Die globale Digitalisierung nahezu aller Lebensbereiche gefährdet zunehmend die individuelle und demokratische Selbstbestimmung und erfordert umso stärker ihren normativen Schutz. Doch die Bedingungen für diesen Schutz haben sich radikal geändert. Konzepte, Institutionen und Instrumente, die für diesen Schutz in den 1970er Jahren für die Gefährdung durch kommunale Gebietsrechenzentren entworfen wurden, genügen nicht mehr für den Schutz gegenüber globalen digitalen Infrastrukturen, die das alltägliche Leben bestimmen. Der Beitrag analysiert die Herausforderungen für das Grundrecht auf Datenschutz und informationelle Selbstbestimmung (1), untersucht das aktuelle Schutzkonzept der Datenschutz-Grundverordnung und seine Governance-Struktur (2), diskutiert Schutzverbesserungen in dem neugeschaffenen Regelungsumfeld (3) und erörtert mögliche neue Konzepte und Instrumente zum Grundrechtsschutz in der globalen digitalen Transformation (4).

1 Herausforderungen für die Grundrechte auf Datenschutz und Selbstbestimmung

Seit der Erkenntnis der Grundrechtsrelevanz von DatenverarbeitungFootnote 1 und der Verabschiedung der ersten Datenschutzgesetze in den 70er JahrenFootnote 2 haben sich die Grundrechtsrisiken radikal verändert und ausgeweitet. Dennoch ist das grundlegende Konzept zur Gewährleistung von Datenschutz weitgehend unverändert.

1.1 Datenschutz und Selbstbestimmung

1983 konkretisierte das Bundesverfassungsgericht die Grundrechte auf Persönlichkeitsschutz nach Art. 2 Abs. 1 GG und auf Menschenwürde nach Art. 1 Abs. 1 GG angesichts der elektronischen Datenverarbeitung zum Grundrecht auf informationelle Selbstbestimmung.Footnote 3 Dieses gewährt jeder Person die Befugnis, selbst darüber zu bestimmen, wer welche sie betreffenden Daten zu welchem Zweck verarbeiten darf. In dieses Grundrecht darf ein Datenverarbeiter nur mit informierter Einwilligung der betroffenen Person oder aufgrund einer gesetzlichen Regelung eingreifen, die die Datenverarbeitung eindeutig, bereichsspezifisch und mit ausreichenden Schutzvorkehrungen erlaubt.

Dieses Grundrechtsverständnis wurde von der 2009 in Kraft getretenen Grundrechtecharta der Europäischen Union übernommen und präziser ausgestaltet.Footnote 4 Art. 7 GRCh enthält vier Gewährleistungen, nämlich des Privatlebens, des Familienlebens, der Wohnung und der Kommunikation. Die Gewährleistungen des Privatlebens und der Kommunikation schützen wesentlichen Aspekte der Selbstbestimmung über das eigene Verhalten und dessen Beobachtung durch Dritte.Footnote 5

Art. 8 GRCh schützt speziell die Entscheidungsbefugnis des Betroffenen über seine personenbezogenen Daten.Footnote 6 Nach Abs. 1 hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Soweit private Daten verarbeitet werden, erstreckt sich auch die Achtung des Privatlebens nach Art. 7 GRCh auf diesen Schutz. Da der Datenschutz allerdings weiter reicht als die Achtung des Privatlebens,Footnote 7 wurde dafür ein eigenständiges Grundrecht begründet. Abs. 2 Satz 2 fordert die Zweckbindung der Datenverarbeitung und gewährt einen Auskunfts- und Berichtigungsanspruch. Abs. 3 bestimmt, dass eine unabhängige Stelle den Datenschutz zu überwachen hat.

Der grundrechtliche Datenschutz in Art. 7 und 8 GRCh und der grundrechtliche Datenschutz nach Art. 2 Abs. 1 und Art.1 Abs. 1 GG haben im Wesentlichen den gleichen Schutzgehalt, nämlich die freie Selbstbestimmung der jeweils betroffenen Person über den Umgang mit den sie betreffenden Daten zu schützen.Footnote 8 Jede Datenverarbeitung, die diese Selbstbestimmung ignoriert, greift in die genannten Grundrechte ein.Footnote 9 Für die Bestimmung des Eingriffs kommt es nicht auf die Person an, die den Eingriff vornimmt – auch nicht auf deren Charakterisierung als privat oder staatlich.Footnote 10

Um diese Grundrechte umzusetzen, verfolgt das Datenschutzrecht seit Beginn ein Schutzprogramm, das im Wesentlichen auf folgenden Grundsätzen beruht: Die Datenverarbeitung muss der betroffenen Person transparent sein, weil sie nur dann überprüfen kann, ob die Datenverarbeitung rechtmäßig ist, und ihre Rechte wahrnehmen kann. Die Verarbeitung personenbezogener Daten darf nur zu einem bestimmten Zweck erfolgen und ist auf diesen Zweck begrenzt. Sie muss erforderlich sein, um diesen Zweck zu erreichen, und die Verwendung personenbezogener Daten möglichst vermeiden. Informationelle Selbstbestimmung ist nur möglich, wenn die betroffene Person Mitwirkungsmöglichkeiten hat und Einfluss auf die Datenverarbeitung nehmen kann. Daher stehen ihr Rechte auf Auskunft, Korrektur und Widerspruch zu. Außerdem erfordert sie die flankierende Aufsicht unabhängiger Datenschutzkontrolleinrichtungen.Footnote 11 Dieses grundlegende Konzept zur Gewährleistung der Grundrechte wurde seit seiner Einführung kaum verändert. Jedoch hat sich die Datenverarbeitung, gegen deren Risiken es schützen soll, radikal gewandelt und ausgeweitet.

1.2 Neue Herausforderungen durch die Digitalisierung

Als solche Herausforderungen stellen sich vor allem die Zunahme personenbezogener Daten durch vielfältige neue Datenquellen, das Entstehen neuer Infrastrukturen, die diese Datenquellen vernetzen und die personenbezogenen Daten zusammenführen, und schließlich neue Verfahren, die diese riesigen Datenmengen aus unterschiedlichsten Quellen auswerten können.

Neue Datenquellen führen zu einer explosionsartigen Zunahme personenbezogener Daten. Viele Alltagsumgebungen und Alltagsgegenstände werden mit „intelligenter“ und vernetzter Informationstechnik ausgestattet. Ubiquitous Computing mit seinen Ausprägungen wie z. B. Smart Cars,Footnote 12 Smart Health,Footnote 13 Smart Home,Footnote 14 Smarten Assistenten,Footnote 15 vernetzten Robotern,Footnote 16 Smart TVFootnote 17 und sonstigen Techniken des Internet der Dinge erfasst die Umgebung der Dinge und der Menschen durch vielfältige Sensoren.Footnote 18 Auf der Grundlage dieser Daten und daraus erstellter Profile sowie der Lernfähigkeit der Systeme durch Künstliche Intelligenz passen sich diese Techniksysteme ihren Nutzerinnen und Nutzern an und erleichtern ihnen das Alltags- oder das Berufsleben. Diese Techniken erheben personenbezogene Daten, ohne dass das Individuum sie eingibt – einfach aufgrund schlichten Verhaltens in einer technikgeprägten Umgebung. Auf diese Weise werden unbemerkt viele Lebensregungen in der körperlichen Welt dem digitalen Zugriff zugänglich. Die allgegenwärtige Verarbeitung personenbezogener Daten erfasst potenziell alle Lebensbereiche nahezu vollständig.Footnote 19 Die damit verbundenen Risiken gehen die Nutzenden in der Regel freiwillig ein. In der individuellen Abwägung überwiegt meist der erhoffte unmittelbare Vorteil die zeitlich fernliegenden abstrakten Risiken eines Missbrauchs.

In der digitalen Welt ist die Nutzung von virtuellen Infrastrukturen wie Such-,Footnote 20 Speicher- und Nachrichtendienste, Cloud ComputingFootnote 21 sowie Social MediaFootnote 22 und andere Austauschplattformen lebensnotwendig.Footnote 23 Da sie für ihr Funktionieren personenbezogene Daten verarbeiten müssen, können sie diese Datenverarbeitung nicht von unterschiedlichen individuellen Einwilligungen abhängig machen. Die individuelle Selbstbestimmung ist letztlich reduziert auf das grundsätzliche „Ja“ oder „Nein“ zum digitalen Leben. Diese Infrastrukturen erzeugen einen eigenen virtuellen Sozialraum, in den nahezu alle Aktivitäten aus der körperlichen Welt übertragen wurden. In diesem hinterlässt jede Handlung Datenspuren, deren Erhebung und – letztlich weltweite – Verbreitung und Verwendung die betroffene Person nicht kontrollieren kann.Footnote 24 Den damit verbundenen Risiken zu entgehen, würde voraussetzen, den virtuellen Sozialraum zu meiden – für viele keine realistische Alternative.Footnote 25 Es besteht ein virtueller „Anschluss- und Benutzungszwang“.Footnote 26 Gegenüber diesem Zwang gibt es kaum Protest. Denn viele Infrastrukturleistungen werden „umsonst“ angeboten. Wer sie nutzt, zahlt zwar kein Geld, dafür aber werden die personenbezogenen Daten zu umfassenden Profilen verarbeitet, die für personalisierte Werbung und Dienstleistungen genutzt werden.Footnote 27 Die personalisierten Dienstleistungen der Infrastrukturen werden über den gesamten Tagesablauf hinweg in die individuellen Handlungsabläufe integriert und unmerklich Teil des Verhaltens und Handelns.Footnote 28

Die dritte relevante Entwicklungslinie sind neue Auswertungsmöglichkeiten für die riesigen Datenmengen, die u. a. durch die allgegenwärtige Datenverarbeitung und virtuelle Infrastrukturen entstehen: Big DataFootnote 29 und Künstliche IntelligenzFootnote 30 durch lernfähige Systeme. Beide Auswertungsformen führen auf unterschiedliche Weise entweder zu sehr präzisen Persönlichkeitsprofilen oder zu Mustern individueller und kollektiver Eigenschaften, die ermöglichen, das Verhalten von Menschen und Gruppen zu prognostizieren und zu steuern.Footnote 31 Personenbezogene Auswertungen sind die Grundlage einer gezielten Verhaltensbeeinflussung durch Microtargeting. Abstrakte Muster können dazu dienen, Lagen und Situationen besser zu beurteilen oder deren Entwicklung zu prognostizieren. Auch wer keine Daten preisgegeben hat, ist im Algorithmus der Statistik gefangen. Sie führt zu einer anonymen Vergemeinschaftung, der niemand entgehen kann. Diese Muster wirken durch die Normativität der Normalität, die sie beschreiben, verhaltensbestimmend, selbst wenn sie keine personenbezogenen Daten enthalten, und beschränken damit die individuelle und kollektive Selbstbestimmung.Footnote 32

1.3 Aushöhlung des Schutzkonzepts

Die beschriebenen Entwicklungen höhlen das Schutzkonzept des Datenschutzes und der Selbstbestimmung aus, weil sie nur dann umsetzbar sind, wenn sie dessen Vorgaben ignorieren.

