmung sowie dem Schutz weiterer Grundrechte festzuhalten. Es ist in der digitalisierten Welt – mithilfe der einschlägigen Schutzregelungen – auch gegen widerständige Umstände und Interessen weiterhin durchzusetzen.
4.1 Rechtliche Gestaltung grundrechtsriskanter Techniksysteme
Informationstechnik verändert die Verwirklichungsbedingungen von Grundrechten. Sie kann ihre Wahrnehmung stärken. Sie kann neue Möglichkeiten der Selbstbestimmung und Selbstentfaltung bieten oder Leben und Gesundheit besser schützen. Sie kann aber auch – und das ist wahrscheinlicher – Machtpositionen stärken und Verhaltenssteuerung erleichtern. Welche dieser Potentiale verwirklicht werden und wer die Oberhand in der Nutzung der jeweiligen Technik gewinnt, ist letztlich die entscheidende Machtfrage. Wer in einer technikgeprägten Welt Freiheit sichern und Macht begrenzen will, muss Informationstechnik so gestalten, dass sie machtbegrenzend und freiheitsfördernd wirkt. Wenn Technik der stärkste Bestimmungsfaktor ist, um menschliches Verhalten zu steuern, muss Recht Technik gestalten, um diese Ziele zu erreichen.
Notwendig ist hierfür eine rechtliche Gestaltung von Informationstechniksystemen. Diese wird nicht dadurch bewirkt, dass Recht Allgemeinplätze vorgibt wie zum Beispiel „Stand der Technik“. Denn dies überlässt Technikern, die Kriterien und ihre Umsetzung zu bestimmen. Ziel der Technikentwicklung ist sehr oft eine Machtsteigerung für den Investor. Er stellt die Anforderungen an die Technik oft so, dass das Techniksystem vor allem diese Wirkung erzielt. Die Datenverarbeitung für eine fertig entwickelte Technik erscheint dann oft als Sachzwang. Das Techniksystem hätte aber auch anders gestaltet werden können – mit anderen Folgen für die Grundrechte. Wenn Recht die Technikentwicklung beeinflussen soll, um seine Ziele zu erreichen, ist es besonders wichtig, alternative Gestaltungsmöglichkeiten aufzugreifen und Gestaltungen vorzuschreiben, die machtbegrenzend und freiheitsfördernd sind.
Hierfür sind bereichsspezifische Vorgaben für hilfreiche oder zu verhindernde Technikfunktionen notwendig – z. B. für Smart Cars, für Smart Home oder für selbstlernende KI-Systeme in einem bestimmten Anwendungsbereich. Beispielsweise bedarf der Datenschutz bei vernetzten Automobilen einer bereichsspezifischen Regelung, weil nur so die besonderen Risiken durch die Verarbeitung von personenbezogenen Daten aus dem vernetzten und künftig selbständig fahrenden Automobil adäquat erfasst und allen Beteiligten entsprechende Rechts- und Innovationssicherheit geboten werden können. Unter anderen sollten folgende rechtliche Vorgaben bestehen:
- Nach dem Prinzip des „Privacy by Design“ und des „Privacy by Default“ sollten die Datenverarbeitung im Auto für den Halter oder den Fahrer so konfiguriert, die Architektur der Datenverarbeitungssysteme so datenschutzfreundlich (z. B. Datenhaltung im Auto statt auf einem Server) und die Prozesse so an den Anforderungen des Datenschutzrechts (z. B. implementierte Löschkonzepte) orientiert sein, dass sie die Datenschutzgrundsätze umsetzen.
- Zur Transparenz für betroffene Personen sollte jeweils eine umfassende und verständliche Information erfolgen, bei welchem Dienst welche Daten generiert und verarbeitet werden sowie welche Daten auf welchen Wegen und zu welchen Zwecken übermittelt werden.
- Bei der freiwilligen oder vertraglich vereinbarten Datenübermittlung an Dritte sind Fahrzeughalter und Fahrer technisch in die Lage zu versetzen, diese zu kontrollieren und zu unterbinden.
- Personenbezogene Daten sollten prinzipiell im Auto selbst verbleiben und nur anonymisierte oder pseudonymisierte Daten im Backend der Hersteller oder Diensteanbieter verarbeitet werden.
