Zusammenfassung
Trotz einiger Kritikpunkte stellt die EU-Datenschutz-Grundverordnung (DSGVO) das weltweit ambitionierteste Gesetz zum Schutz personenbezogener Daten dar. Die DSGVO führte mehrere Innovationen in das Datenschutzrecht ein. Dazu zählen beispielsweise das Marktortprinzip, das Recht auf Datenübertragbarkeit, die Anforderungen an den Datenschutz durch Systemgestaltung und durch Voreinstellungen sowie die Datenschutz-Folgenabschätzung. Auf der Ebene der Governance-Strukturen fand das Prinzip der sog. Rechenschaftspflicht Eingang in das EU-Datenschutzrecht. An die Seite gestärkter Betroffenenrechte und gestärkter Aufsichtsbehörden trat die Pflicht der Datenverarbeiter, selbständig und – in Abhängigkeit vom Risiko der jeweiligen Verarbeitung – unter geringerem organisatorischen Aufwand für die Einhaltung der Datenschutzregeln zu sorgen. Als Element dieser Rechenschaftspflicht wurde das mögliche Sanktionsmaß auf eine Bußgeldhöhe von 20 Mio. EUR oder im Falle eines Unternehmens auf bis zu 4 Die DSGVO war aber auch Kritik ausgesetzt. Aus bürgerrechtlicher Seite stechen die unzureichende Harmonisierung und die falsch verstandene Technikneutralität der DSGVO hervor. So beinhaltet die DSGVO trotz der anfänglichen Intention der EU-Kommission, das EU-Datenschutzrecht zu vereinheitlichen, 70 Öffnungsklauseln. Diese ermöglichen es den Mitgliedstaaten von den Vorgaben der Verordnung abzuweichen oder diese zu konkretisieren. Zudem wird die DSGVO dahingehend kritisiert, dass die Datenschutz-Risiken moderner Technologien unberücksichtigt blieben. Aus der Perspektive der datenverarbeitenden Wirtschaft wird die DSGVO dagegen im Hinblick auf die mit der neuen Regelung verbundene administrative Mehrbelastung kritisiert. Dieser Beitrag widmet sich der Auseinandersetzung mit beiden Strängen der Kritik und beantwortet zwei Fragen: Zum einen interessiert uns, weshalb die Einführung datenschutzrechtlicher Innovationen durch eine unzureichende Harmonisierung und eine falsch verstandene Technikneutralität begleitet wurden. Zum anderen widmen wir uns der Frage zu, wie die Innovationen der DSGVO, insbesondere das Sanktionsregime, wirken und welche Effekte die DSGVO auf die Innovationsfähigkeit von Unternehmen hat – wirkt sie eher innovationsfördernd oder innovationshemmend?
You have full access to this open access chapter, Download chapter PDF
Similar content being viewed by others
1 Einführung
Die DSGVO stellt das weltweit ambitionierteste Gesetz zum Schutz personenbezogener Daten dar und führte zahlreiche Innovationen in das EU-Datenschutzrecht ein. Zu diesen zählen beispielsweise das Marktortprinzip, das Recht auf Datenübertragbarkeit, die Anforderungen an den Datenschutz durch Systemgestaltung (data protection by design) und durch Voreinstellungen (data protection by default) sowie die Datenschutz-Folgenabschätzung (DSFA). Auf der Ebene der Governance-Strukturen fand das Prinzip der sog. Rechenschaftspflicht Eingang in das EU-Datenschutzrecht. An die Seite gestärkter Betroffenenrechte und Aufsichtsbehörden trat die sogenannte Rechenschaftspflicht, mit der das Ziel verfolgt wurde, den DatenverarbeiternFootnote 1 einerseits mehr Verantwortung hinsichtlich der Befolgung der datenschutzrechtlichen Vorgaben zu übertragen und die Intensität dieser Verantwortung andererseits gemäß dem sog. risikobasierten Ansatz vom Risiko der jeweiligen Verarbeitung abhängig zu machen. Als Element dieser Rechenschaftspflicht wurde das maximal mögliche Sanktionsmaß auf eine Bußgeldhöhe von 20 Mio. EUR oder im Falle eines Unternehmens auf bis zu 4 % seines weltweiten Jahresumsatzes festgelegt.Footnote 2 Somit sieht die DSGVO ein komplexes Schutzsystem vor: Es behält die allgemein verbindlichen Datenschutz-Prinzipien vorausgegangener Datenschutz-Gesetze, sieht eine Stärkung der Betroffenenrechte und zugleich die relative Intensivierung der Pflichten der Verarbeiter vor. Indem Aufsichtsbehörden gestärkt werden und ernstzunehmende Sanktionen verhängen können, soll gewährleistet sein, dass die Vorgaben eingehalten werden.
