30: DSGVO: Bleibt alles beim alten Neuen?
Geschrieben von Frank Stiegler am .
LB30: DSGVO: Bleibt alles beim alten Neuen? (mit Dr. Winfried Veil)
In dieser Folge, wieder aufgenommen in Berlin, sprechen Frank Stiegler und Dr. Winfried Veil angesichts der anstehenden Evaluationsperiode des DSGVO darüber, welche Veränderungen sie gebracht hat, welchen Überarbeitungsbedarf die Beteiligten sehen und wie sie selbst den Überarbeitungsbedarf einschätzen. 94 Minuten Mischung aus Praxisbeobachtungen und juristischer Einschätzung: Bleibt nun alles beim alten Neuen (oder neuen Alten)?
Eingangszitat aus der Stellungnahme zur Bewertung der DSGVO vom Rat der Europäischen Kommission vom 17.12.2019:
"In the view of the Council, the GDPR has been a success. It is undoubtedly an important milestone and an instrument that strengthens the right to the protection of personal data and fosters trust-enabling innovation in the EU. The GDPR has also further increased awareness of the importance of data protection both in the EU and abroad."
01:37 Einleitung ins Thema
Art. 97 Abs. 1 DSGVO sieht eine Evaluation der DSGVO vor:
"Bis zum 25. Mai 2020 und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Verordnung vor. Die Berichte werden öffentlich gemacht."
Winfried und Frank sprechen darüber, wie die Juristenlandschaft den Änderungsbedarf bzgl. DSGVO sieht und welche Berichte es hierzu schon gibt.
(Nicht vollständige) Übersicht der derzeit existierenden Stellungnahmen:
Alle Links wurden am 11.03.2020 abgerufen.
- EU-Kommission, Bilanz zur DSGVO, "Datenschutzvorschriften als Voraussetzung für Vertrauen in die EU und darüber hinaus – eine Bilanz", 24.07.2019
- EU-Rat, "position and findings on the application of the General Data Protection Regulation (GDPR)", 17.12.2019
- Multi-Stakeholder-Gruppe, Mitteilung zum Evaluationsbedarf der DSGVO, 18.06.2019
- Konferenz der unabhängigen Datenschutzbehörden Deutschlands (DSK), Erfahrungsbericht zur DSGVO, 13.11.2019
- Verbraucherzentrale Bundesverband (VZBV), Bericht zur DSGVO von Roßnagel/Geminn vom 27.11.2019
- LfDI Baden-Württemberg, Evaluierung der DS-GVO – Ergebnisse der Anhörung des LfDI BW zur Evaluierung der DS-GVO, 19.12.2019
- Gesellschaft für Datenschutz und Datensicherheit (GDD), Stellungnahme zur Evaluierung der DS-GVO, 27.06.2019
- Europäische Akademie für Informationsfreiheit und Datenschutz e. V. (EAID), Stellungnahme der EAID zur DSGVO, 27.01.2020
- Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt (Roßnagel, Geminn), Policy Paper “Evaluation der Datenschutzgrundverordnung”, November 2019
- Netzwerk Datenschutz Expertise (Thilo Weichert): Evaluation der DSGVO, 18.07.2019
- European Data Protection Board (EDPB): first overview of the GDPR’s implementation and the roles and means of the national supervisory authorities, 26.02.2019
06:55 Winfrieds Überblick aus den genannten Berichten
- Es beschäftigen sich viele Beteiligte mit der DSGVO und ihrem Änderungsbedarf.
- Das Initiativrecht für Änderungen der DSGVO hat allein die EU-Kommission, die derzeit erkennbar keinen Änderungsbedarf sieht. Gesprochen wird gern vom "Goldstandard".
Wir sprechen über Details der Berichte, insbesondere des Berichtes der EU-Kommission. - Evaluationsberichte der EU-Kommissionen werden regelmäßig sehr abstrakt gehalten und blenden Praxisprobleme oft aus.
- Änderungsbedarf sieht die EU-Kommission nicht in der DSGVO selbst, sondern bei den landesspezifischen Sonderregelungen auf Basis der Öffnungsklauseln.
12:15 Überblick zu den Kritikpunkten
- Die DSGVO hat für sehr viel Aktivität gesorgt. Das Leben aller, die nach der DSGVO Pflichten haben, ist komplizierter geworden.
- Die DSGVO ist u. E. vor allem wegen des one-size-fits-all-Ansatzes ist zum Partytalk geworden, auch weil die DSGVO zur Waffe in Konflikten aller Art genutzt wird, auch und vor allem, wenn der Konfliktherd eigentlich nicht im Datenschutz liegt.