- Außerdem ist festzulegen, welche Datenkategorien nur flüchtig und welche für einen gewissen Zeitraum, welche anonym, pseudonym und personenbezogen gespeichert werden dürfen.
- Zulässige Zweckänderungen sind spezifisch und bestimmt zu regeln – etwa für die Aufklärung von Verkehrsunfällen ab einer bestimmten Schwere.
- Für Unfalldatenspeicher sind die Daten festzulegen, die erhoben, gespeichert oder übermittelt werden sollen, und verfahrensrechtliche und technische Schutzvorkehrungen zu bestimmen.
- Die Anforderungen an den Datenschutz gegenüber Herstellern sollten bei der Zulassung der Automobile geprüft werden. Die Umsetzung der Anforderungen gegenüber Diensteanbietern sollten diese durch ein Audit oder eine Zertifizierung nachweisen.
Um zu verhindern, dass rechtliche Regelungen schnell ihre Wirksamkeit verlieren, sollten sie – entsprechend einer richtig verstandenen Technikneutralität – keine konkreten technischen Merkmale regeln, die von einer Weiterentwicklung der Technik bald überholt werden. Richtig und notwendig ist es jedoch, risikoreiche Funktionen einer Techniklinie zu regeln. Nur so lassen sich die spezifischen Risiken adressieren – und die Regelungen mit dem nächsten Update weiterhin anwenden.
Dagegen verkennt die überzogene Ideologie der Technikneutralität, wie sie in der Datenschutz-Grundverordnung Anwendung findet, dass Macht in jede Ritze dringt, die rechtliche Regelungen aufweisen, und jede Leerstelle besetzt, die Recht bestehen lässt. Diese „Technikneutralität“ ist ein technokratisches, vermeintlich wertfreies Ordnungskonzept, das aber den Machtfaktor ignoriert. Ebenso schädlich ist aber auch die machtvergessene Naivität, die meint, die vielen Leerstellen der Datenschutz-Grundverordnung ließen Raum für datenschutzgerechte Lösungen nach den jeweils eigenen Vorstellungen. Dies wäre allenfalls dann der Fall, wenn man die Macht hätte, die eigenen Lösungen gegen Widerstand durchzusetzen. Was nicht explizit geregelt ist, entwickelt sich so immer zum Nachteil des Schwächeren. Statt abstrakt zu sein, müssen rechtliche Regelungen Technikfunktionen so regulieren, dass unerwünschte Macht das gewünschte Ziel der Machtbegrenzung nicht konterkarieren kann.
Das Umweltrecht ist hier einen deutlichen Schritt weiter. Hier ist anerkannt, dass Industrieunternehmen letztlich klare und für Ingenieure eindeutige Vorgaben benötigen, um tatsächliche Änderungen zu bewirken. Zwar gibt es auch hier abstrakte Vorgaben wie die Vermeidung schädlicher Umwelteinwirkungen, die Vorsorge für eine nachhaltige Entwicklung oder die Beachtung des Stands der Technik. Doch werden diese abstrakten Vorgaben durch Grenzwerte oder Beschaffenheitsanforderungen konkretisiert, die mess- und nachprüfbar sind.
4.2 Objektiver Grundrechtsschutz
Bisher ist das Datenschutzrecht stark individualistisch ausgerichtet und unterstellt vielfach, dass die Grundrechte auf Datenschutz und informationelle Selbstbestimmung gewahrt werden können, indem gleichberechtigte Partner die Zwecke und Bedingungen der Datenverarbeitung aushandeln. Dementsprechend sieht Art. 6 Abs. 1 UAbs. 1 lit. a und b DSGVO die Einwilligung der betroffenen Person oder einen Vertrag mit ihr als ausreichende Grundlage der Verarbeitung auch sehr umfangreicher und sehr persönlichkeitsbezogener Daten an. Das Datenschutzrecht vertraut hier darauf, dass Transparenz und Eigenverantwortung für den Schutz der Grundrechte ausreichend sind: Der Datenverarbeiter muss die betroffene Person über die Datenverarbeitung informieren und diese kann dann entscheiden, ob sie in die Datenverarbeitung einwilligt oder mit dem Datenverarbeiter einen entsprechenden Vertrag schließt.