Die DSGVO war aber auch vielfach Kritik ausgesetzt. Von bürgerrechtlicher Seite werden vor allem die unzureichende Harmonisierung und die falsch verstandene Technikneutralität der Verordnung bemängelt. So beinhaltet die DSGVO trotz der anfänglichen Bestrebung zur Vereinheitlichung des europäischen Datenschutzrechts 70 Öffnungsklauseln. Diese ermöglichen es den Mitgliedstaaten von den Vorgaben der Verordnung abzuweichen oder diese zu konkretisieren. Daher müsse eher von einer Ko-Regulierung des Datenschutzes durch die Gesetzgeber der Union und der Mitgliedstaaten gesprochen werden. Die Harmonisierung des EU-Datenschutzes werde auf diese Weise verfehlt. Technikneutrale gesetzliche Regelungen sind hingegen relevant, damit gesetzliche Vorgaben den technischen Fortschritt nicht verhindern oder aufgrund des Fortschritts nicht mehr im intendierten Sinne anwendbar sind. Bei den DSGVO-Regelungen zur Technikneutralität wird allerdings kritisiert, dass diese nicht neutral gegenüber den Techniken, sondern gegenüber den Risiken verstanden werden. Es bleibe unberücksichtigt, dass die Risiken, die aus der Datenverarbeitung eines mittelständischen Handwerksbetriebs entstehen, üblicherweise in Umfang und Schwere anders sind als diejenigen, die aus der umfassenden und weltweiten Datenverarbeitung von Konzernen wie Google oder Facebook entstehen. Es könne deshalb resümiert werden, dass die Datenschutz-Grundverordnung sich hinsichtlich des Schutzes der Betroffenen risikoneutral verhält.Footnote 3
Von Seiten der datenverarbeitenden Wirtschaft wird an der DSGVO insbesondere kritisiert, dass sie eine Innovationsbremse darstelle. Die European Data Coalition,Footnote 4 unter deren Dach beispielsweise Nokia, SAP und Ericsson versammelt sind, prognostizierte Ende 2015, als sich die EU-Organe auf einen Kompromisstext geeinigt hatten, dass das Aufschließen der europäischen Digitalwirtschaft an die internationale Konkurrenz aufgrund der neuen Sanktionsregelungen sowie der Rechtsunsicherheit in weite Ferne rücken werde. Die datenschutzkritische Industry Coalition for Data ProtectionFootnote 5 prognostizierte neben innovationshemmenden und wirtschaftsschädigenden Effekten, dass insbesondere KMU unter der administrativen Mehrbelastung in Folge der neuen Regelungen leiden und datengetriebene Dienste gar nicht oder nur mit Verspätung auf den europäischen Markt gelangen würden. In einer Bitkom-Umfrage aus dem Jahr 2019 gaben drei von vier Unternehmen an, dass Datenschutzanforderungen die größte Hürde beim Einsatz neuer Technologien darstellten.Footnote 6
Vor dem Hintergrund der geschilderten ambivalenten Einschätzungen des Inhalts und der Wirkung der DSGVO adressiert der Beitrag zwei Fragen:
-
1.
Weshalb wurde die Einführung datenschutzrechtlicher Innovationen durch eine unzureichende Harmonisierung und eine falsch verstandene Technikneutralität begleitet?
-
2.
Welche Effekte hat die DSGVO auf die Innovationsfähigkeit von Unternehmen – wirkt sie eher innovationsfördernd oder innovationshemmend, und wie wirkt das neue Sanktionsregime?
Die erste Forschungsfrage wird mittels einer polit-historischen Analyse der Genealogie der Themen Harmonisierung und Technikneutralität beantwortet. Im Vordergrund steht dabei, mittels einer dokumentenanalytischen Vorgehensweise aufzuzeigen, welche ausschlaggebenden Diskurspositionen die Formierung der jeweiligen Politiken bewirkt haben. Im letzten Schritt wird entlang der Analyse der am politischen Aushandlungsprozess der DSGVO beteiligten Akteure gezeigt, welche Handlungsalternativen bestanden und weshalb sich die o. g. Politik-Ergebnisse durchsetzen konnten.
Die Beantwortung der zweiten Forschungsfrage erfolgt mittels einer Betrachtung der soweit verfügbaren empirischen Daten und Literatur.
