Vertrauen bewahren

DATEV magazin: Warum wird der Entwurf der Europäischen Kommission zu einer Datenschutz-Grundverordnung teilweise so heftig kritisiert?

Dr. Jens Eckhardt: Der Entwurf ist in vielen Bereichen eine nicht hinreichend ausdifferenzierte, eine zu abstrakte Regelung. Die fehlende Präzisierung führt zu erheblichen Rechtsunsicherheiten mit Blick auf die spätere Anwendung. Letztlich droht der hohe Abstraktionsgrad auch den Ansatz einer unionsweiten Vereinheitlichung zu konterkarieren. Denn in jedem Land würden die Lücken der Datenschutz-Grundverordnung mit dem bestehenden nationalen Rechtsverständnis gefüllt.

DATEV magazin: Muss man den Kritikern also weitgehend Recht geben?

Dr. Jens Eckhardt: Eine wesentliche und sehr berechtigte Kritik ist die Regelungsungenauigkeit im Kommissionsentwurf. Sie zieht sich wie ein roter Faden durch die einzelnen Kritikpunkte. Allerdings ist nicht jede Kritik berechtigt.

DATEV magazin: Viele Kritiker stören sich am sogenannten Verbot mit Erlaubnisvorbehalt…

Dr. Jens Eckhardt: Das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt ist die gesetzliche Ausprägung eines Mechanismus, der Vertrauen schafft. Die Erhebung und Verwendung personenbezogener Daten ist verboten, es sei denn, der konkrete Zweck der Erhebung oder Verwendung ist durch Einwilligung des Betroffenen oder durch eine gesetzliche Zulässigkeitsregelung gerechtfertigt.

DATEV magazin: Ist die Kritik am Entwurf der Datenschutz-Grundverordnung also unberechtigt?

Dr. Jens Eckhardt: Ich sehe das so. Der Entwurf hält an den vertrauensbildenden Grundsätzen des Datenschutzrechts fest. Ein Betroffener kann grundsätzlich davon ausgehen, dass der Datenverarbeiter seine personenbezogenen Daten nur dann verwendet oder gar an Dritte weitergibt, wenn er die Zulässigkeit begründen kann.

DATEV magazin: Würde das von manchen Kritikern geforderte umgekehrte Prinzip zu einem Vertrauensverlust führen?

Dr. Jens Eckhardt: Man stelle sich vor, die Daten dürften durch den Datenverarbeiter beliebig verwendet und an Dritte weitergegeben werden. Eine Aufhebung des Verbots mit Erlaubnisvorbehalt würde den Betroffenen dazu zwingen, gegenüber dem für die Verarbeitung Verantwortlichen die Unzulässigkeit der Verarbeitung seiner Daten darzulegen und zu beweisen. In der Praxis kann ein Betroffener das weder in rechtlicher noch in tatsächlicher Hinsicht leisten.

DATEV magazin: Teilweise wird unterstellt, die geplante Datenschutz-Grundverordnung würde eine neue oder stärkere Beschränkung mit sich bringen.

Dr. Jens Eckhardt: Auch insoweit ist die Kritik am Entwurf der Europäischen Kommission unberechtigt. Das deutsche Datenschutzrecht in Gestalt des Bundesdatenschutzgesetzes geht praktisch seit jeher vom Verbot mit Erlaubnisvorbehalt aus. Ich verweise hier auf § 4 Abs. 1 der Vorschrift. Diese Regel ist sowohl im Bundesdatenschutzgesetz als auch im Entwurf der EU-Datenschutz-Grundverordnung eine bewährte Basis für Vertrauen. Natürlich verhindert das Verbot mit Erlaubnisvorbehalt nicht den Missbrauch und auch nicht einen Verstoß. Die Abschaffung des Prinzips würde das aber auch nicht tun.

DATEV magazin: Die Kritiker des Entwurfs sagen zudem, es gelte ein Verbotsprinzip.

Dr. Jens Eckhardt: Das ist eine unzutreffende Verkürzung des bereits angesprochenen Prinzips. Das deutsche Datenschutzrecht regelt etwa in den §§ 28 ff. Bundesdatenschutzgesetz in differenzierter und weitreichender Weise die Zulässigkeit der Erhebung und Verwendung personenbezogener Daten, ohne dass es einer irgendwie gearteten behördlichen Genehmigung oder Einwilligung des Betroffenen bedürfte.

DATEV magazin: Muss am Verbot mit Erlaubnisvorbehalt denn zwingend festgehalten werden?

Dr. Jens Eckhardt: Das Verbot mit Erlaubnisvorbehalt ist eine bewährte Basis für Vertrauen. Wäre es abgeschafft, hätte man lediglich eine vertrauensbildende Grundlage entzogen und eine Basis des Misstrauens geschaffen, getreu dem Prinzip: Ich gebe meine Daten nicht heraus, weil das Unternehmen dann alles mit den Daten machen darf. Das Verbot mit Erlaubnisvorbehalt wird häufig auch deshalb kritisiert, weil man die Zulässigkeitsregelungen für zu eng hält. Tatsächlich verstellt das den Blick auf die eigentlichen Probleme.