Dieses Konzept ignoriert jedoch die faktischen Machtverhältnisse. Dies nutzen z. B. Internetkonzerne aus. Sie lassen sich durch Einwilligungen von jeglichen Rechtsverpflichtungen befreien und etablieren in Form von Allgemeinen Geschäftsbedingungen ein eigenes Regelungsregime. Dieses erlaubt ihnen, die Daten ihrer Nutzer zu vielfältigen Zwecken auszubeuten, deren Rechte einzuschränken und ihre eigenen Handlungsspielräume extrem auszuweiten. Diese Einwilligungslösung ist auch nach Geltung der Datenschutz-Grundverordnung weiterhin die rechtliche Grundlage für die Macht der Konzerne. Insofern lässt die Verordnung das Individuum, das beruflich oder sozial zur Nutzung der digitalen Plattform gezwungen ist, im Stich.
Dieses Beispiel zeigt, dass die Fragen des Grundrechtsschutzes nicht allein der Vereinbarung ungleicher Vertragspartner überlassen werden darf. Unter den beschriebenen Umständen asymmetrischer Machtverteilung und struktureller Grundrechtsrisiken ist das Modell der wohlinformierten Techniknutzenden, die nach individuellen Verhandlungen freiwillig ihre Daten preisgeben, für den Grundrechtsschutz nicht adäquat. Vielmehr müssen die Schutzregelungen die objektive Funktion des Rechts stärker betonen.
Recht muss in solchen Fällen einseitiger Machtausübung die Möglichkeit der Einwilligung beschränken und die Vertragsgestaltung der Datenverarbeitung auf objektive Funktionen der Leistungserbringung beschränken. Art. 7 Abs. 4 DSGVO enthält hierzu einen viel zu schwachen Ansatz. Nach dieser Vorschrift muss bei der Beurteilung, ob eine Einwilligung freiwillig erteilt wurde, dem Umstand einer Kopplung von Vertragsabschluss und Einwilligung nur „in größtmöglichem Umfang Rechnung getragen werden“. Sie enthält nur eine „Berücksichtigungspflicht“ und soll im Ergebnis nicht bei den Social Networks greifen, wenn die Einwilligung wirtschaftlich die Gegenleistung für die geldfreien Leistungen der Plattform ist.Footnote127 Bis zum Geltungsbeginn der Datenschutz-Grundverordnung waren die Rechte der betroffenen Person im deutschen Datenschutzrecht nicht abdingbar. Diese Regelung ist mit der Datenschutz-Grundverordnung entfallen. Sie hätte im Rahmen der Evaluation der Datenschutz-Grundverordnung wieder eingeführt und ausgeweitet werden können. Dies sollte möglichst bald nachgeholt werden.
Außerdem sind unterschiedliche rechtliche Ansatzpunkte zur Steuerung der Technikentwicklung enger zusammenzuführen und abzustimmen, wie dies etwa bei der Bewertung von Allgemeinen Geschäftsbedingungen erforderlich ist, um tatsächlich Gestaltungsmacht des Rechts gegenüber der Technik zu erreichen. Wenn z. B. Datenschutzrecht, Verbraucherschutzrecht, Wettbewerbsrecht und Steuerrecht hinsichtlich des Grundrechtsschutzes der strukturell wirtschaftlich Schwächeren zusammenarbeiten, können die Grundrechte des Datenschutzes und der informationellen Selbstbestimmung auch in extremen Machtasymmetrien objektiv gewährleistet werden.
4.3 Infrastrukturverantwortung
Auch die Betreiber von digitalen Infrastrukturen nehmen Aufgaben der Daseinsvorsorge in der digitalen Gesellschaft wahr. Sie sind daher mit den Betreibern der Straßen, des Bahnverkehrs, des Briefverkehrs, der Wasserver- und -entsorgung, der Abfallentsorgung oder der Energieversorgung in der analogen Welt vergleichbar. Ohne ihre Infrastrukturleistungen wäre das gesellschaftliche Zusammenleben infrage gestellt und die Ausübung von Grundrechten gefährdet. Infrastrukturbetreiber haben daher, unabhängig ob sie privatrechtlich oder öffentlich-rechtlich verfasst sind, eine gesteigerte gesellschaftliche Verantwortung und unterliegen in besonderem Maß staatlicher Aufsicht. Sie haben auch die Grundrechte der von ihnen Abhängigen in besonderer Weise zu achten und zu schützen.