2 Der politische Diskurs zur Modernisierung des europäischen Datenschutzrechts
Fragen der Harmonisierung wie der technologiespezifischen Regulierung lassen sich bis in die Anfänge der europäischen Datenschutzpolitik in den 1970er-Jahren zurückverfolgen. Später sollte die Frage der Harmonisierung Ende der 1980er-Jahre zu einer der ausschlaggebenden Gründe für die Erarbeitung der Datenschutz-Richtlinie von 1995 werden, die erst mit dem Inkrafttreten der DSGVO abgelöst wurde. Allerdings scheiterte der Versuch der Harmonisierung bereits in dieser Zeit (vgl. Abschn. 2.1).
Die regulatorische Adressierung der Datenschutz-Risiken bestimmter Technologien wurde zur selben Zeit zum Thema. Technische Entwicklungen auf dem Gebiet der Telekommunikation waren nicht nur Anlass für die Erarbeitung der Datenschutz-Richtlinie, sondern auch der ISDN-Richtlinie, die im Jahr 2003 von der ePrivacy-Richtlinie abgelöst und im Rahmen einer weiteren Novelle im Jahr 2009 zur Cookie-Richtlinie weiterentwickelt wurde und deren erneute Reform, diesmal hin zur ePrivacy-Verordnung, seit Anfang 2017 auf EU-Ebene verhandelt wird. Im Laufe der 2000er-Jahre forcierte die EU-Kommission vor dem Eindruck neuer Technologien zudem eine weitere bereichsspezifische Regulierung zur RFID-Technologie. Letztlich führte der Widerstand auf Seiten der Datenverarbeiter und der Mitgliedstaaten dazu, dass in den verabschiedeten Regulierungsinstrumenten vergleichsweise schwache Vorgaben zur Adressierung der technologiespezifischen Datenschutz-Risiken verankert wurden (vgl. Abschn. 2.2).
In der Datenschutzreform, die im Jahr 2009 angestoßen wurde und an deren Ende die Verabschiedung der DSGVO stand, wurde von der Kommission ein weiteres Mal die Forcierung von Harmonisierung und der Adressierung technologiespezifischer Datenschutz-Risiken angestrebt. Obwohl die Harmonisierung seitens der datenverarbeitenden Wirtschaft besonders stark eingefordert wurde, wurden die Vorschläge der Kommission zur Harmonisierung im Aushandlungsprozess der DSGVO sowohl von der Wirtschaft als auch von den Mitgliedstaaten abgelehnt. Das Europäische Parlament, die Datenschutzaufsichtsbehörden und zivilgesellschaftliche Datenschützer zeigten hingegen ein vergleichsweise geringes Interesse an der Harmonisierung. Im Ergebnis wurde im Verordnungstext eine Ko-Regulierung zwischen Unionsgesetzgeber und den Mitgliedstaaten verankert, wodurch das Ziel der Harmonisierung nicht in zufriedenstellendem Maße erreicht wurde. Die Adressierung technologiespezifischer Datenschutz-Risiken scheiterte aus ähnlichen Gründen: So hatte die Kommission in ihrem Verordnungsentwurf angekündigt, technologiespezifische Regelungen mittels delegierter und Durchführungsrechtsakte zu erlassen. Dieser Vorstoß wurde allerdings seitens der datenverarbeitenden Wirtschaft vehement abgelehnt, während die Befürworter strengerer Datenschutzregelungen kein nennenswertes Interesse an Regelungen zeigten, die technologiespezifische Datenschutz-Risiken adressieren (vgl. Abschn. 2.3).
