DSGVO-Beurteilung durch Regierung & EU-Staaten – Großer Status Quo Mehrteiler/ Teil-1 Einführung

Große Evaluation der Regierung & EU-Staaten: Die folgenden Beiträge berichten zu den erfolgten Untersuchungen der DSGVO. Nachdem nun Jahre später zur Inkrafttretung genügend Erfahrungen mit der DSGVO gesammelt werden konnte. Auf dieser Grundlage aus dem Vorwort beschränkt sich die nachfolgende Analyse nicht darauf, der Datenschutzgrundverordnung – Mängel aus Verbrauchersicht aufzuzeigen, sondern kann auch erste Verbesserungsvorschläge aus Verbrauchersicht geben.

 

 

  1. Vorwort

Am 24. Mai 2016 entstand, nach mehr als vierjährigen Verhandlungen, durch das Europäische Parlament und dem Rat vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten Verordnung (EU) 2016/679 über den freien Verkehr Daten und Aufhebung die aktuelle Richtlinie 95/46/EG (DSGVO), die Datenschutzgrundverordnung.

 

Nach einer zweijährigen Übergangsfrist gilt sie ab dem 25. Mai 2018 direkt für alle EU-Mitgliedstaaten. Seitdem wird die DSGVO auf die Praxis der Verarbeitung personenbezogener Daten angewendet. Für die von der Verarbeitung personenbezogener Daten betroffenen Personen bringt die DSGVO gegenüber der bisherigen Rechtslage Vor- und Nachteile mit sich. Bei der Datenverarbeitung durch private Unternehmen sind die meisten Betroffenen auch Verbraucher. Im Folgenden beziehen sich „betroffene Person“ und „Verbraucher“ daher stets auf dieselbe natürliche Person. Dieser Personenkreis braucht den stärksten Schutz, da er wirtschaftlich gesehen der schwächste Marktteilnehmer ist. Für sie ist die drängendste Frage, ob die Datenschutzgrundverordnung das Für und Wider verschiedener Interessengruppen abwägt.

 

1.1. Status Quo – Aktueller Stand der europäischen Datenschutzgesetze

 

Seit dem 25.05.2018 ist die DSGVO mit all ihren Regelungen in allen Mitgliedsstaaten in Kraft und Bestandteil deren Rechtsordnung. Es bestimmt im Wesentlichen die Datenschutzgesetze der Europäischen Union und des Europäischen Wirtschaftsraums. Sie hat Vorrang vor allen Regelungen der Mitgliedsstaaten. Bei unterschiedlichen Ergebnissen der Anwendung nationaler Vorschriften ist die DSGVO anzuwenden. Dies gilt jedoch nur für Prinzipien. Denn sie enthält 70 Öffnungsklauseln. Auf diese Weise hat es den Mitgliedstaaten die Möglichkeit gegeben, in vielen Bereichen und Aspekten zu überwachen.

Daher werden die europäischen Datenschutzgesetze gemeinsam von der Europäischen Union und den Mitgliedstaaten geregelt. Infolge der DSGVO wurde das Bundesdatenschutzgesetz überarbeitet und rund 200 Gesetze mit Datenschutzbestimmungen durch nur drei weite Klauseln des Bundes angepasst. Es wurde jedoch weder ein einzelnes Datenschutzgesetz aus dem Gesetz gestrichen, noch wurde ein Kapitel zum Datenschutzrecht gestrichen. Trotz der allgemeinen Datenschutzbestimmungen gelten diese weiterhin. Die Datenschutz-Grundverordnung vereinheitlicht daher nicht das europäische Datenschutzrecht, sondern unterstellt es der gemeinsamen Aufsicht der Union und der Gesetzgeber der Mitgliedstaaten.

Wer also wissen möchte, was das geltende deutsche Datenschutzrecht regelt, muss sich immer in der DSGVO und den einschlägigen deutschen Gesetzen durchlesen. Für den Verbraucherdatenschutz gelten grundsätzlich die DSGVO-Bestimmungen, sie gelten jedoch zu Einzelfragen auch für die Bestimmungen des Bundesdatenschutzgesetzes.

Die Datenschutz-Grundverordnung orientiert sich im Wesentlichen an einer alten Zielsetzung und Herausforderung der Datenschutzrichtlinie 95/46/EG von 1995.7 Sie übernimmt unter anderem im Wesentlichen die Bestimmungen zum Umfang der Materialien und des Raums in Artikel 5, Artikel 2 der und 3 Datenverarbeitungsgrundsätze. Es bleibt unverändert: In Artikel 6 ist buchstäblich eine Erlaubnispflicht für die Datenverarbeitung und in Artikel 9 grundsätzlich eine Vorschrift für besondere Kategorien personenbezogener Daten.

Hinsichtlich der Betroffenenrechte stützen sich auch die Artikel 12 bis 23 im Wesentlichen auf diese Richtlinie. In Art. 28 und Art. 29 DSGVO greifen die Regelungen grundsätzlich auf die Auftragsverarbeitungsvorgaben der Richtlinie zurück. Für die Anforderungen an die Datensicherheit ist im Wesentlichen Art. 32 zuständig, Art. 44 bis 50 sind die konzeptionellen Grundlagen der Datenübermittlung in Drittstaaten und Art. 51 bis 59 sind die Konzepte zu Stellung und Aufgaben von Aufsichtsbehörden.