Dies gilt in verstärkter Weise, wenn die Infrastrukturbetreiber durch autoritative Setzung eine eigene Rechtsordnung in Form von Gemeinschaftsregeln erstellen, die staatlichen Rechtsregeln, die durch demokratische Prozesse zustande kommen, Konkurrenz machen. Im Zweifelsfall müssen das staatliche Recht und erst recht die Grundrechte der Grundrechtecharta und des Grundgesetzes diesen Gemeinschaftsstandards vorgehen. Soweit Grundrechte betroffen sind, muss die Ausgestaltung und der Betrieb der Infrastrukturen stärker an diesen als an ökonomischen Konzernzielen ausgerichtet sein.
Daher sind mit der Rechtsprechung des Bundesverfassungsgerichts die öffentliche Verantwortung von Infrastrukturbetreibern und ihre verstärkte Grundrechtsbindung zu betonen. Wenn Grundrechte Freiheit schützen, indem sie Macht begrenzen, und wenn Macht stärker von Infrastrukturbetreibern ausgeübt wird als vom Staat, können sich die Grundrechte nicht nur gegen den Staat richten. Sie müssen auch diejenigen verpflichten, die durch ihre technischen Infrastrukturen diese Macht ausüben. Als privatwirtschaftliche Konglomerate können sie sich zwar grundsätzlich auf Berufs- und Eigentumsfreiheit berufen. Wie das Bundesverfassungsgericht z. B. 2016 in seinem Urteil zum Atomausstieg festgestellt hat, wird dieser Grundrechtsschutz jedoch immer schwächer, je weiter er sich vom Zweck dieser Grundrechte entfernt, den Erwerb der Lebensgrundlagen und die persönliche Freiheit zu sichern. Wenn die Ausübung dieser Grundrechte zur Akkumulation von enormer gesellschaftlicher Macht führt, die die Freiheit anderer Menschen gefährdet, dann muss diese Macht – nach den Entscheidungen des Bundesverfassungsgerichts zu Fraport, zum Bierdosen-Flashmob, zum Fußballstadionverbot und zu Social Networks – durch die Grundrechte anderer begrenzt werden. „Je nach Gewährleistungsinhalt und Fallgestaltung kann … die mittelbare Grundrechtsbindung Privater einer Grundrechtsbindung des Staates … nahe oder auch gleich kommen“. Dies kommt für den „Schutz der Kommunikation“ insbesondere dann in Betracht, „wenn private Unternehmen die Bereitstellung schon der Rahmenbedingungen öffentlicher Kommunikation selbst übernehmen und damit in Funktionen eintreten, die – wie die Sicherstellung der Post- und Telekommunikationsdienstleistungen – früher dem Staat als Aufgabe der Daseinsvorsorge zugewiesen waren“. Diese Überlegung dürfte vor allem für private Anbieter relevant werden, die Infrastrukturen der digitalen Gesellschaft betreiben: Je abhängiger die Gesellschaft von ihren Infrastrukturleistungen ist und je tiefgreifender ihre Leistungserbringung die Verwirklichung von Grundrechten, insbesondere der informationellen Selbstbestimmung und der gesellschaftlichen Kommunikation, beeinflusst, desto eher unterliegen sie einer staatsgleichen Grundrechtsbindung.
Für die Adressaten von Grundrechten gilt somit: Je größer die gesellschaftliche Macht, desto stärker muss die Bindung an Grundrechte sein. Diese ist dogmatisch weiterzuentwickeln und auf die Machtzentren anzuwenden. Für die Freiheit spielt es keine Rolle, wer sie gefährdet. Angesichts der zunehmenden Machtkonzentration erwächst für Demokratie und Rechtsstaat daher im Schutz der Freiheit die wohl wichtigste Aufgabe der Zukunft.
4.4 Globalisierung des Grundrechtsschutzes
Wie aber soll Deutschland oder die Europäische Union ihre Regeln zu Beachtung der Grundrechte und zur grundrechtsverträglichen Gestaltung der Informationstechnik gegenüber global agierenden Internetkonzernen durchsetzen, von denen besondere Grundrechtsrisiken ausgehen? Das globale Internet und die Globalisierung der Herausforderungen für die Grundrechte erfordern eigentlich globale Regelungen. Die Vergangenheit zeigt jedoch, dass auf internationaler Ebene – wenn diese überhaupt gegen den Widerstand der USA und Chinas vereinbart werden könnten – als globale Datenschutzregeln allenfalls nichtssagende Allgemeinfloskeln zu erreichen sind – wie etwa die OECD-Regeln zum Datenschutz.