2.1 Harmonisierung des Datenschutzrechts in der EU
Der Diskurs um die Harmonisierung von Datenschutz-Regulierungen wurde entfacht, nachdem im Laufe der 1970er-Jahre angesichts der zunehmenden Globalisierung der europäischen und der weltweiten Wirtschaft klar wurde, dass auch der Verkehr personenbezogener Daten die Grenzen der Nationalstaaten überschreiten würde. Den ersten Versuch einer internationalen Harmonisierung stellen die 1980 bzw. 1981 verabschiedeten Datenschutzrichtlinien der OECD und die Datenschutz-Konvention des Europarats dar. Nachdem mehrere europäische Staaten während der 1970er-Jahre unabhängig voneinander Datenschutz-Gesetze erlassen hatten, befürchtete die OECD die Gefahr der Erschwerung grenzüberschreitender Datenflüsse und daraus resultierender volkswirtschaftlicher Wachstumseinbußen. Die Wirkung der daraufhin ausgearbeiteten und am 23. September 1980 angenommenen OECD-Datenschutzrichtlinien blieb allerdings geringFootnote 7 Der Grund dafür lag zum einen im unverbindlichen Charakter der Richtlinien – keiner der OECD-Mitgliedstaaten war verpflichtet, den Vorgaben zu folgen. Zum anderen lag der Grund darin, dass im Hinblick auf die Umsetzung der Vorgaben in nationales Recht Selbstregulierung und gesetzliche Bestimmungen gleichgesetzt wurden, weil die nicht-europäischen OECD-Staaten kein Interesse am Erlass gesetzlicher Bestimmungen zeigten. Im Laufe der 1980er-Jahre stellte sich zunehmend heraus, dass die OECD-Richtlinien eher national divergierenden und inhaltlich unzureichenden Selbstregulierungspraktiken zuträglich waren, statt zur internationalen Harmonisierung eines effektiven Schutzniveaus bzw. -regimes beizutragen.Footnote 8
Die am 28. Januar 1981 unterzeichnete Datenschutz-Konvention 108 des Europarats war im Vergleich zu den OECD-Richtlinien stärker grundrechtlich und weniger wirtschaftspolitisch motiviert. Zudem befürwortete die Konvention staatliche Regulierung anstelle von Selbstregulierung und entfaltete für die Unterzeichnerstaaten bindende Wirkung.Footnote 9 Mehrere der in den Folgejahren überarbeiteten nationalen Datenschutzgesetze wie das Bundesdatenschutzgesetz von 1990 und die EG-Datenschutz-Richtlinie von 1995 wurden von der Konvention beeinflusst.Footnote 10 Unklare inhaltliche VorgabenFootnote 11 und eine abweichende ImplementierungFootnote 12 führten allerdings dazu, dass auch die Konvention die angestrebte Harmonisierungswirkung letztlich verfehlte.Footnote 13
Ende der 1980er-Jahre wurde zwar zunehmend klar, dass die Versuche der Harmonisierung der Datenschutz-Gesetze mittels dieser Instrumente scheiterten, doch dies allein reichte nicht dafür aus, die EU-Politik zur Aktivität zu bewegen. Erst als ein aus nationalen Datenschutzaufsichtsbehörden bestehendes Akteursnetzwerk die Blockade grenzüberschreitender Datentransfers in Staaten mit unzureichenden Datenschutzgesetzen androhte und vertragsrechtliche Änderungen hin zu einer verstärkten europäischen Integration auch auf politischen ThemenfeldernFootnote 14 als ermöglichender Faktor wirkten, legte die Europäische Kommission am 18. Juli 1990 ein Bündel an Vorschlägen zum Schutz personenbezogener Daten vor. Das Hauptelement dieser Vorschläge bildete die spätere EG-Datenschutz-Richtlinie, mit der das Datenschutzrecht EG-weit harmonisiert werden sollte.Footnote 15
Bei der Ausarbeitung ihrer Regelungsvorschläge stand die Kommission vor der Herausforderung, Elemente der zwischenzeitlich zunehmend stärker divergierenden nationalen Datenschutzgesetze so zu übernehmen, dass eine möglichst große Unterstützung für ihren Richtlinienvorschlag sichergestellt würde. Den Mitgliedstaaten war generell wenig an der Erarbeitung harmonisierter Datenschutz-Regelungen gelegen. Stattdessen bezweckten sie mittels Ausübung politischen Drucks die Inkorporation ihrer nationalen Regelungen auf europäischer Ebene.Footnote 16 Zudem bedeutete die im politischen Prozess der EU angelegte, inhärente Notwendigkeit zur Kompromissfindung, dass die Kommission auch die Positionen jener Staaten – wie etwa Großbritannien – berücksichtigen musste, die beim Datenschutz weitgehend auf Selbstregulierung setzten. Da ein einheitliches Schutzniveau bei Selbstregulierungsmaßnahmen noch schwieriger zu gewährleisten ist, kollidierte dieser Ansatz mit der intendierten Harmonisierungswirkung.Footnote 17