- Die DSGVO hat dafür gesorgt, dass Betroffene und Aufsichtsbehörden erheblich mehr Ressourcen für Datenschutz aufwenden müssen.
- Ab 15:40 min vergleicht Winfried die Maximalhöhen der Bußgelder nach der DSGVO mit Maximalsummen in anderen Rechtsgebieten.
- Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO führt zu erheblichem Dokumentationsaufwand, der nicht zwingend zur Verbesserung der materiellen Datenschutzsituation führt.
Portal "Mensch und Medien", bei dem Winfried an den Arbeitshilfen zum Datenschutz mitwirkt
- Aufsichtsbehörden werden mit Aufgaben überhäuft und dazu über z. B. Beschwerden Betroffener mit Bagatellfällen geflutet. Dazu kommt, dass man fähiges Personal braucht, um vor allem gegen große Unternehmen mit Bußgeldern vorzugehen (und das dann oft folgende Gerichtsverfahren zu bestreiten). Personell sind die Aufsichtsbehörden in aller Regel hierfür bisher auch nach eigenen Angaben nicht ausreichend ausgestattet.
- Ab 24:00 min sprechen wir über den Fokus für den Evaluationsbedarf der DSGVO und sprechen hier wieder die Schutzgutdebatte an: Was bezweckt die DSGVO eigentlich? Nur dann lässt sich der Änderungsbedarf wenigstens einigermaßen objektiv beurteilen. Für den Moment arbeiten wir mit der Annahme, dass "alle Rechte und Freiheiten natürlicher Personen" geschützt werden sollen (was unseres Erachtens praktisch nicht hilft).
25:55 Problempanorama
Winfrieds Überblick der Praxisprobleme, die auf Twitter unter #xfilesGDPR gesammelt werden:
- Zahlreiche Blogs schließen.
- Kinder können ihre Wunschzettel nicht mehr an Weihnachtsbäume hängen.
- Klingelschilder sollen abgehängt werden.
- Alltägliche Kontaktsituationen wie der Austausch von Visitenkarten werden zum Problem.
- Artverwandt: Komplette Art. 13-Informationen vor telefonischer Terminvereinbarung beim Arzt oder im Schulsekretariat.
- Seniorennachmittage sind bedroht, weil die Einladungen nicht mehr verschickt werden können.
- Es gibt von Gottesdiensten keinen Livestream mehr.
- Vorgartenwettbewerbe werden abgesagt.
- Geburtstagslisten im Betrieb.
- Fotos im Kindergarten und in der Schule: Viele Eltern sind traurig, weil ihre Kinder auf den Einschulungs- und Abschlussveranstaltungen nicht mehr gefilmt und fotografiert werden dürfen.
- Glückwünsche des Bürgermeisters.
- Tischkarten beim Oktoberfest.
- Sternsinger kommen nur nach Anmeldung.
- Freundebücher (aka Poesiealben) von Minderjährigen werden nicht mehr geführt.
- Von der Hausverwaltung verlangte Einwilligung, damit Handwerker bei Wasserrohrbruch verständigt werden darf.
- (Vor allem gemeinnützige) Vereine haben fast alle Angst davor, dass sie ihre Online-Präsenzen schließen müssen, weil sie wegen begrenzter Ressourcen nicht alle ihre Pflichten erfüllen können.
Ab 34:10 Uhr spricht Winfried über das zugrundeliegende Phänomen fast aller dieser Probleme: Chilling Effects
Ab 36:00 Uhr sprechen wir über Reaktionen der Aufsichtsbehörden auf Bedenken bzw. Kritik an der DSGVO.
37:05 Symptome der DSGVO
- 37:30 min: Nach Ansicht der EU-Kommission führt die DSGVO zu einem Standortvorteil.
Wir sprechen auch darüber, dass wir praktisch keine Beispiele von Schäden Betroffener wegen Datenschutzverletzungen haben. - 41:29 min: Wir sprechen darüber, dass Betroffene über Informationsflut (verursacht v. a. durch Art. 13 DSGVO) klagen. Winfried weist auf den zwischenzeitlich entstandenen Wissenschaftszweig zu Informationsvermittlung von Datenschutzinformationen hin.
- 45:11 min: Die Begriffsverwirrung aus "Datenschutz", "Datensicherheit", "Informationssicherheit", "IT-Sicherheit" und vielen mehr führt vermutlich zu unnötigem weiterem Aufwand. In der DSGVO, so unsere Kritik, wurde nicht einmal der Begriff "Privacy"/"Privatleben" definiert, was im Ergebnis dazu führt, dass Datenschutz das Grundrecht "für alles" geworden ist.