Soweit die betroffene Person digitale Infrastrukturen nutzen muss, um am gesellschaftlichen oder wirtschaftlichen Leben teilzunehmen, sieht sie sich durch die Techniknutzung einem faktischen Zwang zur Datenpreisgabe ausgesetzt.Footnote 33 Soweit keine wirklichen Alternativen bestehen, ist die individuelle Einwilligung ein inhaltsleerer Formalismus.Footnote 34 Auch die Fülle und Vielfalt der Verarbeitungsvorgänge mit zahllosen impliziten (Mini-)Interaktionen und die Vielzahl von Verantwortlichen, die Daten unter sich austauschen, schließen gehaltvolle Entscheidungen der betroffenen Person aus.Footnote 35 Für Big Data-Analysen und das Trainieren lernfähiger Systeme ist es ausgeschlossen, dass die vielen – oft Millionen – betroffenen Personen vorher um ihre Einwilligung gebeten werden.

Der Gewährleistung von Transparenz stößt in der digitalen Welt aufgrund der Vielfalt und Komplexität allgegenwärtiger Datenverarbeitung an subjektive und objektive Grenzen. Zudem soll „smarte“ Informationstechnik gerade im Hintergrund und damit unmerklich den Menschen bei vielen Alltagshandlungen unterstützen. Die betroffenen Personen wissen daher nie, ob und wenn ja welche Handlungen von ihnen beobachtet und registriert und welche Datensammlungen zusammengeführt werden, müssen damit aber ständig rechnen.Footnote 36

Der Grundsatz der Zweckbindung widerspricht sowohl der Idee einer unbemerkten, komplexen und spontanen technischen Unterstützung der betroffenen Person als auch dem Ziel, durch das Zusammenführen und Auswerten möglichst vieler Daten aus vielfältigen Quellen neue Erkenntnisse zu gewinnen.Footnote 37 Je vielfältiger und umfassender die zu erfassenden Alltagshandlungen und je unterschiedlicher die Datenquellen sind, umso schwieriger wird es, den Zweck einzelner Datenverarbeitungen vorab festzulegen und die Datenverarbeitung auf diesen zu begrenzen.Footnote 38 Sollen „smarte“ Informationstechniken die Nutzenden in allen Situationen unterstützen, können sie nicht auf einen bestimmten Zweck begrenzt werden.Footnote 39 Sollen durch Big Data-Auswertungen neue Korrelationen erkannt und aus diesen neue Erkenntnisse gewonnen werden, widerspricht dies diametral jeder Zweckbindung.Footnote 40

Die Grundsätze der Datenminimierung, der Speicherbegrenzung und der Datensparsamkeit sind an den jeweils begrenzten Zweck gebunden.Footnote 41 Ebenso wie der Grundsatz der Zweckbindung werden auch diese Grundsätze ihre Steuerungskraft verlieren.Footnote 42 Wenn der Zweck der Datenverarbeitung ohne wirkliche Grenzen ist, führt auch die Frage, welche Datenverarbeitung für diesen Zweck erforderlich ist oder wie der Zweck mit möglichst wenig personenbezogenen Daten erreicht werden kann, nicht mehr zu einer überschaubaren Eingrenzung erlaubter Datenverarbeitung. Alle Systeme, die kontextsensitiv die betroffene Person entlasten oder unterstützen sollen, die Präferenzen der Nutzenden erkennen und ihnen gerecht werden sollen oder allgemein alle Assistenzsysteme, die sich selbstlernend verbessern und an ihre Nutzenden und ihre Umgebung anpassen sollen, können ihre Funktionen nur richtig erfüllen, wenn sie diese Grundsätze ignorieren.Footnote 43

Die betroffene Person hat zwar eine Reihe von Auskunfts- und Mitwirkungsrechten. Ihr wird es jedoch aufgrund der umfangreichen, vielfältigen, unmerklichen, komplexen und zersplitterten Verarbeitung ihrer Daten faktisch kaum möglich sein, diese Rechte als Individuum gezielt und effektiv zu nutzen. Vielfach wird sie nicht einmal in der Lage sein, die vielen Verantwortlichen zu identifizieren.Footnote 44

Im Ergebnis werden die Grundrechte auf Datenschutz und informationelle Selbstbestimmung aufgrund zunehmender Machtasymmetrien aufgrund gesteigerter Wissensmacht immer wichtiger, zugleich verliert das überkommene Konzept des Datenschutzes aber an Umsetzungspotenzial. Es bietet kaum noch ausreichende und wirksame Schutzmechanismen gegen die spezifischen Herausforderungen der neuen Technikentwicklungen. Dieser Prozess führt nicht nur zu einem weiteren Datenschutzproblem, sondern zur Infragestellung des gesamten Konzepts des bisherigen Datenschutzes.

2 Neue Governance-Strukturen: Ko-Regulierung in der Europäischen Union

Neben den Herausforderungen für Datenschutz und Selbstbestimmung hat sich auch der normative Rahmen für das Konzept zum Schutz dieser Grundrechte durch die Einführung der Datenschutz-Grundverordnung geändert. Um erkennen zu können, ob die neuen Unionsregelungen diesen Herausforderungen gerecht werden, untersucht dieser Abschnitt die Zielsetzungen, die inhaltlichen Regelungen und die Governance-Struktur dieser Verordnung.

2.1 Datenschutz-Grundverordnung

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO) unmittelbar in der gesamten Europäischen Union und im Europäischen Wirtschaftsraum. Sie ist in allen Mitgliedstaaten anwendbar und Teil ihrer jeweiligen Rechtsordnung. Gegenüber dem nationalen Datenschutzrecht genießt sie Anwendungsvorrang.Footnote 45

Die Datenschutz-Grundverordnung löst die Datenschutz-Richtlinie 95/46/EG aus dem Jahr 1995 ab, deren Datenschutzkonzept auf das deutsche Datenschutzrecht der 1980er Jahre zurückgehtFootnote 46 Als Richtlinie galt sie nicht unmittelbar, sondern forderte von den Mitgliedstaaten, nationale Datenschutzgesetze im Einklang mit ihren Zielen zu erlassen. Diese Datenschutzgesetze enthielten viele unterschiedliche Detailregelungen und führten zu uneinheitlichen Datenschutzniveaus in den Mitgliedstaaten. Nach langen Vorbereitungen wurde die Datenschutz-Grundverordnung nach einem mehr als vierjährigen kontroversen Gesetzgebungsprozess am 27. April 2016 erlassen.Footnote 47 Sie ist das Ergebnis vielfältiger Kompromisse zwischen den Gesetzgebungsorganen der Europäischen Union, der Kommission, dem Parlament und dem Rat, und einem bis dahin nicht bekannten Lobbyeinfluss.

Die Datenschutz-Grundverordnung orientiert sich in weiten Teilen an den alten Zielen und Grundsätzen der Datenschutz-Richtlinie. Sie übernimmt unter anderem in Art. 2 und 3 DSGVO die Regelungen zum sachlichen und räumlichen Anwendungsbereich, in Art. 5 DSGVO die Grundsätze der Datenverarbeitung, in Art. 6 Abs. 1 DSGVO die Voraussetzungen für die Zulässigkeit der Datenverarbeitung und in Art. 9 DSGVO die Regelungen zu besonderen Kategorien personenbezogener Daten. Hinsichtlich der Rechte der betroffenen Person orientiert sie sich in den Art. 12 bis 23 DSGVO ebenfalls stark an der Richtlinie. In Art. 28 und 29 DSGVO greift die Datenschutz-Grundverordnung grundsätzlich auf die Vorgaben der Richtlinie zur Auftragsverarbeitung zurück. In Art. 32 DSGVO übernimmt sie die Anforderungen an die Datensicherheit, in Art. 44 bis 50 DSGVO die Grundsätze zur Datenübermittlung in Drittländer und in Art. 51 bis 59 DSGVO die Konzeption der Stellung und Aufgaben der Aufsichtsbehörden. In allen Fällen sind die Regelungen der Verordnung nahezu oder wortwörtlich an den Konzeptionen der Datenschutz-Richtlinie ausgerichtet. Die Regelungen werden in der Verordnung zwar teils präzisiert, neugestaltet oder erweitert, aber konzeptionell nicht weiterentwickelt.Footnote 48

2.2 Harmonisierung

Mit den Regelungen der Verordnung verfolgt der Unionsgesetzgeber gemäß der Erwägungsgründe 7 und 13 DSGVO das Ziel, einen „kohärenten und klar durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der Union“ herzustellen, „ein gleichmäßiges Datenschutzniveau“ zu gewährleisten und „Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten“, zu beseitigen.Footnote 49 Für diese Harmonisierung verfolgte die Kommission mit ihrem Entwurf ein sehr ehrgeiziges Regelungskonzept. Durch die Wahl einer Verordnung statt einer Richtlinie wollte sie den Mitgliedstaaten die für alle Bereiche der digitalen Gesellschaft höchst relevante Regelungsmaterie des Datenschutzes nehmen. An die Stelle der unterschiedlichen nationalen Gesetze sollte ein unionsweit einheitliches Datenschutzgesetz treten. Trotz der hohen Komplexität des Datenschutzes in allen Lebensbereichen in den damals 28 Mitgliedstaaten sah sie nur ca. 50 Artikel mit materiellen Vorschriften vor. Im Gegensatz dazu versuchte z. B. das Datenschutzrecht in Deutschland bis dahin den Regelungsanforderungen des Datenschutzes in Verwaltung, Wirtschaft, Kultur, Wissenschaft und vielen weiteren Gesellschaftsbereichen dadurch gerecht zu werden, dass es tausende bereichsspezifische Regelungen enthielt, die risikogerecht Datenschutz gewährleisten sollten. Dementsprechend sind die Regelungen der Datenschutz-Grundverordnung hochabstrakt und unterkomplex.

Diesem Mangel wollte die Kommission dadurch abhelfen, dass sie sich selbst die Kompetenz vorbehielt, die vielen unbestimmten Regelungen auszufüllen und fortzuentwickeln. Zu diesem Zweck sah ihr Entwurf 26 Ermächtigungen vor, die Verordnung durch delegierte Rechtsakte nachträglich zu konkretisieren, und 23 Ermächtigungen, sie durch Durchführungsrechtsakte auszugestalten. Dem widersprach jedoch der Rat und setzte durch, dass fast alle Ermächtigungen in Öffnungsklauseln für die Mitgliedstaaten umgewandelt wurden.Footnote 50 Im Ergebnis ermöglichen 70 Öffnungsklauseln den Mitgliedstaaten, an vielen Stellen von den Regelungen der Verordnung abzuweichen oder sie zu konkretisieren. Öffnungsklauseln können Regelungsaufträge enthalten, die die Mitgliedstaaten verpflichten, bestimmte Regelungen zu erlassen. Sie können aber auch Regelungsoptionen bieten, die den Mitgliedstaaten die Möglichkeit eröffnen, eigene Regelungen zu schaffen oder bereits bestehende Regelungen beizubehalten, sofern diese den abstrakten Vorgaben der Verordnung nicht widersprechen.Footnote 51 Eine vollständige Ersetzung des nationalen Datenschutzrechts ist in der Verordnung also nicht nur nicht angelegt, sondern im Gegenteil durch die lückenhaften und ausfüllungsbedürftigen Regelungen auch gar nicht möglich. Den Mitgliedstaaten bleibt ein vergleichsweise breiter Handlungsspielraum, unbestimmte Begriffe der Verordnung zu präzisieren, ausfüllungsbedürftige Vorgaben zu konkretisieren, unvollständige Regelungen zu ergänzen oder Regelungslücken zu schließen, solange dabei das Regelungsziel der Verordnung nicht verletzt wird. Bestehende nationale Regelungen können damit durchaus anwendbar bleiben und neue Regelungen erlassen werden.Footnote 52

Die Datenschutz-Grundverordnung bewirkt nicht nur vielfältige unterschiedliche Abweichungen der Mitgliedstaaten, sondern überlässt ihnen im Ergebnis auch große Regelungsbereiche vollständig. Der wichtigste Bereich ist der komplette öffentliche Sektor mit allen Verwaltungsbereichen, aber auch sonstigen öffentlichen Einrichtungen wie Hochschulen und Kulturstätten. Weitere Bereiche sind alle Arbeitsverhältnisse, die Medien und die Forschung. In Deutschland wurden zwar aufgrund der Datenschutz-Grundverordnung das Bundesdatenschutzgesetz novelliert und allein im Bund Anpassungen in ca. 200 Gesetzen mit Datenschutzregelungen durch drei umfangreiche Artikelgesetze vorgenommen.Footnote 53 Doch wurden dadurch kein einziges Datenschutzgesetz und kein einziger Abschnitt zum Datenschutzrecht gestrichen. Sie gelten trotz Datenschutz-Grundverordnung weiter.