Die Regeln werden in den Regelungen konkretisiert, umgestaltet oder erweitert, aber nicht konzeptionell weiterentwickelt. Sie enthält jedoch in einigen Bereichen auch Neuerungen, die nicht oder nur implizit in den Leitlinien enthalten sind. Diese neuen Instrumente betreffen hauptsächlich die Pflichten der verantwortlichen Person und die Umsetzung der Aufsichtsbehörden, des zuständigen Personals und ihrer Verbände. Diese Innovationen wecken große Hoffnungen für die Verbraucher.

Die Neuerung des Art. 3 Abs. 2 DSGVO besteht beispielsweise darin, den Raum durch das Wohnsitzprinzip zu erweitern. Wenn der Auftragsverarbeiter personenbezogene Daten von Personen mit Sitz in der Europäischen Union verarbeitet, gilt dementsprechend auch diese Verordnung. Dies gilt jedoch nur, wenn der Auftragsverarbeiter die Waren oder Dienstleistungen der betroffenen Person bereitstellt oder die Datenverarbeitung der Überwachung ihres Verhaltens in der Europäischen Union dient. Diese Erweiterung gewährleistet gleiche Wettbewerbsbedingungen auf dem europäischen Markt zwischen EU-Lieferanten und Lieferanten außerhalb der EU und vereinfacht die Ausübung der Rechte betroffener Personen.

Das Recht betroffener Personen nach Art. 20, die von ihnen bereitgestellten Daten dem Verantwortlichen an einen anderen Auftragsverarbeiter zu übermitteln, bleibt unberührt. Innovativ ist auch die Anforderung an den Verantwortlichen nach Art. 25, den Datenschutz durch Systemgestaltung und Voreinstellungen herzustellen.

Neu ist auch die Verpflichtung aus Art. 35, vor der Verarbeitung von Risikodaten eine Datenschutz-Folgenabschätzung durchzuführen. Eine engere Zusammenarbeit zwischen den EU-Regulierungsbehörden erfordert die Umsetzung gesonderter Regelungen in den Artikeln 60 bis 76 der DSGVO. Eine weitere bemerkenswerte Änderung ist Artikel 83 der, der bei Verstößen gegen Vorschriften empfindliche Sanktionen vorsieht. Nach Art. 83 Abs. 5 DSGVO kann bei dort aufgeführten Verstößen ein Bußgeld in Höhe von bis zu 20 Millionen Euro verhängt werden, bei einem Unternehmen bis zu 4 % des weltweiten Jahresumsatzes im abgelaufenen Geschäftsjahr. Es kommt immer darauf an, welcher Betrag höher ist.

 

 

1.2. Herausforderungen bezüglich der Privatsphäre der Verbraucher

Die Datenschutz-Grundverordnung soll die Datenschutzgesetze der Mitgliedsstaaten ersetzen. Früher gab es in den Mitgliedstaaten Hunderte von Datenschutzbestimmungen, heute gelten 99 der Datenschutz-Grundverordnungen. Darunter befassen sich nur 50 Artikel mit wichtigen Fragen des Datenschutzes, weitere Artikel befassen sich hauptsächlich mit den Aufgaben, Fähigkeiten und der Zusammenarbeit von Aufsichtsbehörden sowie anderen organisatorischen Fragen. Um in 50 Artikeln verschiedene Datenschutzfragen in allen sozialen, wirtschaftlichen und administrativen Bereichen der EU zu regeln, musste der EU-Gesetzgeber ein sehr hohes Abstraktionsniveau wählen. In Bezug auf den Verbraucherdatenschutz enthält die Datenschutz-Grundverordnung auf dieser abstrakten Ebene einige Verbesserungen – in Bezug auf den Anwendungsbereich, die Anerkennung der Grundsätze der Datenverarbeitung, die Rechte der betroffenen Personen und 10 Verantwortliche für neue Pflichten, strenge Androhung von Sanktionen vor Ort und neue Möglichkeiten für Verbraucher, Regulierungsbehörden anzurufen und Verbraucherverbände einzubeziehen

Sie erleichtert aber auch die Verarbeitung personenbezogener Daten, ermöglicht eine Änderung des Zwecks der Datenverarbeitung, reduziert einige Pflichten des Verantwortlichen und schafft viele Möglichkeiten, die Rechte der betroffenen Person zu überschreiten. Vor allem hat sie keine einzige Verordnung formuliert, die sich speziell mit den modernsten Herausforderungen des Datenschutzes in technischen Anwendungen befasst. Die Risiken von Big Data, intelligenter Informationstechnologie im täglichen Leben, Cloud Computing, adaptiven Systemen, künstlicher Intelligenz, sozialen Netzwerken oder anderen datengetriebenen Geschäftsmodellen sind noch nicht konkret geregelt.