- 47:44 min: Die Aufsichtsbehörden arbeiten auch in Bezug auf die Öffentlichkeit sehr unterschiedlich, sowohl in Bezug auf die (wahrnehmbaren) Aktivitäten wie auch inhaltlich bzgl. der DSGVO-Inhalte/-Vorschriften. Winfried kritisiert, dass die Aufsichtsbehörden unabhängig sind, obwohl es dafür keinen erkennbaren Grund gebe.
- 51:25 min: Frank berichtet von Begegnungen mit Mitarbeitern von Aufsichtsbehörden auf dem 36C3 (Chaos Communication Congress des Chaos Computer Clubs in Leipzig 2019 in Leipzig). Wir diskutieren, dass für die Öffentlichkeit auch problematisch ist, dass viele Beteiligte für sich die Auslegungshoheit beanspruchen und so die Auslegungsprobleme vieler Beteiligter verstärken.
- 54:12 min: Wir sprechen über Non-Compliance als Dauerzustand und darüber, dass die DSGVO augenscheinlich nicht auf Vollvollzug angelegt ist. Recht und Realität liegen u. E. zu weit auseinander und führt zur Erosion der Rechtstreue. Vor allem diejenigen, die auf das Versprechen der DSGVO, für besseren Datenschutz zu sorgen, werden wahrscheinlich enttäuscht werden.
- 58:45 min: Hier thematisieren wir, dass die Aufsichtsbehörden mit Tadel nicht sparen, mit Lob allerdings schon.
60:40 Wie die Juristenlandschaft den Evaluationsbedarf der DSGVO sieht
Die juristische Bewertung in den offiziellen Stellungnahmen bleibt, wenn sie überhaupt stattfindet, vage und oberflächlich. In der Fachdiskussion verliert man sich Einzelfragen. Die Grundsatz- und Querschnittsfragen werden nicht diskutiert. Ein gutes Beispiel ist die Altersgrenze für Minderjährige gem. Art. 8 DSGVO. Darüber kann man sich herrlich streiten, aber es ist im Gesamtbild eine Marginalie.
Ab 63:45 min zitiert und bewertet Winfried einen wesentlichen Absatz aus der EU-Kommissionsmitteilung (S. 10):
“Auswirkungen auf die Innovation
Die Entwicklung neuer Technologien wird von der Verordnung nicht nur erlaubt, sondern sogar gefördert, wobei das Grundrecht auf Schutz personenbezogener Daten stets gewahrt werden muss. Dies trifft auch auf Bereiche wie die künstliche Intelligenz zu.
Viele Unternehmen arbeiten bereits an neuen, datenschutzfreundlicheren Dienstleistungen. In manchen Mitgliedstaaten gewinnen Suchmaschinen, die keine Nutzernachverfolgung oder verhaltensorientierte Werbung einsetzen, zunehmend an Marktanteilen. Andere Unternehmen entwickeln Dienstleistungen, die auf den neuen Rechten der Einzelpersonen wie beispielsweise der Übertragbarkeit ihrer personenbezogenen Daten aufbauen. Immer mehr Unternehmen nutzen den Schutz personenbezogener Daten als ein Alleinstellungsmerkmal und Verkaufsargument. Diese Entwicklungen beschränken sich nicht nur auf die EU, sondern betreffen auch hochinnovative ausländische Volkswirtschaften.”
Gesamtbewertung der EU-Kommission typisch:
- Grundpfeiler des europäischen Innovationsansatzes
- Uneingeschränkte Anwendung erfordert weitere Anstrengungen.
- Erfolg bemisst sich nicht an verhängten Geldbußen, sondern am Kulturwandel und an Verhaltensänderungen.
- Chance, Unternehmensspitze auf Thema Datenschutz aufmerksam zu machen.
- Daten „aufräumen“
- Sicherheit verbessern
- sich besser gegen Datenvorfälle wappnen
- unnötige Risiken umgehen
- vertrauensvolle Kundenbeziehung aufbauen
In der Regel schließen sich dann noch wohlfeile Forderungen und Mahnungen an, z. B. "More guidance is necessary."
Ab 67:57 min kritisiert Winfried, dass auch beantwortbare Fragen nicht beantwortet werden, z. B. die Reichweite und Tiefe der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO oder die Menge von Abwägungen, die Beteiligte/Verantwortliche bei praktisch jeder Verarbeitung personengezogener Daten machen müssen. Die geforderte Dokumentation läuft allerdings in vielen Fällen dem Verbot der Selbstbelastungspflicht zuwider.
