Christian Szidzek - Datenschutzgrundverordnung für Dummies

Zu Verordnungen greift die EU also, wenn sie konsequent bestimmte Vorgaben umsetzen will, ohne dies Mitgliedstaaten überlassen zu wollen. Wir dürfen Ihnen also hier vorstellen das allseits gefürchtete Monster, die berühmt-berüchtigte VERORDNUNG (EU) 2016/679DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, auch bekannt unter dem Namen:

EU-Datenschutz-Grundverordnung

(im Folgenden kurz: DSGVO).

Monster kommen nicht von ungefähr. Meistens werden sie gerufen. Zumindest wenn es nach dem Roman von Larry Correia geht ( Die Monster, die ich rief , Köln 2017). Bei Goethes Zauberlehrling waren es noch Geister, aber mit Geistern erschreckt man heutzutage niemanden mehr. Das Monster DSGVO wurde gerufen durch

die bis dato uneinheitliche Umsetzung der Europäischen Datenschutz-Richtlinie 95/46/EG in nationales Recht,

den Umstand bis dahin national unabhängiger und eigenständiger Datenschutzaufsichtsbehörden,

bis dahin nationale Sonderregelungen und ein unterschiedliches Datenschutzniveau in den Mitgliedstaaten und

die schwierige Durchsetzbarkeit des europäischen Datenschutzstandards gegenüber Unternehmen mit Sitz in Drittländern.

Das europäische Datenschutzrecht basierte bis zum Erlass der DSGVO auf der europäischen Datenschutz-Richtlinie 95/46/EG. Wie es Richtlinien der EU so eigen ist, besitzen diese keinen unmittelbaren Charakter. Das bedeutet, dass die EU zwar Ziele vorgibt, die Umsetzung allerdings den Gesetzgebern der Mitgliedstaaten überlässt, wie sie diese umsetzen. Das geschieht dann in der Regel mit mehr oder minder großem Erfolg.

Das hatte zur Folge, dass manche Mitgliedstaaten die gesamte Wirtschaft ihres Lands durch pflichtgemäße Erfüllung der Datenschutzvorgaben in einen Wettbewerbsnachteil gegenüber solchen Unternehmen in solchen Staaten geführt haben, die die Gelegenheit nutzten, durch die nur rudimentäre Umsetzung des Datenschutzes Standortvorteile zu erzielen. Während in Deutschland selbst postalische Werbeschreiben einem pingeligen Listenprivileg unterworfen waren, haben andere Staaten den dort ansässigen und dort steuerzahlenden Unternehmen gestattet, den Datenschutz nahezu vollständig zu unterwandern. Es ist also kein Wunder, dass Unternehmen wie Microsoft oder Amazon ihre europäischen Niederlassungen in Irland oder Luxemburg eingerichtet hatten. In einem Staat, der in seiner Hauptstadt am Bahnhof Listen der Passagiere für Züge für alle sichtbar aushängt unter Angabe des Reiseziels und in dem diese Personen dann bei Eintreffen des Zugs auch noch persönlich auffordert werden, einzusteigen, bei dem lässt es sich als Big-Data-Unternehmen fein leben. Mit der Einführung der DSGVO sollen jetzt derartige Abstrusitäten unterbunden und ein einheitliches Datenschutz-Niveau in der gesamten EU sichergestellt werden.

Ein grandioses Beispiel für die bis zur Einführung der DSGVO unabgestimmte Vorgehensweise der Aufsichtsbehörden untereinander lässt sich einer gemeinsamen Veröffentlichung des Autors mit Harald Bolsinger entnehmen (Bolsinger, Harald/Szidzek, Christian: Datensouveränität und Vertrauen, 2018). Über viele Jahre hinweg hatte Harald versucht, seine über ihn gespeicherten Daten bei Amazon löschen zu lassen. Der Erfolg war mehr als bescheiden. Besonders beeindruckend war dabei aber das Auftreten der bayerischen und luxemburgischen Aufsichtsbehörden, die sich jeweils konsequent für unzuständig erklärten, und das nach damaliger Gesetzeslage noch nicht einmal zu Unrecht. Dass Unternehmen versuchen, sich bestmögliche Bedingungen zu schaffen, ist nachvollziehbar. Oft ist der Geschäftsführer oder Vorstand nicht auch zugleich der Eigentümer des Unternehmens, und Aufgabe von angestellten Geschäftsleitern ist es nun einmal, den Profit zu optimieren. Dass aber Aufsichtsbehörden in dasselbe Horn bliesen, war erstaunlich.