Die Datenschutz-Grundverordnung hat daher das Datenschutzrecht in Europa nicht vereinheitlicht, sondern in vielen wichtigen Bereichen die Vielfalt an unterschiedlichen Regelungen beibehalten. Aufgrund ihrer eigenen Regelungen hat sie das Ziel der Harmonisierung von Anfang an weitgehend verfehlt. In der Europäischen Union besteht kein einheitliches Datenschutzrecht, sondern eine Ko-Regulierung des Datenschutzes durch die Gesetzgeber der Union und der Mitgliedstaaten.

Die Verordnung regelt Zielsetzungen und Grundsätze, grundlegende Rechte und Pflichten und fundamentale Strukturen der Durchsetzung von Datenschutzrecht. Die Präzisierung und Ausfüllung ihrer abstrakten Regelungen und den Datenschutz in wichtigen Gesellschaftsbereichen aber bestimmen vielfach die Mitgliedstaaten. Durch diese Ko-Regulierung entsteht für den Rechtsanwender eine nur schwer zu durchschauende Gemengelage, die nicht nur zu einer erheblichen Rechtsunsicherheit führt, sondern auch eine effektive Umsetzung des Datenschutzrechts erschwert.

2.3 Modernisierung

Das zweite zentrale Ziel der Verordnung ist es, das Datenschutzrecht zu modernisieren und den Schutz der Grundrechte zu verbessern. „Rasche technologische Entwicklungen und die Globalisierung haben“ laut Erwägungsgrund 6 „den Datenschutz vor neue Herausforderungen gestellt. Das Ausmaß der Erhebung und des Austauschs personenbezogener Daten hat eindrucksvoll zugenommen. Die Technik macht es möglich, dass private Unternehmen und Behörden im Rahmen ihrer Tätigkeiten in einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen. … Die Technik hat das wirtschaftliche und gesellschaftliche Leben verändert.“ Diese Entwicklungen erfordern nach Erwägungsgrund 7 einen „soliden, kohärenteren und durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der Union, um eine Vertrauensbasis zu schaffen, die die digitale Wirtschaft dringend benötigt, um im Binnenmarkt weiter wachsen zu können. Jede Person sollte die Kontrolle über ihre eigenen Daten besitzen, und private Nutzer, Wirtschaft und Staat sollten in rechtlicher und praktischer Hinsicht über mehr Sicherheit verfügen.“Footnote 54

Überwiegend will die Datenschutz-Grundverordnung diesen neuen Herausforderungen mit den alten, schon in der Datenschutz-Richtlinie bekannten Grundsätzen und Konzepten begegnen, die bereits vor über 20 Jahren teilweise als überholt oder unzureichend galten. Sie enthält aber auch einige normative Innovationen.Footnote 55 Neu ist beispielsweise die Bestimmung des räumlichen Anwendungsbereichs der Verordnung nach dem Betroffenenprinzip in Art. 3 Abs. 2 DSGVO. Sie ist anwendbar, wenn ein Datenverarbeiter personenbezogene Daten von Personen verarbeitet, die sich in der Union aufhalten, nämlich wenn er entweder der betroffenen Person Waren oder Dienstleistungen anbietet (Marktort) oder die Datenverarbeitung der Beobachtung ihres Verhaltens dient (Beobachtungsort).Footnote 56 Dadurch will die Datenschutz-Grundverordnung auf dem europäischen Markt für Wettbewerbsgleichheit zwischen Anbietern in der Union und Anbietern außerhalb der Union sorgen und die Wahrnehmung von Betroffenenrechten erleichtern. Neu ist auch die grundsätzliche Altersgrenze von Kindern in Art. 8 DSGVO, um in die Verarbeitung ihrer Daten für Dienste der Informationsgesellschaft einzuwilligen.Footnote 57 Auch das Recht auf Datenübertragbarkeit in Art. 20 DSGVO zählt zu den Innovationen. Es gibt betroffenen Personen das Recht, ihre Daten, die sie einem Verantwortlichen bereitgestellt haben, auf einen anderen Datenverarbeiter zu übertragen.Footnote 58 Neu sind auch die expliziten Anforderungen an den Datenschutz durch Systemgestaltung und Voreinstellungen in Art. 5 Abs. 1 lit. f und 25 DSGVO,Footnote 59 die Möglichkeit einer Datenschutzzertifizierung in Art. 42 und 43 DSGVOFootnote 60 sowie die Datenschutz-Folgenabschätzung in Art. 35 DSGVO.Footnote 61 Verbesserungen hat die Verordnung schließlich im Bereich der Aufsichtsbehörden erfahren: Ihre Befugnisse wurden in Art. 58 DSGVO gestärkt und die Zusammenarbeit der Aufsichtsbehörden in der Union in Art. 60 bis 76 DSGVO geregelt.Footnote 62 Die medienwirksamste Neuerung brachte wohl Art. 83 Abs. 5 DSGVO, nach dem bei den dort aufgelisteten Verstößen Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können.Footnote 63

Diese Neuerungen unterstützen die Durchsetzung des Datenschutzrechts und stärken das Bewusstsein für Datenschutz. Sie führen aber nicht dazu, dass die grundlegenden Vorgaben zu den Grundsätzen des Datenschutzes, zur Zulässigkeit der Datenverarbeitung und zu den Rechten der betroffenen Personen den neuen Herausforderungen entsprechen. Sie sind zwar in ihrer Abstraktheit auch auf neue Sachverhalte anwendbar, enthalten aber keine spezifischen Anforderungen. Im ersten Zugriff hat immer der Verantwortliche die Möglichkeit, die abstrakten Regelungen in seiner Datenverarbeitung zur Anwendung zu bringen. Dies führt zur Verstärkung von Machtungleichgewichten, weil überall da, wo das Recht normative Spielräume eröffnet, letztlich soziale, politische und wirtschaftliche Macht eindringt und einseitige Ergebnisse durchsetzt.Footnote 64

Außerdem berücksichtigt die Verordnung nicht das veränderte Systemdesign moderner Technologien, in dem nicht mehr nur linear der Verantwortliche auf der einen Seite die personenbezogenen Daten der betroffenen Person auf der anderen Seite verarbeitet, sondern in denen Privatpersonen arbeitsteilig Verarbeitungsvorgänge als Teil einer Infrastruktur vornehmen können (z. B. Blockchain, Mix-Netze, Crowd-Sensing, Peer-to-Peer-Kommunikation, Social Networks). Die Grenzen der individuellen Verantwortlichkeit verschwimmen zunehmend, werden aber von den Regelungen der Verordnung nicht ausreichend berücksichtigt und können damit natürliche Personen unangemessen benachteiligen und Machtasymmetrien verstärken.Footnote 65 Damit wird die Verordnung den künftigen Herausforderungen technisch-ökonomischer Entwicklungen nicht gerecht. Das Festhalten an überholten und unzureichenden Lösungen wirkt jedoch besonders schwer, da die Mitgliedstaaten von diesen grundlegenden Richtungsentscheidungen der Verordnung nicht abweichen dürfen.Footnote 66

Schließlich versäumt es die Verordnung, Maßnahmen zu ergreifen, die nicht nur Verantwortliche, sondern auch Hersteller in die Pflicht nehmen würden, um Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen in technologische Anwendungen zu implementieren. Bisher trifft diese Pflicht den Verantwortlichen allein und es obliegt ihm, die Umsetzung bei Herstellern einzufordern. Deutlich bessere Effekte ließen sich mit der Verpflichtung der Hersteller erzielen. Dies muss nicht allein durch Ge- und Verbote erfolgen. In Kombination mit einem System von Anreizen und alternativen Regelungsformen könnte ein weitaus besserer Datenschutz durch Systemgestaltung und damit der Schutz der betroffenen Personen erreicht werden.Footnote 67

2.4 Risikoneutralität

Dem Modernisierungsziel entgegen steht letztlich auch das spezifische Verständnis der Verordnung von Technikneutralität.Footnote 68 Richtig verstandene Technikneutralität soll verhindern, dass rechtliche Vorschriften aufgrund ihrer Formulierung technische Weiterentwicklungen ausschließen oder umgekehrt nicht mehr anwendbar sind. Dies schließt aus, Regelungen für einzelne Ausprägungen einer spezifischen IT-Anwendung zu treffen. Dies darf aber nicht verhindern, Vorgaben für bestimmte technische Funktionen vorzusehen – insbesondere, wenn sie besondere Risiken für Grundrechte verursachen.Footnote 69 Denn in einer technikgeprägten Welt kann Grundrechtsschutz nicht erfolgen, wenn nicht auch Risiken durch Technik aufgegriffen und durch die Regulierung technischer Funktionen gesteuert werden.

Die Verordnung regelt jedoch überhaupt keine technischen Risiken. In keiner ihrer Regelungen geht die Verordnung die spezifischen grundrechtlichen Risiken moderner Informationstechnik an, wie sie in Abschn. 1.1 dargestellt wurden. Auch wo die Technik unterschiedliche Grundrechtsrisiken verursacht, finden die gleichen „technikneutralen“ Regelungen Anwendung.Footnote 70 Zum Beispiel gelten die gleichen Zulässigkeitsregeln, Zweckbegrenzungen, Schutzvorkehrungen oder Rechte der betroffenen Person für alle Datenverarbeiter gleichermaßen, von der wenig riskanten Kundenliste eines Kleinstunternehmens bis hin zu globalen Konzernen wie Google oder Facebook, die mit risikoreichen Techniksystemen massenhaft personenbezogene Daten verarbeiten. Soweit es den Schutz der betroffenen Personen angeht, ist die Datenschutz-Grundverordnung risikoneutral.

Dagegen berücksichtigt sie die (geringeren) Risiken der Datenverarbeitung, wenn es um die Belastungen der Verantwortlichen geht.Footnote 71 Diese werden „entsprechend der Risiken von Datenverarbeitungsprozessen“ reduziert oder beschränkt.Footnote 72 Dies bewirkt, dass nur ein Bruchteil der Verantwortlichen und Auftragsverarbeiter die in der Verordnung vorgesehenen Pflichten erfüllen muss.Footnote 73

Datenverarbeitungen zu verhindern, die unzumutbare Risiken verursachen, ist nicht das Ziel der Verordnung. Sie knüpft an keiner Stelle die Zulässigkeit besonders riskanter Funktionen der Datenverarbeitung an das Fehlen bestimmter Grundrechtsrisiken oder macht sie von der Bewältigung dieser Risiken abhängig. Doch nur durch die Berücksichtigung typischer Risiken bestimmter Datenverarbeitungsformen im Verordnungstext hätte die notwendige Rechtssicherheit und Interessengerechtigkeit erreicht werden können.Footnote 74

Zusammenfassend ist festzuhalten, dass die Datenschutz-Grundverordnung ihr Ziel der notwendigen Modernisierung des Datenschutzrechts weitgehend verfehlt.