Auch die Pflicht Verantwortlicher zur Zusammenarbeit mit der Aufsichtsbehörde ist wegen der inhärenten Selbstbelastungspflicht rechtsstaatlich problematisch.
Ab 73:06 kritisiert Frank, dass die DSGVO nicht nur ein Regelungsmonster ist, sondern dass vor allem viele juristische Laien Gesetze nicht einmal effektiv lesen und verstehen können. Das liegt unseres Erachtens auch an der Menge von Pflichten Verantwortlicher, die obendrein teilweise hoch auslegungsbedürftig sind.
Winfried Veil, Übersicht 68 Pflichten Verantwortlicher (englisch), 17.02.2018
Wir sprechen ab 76:02 min über den One-size-fits-all- und den All-or-nothing-Ansatz der DSGVO und thematisieren die Problematik hiervon u. a. mit der kürzlich gelaufenen Datenschutzdiskussion über die Antwort der Deutschen Bahn auf den Tweet von Greta Thunberg vom 14.12.2019.
81:12 Schutzgutproblematik
Zum Thema für diejenigen, die noch nicht wissen, worüber wir sprechen, hier ein paar Links:
- Winfried Veil, Blog-Serie "Blogserie: Datenschutz, das zügellose Recht" vom 15.05.2019 auf CR online
- Winfried Veil, "Die Schutzgutmisere des Datenschutzrechts Teil I" vom 06.02.2019 und "Die Schutzgutmisere des Datenschutzrechts Teil II" vom 18.03.2019
Wir sprechen über die Frage, welches Schutzgut die DSGVO eigentlich hat, was angesichts des Wortlautes der DSGVO wohl mit "alle Rechte und Freiheiten natürlicher Personen" zu beantworten ist, außerdem darüber, warum das problematisch, und erläutern das Problem anhand praktischer Beispiele.
Die DSGVO jedenfalls enthält zum Schutzgut folgende Formulierungen (Termini für "Rechte und Freiheiten betroffener Personen"):
- Rechte und Freiheiten
- Rechte
- Rechte und Freiheiten so-wie berechtigte Interessen
- Rechte und berechtigte Interessen
- Grundrechte
- Grundrechte und Grundfreiheiten
- Interessen
- Interessen und Rechte
- Interessen, Rechte und Freiheiten
- Interessen und Grundrechte
- Grundrechte und Interessen
- Interessen oder Grundrechte und Grundfreiheiten
- Menschliche Würde, berechtigte Interessen und Grundrechte
Verwendete Termini für “Rechte und Freiheiten natürlicher Personen”:
- Rechte und Freiheiten
- Persönliche Rechte und Freiheiten
- Datenschutzrechte
- Vorschriften zum Schutz
- Grundrechte
- Grundrechte und Grundfreiheiten
- Rechte und Pflichten
Verwendete Termini für “Rechte und Freiheiten anderer Personen”:
- Rechte und Freiheiten
- Rechte
- Grundrechte
- Andere Grundrechte
- Grundrechte und Grundfreiheiten
- Berechtigte Interessen
- Zwingende berechtigte Interessen
- Zwingende schutzwürdige Gründe
- Lebenswichtige Interessen
Wir wünschen uns zum Schutzgut konkretere Vorgaben, und Winfried ist der Ansicht, dass dann eine Vielzahl von Auslegungsproblemen verschwänden, weil dann die Gewichtungen klar(er) wären. Das führe dann zu mehr Rechtssicherheit.
89:47 Fazit
Frank und Winfried sehen beide Änderungsbedarf. Frank betont als positiven Aspekt, dass die Awareness der Bedeutung des Datenschutzes gestiegen ist. Winfried kontert damit, dass auch das kein Vorteil sein kann, solange niemand genau weiß, wofür Datenschutz eigentlich gemacht wird, und dass diese Awareness zu erheblicher Fehlallokation von Ressourcen und unnötiger Sorge aller möglicher Beteiligter fehlt, die keinen bzw. nicht ausreichend positive Effekte hat.
Winfried kritisiert auch, dass vor allem sektorspezifische Regelungen erforderlich sind, um Abwägungen souveräner treffen zu können.
Feedback und Wünsche gern per E-Mail an podcast@stiegler-legal.com oder twittern an @legal_bits, @ra_stiegler und @WinfriedVeil!
Alle verlinkten Dokumente wurden am 11.03.2020 abgerufen.
Die Einsprecher kommen wie immer von Sarah Nakic aus Köln.