Wenn Sie wissen wollen, wie die Zuständigkeiten der Aufsichtsbehörden nach DSGVO geregelt sind, blättern Sie einfach schon einmal vor zu Kapitel 4 Die Protagonisten unter der Überschrift Die Aufsichtsbehörden .

Die Datenschutz-Richtlinie 95/46/EG hatte zur Folge, dass die Mitgliedstaaten pflichtgemäß Gesetze zu ihrer Umsetzung erließen, einige besonders pfiffige Staaten dabei aber schnell witterten, dass ein besonders abgründiges Datenschutzniveau ihnen den Zulauf internationaler Konzerne ermöglichen würde, wo die eigene Infrastruktur das ansonsten nicht hergegeben hätte. Während also einige Mitgliedstaaten der EU versuchten, die Ziele der Richtlinie bestmöglich umzusetzen, versuchten andere es damit, die Ziele bestmöglich zu unterwandern und sich dadurch einen regionalen Vorteil zu verschaffen. Das gelang auch über viele Jahre hinweg recht gut. Die Folge war, dass Unternehmen, die Geschäfte mit personenbezogenen Daten in der EU machen wollten, sich dort niederließen, wo das Datenschutzniveau am niedrigsten war. Man nennt das Forum-Shopping . Dass dies für den europäischen Datenschutz nicht gerade förderlich war, liegt auf der Hand. Und es war seit Jahren absehbar, dass die Mitgliedstaaten, die versucht hatten, die Datenschutz-Richtlinie effektiv umzusetzen, nicht mehr vorhatten, sich länger auf der Nase herumtanzen zu lassen von den schwarzen Schafen in Ihren Reihen, die ja nicht nur im Datenschutz verhaltensauffällig geworden waren, sondern auch, wenn es um Steuern ging und andere rechtliche Schlupflöcher.

Abgesehen vom Problem des Forum-Shoppings war es auf Basis der vormaligen Richtlinie 95/46/EG auch nicht möglich, Unternehmen datenschutzrechtlich zur Verantwortung zu ziehen, die keinen Sitz in einem Mitgliedstaat der EU hatten, aber dort trotzdem Waren und Dienstleistungen anboten. Das führte dazu, dass solche Unternehmen gegenüber den in der EU ansässigen Unternehmen einen deutlichen Wettbewerbsvorteil verzeichnen konnten, da sie sich um die europäischen Datenschutzvorschriften nicht kümmern mussten. Es galt ausschließlich das sogenannte Territorialprinzip . Demzufolge waren Unternehmen mit Sitz in Drittstaaten im Wesentlichen vom europäischen Datenschutzsystem ausgenommen. Das hat sich nun mit der DSGVO und der zusätzlichen Einführung des Marktortprinzips geändert. Dazu unten gleich mehr.

Welche Länder seit der Einführung der DSGVO als Drittstaaten gelten und unter welchen Voraussetzungen Unternehmen, die dort ihren Sitz haben, an die Vorschriften der DSGVO gebunden sind, erfahren Sie weiter unten unter der Überschrift Räumlicher Anwendungsbereich .

Wenn es schon die Notwendigkeit gab, das europäische Datenschutzrecht zu reformieren, weshalb dann nicht aus der Not gleich eine Tugend machen? So ungefähr muss sich der europäische Gesetzgeber das gedacht haben und hat deshalb gleich ein paar weitere Ziele mit in den Blick genommen, die mit dem Inkrafttreten der DSGVO erreicht werden sollten. Diese Ziele sind