Praktisch ist entscheidend, wie sich die günstig oder ungünstig klingenden Regelungen in ihrem hohen Abstraktionsgrad konkretisieren. Dazu ist es unabdingbar, dass die Datenschutzaufsichtsbehörde eingreift und irgendwann das Gericht entscheiden kann, der Verantwortliche aber zunächst die Regelungen verstehen und ausarbeiten kann. In jedem Interessenkonflikt werden sie jede Art von Mehrdeutigkeit, Ungenauigkeiten und Schlupflöchern nutzen – nur zu ihrem Vorteil, um verschiedene Abstraktionen durchzuführen. Die Erfahrung hat gezeigt, dass, solange das Recht Regulierungsspielräume eröffnet, gesellschaftliche, politische und wirtschaftliche Macht irgendwann einseitige Ergebnisse durchdringen und durchsetzen wird.

Im Folgenden werden zwei unterschiedliche Regulierungsschwächen als
Datenschutzgrundverordnung-Mängel angesehen. Einer davon kann meiner Meinung nach sein, dass die Vorschriften bestimmte Anwendungsvoraussetzungen oder Anwendungsfolgen ignorieren oder ignorieren, was zu unausgewogenen Vorschriften führt. Den gleichen Effekt haben die Schlupflöcher, die die überwachungsbedürftigen Fragen unbeaufsichtigt lassen und ihre Antworten den Starken überlassen. Dadurch begünstigen sie in unangemessener Weise bestimmte Interessen und benachteiligen andere. Andererseits kann die Undurchführbarkeit der Aufsicht auch Schwächen aufweisen. Dies fehlt, wenn die Regelungen vage oder mehrdeutig sind, Wertkonflikte mit anderen Regelungen oder sonstige Widersprüche oder Konflikte mit Regelungen enthalten. Wenn sie Investitionsstaus, Rechtsunsicherheiten, Durchsetzungshindernisse, Bewegungshindernisse und Unverständnis verursachen, werden sie zu Fehlern in der Datenschutzpraxis.

In vielen Fällen haben Rechtsanwälte, Berater sowie Dokumentations- und Aufsichtsbehörden nach und nach – bisher nur in wenigen Fällen nur langsam – Maßnahmen ergriffen und die Europäische Datenschutzkommission hat versucht, diese Mängel durch entsprechende Auslegungsversuche zu beheben. Diese führen jedoch immer zu interessenbasierten Streitigkeiten, deren Beilegung einen langen Zeitraum und großen Aufwand erfordert. Es wird lange dauern, bis der Europäische Gerichtshof das Defizit im Einzelfall beseitigt und für Rechtssicherheit und Interessenabwägung sorgt. In vielen Fällen hat der Impuls für die technologische Entwicklung das Problem überschritten. Da das Gericht an den Datenschutzgrundverordnungstext gebunden ist, kann es in vielen Fällen nicht einmal die notwendigen Korrekturen vornehmen. Schließlich sorgt nicht jede Entscheidung des Gerichts für Klarheit, sondern lässt mehr Fragen offen als zuvor – genau wie zwei geteilte Verantwortlichkeiten. Daher sollte der europäische Gesetzgeber diese Mängel so schnell wie möglich beheben. Notwendige und mögliche Verbesserungen des Verordnungstextes sind daher das zentrale Thema der folgenden Forschung.

1.3. Ziele und Struktur

Die nachfolgende Forschung verfolgt daher zwei Ziele, die sich auf die unterschiedlichen Dimensionen und Art der Regulierungsfragen der Datenschutzgrundverordnung beziehen: Einerseits soll sie individuelle Schwächen in der Regulierung konkreter Datenschutzfragen ausgleichen. Dazu analysierte sie die aktuelle Ausgestaltung der Datenschutz-Grundverordnung aus Verbrauchersicht und fokussierte auf die Mängel der Verordnung in ihrer bisherigen Anwendung und wie die Verordnung verbessert werden muss, um dieses Problem auszugleichen. Sie sollten erwartungsgemäß beseitigt, klargestellt oder genauer bezeichnet werden, damit die DSGVO ihre Regulierungsziele wirklich erreichen kann. Ziel dieses Abschnitts ist es, konkrete Regelungen vorzuschlagen, mit denen die Aufsicht verbessert werden kann, ohne das allgemeine Aufsichtskonzept in Frage zu stellen. Diese Verbesserungen können ohne großen Aufwand und eingehende Diskussion umgesetzt werden.

Andererseits soll eine längerfristige Konzeption zur Weiterentwicklung der EU-Datenschutzgrundverordnung und des Datenschutzes erfolgen, die es ermöglicht, bisher ungelöste und zukünftige datenschutzrechtliche Herausforderungen zu bewältigen. Hier geht es um die Gedanken und Argumente der laufenden Diskussionen zur zukünftigen Ausgestaltung des Datenschutzaufsichtssystems. Diese beiden Ziele bestimmen den Aufbau der folgenden Umfrage.

 

 

Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):

2. Inhaltsverzeichnis

2.1. Inhaltsverzeichnis (Beitrag 2a):

2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)

2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)

2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)