Hilfreiche Regulierungen zum Schutz der Grundrechte sind allenfalls auf Ebene der Europäischen Union möglich. Diese haben weltweit ein großes Gewicht, auch wenn die Europäische Union hinter USA und China nur die drittgrößte Volkswirtschaft der Welt repräsentiert. Immerhin steht sie für einen Markt mit weitgehend einheitlichen oder vergleichbaren Datenschutzregeln mit über 450 Mio. Einwohnern. Mit der Datenschutz-Grundverordnung hat die Europäische Union Datenschutzregelungen geschaffen, die auch für global agierende Konzerne gelten. Hierfür ist vor allen das Betroffenenprinzip des Art. 3 Abs. 2 DSGVO relevant, das die Datenschutz-Grundverordnung weitgehend dann für anwendbar erklärt, wenn Daten von Personen in der Europäischen Union verarbeitet werden. Und ihre Regelungen sind auch gegenüber Unternehmen außerhalb der Union durchsetzbar, solange diese Geschäfte auf dem europäischen Markt tätigen wollen – wie die Sanktionen nach Art. 83 DSGVO gegenüber Apple und Google zeigen.
Die Datenschutz-Grundverordnung will außerdem ihr Datenschutzniveau, das – bei aller Verbesserungsbedürftigkeit und -fähigkeit im Einzelnen – im Vergleich zu allen anderen Datenschutzgesetzen weltweit führend ist, global exportieren. Sie lässt nämlich die Übermittlung von Daten von Personen aus der Europäischen Union in andere Ländern nach Art. 45 DSGVO vor allem dann zu, wenn die Kommission festgestellt hat, dass das Drittland ein „angemessenes Schutzniveau bietet“. Um als angemessen zu gelten, müssen die Datenschutzregelungen und die Datenschutzpraxis in dem Drittland nicht dem Vorbild in der Europäischen Union exakt gleichen, aber diesem adäquat sein. Solche Angemessenheitsentscheidungen sind bisher für 13 Staaten getroffen worden. Der jüngste Anerkennungsbeschluss betrifft den nicht-öffentlichen Sektor in Japan. Um diese Anerkennung zu erreichen, hatte sich Japan neue Datenschutzregelungen gegeben. Auch viele weitere Staaten weltweit haben – wie etwa Brasilien, Chile, Süd-Korea, Kenia, Indien, Indonesien und sogar Kalifornien – haben neue Datenschutzregelungen getroffen oder bereiten solche vor, um auf der Grundlage eines Anerkennungsbeschlusses mit der Europäischen Union personenbezogene Daten ohne Beschränkung austauschen zu können.
Die Datenschutz-Grundverordnung ist weltweit ein Vorbild. Sie regelt erstmals für die gesamte Europäische Union einheitlich und unmittelbar die Grundsätze einer zentralen Gestaltungsaufgabe aller Bereiche der digitalen Gesellschaft, nämlich der Verarbeitung personenbezogener Daten. Die Verordnung hat globale Dimensionen und dient vielen Staaten als Vorbild für einen dritten Weg der Entwicklung in die digitale Welt: Zwischen dem amerikanischen Modell des rücksichtslosen Datenkapitalismus und dem chinesischen Modell der umfassenden Überwachungsdiktatur zeigt die Datenschutz-Grundverordnung einen nachahmenswerten Entwicklungspfad. Sie gibt die Richtung an, wie die Nutzung personenbezogener Daten für gesellschaftliche, ökonomische und staatliche Zwecke mit der Achtung und dem Schutz von Grundrechten und Freiheiten vereinbart werden kann.
CC BY
Roßnagel, A., Bile, T., Geminn, C.L., Nebel, M. (2022). Neue Konzepte für den Grundrechtsschutz in der digitalen Welt. In: Roßnagel, A., Friedewald, M. (eds) Die Zukunft von Privatheit und Selbstbestimmung. DuD-Fachbeiträge. Springer Vieweg, Wiesbaden
https://doi.org/10.1007/978-3-658-35263-9_1
Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.