Wie später in ihrem Legislativvorschlag zur DSGVO sah die Kommission auch in ihrem Richtlinienvorschlag für sich selbst weitgehende Rechtsetzungsbefugnisse im Hinblick auf die „für die Anwendung dieser Richtlinie auf die Besonderheiten bestimmter Bereiche erforderlichen Maßnahmen“ vor (Art. 29 DS-RL-E). Dabei sollte die Kommission von einem beratenden Ausschuss bestehend aus Vertretern der Mitgliedstaaten unterstützt werden (Art. 30 DS-RL-E). Die Empfehlungen des Ausschusses sollten jedoch nicht bindend sein, sondern von der Kommission lediglich „soweit wie möglich“ (ebd.) berücksichtigt werden. Wäre dieser Kommissionsvorschlag erfolgreich gewesen, hätte die Kommission die Befugnis gehabt, zahlreiche Details der Richtlinie unter Verweis auf ihre Anwendungsrelevanz, also etwa die Harmonisierung der Informations- und Meldepflichten usw. – unter weitgehender Übergehung nationaler Standpunkte – im Alleingang zu regulieren.Footnote 18 Entsprechend massiv wurde der Kommissionsvorschlag kritisiert: Weder die Mitgliedstaaten noch die Wirtschaft oder das Europäische Parlament begrüßten den Richtlinienentwurf. In den Folgejahren erfuhr der Kommissionsvorschlag große Veränderungen, sodass die finale Datenschutz-Richtlinie kaum mehr dem Entwurf glich.Footnote 19\({}^{,}\)Footnote 20
Gemessen an den damals in Kraft befindlichen internationalen Datenschutz-Instrumenten war die DS-RL sicherlich sowohl inhaltlich als auch im Hinblick auf ihre Harmonisierungswirkung innovativ. Denn trotz der im Aushandlungsprozess vorgenommenen zahlreichen Modifikationen des Schutzniveaus stellte sie zum Zeitpunkt ihrer Verabschiedung das strengste überstaatliche Datenschutzinstrument der Welt dar. Schließlich sollte die Richtlinie im Laufe der Jahre auch die Rolle der Datenschutz-Konvention ablösen und zum weltweit einflussreichsten Datenschutzinstrument aufsteigen.Footnote 21
Gemessen am Inhalt der damaligen europäischen Datenschutzgesetze stellten sie dagegen eher eine diffuse Konservierung bestehender Gesetze denn eine ernsthafte Weiterentwicklung und Harmonisierung dar.Footnote 22 Dies hatte zwei Gründe. Zum einen war die Kommission darum bemüht, für ihren Richtlinienvorschlag die Zustimmung möglichst vieler Mitgliedstaaten zu gewinnen. Folglich war der bestimmende Faktor der Richtliniengestaltung die Erhöhung der Wahrscheinlichkeit seiner Verabschiedung durch die bereits erwähnte eklektizistische Inkorporation möglichst vieler mitgliedstaatlicher Rechtselemente und nicht die Erarbeitung eines konsistenten und innovativen Datenschutzgesetzes.Footnote 23 Zum anderen führte aber auch die im politischen Prozess der EG angelegte Notwendigkeit der Erzielung von Kompromissen dazu, dass Möglichkeiten zur Weiterentwicklung und Harmonisierung der Richtlinie verspielt wurden. Letztlich versuchte die Kommission, jeden Konflikt zu vermeiden, der aus ihrer Sicht die Verabschiedung der Richtlinie gefährdet hätte. Entsprechend musste die Kommission selbst in kritischen Fällen den mitgliedstaatlichen Forderung nach nationalen Abweichungen von den Richtlinien-Vorgaben nachgeben, um das Projekt der Richtlinie nicht als Ganzes zu gefährden.Footnote 24 Die Unklarheit der Regelungen spiegelte somit den schwierigen Gesetzgebungsprozess aufgrund der unterschiedlichen Positionen der mitentscheidenden Instanzen, insbesondere im Rahmen des Ministerrats, wider.Footnote 25 Simitis attestierte daher: „Das mühsam zustandegekommene einheitliche Regelwerk droht wieder in seine nationalen Bestandteile zu zerfallen, die angestrebte „Harmonisierung“ riskiert vollends zur Fiktion zu geraten.“.Footnote 26 Angesichts der sich anbahnenden Probleme hinsichtlich der Erreichung der angestrebten Harmonisierung legte die Kommission ihre Hoffnung schließlich in die Implementierung der Richtlinie.Footnote 27
In den Folgejahren bestätigten sich die Vermutungen, dass die Datenschutz-Richtlinie weder im Hinblick auf die erhoffte Harmonisierung noch hinsichtlich der Festlegung eines hohen und effektiven Datenschutzniveaus die erhoffte Wirkung erzielen würde. So resümierte die Kommission in ihrem ersten Bericht über die Durchführung der Richtlinie 2003, dass diese zwar ihren Hauptzweck in Gestalt der Gewährleistung des freien Datenverkehrs erfülle und auch der weitere Zweck der Gewährleistung eines hohen Datenschutzniveaus als erfüllt anzusehen sei, dass jedoch eine abweichende Umsetzung der Richtlinienvorgaben in nationales Recht festzustellen sei.Footnote 28 Als besonders problematisch galt, dass inakzeptable Divergenzen selbst solche Bereiche betrafen, für die eine weitgehende Harmonisierung vorgesehen warFootnote 29\({}^{,}\)Footnote 30 Dennoch vertrat die Kommission – entgegen den Forderungen der datenverarbeitenden