3 Fortentwicklung des Governance-Rahmens

Die Herausforderungen des Grundrechtsschutzes durch die Digitalisierung sind somit durch die Datenschutz-Grundverordnung nicht bewältigt. Vielmehr setzt das Erreichen dieses Ziels weiterhin eine risikogerechte Modernisierung des Datenschutzrechts in der Europäischen Union voraus. Wie diese Voraussetzung hergestellt werden kann, bleibt daher eine dringend zu lösende Aufgabe. Daher untersucht der folgende Abschnitt Möglichkeiten, das Datenschutzrecht innerhalb des Regelungsrahmens der Datenschutz-Grundverordnung fortzuentwickeln.

3.1 Fortentwicklung durch Behörden und Gerichte

Im Governance-Rahmen der Datenschutz-Grundverordnung kommt eine wichtige Rolle für die Fortentwicklung des Datenschutzrechts den nationalen Aufsichtsbehörden und dem Europäischen Datenschutzausschuss zu. Sie treffen Entscheidungen im Einzelfall und geben Stellungnahmen und Empfehlungen ab. Auch die nationalen Gerichte und der Europäische Gerichtshof tragen zum besseren Verständnis der Verordnung bei. Sie alle konkretisieren die abstrakten Vorgaben der Verordnung und passen sie – soweit der Text der Verordnung dies ermöglicht – immer wieder an die neuen Herausforderungen an. Sie können dadurch viele Defizite der Verordnung ausgleichen, ihre Vorgaben zu praktikablen Anforderungen fortentwickeln und dadurch für mehr Rechtssicherheit sorgen.

Der Datenschutzausschuss oder einzelne Aufsichtsbehörden sind allerdings durch ihre spezifischen Aufgaben und Befugnisse beschränkt und können keine Korrektur des Normtextes bewirken. Zwar kommt ihren Aussagen grundsätzlich eine hohe praktische Bedeutung zu. Dennoch bleibt der erste Zugriff auf die Auslegung der Verordnung bei den Verantwortlichen. Vor allem ihre Praxis der Datenverarbeitung prägt in der Breite das Verständnis des gebotenen Datenschutzes. Sie nutzen jede Unklarheit des Textes für ihre Verarbeitungsinteressen.Footnote 75 Die Tatsache, dass die Verantwortlichen Bußgelder der Aufsichtsbehörden und selbst deren Verwarnungen auf breiter Front vor Gericht angreifen, zeigt, dass die Rolle der Aufsichtsbehörden wie auch des Ausschusses nicht so stark ist, wie es für eine effektive Governance notwendig wäre. Ihre Interpretation der Verordnung gilt immer nur vorbehaltlich einer Klärung durch die nationalen Gerichte und letztlich den Europäischen Gerichtshof.

Der Europäische Gerichtshof bestimmt zwar als höchste Instanz ultimativ die Auslegung der Datenschutz-Grundverordnung. Ihm sind für die systematische Klärung von Streitfragen rund um die Datenschutz-Grundverordnung jedoch faktische Grenzen gesetzt. Er kann immer nur im Rahmen des jeweiligen Einzelfalls und nur in den Fällen entscheiden, die ihm vorgelegt werden. Er kann zwar anlässlich einer konkreten Streitfrage durch ein seltenes „obiter dictum“ auch eine Aussage zu einer grundsätzlichen Fragestellung treffen. Doch werfen solche Aussagen meist mehr Fragen auf, als sie beantworten. Zudem sind die Kapazitäten des Gerichts begrenzt. Eine zeitnahe Klärung der Streitfragen zum Datenschutzrecht ist angesichts der Masse der Verfahren nicht nur zum Datenschutzrecht ausgeschlossen. Ein Äquivalent zur Verfassungsbeschwerde im deutschen Recht existiert nicht. Dies sowie die Überlastung des Gerichts könnte zukünftig für Deutschland durch das Bundesverfassungsgericht etwas abgemildert werden. Es hat in zwei jüngeren Entscheidungen zum „Recht auf Vergessen“Footnote 76 erklärt, künftig auch die Einhaltung der Grundrechtecharta und damit des Grundrechts auf Datenschutz zu prüfen. Für die Fortentwicklung des Datenschutzrechts durch Gerichte gilt jedoch immer: Bis letztlich ein höchstinstanzliches Gericht in Einzelfällen Defizite der Verordnung beseitigt und für Rechtssicherheit und Interessenausgleich sorgt, vergeht geraume Zeit. Vielfach hat die Dynamik der technischen Entwicklung das Problem dann bereits überholt.

Eine strukturelle Fortentwicklung sowohl durch die Aufsichtsbehörden und den Datenschutzausschuss wie auch durch die Gerichte findet außerdem ihre Grenze im Wortlaut des Gesetzestextes. Sie kann nur vom Unionsgesetzgeber oder – innerhalb des von der Datenschutz-Grundverordnung gewährten Spielraums – vom nationalen Gesetzgeber umgesetzt werden.

3.2 Evaluation der Datenschutz-Grundverordnung als Chance ihrer Fortentwicklung

Notwendig ist eine Fortentwicklung des Textes der Datenschutz-Grundverordnung aus vier Gründen. Erstens kann die Datenschutz-Grundverordnung schon infolge der ständig fortschreitenden DigitalisierungFootnote 77 kein statisches Regelungswerk sein. Vielmehr muss der Schutz der Werte, die in diesem Wandel unverändert bleiben sollen, sich immer wieder den Herausforderungen anpassen. Zweitens ist die Datenschutz-Grundverordnung nur eine erste Fassung einer unionsweiten Datenschutzregelung, eine Sammlung von unterschiedlichen, nur mühsam systematisierten Kompromissergebnissen, die bei den vieldimensionalen Interessengegensätzen und den 2015 gegebenen Machtverhältnissen durchsetzbar waren.Footnote 78 Sie ist ein legislativer Versuch, der angesichts neuer Herausforderungen für Persönlichkeitsrechte und Demokratie immer wieder neu zu konzipieren und zu verhandeln ist. Drittens konnten die Autoren der Verordnung die vielen und vielfältigen Praxisprobleme in allen von ihr erfassten Wirtschafts-, Verwaltungs- und Gesellschaftsbereichen gar nicht kennen. Daher ist wenig verwunderlich, dass sich in der Praxis sehr viele Probleme zeigen, den Vorgaben der Verordnung in den verschiedenen Anwendungsbereichen eine nachvollziehbare und lebenspraktische Form zu geben. Schließlich enthält die Verordnung strukturelle Defizite – wie ihre Risikoneutralität und fehlende Vorgaben für Hersteller – die den gebotenen Grundrechtsschutz auch gegenüber den neuen und künftigen Herausforderungen verhindern.

Mit Art. 97 DSGVO ist in der Verordnung deshalb ein Mechanismus zu ihrer regelmäßigen Evaluation und Weiterentwicklung vorgesehen, der als Chance der Modernisierung der Verordnung gesehen werden muss.Footnote 79 Nach Abs. 1 hat die Kommission bereits zwei Jahre nach Geltungsbeginn der Datenschutz-Grundverordnung bis zum 25. Mai 2020 über ihre Bewertung und Überprüfung zu berichten und den Bericht zu veröffentlichen. Danach sollen Evaluationen alle vier Jahre erfolgen. Nach Abs. 2 soll die Kommission „insbesondere“ die Anwendung und die Wirkungsweise des Kap. V über die Übermittlung personenbezogener Daten an Drittländer insbesondere im Hinblick auf Angemessenheitsfeststellungen und des Kap. VII über Zusammenarbeit und Kohärenz überprüfen. Sie kann nach Abs. 3 für die Evaluation „Informationen von den Mitgliedstaaten und den Aufsichtsbehörden anfordern“. Nach Abs. 4 hat sie die „Standpunkte und Feststellungen des Parlaments, des Rates und anderer einschlägiger Stellen oder Quellen“ zu berücksichtigen. Nach Abs. 5 legt die Kommission in ihrem Bericht „erforderlichenfalls geeignete Vorschläge zur Änderung“ der Datenschutz-Grundverordnung vor und „berücksichtigt dabei insbesondere die Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft“.

Wie sich aus Art. 97 Abs. 2 und 5 DSGVO ergibt, soll die Kommission in ihren Evaluationen nicht nur die Umsetzung der Kap. V und VII untersuchen, sondern die jeweilige Ausgestaltung der gesamten Verordnung daraufhin überprüfen, welche Defizite bei ihrer Anwendung zu erkennen sind, und auch Änderungen der Datenschutz-Grundverordnung vorschlagen, die diese Defizite beseitigen. Dabei sind nicht nur die jeweils gegenwärtigen Datenschutzpraktiken zu berücksichtigen, sondern – wie Abs. 5 deutlich macht – auch die absehbaren Herausforderungen.Footnote 80 Daher beschränken sich die allermeisten Stellungnahmen von Mitgliedstaaten und Verbänden zur Evaluation der Verordnung nicht nur auf Probleme der Umsetzung, sondern erstrecken sich auch auf Vorschläge zur Verbesserung des Verordnungstextes.Footnote 81

Im Gegensatz dazu zeigte die Kommission in ihrem Evaluationsbericht vom 24. Juni 2020Footnote 82 kein Interesse,Footnote 83 bereits nach so kurzer Zeit den mühsam ausgehandelten Kompromiss, den die Datenschutz-Grundverordnung darstellt, auch nur in Kleinigkeiten in Frage zu stellen und beschränkte sich auf die Untersuchung von einzelnen Umsetzungsproblemen.Footnote 84 Da sie nach Art. 17 Abs. 2 EUV allein das Recht hat, Gesetzesinitiativen in den Prozess der Unionsgesetzgebung einzubringen, kann letztlich sie bestimmen, ob und wenn ja welche Änderungsvorschläge sie aufgreift oder ignoriert. Daher muss ihr gegenüber immer wieder deutlich gemacht werden, dass sie zur ständigen Fortentwicklung des Grundrechtsschutzes verpflichtet ist.

Wie umfassend der Evaluationsauftrag auch verstanden wird, ein selbstreflexiver, kontinuierlicher Prozess der Anpassung ist möglich, gewollt und auch notwendig, um mit technischen Innovationen Schritt zu halten oder Mängel im Regelwerk zu beseitigen. Gerade bei letzterem ist es aufgrund der Eigenschaften der digitalen Welt ein unhaltbarer Zustand, wenn erkannte Mängel persistieren. Aber auch die mangelhafte Adressierung oder Nicht-Adressierung aufkommender Techniken über einen längeren Zeitraum ist angesichts der Schäden, die drohen, wenn personenbezogene Daten erst einmal in der Welt sind, inakzeptabel. Die Union kann ihrem Schutzauftrag für die Rechte und Freiheiten des Einzelnen nur gerecht werden, wenn sie dafür sorgt, dass das Datenschutzrecht mit den realen Möglichkeiten der Datenverarbeitung Schritt hält. Eine regelmäßige Überprüfung und gegebenenfalls Anpassung des Datenschutzrechts ist mithin auch verfassungsrechtlich geboten.