DATEV magazin: Die da wären?

Dr. Jens Eckhardt: Die unzureichenden und modernisierungsbedürftigen Vorschriften. Eine Abschaffung des Verbots mit Erlaubnisvorbehalt würde an diesen Defiziten gar nichts ändern, es fehlte weiterhin an modernen Regeln, die sich an der digitalen Welt orientieren.

DATEV magazin: Warum werden auch die Zulässigkeitsregelungen im Kommissionsentwurf kritisch beurteilt?

Dr. Jens Eckhardt: Zunächst einmal ist das Prinzip der Zulässigkeit in der EU-Datenschutz-Grundverordnung nicht neu. Auch das deutsche Datenschutzrecht kennt gesetzliche Zulässigkeitsregelungen und die Einwilligung des Betroffenen, geregelt in § 4a Abs. 1 Bundesdatenschutzgesetz sowie – jedenfalls im Ergebnis – die sogenannte Auftragsdatenverarbeitung.

DATEV magazin: Wie ist denn die Zulässigkeit im Kommissionsentwurf geregelt?

Dr. Jens Eckhardt: Der Entwurf der EU-Datenschutz-Grundverordnung kennt neben der Zulässigkeit auf Basis einer Interessenabwägung in Art. 6 Abs. 1 auch die Einwilligung, vergleiche Art. 7, sowie die Auftragsdatenverarbeitung, die jedenfalls de facto auch als Zulässigkeitsregelung verstanden werden muss.

DATEV magazin: Warum stehen dann auch die gesetzlichen Zulässigkeitsregelungen in der Kritik?

Dr. Jens Eckhardt: Weil diese Regelungen im Kommissionsentwurf nicht in dem Ausmaße ausdifferenziert sind, wie es das deutsche Datenschutzrecht, etwa in den §§ 28 ff. Bundesdatenschutzgesetz kennt. Die Auftragsdatenverarbeitung ist derzeit nicht so klar geregelt wie in § 3 Abs. 8 Bundesdatenschutzgesetz.

DATEV magazin: Der Ausschluss der Einwilligung, so wie im Entwurf der Kommission vorgesehen, zielt aber doch nur auf Arbeitsverhältnisse ab.

Dr. Jens Eckhardt: Richtig, aber das kommt im Wortlaut nicht deutlich zum Ausdruck. Es muss daher in der Verordnung klargestellt werden, dass besagtes Ungleichgewicht nicht abstrakt-generell besteht, sondern im Einzelfall festzustellen ist, und es ist auf Beschäftigungsverhältnisse zu beschränken. Auf diese Weise entstehen dann auch die nötigen Spielräume.

DATEV magazin: Was kann man tun, um die Defizite im Kommissionsentwurf zu beseitigen?

Dr. Jens Eckhardt: Die Verordnung grundlegend überarbeiten. Voraussichtlich werden die Defizite langfristig durch Verfahren einer europaweiten Abstimmung zur Anwendung des internationalen Datenschutzrechts gelöst. Mit Blick auf die langwierigen sowie umständlichen Koordinierungsverfahren wird dieser Prozess wohl einige Jahre dauern. So lange kann eine auf Datenverarbeitung beruhende Wirtschaft nicht warten. Man muss also aktiv mitwirken, damit die essenziellen Kritikpunkte relativ zeitnah, soweit möglich, noch im Gesetzgebungsverfahren beseitigt werden.

DATEV magazin: Wie lautet zum Abschluss Ihr Fazit?

Dr. Jens Eckhardt: Der Entwurf der EU-Datenschutz-Grundverordnung wird aufgrund einer Vielzahl von Unzulänglichkeiten zu Recht kritisiert. Vor dem Inkrafttreten ist also grundlegend nachzubessern. Andererseits ist nicht alles schlecht. Der Entwurf schreibt vertrauensbildende Grundsätze des Datenschutzrechts fort. Diese Grundsätze, insbesondere das Verbot mit Erlaubnisvorbehalt sowie Transparenz, sind nur auf den ersten Blick eine unnötige Beschränkung der unternehmerischen Freiheit. Tatsächlich sind sie als vertrauensbildende Maßnahme zugunsten der datenverarbeitenden Unternehmen zu verstehen. Die Betroffenen können davon ausgehen, dass die Unternehmen mit ihren Daten nicht alles machen können, was sie wollen.

Zu den Autoren

JE

Dr. Jens Eckhardt

Rechtsanwalt und Fachanwalt für IT-Recht, Datenschutz-Auditor (TÜV), Compliance Officer (TÜV) und IT-Compliance Manager (TÜV) in der Kanzlei Eckhardt Rechtsanwälte Partnerschaft mbB in Düsseldorf

Weitere Artikel des Autors

Robert Brütting

Rechtsanwalt in Nürnberg und Fachjournalist Recht sowie Redakteur beim DATEV magazin

Weitere Artikel des Autors