WirtschaftFootnote 31 – die Position, dass eine Änderung der Richtlinie in nächster Zukunft aufgrund mehrerer Faktoren nicht sinnvoll wäre. Zunächst sei aufgrund der verspäteten Umsetzung der Richtlinie in den Mitgliedstaaten keine ausreichende Erfahrungsgrundlage gegeben, eine Änderung zu dem Zeitpunkt also noch verfrüht. Daneben konstatierte die Kommission, dass viele der im Konsultationsprozess benannten Schwierigkeiten ohne eine Änderung der Richtlinie behoben werden könnten: Nicht die Richtlinie, sondern die divergierende Umsetzung in mitgliedstaatliches Recht stellten demnach das zu adressierende Problem dar. Schließlich dürfte sich die Kommission auch deshalb gegen die Änderung der Richtlinie ausgesprochen haben, da viele Akteure für den Fall einer Änderung für die Senkung des Datenschutzniveaus eintraten und die Kommission dies zu verhindern versuchte. Daher setzte die Kommission insbesondere auf freiwillige Harmonisierungsmaßnahmen der Mitgliedstaaten sowie auf die engere Zusammenarbeit zwischen den Aufsichtsbehörden unter der Anleitung der Kommission bzw. der Art.-29-Datenschutzgruppe und in einzelnen Fällen auch unter Beteiligung der Datenverarbeiter selbst.Footnote 32
In ihrem 2007 veröffentlichten Folgebericht musste die Kommission schließlich eingestehen, dass die Divergenzen fortbestanden. Weil die Potentiale bei der Umsetzung der Richtlinie aber noch immer nicht ausgeschöpft seien und weil die fehlende Harmonisierung keine Gefahr für das Funktionieren des Binnenmarktes oder für die Gewährleistung eines hohen Schutzniveaus darstelle, formulierte die Kommission allerdings immer noch keine Notwendigkeit für eine Änderung der Richtlinie.Footnote 33
2.2 Technologie-spezifische Datenschutz-Risiken
Die Adressierung von Datenschutz-Risiken von Technologien ist der Ausgangspunkt des Datenschutzrechts bzw. der Datenschutz-Debatten der späten 1960er- und 1970er-Jahre. Bereits die ersten Datenschutzgesetze und -debatten stellten eine Reaktion auf staatliche Kontrollvorstellungen der 1960er-Jahre dar, die eine Zusammenführung und Auswertung von (Verwaltungs-)Datenbeständen mit Hilfe von Computern anstrebten.Footnote 34 Sowohl das hessische Landesdatenschutzgesetz aus dem Jahr 1970 als auch die weiteren Datenschutzgesetze und -instrumente, wie insb. die Europaratskonvention, stellten Versuche dar, die problematischen Aspekte der Datenverarbeitung mittels staatlicher Regulierung gesellschaftsverträglich einzuhegen.Footnote 35 Technikneutralität wurde in diesem Kontext so verstanden, dass die verabschiedeten rechtlichen Vorschriften auch bei technologischen Weiterentwicklungen grundsätzlich anwendbar bleiben und sich nicht lediglich auf bestimmte Technologien beziehen sollten.Footnote 36
Fernab von dieser allgemeinen Technologie-Rückkopplung der Datenschutz-Gesetze setzte sich Ende der 1980er-Jahre bei einigen Vertretern der EG-Mitgliedstaaten und Europaparlamentariern sowie bei den nationalen Datenschutzaufsichtsbehörden außerdem der Gedanke durch, dass spezifische Technologien besondere Gefahren nach sich ziehen würden, die es mittels Sektor- bzw. technologie-spezifischerer Regulierung zu adressieren gelte.Footnote 37 Im Ergebnis dieser Debatten veröffentlichte die Kommission neben ihrem Vorschlag für die Datenschutz-Richtlinie auch einen Vorschlag für eine Richtlinie, mit der die Datenschutz-Gefahren neuer Telekommunikationsnetze in Gestalt von ISDN adressiert werden sollten.Footnote 38 Die ISDN-Richtlinie 97/66/EG wurde schließlich am 15. Dezember 1997 angenommen. Mit deren Überarbeitung zur sog. ePrivacy-Richtlinie 2002/58/EG wurde die Anpassung der Regelungsinhalte an den Stand der Technik bezweckt – insbesondere indem die Fokussierung auf ISDN aufgegeben und jegliche mobile, satelliten- oder kabelbasierte Kommunikationstechnologie in den Anwendungsbereich der Richtlinie aufgenommen werden sollte.Footnote 39 Von Wirtschaftsvertretern wurde der ePrivacy-Richtlinienvorschlag abgelehnt, da diese der Ansicht waren, dass die allgemeinen Rechtsvorschriften der Datenschutz-Richtlinie 95/46/EG ausreichten. Notwendige Anpassungen wären fallweise mit einem flexiblen Selbstregulierungsinstrument wie Verhaltensregeln besser zu erreichen als mit staatlicher Regulierung.Footnote 40 Nach einem konfrontativen Aushandlungsprozess, in deren Verlauf das von der Kommission vorgesehene Schutzniveau und ihre Harmonisierungsvorschläge deutliche Änderungen erfuhren,Footnote 41 wurde die ePrivacy-Richtlinie (2002/58/EG) schließlich am 12. Juli 2002 angenommen.