3.3 Notwendige praktische Verbesserungen der Datenschutz-Grundverordnung

Dabei zeigt sich, dass bereits kleine textliche Änderungen in der Datenschutz-Grundverordnung eine große Wirkung bezogen auf die Gewährleistung von Rechtssicherheit, die Erhöhung der Praxistauglichkeit der Regelungen und den Ausgleich des Machtungleichgewichts zwischen Verantwortlichem und betroffener Person entfalten können.Footnote 85 Einige Beispiele:

Das Verhältnis der Erlaubnistatbestände in Art. 6 Abs. 1 DSGVO zueinander ist im Text der Verordnung ungeklärt. So besteht Streit darüber, ob ein Verantwortlicher, der von der betroffenen Person eine Einwilligung eingefordert hat, seine Datenverarbeitung nachträglich auf überwiegende berechtigte Interessen stützen kann, wenn die betroffene Person die Einwilligung widerrufen hat. Er hat die betroffene Person nicht über den neuen Erlaubnistatbestand informiert und nimmt ihr damit außerdem das Recht zur Datenübertragung nach Art. 20 DSGVO. Daher sollte Art. 6 Abs. 1 DSGVO klarstellen, dass ein Verantwortlicher sich neben einer Einwilligung nicht zusätzlich auf einen gesetzlichen Erlaubnistatbestand berufen kann. Wenn er von der betroffenen Person eine Einwilligung einfordert, muss er sich auch auf die Regeln zu einer Einwilligung einlassen. Er muss dann vor allem einen Widerruf der Einwilligung gegen sich gelten lassen und kann nicht trotz des Widerrufs die Datenverarbeitung unter Berufung auf einen anderen gesetzlichen Erlaubnistatbestand fortsetzen; zudem muss er der betroffenen Person eine Übertragung ihrer Daten ermöglichen.Footnote 86

Ein anderes Beispiel ist das Gebot der Datenvermeidung, das in § 3a BDSG-alt noch enthalten war. Es fehlt in der Datenschutz-Grundverordnung. Diese kennt nur das Minimierungsgebot, personenbezogene Daten nur insoweit zu verarbeiten, wie dies zur Erreichung des Zwecks der Verarbeitung erforderlich ist. Den Zweck kann der Verantwortliche aber so wählen, dass die Verarbeitung vieler Daten erforderlich wird. Das Gebot der Datenvermeidung würde den Verantwortlichen aber verpflichten, seine Zwecke so auszuwählen, dass möglichst wenige personenbezogene Daten verarbeitet werden. Es sollte deshalb in Art. 5 DSGVO aufgenommen werden.Footnote 87

Die besondere Schutzbedürftigkeit von KindernFootnote 88 berücksichtigt die Datenschutz-Grundverordnung in sechs Regelungen – allerdings nicht vollständig und nicht systematisch. Daher sollte der Wortlaut der Verordnung diesen besonderen Aspekt zusätzlich und ausdrücklich berücksichtigen – z. B. bei der Veränderung des Verarbeitungszwecks in Art. 6 Abs. 4 DSGVO, bei der Einwilligung in die Verarbeitung besonderer Kategorien von personenbezogenen Daten in Art. 9 Abs. 2 lit. a DSGVO, beim Widerspruch nach Art. 21 DSGVO, bei der Einwilligung in automatisierte Entscheidungen nach Art. 22 Abs. 2 lit. c DSGVO und bei der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.Footnote 89

Werden Daten bei der betroffenen Person erhoben, so ist diese nach Art. 13 Abs. 1 und 2 DSGVO unmittelbar zum Zeitpunkt der Erhebung über Einzelheiten zur Datenverarbeitung zu informieren. Dies wird in der Praxis häufig so verstanden, dass bei Vertragsschluss oder beim ersten Kontakt mit der betroffenen Person in umfangreichen Datenschutzerklärungen oder Allgemeinen Geschäftsbedingungen alle denkbaren Eventualitäten künftiger Datenverarbeitungen beschrieben werden müssen. Dies geschieht oft schon lange Zeit vor der tatsächlichen Erhebung der Daten und vor der Entscheidung der betroffenen Person, ob sie mit der Datenverarbeitung einverstanden ist. Dies hat zur Folge, dass sie sich an die umfassenden Inhalte der – unter Umständen Jahre zuvor erfolgten – Information nicht mehr erinnern wird, wenn ihre Daten (dann irgendwann) tatsächlich erhoben werden. Die Praxis entspricht damit nicht der Zielsetzung der Datenschutz-Grundverordnung, die betroffene Person so zu informieren, dass sie ihre informationelle Selbstbestimmung optimal ausüben kann. Damit der Zweck der Informationspflicht nicht ausgehöhlt wird, sind Ergänzungen am Wortlaut von Art. 13 Abs. 1 und 2 DSGVO geboten, die klarstellen, dass die Information situationsadäquat erfolgt, nämlich unmittelbar vor der konkreten Datenerhebung und der potentiellen Entscheidung der betroffenen Person.Footnote 90

Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO bezieht sich nur auf personenbezogene Daten, die die betroffene Person dem Verantwortlichen „bereitgestellt“ hat. Sonstige Daten werden nicht erfasst. Beim Wechsel von einer Bank zur anderen oder von einem E-Mail-Provider zum anderen hieße das, dass zwar die selbst getätigten Überweisungen und die selbst versendeten E-Mails (Ausgangspostfach) mit umziehen können, Überweisungen und E-Mails von Dritten aber nicht (Eingangspostfach). Diese widersinnige Folge des Wortlauts von Art. 20 DSGVO kann durch die Ersetzung des Begriffs „bereitgestellt“ durch „verursacht“ geklärt werden.Footnote 91

Art. 22 Abs. 1 DSGVO normiert das „Recht“ der betroffenen Person, „nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie ähnlicher Weise erheblich beeinträchtigt“. Dies ist grundsätzlich als Verbot von automatisierten Entscheidungen im Einzelfall zu interpretieren. Problematisch ist, dass dieses Verbot sehr eng formuliert ist und damit leicht zum Nachteil der betroffenen Person angewendet werden kann. Zum einen erfasst Art. 22 Abs. 1 DSGVO lediglich die Entscheidung selbst, nicht aber die vorhergehende automatisierte Verarbeitung und auch nicht die auf einer automatisierten Verarbeitung beruhende Entscheidung. Um diesem Defizit zu begegnen, sollte das Wort „ausschließlich” in Art. 22 Abs. 1 DSGVO gestrichen werden. So würden auch solche automatisierten Entscheidungen unter das Verbot fallen, in denen ein Mensch die Letztentscheidung fällt, ohne diese inhaltlich beeinflussen zu können. Zum anderen soll das Verbot nur gelten, wenn die Entscheidung eine Rechtswirkung entfaltet oder die betroffenen Personen auf ähnliche Weise erheblich beeinträchtigt. Um auch andere Einschränkungen zu erfassen, sollte für das Verbot genügen, wenn die Entscheidung geeignet ist, die betroffene Person in erheblicher Weise zu beeinträchtigen.Footnote 92

Ein großer Mangel der Verordnung besteht darin, dass sie zwar das Profiling punktuell erwähnt, seine besonderen Risiken aber nicht ausreichend regelt. Um diesen zu begegnen, sind risikoadäquate Regelungen notwendig. Die Datenschutz-Grundverordnung könnte gesetzlich festlegen, für welche Zwecke Profiling zulässig ist und für welche nicht. Vergleichbar mit der Regelung in Art. 9 DSGVO für besondere Kategorien personenbezogener Daten könnte die Regelung festlegen, dass Profiling grundsätzlich nicht erlaubt ist und nur in den ausdrücklich vorgesehenen Fällen zugelassen ist.Footnote 93

Ein prominentes Beispiel ist auch der Datenschutz durch Technikgestaltung. Die zugrundeliegende Vorschrift des Art. 25 Abs. 1 DSGVO etabliert zwar eine Pflicht des Verantwortlichen, nicht aber des Herstellers von Datenverarbeitungssystemen. Ohne eine Pflicht des Herstellers, kann aber in den meisten Fällen der Verantwortliche dieser Pflicht nicht genügen. Daher sind in der Verordnung auch entsprechende Pflichten der Hersteller vorzusehen.Footnote 94

Probleme, wie die hier beispielhaft vorgestellten, können durch eine Änderung des Normtextes einzelner Vorschriften gelöst werden und hätten leicht im Prozess der Evaluation der Datenschutz-Grundverordnung aufgegriffen und umgesetzt werden können. Dass die Kommission dies nicht getan hat, ist bedauerlich. Sie warten aber weiterhin auf ihre Erörterung und Umsetzung.

3.4 Strukturelle Modernisierung der Datenschutz-Grundverordnung

Soweit Änderungen in der grundlegenden Konzeption der Datenschutz-Grundverordnung in Frage stehen, um die Effektivität des Grundrechtsschutzes zu verbessern, oder Fortentwicklungen des europäischen Datenschutzrechts bedacht werden müssen, um dieses gegenüber den künftigen Herausforderungen der Digitalisierung zu wappnen, bedürfen sie im Rahmen der Ko-Regulierung des europäischen Datenschutzrechts umfassenderer und längerfristiger Untersuchungen und Diskussionen in den Mitgliedstaaten und der Union. Diese sollten folgende Aspekte berücksichtigen:Footnote 95

Das wohl bedeutsamste strukturelle Defizit der Datenschutz-Grundverordnung ist ihre Risikoneutralität gegenüber Herausforderungen für die Grundrechte der betroffenen Personen.Footnote 96 Eine Fortentwicklung des Datenschutzrechts muss die Form einer risikogerechten Regulierung annehmen, die techniknah und bereichsspezifisch ist. Sie muss Vorgaben zur Systemgestaltung enthalten, die zwar keine technischen Merkmale vorgeben, aber technische Funktionen einzelner Techniklinien regeln.

Die Regelungen zu den Voraussetzungen der Zulässigkeit der Datenverarbeitung, zur Zulässigkeit von Zweckänderungen, zu konkreten Rechten der betroffenen Personen und zu den Pflichten der Verantwortlichen müssen spezifisch für bestimmte Technikfunktionen oder bereichsspezifisch für bestimmte Anwendungsprobleme konkretisiert werden. Grundsätzlich sind zwei unterschiedliche Ansatzpunkte für im richtigen Sinn technikneutrale, aber risikospezifische Datenschutzregelungen möglich:

  • Entweder regelt das Datenschutzrecht Funktionen von Techniken, die in vielen Wirtschafts-, Gesellschafts- und Verwaltungsbereichen zum Einsatz kommen – wie etwa Videoüberwachung, Cloud Computing oder algorithmenbasierte Entscheidungsverfahren – und fordert für diese bereichsübergreifend die Ausgestaltung einzelner wichtiger Funktionen – wie z. B. die Nachvollziehbarkeit und Begründbarkeit von algorithmenbasierten Entscheidungen.Footnote 97

  • Oder es regelt Ausprägungen von Datenschutzvorgaben in spezifischen Anwendungsbereichen – wie z. B. für Smart Cars, Smart Buildings oder Social Networks. In diesen Regelungen fordert es bereichsspezifische Ausgestaltungen von Technikfunktionen – wie etwa im Smart Car bestimmte Anzeigen vor der Verarbeitung von bestimmten personenbezogenen Daten, Möglichkeiten der Intervention von Fahrern oder die Zulässigkeit von Speicherungen oder Weitergaben von Daten an Dritte – und berücksichtigt dabei die spezifischen Bedingungen und Ausprägungen ihrer Anwendung.Footnote 98

Notwendig ist immer, die geeigneten Anforderungen an die Verantwortlichen, aber auch an die Hersteller und Anbieter von Techniksystemen zu stellen, mit deren Hilfe die Verantwortlichen die Anforderungen erfüllen sollen.Footnote 99

