Vor vier Jahren am 25. Mai 2018 ist die Datenschutzgrundverordnung der EU (DSVGO) in Kraft getreten. Anlaß, einen kritischen Rückblick darauf zu werfen.
Im Dezember 2021 hat sich die Wissenschaftskonferenz “European Data Summit” der Konrad-Adenauer-Stiftung mit der Datenschutzverordnung DSVGO beschäftigt: European Data Summit: Ready for Competition? | Day 2 (December 2, 2021) Winfried Veil: The blind spots of the GDPR: time for reform and repair und die folgende Diskussion Implementing and complementing it or fixing it: The GDPR – The law of unintended consequences)
Winfried Veil “The blind spots of the GDPR: time for reform and repair” diagnostiziert 13 struktuelle Probleme, die bislang noch nicht erkannt werden.
- Der one-size-fits-all-Ansatz verpflichtet alle gleichermaßen unabhängig von der Größe, dem Zweck (profitorientiert oder eigennützig, privat oder öffentlich) und dem Niveau (alltäglicher Prozeß oder komplizierter Algorithmus, geringes oder hohes Risiko).
- Alles-oder-Nichts-Ansatz: Wenn es personenbezogene Daten gibt, gelten alle Regeln des Datenschutzrechts. Umgekehrt gibt es gar keine Regelung, wenn es keine personenbezogenen Daten gibt. Entsprechend wird der Personenbezug von Daten ausgeweitet.
- Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es gibt einen gesetzlichen Grund für die Erlaubnis bzw. es liegt eine explizite Erlaubnis der betroffenen Personen vor. Damit ist auch klar, dass sie sozial unerwünscht ist. Ein Generalverdacht wird konstituiert, der von dem Gebrauch von Grundrechten abhalten kann. Diese Regelungstechnik führt zu zahlreiche Ausnahmen und Diskussionen und führt zu Rechtsunsicherheit und Verrechtlichung des Alltags.
- Das Datenschutzgesetz ist inputorientiert, es regelt in erster Linie die Erhebung von Daten und die Speicherung von Daten. Es berücksichtigt nicht die Verwendung von Daten und klärt nicht, welcher Output sinnvoll und wertvoll sein kann.
- Der Nutzen der Datenverarbeitung taucht nicht auf und ist ist keine Rechtskategorie des Datenschutzrechts.
- Der Focus liegt auf der Kontrolle der individuellen Verarbeitung von Daten. Demgegenüber kann das öffentliche Interesse nur unter bestimmten Bedingungen verfolgt werden, die gegebenenfalls bereichsspezifische Gesetze festlegen.
- Eine Privatperson kann nur im eigenen Interesse oder im Interesse eines Dritten handeln, nicht aber im öffentlichen Interesse.
- Die individuellen Daten werden als Objekte behandelt, als Ware, die knapp gehalten werden kann. Der Informationsgehalt und der wirtschaftliche Wert der unkörperlichen Daten werden nicht erkannt. Unsere kontextabhängigen Einzeldaten sind bei vielen Datenverarbeitungsvorgängen, wie z. B. Big-Data-Algorithmen, irrelevant.
- Alle Daten erscheinen gleich viel wert zu sein. Die Verarbeitung durch eine einzige zentrale lokale Stelle und gegebenenfalls einer festen physischen Ressource ist- ebenso wie der einzelne Kontrolleur – durch Cloud Computing, Blockchain und globale Vernetzung obsolet geworden.
Das Prinzip der Begrenzung der Zweckbindung schließt zufällige Entdeckungen auf dem Gebiet der Wissenschaft aus z.B. die Entdeckung von Korrelationen und das Prinzip der Minimierung von Daten schließt von vornherein die Zurückhaltung von Daten aus, die in öffentlichem Interesse sind. - Die DSVGO basiert auf dem Grundrecht auf Datenschutz. Ein Eingriff ist dieses Grundrecht durch Verarbeitung personenbezogener Daten ließe sich nur durch ein anderes geschütztes Interesse legitimieren. Das ursprüngliche Schutzinteresse der Privatsphäre wird aber nicht mehr erwähnt, sondern zum Schutz aller Rechte und Freiheiten erweitert.
- Die DSVGO enthält 82 Bestimmungen, nach denen jeder Verantwortliche eine Rechteabwägung vornehmen muss. Standards und Maßstäbe für diese Prüfungen fehlen.
- Da es nach der DSVGO keine trivialen Daten gibt, ist die Verarbeitung personenbezogener Daten nie risikofrei. Der Zweck der Verarbeitung muss präventiv bestimmt werden und einen Rechtsweg festlegen.
- Stellen die Pflichten der DSVGO einen Eingriff in die Privatautonomie dar?
Die Bestandsaufnahme der DSVGO ist dort vernichtend ausgefallen: Die Verordnung gängele kleine Internetanbieter, während die Geschäftspraktiken der Datensammelwut der GAFA (Google, Apple, Facebook und Amazon) kaum tangiert werden. Die Nutzer – noch durch entsprechende Gestaltung der Webseiten und Cookie-Banner zusätzlich manipuliert – müssen in die Verarbeitung ihrer Daten einwilligen, wenn sie die Services nutzen wollen. Die weitere Aggregration und Auswertung der Daten kann kaum kontrolliert werden. Die großen Unternehmen haben das Geld und die Arbeitskraft, Einwilligungen, die man wie Gummi dehnen kann, von den Benutzern zu verlangen.