In den Folgejahren arbeitete die Europäische Kommission an weiteren Maßnahmen zur Eindämmung technologiespezifischer Datenschutz-Risiken. Etwa zeitgleich starteten die Initiativen der Kommission zur Regulierung von datenschutzrechtlichen Auswirkungen der Radiofrequenz-Identifikation (RFID)Footnote 42 sowie zur erneuten Überarbeitung der ePrivacy-Richtlinie. Nachdem seit 2003 zunächst auf der Ebene der Mitgliedstaaten und auf der internationalen Konferenz der Datenschutzaufsichtsbehörden über die datenschutzrechtlichen Auswirkungen der RFID-Technologie diskutiert wurde, initiierte die Europäische Kommission Anfang 2006 einen öffentlichen Diskursprozess zum Thema. Ende 2005 wurde auch die Novellierung der ePrivacy-Richtlinie initiiert, mit der die Inhalte der Richtlinie an die Herausforderungen der neuen Informationssysteme und insbesondere des Internets angepasst werden sollten. Angesichts der Komplexität und Allgegenwart der neuen Informationssysteme setzte die Kommission in dieser Phase in verstärktem Maße auf die Zusammenarbeit mit den Interessenvertretern. Dazu wurden zu beiden Themensträngen umfangreiche öffentliche KonsultationenFootnote 43 durchgeführt, in deren Rahmen insgesamt mehr als 2000 Stellungnahmen bei der Kommission eingingen.Footnote 44 Schließlich veröffentlichte die Kommission im Mai 2009 eine Empfehlung zur Umsetzung der Grundsätze der Wahrung der Privatsphäre und des Datenschutzes in RFID-gestützten Anwendungen und im November desselben Jahres wurde auch die Novelle der ePrivacy-Richtlinie in Gestalt der sog. Cookie-Richtlinie (2009/136/EG) verabschiedet.
Die Ergebnisse beider Politikprozesse stellten eine wichtige Weiche für die künftige Kommissionspolitik im Hinblick auf die Adressierung technologie-spezifischer Risiken. Denn die RFID-Empfehlungen der Kommission fielen aufgrund des Drucks der beteiligten Akteure aus der Wirtschaft weitestgehend industriefreundlich aus: Die Kommission setzte nicht nur auf das weiche Regulierungsinstrument einer Empfehlung,Footnote 45 sondern befürwortete darin anstelle verbindlicher Maßnahmen überwiegend Selbstregulierungsmaßnahmen, allen voran die Vorlage einer Datenschutzfolgenabschätzung seitens der Wirtschaftsvertreter zur Prüfung durch die Artikel-29-Datenschutzgruppe.Footnote 46 Durch den Verzicht auf ein unionsweit verbindliches Instrument war die Umsetzung der Kommissionsempfehlungen somit auf die Mitarbeit sowohl der Mitgliedstaaten als auch der datenverarbeitenden Wirtschaft angewiesen. Allerdings schaffte es die RFID-Technologie nie vollständig aus der Nische. Selbst im Jahr 2014 setzten nur etwa 10 % der in der EU ansässigen Unternehmen RFID ein.Footnote 47
Die Cookie-Richtlinie enthielt dagegen zwar (bspw. in Art. 5 Abs. 3 und Art. 13) verbindliche Bestimmungen, die auf RFID-Systeme anwendbar waren, allerdings war deren Anwendungsbereich auf elektronische Kommunikationsdienste beschränkt.Footnote 48 Der Vorschlag der Artikel-29-Datenschutzgruppe, des Europäischen Datenschutzbeauftragten (EDSB) und des Europäischen Parlaments, den Anwendungsbereich auf jedwede Dienste der Informationsgesellschaft auszuweiten, hatte sich im Aushandlungsprozess gegenüber den Forderungen der Kommission und der Mitgliedstaaten nicht durchsetzen können. Stattdessen verwiesen Kommission und Ministerrat auf die bevorstehende Reform der Datenschutzrichtlinie.Footnote 49
2.3 Das Ziel der Harmonisierung und die Adressierung technologie-spezifischer Datenschutz-Risiken im Aushandlungsprozess der DSGVO