3.5 Fortentwicklung der normativen Innovationen

Die Datenschutz-Grundverordnung enthält einige echte regulative Innovationen für den Datenschutz.Footnote 100 Sie sind mit hohen Erwartungen und vielen Hoffnungen verbunden: Sie sollen nicht nur zu mehr Datenschutzschutz, sondern auch zu einem gerechteren, passgenaueren und praktikableren Datenschutz führen. Obwohl die Datenschutz-Grundverordnung vor über vier Jahren in Kraft getreten ist und seit mehr als zwei Jahren in den Mitgliedstaaten gilt, sind diese Innovationen noch nicht umgesetzt, können noch nicht genutzt werden oder stoßen auf Schwierigkeiten. Die Datenschutz-Grundverordnung hat sie zwar eingeführt, oft aber nur benannt, angekündigt oder angedeutet. Sie regelt diese Innovationen nur in Ansätzen und lässt viele wichtige Details offen. Alle diese Innovationen sind über die bestehenden Regelungen hinaus von weiteren Kriterien, Verfahrensregelungen, Initiativen, Konzepten, Erprobungen und materiellen Vorbedingungen abhängig. Da sie fehlen, können die Innovationen nicht unmittelbar angewendet, umgesetzt oder in Anspruch genommen werden. Bei allen Innovationen behindert die Datenschutz-Grundverordnung selbst ihre Effektivität.Footnote 101

Der Erfolg des Datenschutzrechts ruht vornehmlich auf zwei Säulen: effektive Abschreckung vor RechtsverstößenFootnote 102 und greifbarer Nutzen für die beteiligten Akteure. Datenschutzrecht wird häufig als eine Last wahrgenommen – sowohl bezogen auf Innovation als auch auf wirtschaftlichen Erfolg. Dies führt zu Versuchen, strenge datenschutzrechtliche Vorgaben zu umgehen. Es ist deshalb wichtig, auf regulatorischer Basis Marktanreize zu schaffen, die Datenschutz als Wettbewerbsvorteil etablieren, anstatt ihn zum Nachteil werden zu lassen. Das Recht muss daher Anreize setzen, die eigenen Interessen zu mobilisieren, um Datenschutz zu verbessern. Für Hersteller, Entwickler und Anwender von Datenverarbeitungssystemen muss sich Datenschutz lohnen. Dies kann dadurch erreicht werden, dass Datenschutz eine positive Marktinformation – wie etwa ein Zertifikat – sein kann, die einen Wettbewerbsvorteil bewirkt.Footnote 103 Ein weiterer Anreiz lässt sich dadurch setzen, dass nachgewiesene datenschutzfreundliche Systemgestaltungen bei der öffentlichen Auftragsvergabe berücksichtigt werden. Direkte wirtschaftliche Vorteile für die betreffenden Unternehmen können auch steuerliche Regelungen bieten, die datenschutzgerechtes Verhalten belohnen. Andere Anreize setzen beim Verhalten der Nutzenden an und versuchen, diese dazu anzuhalten, ihre eigenen personenbezogenen Daten besser zu schützen. Das gilt für die Förderung von Maßnahmen zum SelbstdatenschutzFootnote 104 und für das Nudging.Footnote 105 Solche Anreize hat die Datenschutz-Grundverordnung unzureichend geregelt. Sie sind durch Ergänzungen in der Verordnung weiterzuentwickeln.

Anreize, die dabei herausstechen, sind Audits und Zertifizierungen.Footnote 106 Die Datenschutz-Grundverordnung regelt jedoch weder eine Produktbestätigung noch ein Verfahren einer kontinuierlichen Verbesserung eines Datenschutzmanagementsystems.Footnote 107 Sie sieht vielmehr eine Überprüfung und Bestätigung von „Datenverarbeitungsvorgängen“ allein am Maßstab der Einhaltung der Vorgaben der Datenschutz-Grundverordnung vor – also ein drittes Konzept der freiwilligen Überprüfung eines datenschutzrelevanten Objekts.Footnote 108 Dabei zielt sie auf das Kunststück einer statischen Überprüfung eines dynamischen Systems, das mit einer auf einen bestimmten Zeitpunkt bezogenen Feststellung seiner Rechtskonformität abgeschlossen wird. Es „prämiert“ die Einhaltung der ohnehin geltenden rechtlichen Vorgaben, ohne näher zu regeln, wie diese Feststellung als Marktinformation verwendet werden darf. Ob diese Form der Überprüfung und Bestätigung auf praktisches Interesse stößt, bleibt abzuwarten. Gleichwohl gibt es keine rechtliche Pflicht, die bestimmt, dass eine Zertifizierung auf die Vorgaben der Datenschutz-Grundverordnung beschränkt sein muss. Daher ist es möglich, Standards zu setzen und zu prüfen, die über das rechtlich geforderte Mindestmaß hinausgehen. Allerdings wären die Ergebnisse dieser Prüfung keine Zertifikate nach Art. 42 DSGVO. Somit verhindert die Verordnung nicht eine Steigerung und Weiterentwicklung des Datenschutzes, unterstützt diese aber auch nicht. Dabei wäre für die zertifizierten Unternehmen die Werbung mit datenschutzkonformen Produkten und Systemen der beste Anreiz, freiwillig den Datenschutz ihrer Verarbeitungsvorgänge zu verbessern. Selbst für die Konformitätsbestätigung nach Art. 42 DSGVO fehlt eine Regelung, ob und wie ein erworbenes Zertifikat durch Werbung kommuniziert werden kann.Footnote 109

3.6 Wege zur Modernisierung der Datenschutz-Grundverordnung

Da die Informationstechnik und ihre Anwendungen immer wieder Herausforderungen für den Grundrechtsschutz bewirken, ist die risikoadäquate Anpassung des Datenschutzrechts eine permanente und dynamische Aufgabe. Für diese hat die Datenschutz-Grundverordnung statt einer Monopolisierung und Zentralisierung in der Weiterentwicklung des DatenschutzrechtsFootnote 110 eine sinnvolle Arbeitsteilung zwischen Union und Mitgliedstaaten eingerichtet. Nur so ist die notwendige Komplexität der Datenschutzregelungen angesichts einer sich ständig wandelnden, gesellschaftsweiten Verarbeitung personenbezogener Daten auch zu erreichen.Footnote 111

Die von der Verordnung angeordnete Ko-Regulierung kann auch für die Suche nach einem modernen Datenschutzrecht eingesetzt werden: Diese sollte einem in sich stimmigen, demokratischen und pluralistischen Modell der Evolution des Datenschutzrechts folgen. Rechtsevolution sollte sich an der natürlichen Evolution orientieren, deren Elemente aber gezielt organisieren. Sie muss wie diese auf den Prinzipien der Variation und der Selektion aufbauen. Dieses könnte unter anderem wie folgt aussehen:Footnote 112

Die notwendige Variation von Lösungsansätzen könnte dadurch erreicht werden, dass die Mitgliedstaaten – im weiten Rahmen der Datenschutz-Grundverordnung – vielfältige neue Datenschutzkonzepte erproben, die auf jeweils neue Herausforderungen moderner Informationstechnik reagieren oder diese sogar steuern. Angesichts der Vielfalt und Dynamik der zukünftigen, heute noch unbekannten Herausforderungen der Digitalisierung für die Grundrechte kann auf der Ebene der Mitgliedstaaten mit unterschiedlichen Regelungskonzepten experimentiert werden. Dadurch können vielfältige Quellen dazu beitragen, dass sich in der Union ein lebendiger Datenschutz entwickelt. Statt einer – ohnehin nicht zu erreichenden – Vereinheitlichung der Datenschutzpraxis ermöglichen unbestimmte Rechtsbegriffe und ihre situationsgerechte Konkretisierung, dass in den einzelnen Mitgliedstaaten Datenschutz den lokalen Bedingungen angepasst werden kann. Schließlich bieten die vielen Regelungsmöglichkeiten der Mitgliedstaaten Chancen für eine Modernisierung des Datenschutzrechts, indem dort versucht wird, durch risikoadäquate Regelungen einen ausreichenden Schutz der Grundrechte gegen künftige Herausforderungen zu gewährleisten.

Die Kommission sollte diese Variationen nicht als Verstoß gegen die Datenschutz-Grundverordnung ansehen, sondern deren Anwendung in einem oder mehreren Mitgliedstaaten als geeignetes Mittel verstehen, um eine Erprobung verschiedener Datenschutzkonzepte in der Praxis durchzuführen. Solange derartige mitgliedsstaatliche Variationen nicht gegen grundlegende Festlegungen der Datenschutz-Grundverordnung verstoßen, helfen sie, diese grundlegenden Festlegungen durch Erfahrung mit neuen und angepassten Datenschutzkonzepten zu verbessern.

In den regelmäßigen Evaluationen der Kommission der Datenschutz-Grundverordnung findet eine Bewertung und Selektion der verschiedenen Datenschutzkonzepte statt. In den Diskussionen über den Evaluationsbericht haben alle Interessierte die Möglichkeit, ihre individuellen Bewertungen in die Evaluation einzubringen. Hier werden die Erfolge für den Grundrechtsschutz der betroffenen Personen und für den Ausgleich mit den Grundrechtspositionen und den öffentlichen Interessen der Datenverarbeiter bewertet.

Schließlich finden in regelmäßigen Novellen zur Datenschutz-Grundverordnung Festlegungen durch den Unionsgesetzgeber statt, in denen er das in einzelnen Mitgliedstaaten Bewährte unionsweit übernimmt. Nicht alles muss er in der Datenschutz-Grundverordnung regeln. Er sollte keine „One Size Fits All“-Regelungen anstreben, sondern bereichsspezifische Regelungen, die den besonderen Risiken eines Anwendungsbereichs gerecht werden. Nur so kann er der Unterkomplexität der gegenwärtigen Datenschutz-Grundverordnung abhelfen.

4 Konzepte und Instrumente zur Bewältigung der technisch-ökonomischen Herausforderungen

Damit Recht die Grundrechte in einer digitalen Welt schützen und fördern kann, muss es die Entwicklung der Informationstechnik nach rechtlichen Kriterien steuern und technische Systeme grundrechtsverträglich gestalten.Footnote 113 Dieser Anspruch einer rechtliche Steuerung ist jedoch mit folgenden Grundproblemen konfrontiert:

  • Die technisch-ökonomischen Herausforderungen für den Grundrechtsschutz sind globaler Natur. Die riskanten Techniken werden weltweit von sehr vielen Datenverarbeitern eingesetzt. Vor allem global agierende Großkonzerne mit übergroßer Wirtschaftsmacht bieten besonders datenorientierte Dienste an und beuten Profile von Milliarden Personen aus.Footnote 114 Hier stellt sich das Problem, wie nationale Demokratien – in dieser Hinsicht gilt auch die Europäische Union als nationale Demokratie – diese weltweite Gefährdung der Grundrechte begrenzen können.

  • Viele soziale Ziele der Machtsteigerung, der Gewinnmaximierung, der Kontrolle und Verhaltenssteuerung erscheinen durch ihre Inkorporation in technische Systeme den betroffenen Personen und den politischen Akteuren als technische Sachzwänge.Footnote 115 Die technischen Systeme hätten immer auch anders gestaltet werden können. Sie wurden jedoch meist gezielt so gestaltet, um mit dem technischen Sachzwang jeweils (auch) das gewünschte soziale Ziel zu erreichen. Werden sie z. B. individualisiert angeboten, erzwingen sie die Bildung von Profilen über die Nutzenden und ermöglichen deren Kontrolle. Arbeitet z. B. ein Techniksystem mit bestimmten Statistikmustern, erfordert es die Anwendung von Big Data-Analysen und ermöglicht kollektive Verhaltenssteuerungen. Hier stellt sich das Problem einer grundrechtsförderlichen und machtbegrenzenden Technikgestaltung.

  • Soweit Techniksysteme den Charakter von Infrastrukturen der digitalen Gesellschaft annehmen, wie dies etwa bei bestimmten Plattformen und Suchsystemen der Fall ist, entwickeln sie einen besonderen Zwangscharakter. Technische Infrastrukturen sind Techniksysteme, die ständig und flächendeckend Dienstleistungen gleicher Qualität erbringen (sollen). Für ihre Nutzung gelten Bedingungen und Regeln, die alle beachten müssen, die sie nutzen. Wer diese Bedingungen und Regeln bestimmen kann, schafft den idealen Sachzwang. Für die meisten Nutzenden ist die Nutzung der Infrastruktur nicht freiwillig, weil sie auf diese aus sozialen oder beruflichen Gründen angewiesen sind. Sie haben keine Auswahl auf einem Markt verschiedener Möglichkeiten, sondern sind gezwungen, diese Infrastrukturen zu den geforderten Bedingungen zu nutzen.Footnote 116 Hier stellt sich das Problem, die gesellschaftliche Verantwortung digitaler Infrastrukturen für die Grundrechte ihrer Nutzenden einzufordern.

  • Zu vielen datenhungrigen Technikanwendungen wird aber niemand gezwungen. Vielmehr werden sie freiwillig genutzt, weil sie den Nutzenden die Erfüllung ihrer Träume versprechen. Vor allem die Datenverarbeitung im Alltag (IoT) verspricht eine schöne neue Welt, in der die Informationstechnik zu weniger lästiger Arbeit, zu einem lückenlosen Gedächtnis, zu einer Erweiterung der Sinne, zu mehr Kreativität, zu besserer Gesundheit oder zu alltäglicher Sicherheit verhilft. Diese Wunschträume verführen zur Nutzung dieser Technikanwendungen und zur Inkaufnahme der scheinbar notwendig mit ihnen verbundenen Verarbeitung personenbezogener Daten.Footnote 117 Hier stellt sich das Problem, wie Grundrechtsschutz gegen die Risiken der Technik von der individuellen Zustimmung gelöst und objektiviert werden kann.

Trotzt dieser Schwierigkeiten und Widerstände ist grundsätzlich am Ziel von Datenschutz und Selbstbestimmung sowie dem Schutz weiterer Grundrechte festzuhalten. Es ist in der digitalisierten Welt – mithilfe der einschlägigen Schutzregelungen – auch gegen widerständige Umstände und Interessen weiterhin durchzusetzen.

4.1 Rechtliche Gestaltung grundrechtsriskanter Techniksysteme

Informationstechnik verändert die Verwirklichungsbedingungen von Grundrechten. Sie kann ihre Wahrnehmung stärken. Sie kann neue Möglichkeiten der Selbstbestimmung und Selbstentfaltung bieten oder Leben und Gesundheit besser schützen. Sie kann aber auch – und das ist wahrscheinlicher – Machtpositionen stärken und Verhaltenssteuerung erleichtern. Welche dieser Potentiale verwirklicht werden und wer die Oberhand in der Nutzung der jeweiligen Technik gewinnt, ist letztlich die entscheidende Machtfrage. Wer in einer technikgeprägten Welt Freiheit sichern und Macht begrenzen will, muss Informationstechnik so gestalten, dass sie machtbegrenzend und freiheitsfördernd wirkt. Wenn Technik der stärkste Bestimmungsfaktor ist, um menschliches Verhalten zu steuern, muss Recht Technik gestalten, um diese Ziele zu erreichen.

Notwendig ist hierfür eine rechtliche Gestaltung von Informationstechniksystemen.Footnote 118 Diese wird nicht dadurch bewirkt, dass Recht Allgemeinplätze vorgibt wie zum Beispiel „Stand der Technik“. Denn dies überlässt Technikern, die Kriterien und ihre Umsetzung zu bestimmen. Ziel der Technikentwicklung ist sehr oft eine Machtsteigerung für den Investor. Er stellt die Anforderungen an die Technik oft so, dass das Techniksystem vor allem diese Wirkung erzielt. Die Datenverarbeitung für eine fertig entwickelte Technik erscheint dann oft als Sachzwang. Das Techniksystem hätte aber auch anders gestaltet werden können – mit anderen Folgen für die Grundrechte. Wenn Recht die Technikentwicklung beeinflussen soll, um seine Ziele zu erreichen, ist es besonders wichtig, alternative Gestaltungsmöglichkeiten aufzugreifen und Gestaltungen vorzuschreiben, die machtbegrenzend und freiheitsfördernd sind.

Hierfür sind bereichsspezifische Vorgaben für hilfreiche oder zu verhindernde Technikfunktionen notwendig – z. B. für Smart Cars, für Smart Home oder für selbstlernende KI-Systeme in einem bestimmten Anwendungsbereich. Beispielsweise bedarf der Datenschutz bei vernetzten Automobilen einer bereichsspezifischen Regelung, weil nur so die besonderen Risiken durch die Verarbeitung von personenbezogenen Daten aus dem vernetzten und künftig selbständig fahrenden Automobil adäquat erfasst und allen Beteiligten entsprechende Rechts- und Innovationssicherheit geboten werden können. Unter anderen sollten folgende rechtliche Vorgaben bestehen:Footnote 119

  • Nach dem Prinzip des „Privacy by Design“ und des „Privacy by Default“ sollten die Datenverarbeitung im Auto für den Halter oder den Fahrer so konfiguriert, die Architektur der Datenverarbeitungssysteme so datenschutzfreundlich (z. B. Datenhaltung im Auto statt auf einem Server) und die Prozesse so an den Anforderungen des Datenschutzrechts (z. B. implementierte Löschkonzepte) orientiert sein, dass sie die Datenschutzgrundsätze umsetzen.

  • Zur Transparenz für betroffene Personen sollte jeweils eine umfassende und verständliche Information erfolgen, bei welchem Dienst welche Daten generiert und verarbeitet werden sowie welche Daten auf welchen Wegen und zu welchen Zwecken übermittelt werden.

  • Bei der freiwilligen oder vertraglich vereinbarten Datenübermittlung an Dritte sind Fahrzeughalter und Fahrer technisch in die Lage zu versetzen, diese zu kontrollieren und zu unterbinden.

  • Personenbezogene Daten sollten prinzipiell im Auto selbst verbleiben und nur anonymisierte oder pseudonymisierte Daten im Backend der Hersteller oder Diensteanbieter verarbeitet werden.

  • Außerdem ist festzulegen, welche Datenkategorien nur flüchtig und welche für einen gewissen Zeitraum, welche anonym, pseudonym und personenbezogen gespeichert werden dürfen.

  • Zulässige Zweckänderungen sind spezifisch und bestimmt zu regeln – etwa für die Aufklärung von Verkehrsunfällen ab einer bestimmten Schwere.

  • Für Unfalldatenspeicher sind die Daten festzulegen, die erhoben, gespeichert oder übermittelt werden sollen, und verfahrensrechtliche und technische Schutzvorkehrungen zu bestimmen.

  • Die Anforderungen an den Datenschutz gegenüber Herstellern sollten bei der Zulassung der Automobile geprüft werden. Die Umsetzung der Anforderungen gegenüber Diensteanbietern sollten diese durch ein Audit oder eine Zertifizierung nachweisen.

Um zu verhindern, dass rechtliche Regelungen schnell ihre Wirksamkeit verlieren, sollten sie – entsprechend einer richtig verstandenen Technikneutralität – keine konkreten technischen Merkmale regeln, die von einer Weiterentwicklung der Technik bald überholt werden. Richtig und notwendig ist es jedoch, risikoreiche Funktionen einer Techniklinie zu regeln. Nur so lassen sich die spezifischen Risiken adressieren – und die Regelungen mit dem nächsten Update weiterhin anwenden.Footnote 120

Dagegen verkennt die überzogene Ideologie der Technikneutralität, wie sie in der Datenschutz-Grundverordnung Anwendung findet,Footnote 121 dass Macht in jede Ritze dringt, die rechtliche Regelungen aufweisen, und jede Leerstelle besetzt, die Recht bestehen lässt. Diese „Technikneutralität“ ist ein technokratisches, vermeintlich wertfreies Ordnungskonzept, das aber den Machtfaktor ignoriert. Ebenso schädlich ist aber auch die machtvergessene Naivität, die meint, die vielen Leerstellen der Datenschutz-Grundverordnung ließen Raum für datenschutzgerechte Lösungen nach den jeweils eigenen Vorstellungen. Dies wäre allenfalls dann der Fall, wenn man die Macht hätte, die eigenen Lösungen gegen Widerstand durchzusetzen. Was nicht explizit geregelt ist, entwickelt sich so immer zum Nachteil des Schwächeren. Statt abstrakt zu sein, müssen rechtliche Regelungen Technikfunktionen so regulieren, dass unerwünschte Macht das gewünschte Ziel der Machtbegrenzung nicht konterkarieren kann.Footnote 122

Das Umweltrecht ist hier einen deutlichen Schritt weiter. Hier ist anerkannt, dass Industrieunternehmen letztlich klare und für Ingenieure eindeutige Vorgaben benötigen, um tatsächliche Änderungen zu bewirken. Zwar gibt es auch hier abstrakte Vorgaben wie die Vermeidung schädlicher Umwelteinwirkungen, die Vorsorge für eine nachhaltige Entwicklung oder die Beachtung des Stands der Technik. Doch werden diese abstrakten Vorgaben durch Grenzwerte oder Beschaffenheitsanforderungen konkretisiert, die mess- und nachprüfbar sind.Footnote 123

4.2 Objektiver Grundrechtsschutz

Bisher ist das Datenschutzrecht stark individualistisch ausgerichtet und unterstellt vielfach, dass die Grundrechte auf Datenschutz und informationelle Selbstbestimmung gewahrt werden können, indem gleichberechtigte Partner die Zwecke und Bedingungen der Datenverarbeitung aushandeln.Footnote 124 Dementsprechend sieht Art. 6 Abs. 1 UAbs. 1 lit. a und b DSGVO die Einwilligung der betroffenen Person oder einen Vertrag mit ihr als ausreichende Grundlage der Verarbeitung auch sehr umfangreicher und sehr persönlichkeitsbezogener Daten an. Das Datenschutzrecht vertraut hier darauf, dass Transparenz und Eigenverantwortung für den Schutz der Grundrechte ausreichend sind: Der Datenverarbeiter muss die betroffene Person über die Datenverarbeitung informieren und diese kann dann entscheiden, ob sie in die Datenverarbeitung einwilligt oder mit dem Datenverarbeiter einen entsprechenden Vertrag schließt.

Dieses Konzept ignoriert jedoch die faktischen Machtverhältnisse. Dies nutzen z. B. Internetkonzerne aus. Sie lassen sich durch Einwilligungen von jeglichen Rechtsverpflichtungen befreien und etablieren in Form von Allgemeinen Geschäftsbedingungen ein eigenes Regelungsregime.Footnote 125 Dieses erlaubt ihnen, die Daten ihrer Nutzer zu vielfältigen Zwecken auszubeuten, deren Rechte einzuschränken und ihre eigenen Handlungsspielräume extrem auszuweiten. Diese Einwilligungslösung ist auch nach Geltung der Datenschutz-Grundverordnung weiterhin die rechtliche Grundlage für die Macht der Konzerne. Insofern lässt die Verordnung das Individuum, das beruflich oder sozial zur Nutzung der digitalen Plattform gezwungen ist, im Stich.

Dieses Beispiel zeigt, dass die Fragen des Grundrechtsschutzes nicht allein der Vereinbarung ungleicher Vertragspartner überlassen werden darf. Unter den beschriebenen Umständen asymmetrischer Machtverteilung und struktureller Grundrechtsrisiken ist das Modell der wohlinformierten Techniknutzenden, die nach individuellen Verhandlungen freiwillig ihre Daten preisgeben, für den Grundrechtsschutz nicht adäquat. Vielmehr müssen die Schutzregelungen die objektive Funktion des Rechts stärker betonen.

Recht muss in solchen Fällen einseitiger Machtausübung die Möglichkeit der Einwilligung beschränken und die Vertragsgestaltung der Datenverarbeitung auf objektive Funktionen der Leistungserbringung beschränken.Footnote 126 Art. 7 Abs. 4 DSGVO enthält hierzu einen viel zu schwachen Ansatz. Nach dieser Vorschrift muss bei der Beurteilung, ob eine Einwilligung freiwillig erteilt wurde, dem Umstand einer Kopplung von Vertragsabschluss und Einwilligung nur „in größtmöglichem Umfang Rechnung getragen werden“. Sie enthält nur eine „Berücksichtigungspflicht“ und soll im Ergebnis nicht bei den Social Networks greifen, wenn die Einwilligung wirtschaftlich die Gegenleistung für die geldfreien Leistungen der Plattform ist.Footnote 127 Bis zum Geltungsbeginn der Datenschutz-Grundverordnung waren die Rechte der betroffenen Person im deutschen Datenschutzrecht nicht abdingbar. Diese Regelung ist mit der Datenschutz-Grundverordnung entfallen. Sie hätte im Rahmen der Evaluation der Datenschutz-Grundverordnung wieder eingeführt und ausgeweitet werden können. Dies sollte möglichst bald nachgeholt werden.Footnote 128

Außerdem sind unterschiedliche rechtliche Ansatzpunkte zur Steuerung der Technikentwicklung enger zusammenzuführen und abzustimmen, wie dies etwa bei der Bewertung von Allgemeinen Geschäftsbedingungen erforderlich ist, um tatsächlich Gestaltungsmacht des Rechts gegenüber der Technik zu erreichen. Wenn z. B. Datenschutzrecht, Verbraucherschutzrecht, Wettbewerbsrecht und Steuerrecht hinsichtlich des Grundrechtsschutzes der strukturell wirtschaftlich Schwächeren zusammenarbeiten, können die Grundrechte des Datenschutzes und der informationellen Selbstbestimmung auch in extremen Machtasymmetrien objektiv gewährleistet werden.

4.3 Infrastrukturverantwortung

Auch die Betreiber von digitalen Infrastrukturen nehmen Aufgaben der Daseinsvorsorge in der digitalen Gesellschaft wahr. Sie sind daher mit den Betreibern der Straßen, des Bahnverkehrs, des Briefverkehrs, der Wasserver- und -entsorgung, der Abfallentsorgung oder der Energieversorgung in der analogen Welt vergleichbar. Ohne ihre Infrastrukturleistungen wäre das gesellschaftliche Zusammenleben infrage gestellt und die Ausübung von Grundrechten gefährdet. Infrastrukturbetreiber haben daher, unabhängig ob sie privatrechtlich oder öffentlich-rechtlich verfasst sind, eine gesteigerte gesellschaftliche Verantwortung und unterliegen in besonderem Maß staatlicher Aufsicht. Sie haben auch die Grundrechte der von ihnen Abhängigen in besonderer Weise zu achten und zu schützen.

Dies gilt in verstärkter Weise, wenn die Infrastrukturbetreiber durch autoritative Setzung eine eigene Rechtsordnung in Form von Gemeinschaftsregeln erstellen, die staatlichen Rechtsregeln, die durch demokratische Prozesse zustande kommen, Konkurrenz machen. Im Zweifelsfall müssen das staatliche Recht und erst recht die Grundrechte der Grundrechtecharta und des Grundgesetzes diesen Gemeinschaftsstandards vorgehen. Soweit Grundrechte betroffen sind, muss die Ausgestaltung und der Betrieb der Infrastrukturen stärker an diesen als an ökonomischen Konzernzielen ausgerichtet sein.

Daher sind mit der Rechtsprechung des Bundesverfassungsgerichts die öffentliche Verantwortung von Infrastrukturbetreibern und ihre verstärkte Grundrechtsbindung zu betonen. Wenn Grundrechte Freiheit schützen, indem sie Macht begrenzen, und wenn Macht stärker von Infrastrukturbetreibern ausgeübt wird als vom Staat, können sich die Grundrechte nicht nur gegen den Staat richten. Sie müssen auch diejenigen verpflichten, die durch ihre technischen Infrastrukturen diese Macht ausüben. Als privatwirtschaftliche Konglomerate können sie sich zwar grundsätzlich auf Berufs- und Eigentumsfreiheit berufen. Wie das Bundesverfassungsgericht z. B. 2016 in seinem Urteil zum Atomausstieg festgestellt hat, wird dieser Grundrechtsschutz jedoch immer schwächer, je weiter er sich vom Zweck dieser Grundrechte entfernt, den Erwerb der Lebensgrundlagen und die persönliche Freiheit zu sichern.Footnote 129 Wenn die Ausübung dieser Grundrechte zur Akkumulation von enormer gesellschaftlicher Macht führt, die die Freiheit anderer Menschen gefährdet, dann muss diese Macht – nach den Entscheidungen des Bundesverfassungsgerichts zu Fraport,Footnote 130 zum Bierdosen-Flashmob,Footnote 131 zum FußballstadionverbotFootnote 132 und zu Social NetworksFootnote 133 – durch die Grundrechte anderer begrenzt werden. „Je nach Gewährleistungsinhalt und Fallgestaltung kann … die mittelbare Grundrechtsbindung Privater einer Grundrechtsbindung des Staates … nahe oder auch gleich kommen“.Footnote 134 Dies kommt für den „Schutz der Kommunikation“ insbesondere dann in Betracht, „wenn private Unternehmen die Bereitstellung schon der Rahmenbedingungen öffentlicher Kommunikation selbst übernehmen und damit in Funktionen eintreten, die – wie die Sicherstellung der Post- und Telekommunikationsdienstleistungen – früher dem Staat als Aufgabe der Daseinsvorsorge zugewiesen waren“.Footnote 135 Diese Überlegung dürfte vor allem für private Anbieter relevant werden, die Infrastrukturen der digitalen Gesellschaft betreiben: Je abhängiger die Gesellschaft von ihren Infrastrukturleistungen ist und je tiefgreifender ihre Leistungserbringung die Verwirklichung von Grundrechten, insbesondere der informationellen Selbstbestimmung und der gesellschaftlichen Kommunikation, beeinflusst, desto eher unterliegen sie einer staatsgleichen Grundrechtsbindung.

Für die Adressaten von Grundrechten gilt somit: Je größer die gesellschaftliche Macht, desto stärker muss die Bindung an Grundrechte sein.Footnote 136 Diese ist dogmatisch weiterzuentwickeln und auf die Machtzentren anzuwenden. Für die Freiheit spielt es keine Rolle, wer sie gefährdet. Angesichts der zunehmenden Machtkonzentration erwächst für Demokratie und Rechtsstaat daher im Schutz der Freiheit die wohl wichtigste Aufgabe der Zukunft.

4.4 Globalisierung des Grundrechtsschutzes

Wie aber soll Deutschland oder die Europäische Union ihre Regeln zu Beachtung der Grundrechte und zur grundrechtsverträglichen Gestaltung der Informationstechnik gegenüber global agierenden Internetkonzernen durchsetzen, von denen besondere Grundrechtsrisiken ausgehen? Das globale Internet und die Globalisierung der Herausforderungen für die Grundrechte erfordern eigentlich globale Regelungen. Die Vergangenheit zeigt jedoch, dass auf internationaler Ebene – wenn diese überhaupt gegen den Widerstand der USA und Chinas vereinbart werden könnten – als globale Datenschutzregeln allenfalls nichtssagende Allgemeinfloskeln zu erreichen sind – wie etwa die OECD-Regeln zum Datenschutz.Footnote 137

Hilfreiche Regulierungen zum Schutz der Grundrechte sind allenfalls auf Ebene der Europäischen Union möglich. Diese haben weltweit ein großes Gewicht, auch wenn die Europäische Union hinter USA und China nur die drittgrößte Volkswirtschaft der Welt repräsentiert. Immerhin steht sie für einen Markt mit weitgehend einheitlichen oder vergleichbaren Datenschutzregeln mit über 450 Mio. Einwohnern. Mit der Datenschutz-Grundverordnung hat die Europäische Union Datenschutzregelungen geschaffen, die auch für global agierende Konzerne gelten. Hierfür ist vor allen das Betroffenenprinzip des Art. 3 Abs. 2 DSGVO relevant, das die Datenschutz-Grundverordnung weitgehend dann für anwendbar erklärt, wenn Daten von Personen in der Europäischen Union verarbeitet werden. Und ihre Regelungen sind auch gegenüber Unternehmen außerhalb der Union durchsetzbar, solange diese Geschäfte auf dem europäischen Markt tätigen wollen – wie die Sanktionen nach Art. 83 DSGVO gegenüber Apple und Google zeigen.

Die Datenschutz-Grundverordnung will außerdem ihr Datenschutzniveau, das – bei aller Verbesserungsbedürftigkeit und -fähigkeit im Einzelnen – im Vergleich zu allen anderen Datenschutzgesetzen weltweit führend ist, global exportieren. Sie lässt nämlich die Übermittlung von Daten von Personen aus der Europäischen Union in andere Ländern nach Art. 45 DSGVO vor allem dann zu, wenn die Kommission festgestellt hat, dass das Drittland ein „angemessenes Schutzniveau bietet“. Um als angemessen zu gelten, müssen die Datenschutzregelungen und die Datenschutzpraxis in dem Drittland nicht dem Vorbild in der Europäischen Union exakt gleichen, aber diesem adäquat sein. Solche Angemessenheitsentscheidungen sind bisher für 13 Staaten getroffen worden. Der jüngste Anerkennungsbeschluss betrifft den nicht-öffentlichen Sektor in Japan.Footnote 138 Um diese Anerkennung zu erreichen,Footnote 139 hatte sich Japan neue Datenschutzregelungen gegeben.Footnote 140 Auch viele weitere Staaten weltweit haben – wie etwa Brasilien,Footnote 141 Chile, Süd-Korea, Kenia, Indien, Indonesien und sogar Kalifornien – haben neue Datenschutzregelungen getroffen oder bereiten solche vor, um auf der Grundlage eines Anerkennungsbeschlusses mit der Europäischen Union personenbezogene Daten ohne Beschränkung austauschen zu können.

Die Datenschutz-Grundverordnung ist weltweit ein Vorbild. Sie regelt erstmals für die gesamte Europäische Union einheitlich und unmittelbar die Grundsätze einer zentralen Gestaltungsaufgabe aller Bereiche der digitalen Gesellschaft, nämlich der Verarbeitung personenbezogener Daten. Die Verordnung hat globale Dimensionen und dient vielen Staaten als Vorbild für einen dritten Weg der Entwicklung in die digitale Welt: Zwischen dem amerikanischen Modell des rücksichtslosen Datenkapitalismus und dem chinesischen Modell der umfassenden Überwachungsdiktatur zeigt die Datenschutz-Grundverordnung einen nachahmenswerten Entwicklungspfad. Sie gibt die Richtung an, wie die Nutzung personenbezogener Daten für gesellschaftliche, ökonomische und staatliche Zwecke mit der Achtung und dem Schutz von Grundrechten und Freiheiten vereinbart werden kann.