Der Veröffentlichung des Kommissionsentwurfs der DSGVO am 25. Januar 2012 ging eine mehrjährige Konsultationsphase voraus. Nachdem der Reformprozess im Jahr 2008 angestoßen wurde, initiierte die Kommission in den Jahren 2009 bis 2011 zwei umfassende Konsultationsrunden, in deren Rahmen der Input hunderter Stakeholder eingeholt wurde.Footnote 50 Einen wichtigen Eckpfeiler des Reformprozesses bildete im November 2010 die Veröffentlichung des sog. Gesamtkonzepts für den Datenschutz in der EU, das die Kommissionsschlussfolgerungen aus dem ersten Konsultationsprozess enthielt.Footnote 51 Darin stellte die Kommission erstmals fest, dass die divergierende Umsetzung der Datenschutz-Richtlinie als Risiko für den freien Verkehr personenbezogener Daten im Binnenmarkt zu bewerten sei.Footnote 52 Daneben beanstandete auch eine große Mehrheit der am Konsultationsprozess beteiligten Interessenvertreter die mangelnde Harmonisierung und forderte Nachbesserungen.Footnote 53 Die Befürworter eines hohen Datenschutzniveaus versprachen sich von der Harmonisierung eine effektivere Durchsetzung der Datenschutzgesetze sowie ein Ende der Umgehung strenger Datenschutzregeln, indem Datenverarbeiter ihre Hauptniederlassung in jenem Mitgliedstaat mit dem niedrigsten Datenschutzniveau gründen.Footnote 54 Vertreter der datenverarbeitenden Wirtschaft hingegen verknüpften mit dem Wunsch nach mehr Harmonisierung die Forderung nach Abbau bürokratischer Hemmnisse beim grenzüberschreitenden Datenaustausch (so insb. im Zusammenhang mit der uneinheitlich umgesetzten Meldepflicht) und den Übergang zu einer auf Selbstregulierung fußenden Datenschutzgesetzgebung. Bestehende Probleme beim Schutz personenbezogener Daten wurden stets auf die mangelnde Harmonisierung der als zu restriktiv wahrgenommenen Regeln zurückgeführt und argumentiert, dass diese sich durch mehr Harmonisierung und Selbstregulierung statt strengerer Datenschutzregeln und neuer Rechtselemente (z. B. das Recht auf Datenportabilität oder Datenschutzfolgenabschätzungen) beheben ließen.Footnote 55 Zunächst unterstützten sowohl der MinisterratFootnote 56 als auch das ParlamentFootnote 57 die Initiative der Kommission für eine stärkere Harmonisierung.
Die durch neue Technologien und die fortschreitende Globalisierung verursachten Herausforderungen für den effektiven Schutz personenbezogener Daten waren für die Kommission sowohl Anlass für die Initiierung der DatenschutzreformFootnote 58 als auch ein maßgebliches Kriterium bei der Gestaltung des DSGVO-Kommissionsentwurfs.Footnote 59 Im Rahmen der Konsultationsprozesse standen vorwiegend die von sozialen Online-Netzwerken und Cloud-Computing ausgehenden Datenschutz-GefährdungenFootnote 60 im Vordergrund.Footnote 61 Andere, sich entwickelnde oder absehbare, technologische Trends wie das Internet der Dinge bzw. Ubiquitous Computing, Big Data oder Künstliche Intelligenz wurden in den maßgeblichen Policy-Dokumenten hingegen an keiner Stelle erwähnt.Footnote 62
Die Ankündigung der Kommission, die Folgen moderner Datenverarbeitungstechnologien eindämmen zu wollen, führte während des Konsultationsprozesses auf Seiten der privatwirtschaftlichen Akteure zu der Befürchtung, dass das Prinzip der Technologie-Neutralität aufgegeben werden könnte. Entsprechend vehement wurde seitens dieser Akteure argumentiert, dass die Datenschutz-Prinzipien der Richtlinie ausreichend flexibel seien, um auch auf neuere Technologien Anwendung finden zu können und dass die Einführung jedweder technologiespezifischer Regelungen unbedingt zu vermeiden sei.Footnote 63
Die Inkorporation einer Vielzahl an delegierten und Durchführungsrechtsakten im Kommissionsentwurf zur Konkretisierung der DSGVO im Hinblick auf technologiespezifische Maßnahmen ist insbesondere als direkte Reaktion auf den Widerstand der Stakeholder zu interpretieren. Dadurch konnte es die Kommission einerseits vermeiden, unmittelbare technologiespezifische Maßnahmen zu formulieren während sie andererseits die Möglichkeit der künftigen Spezifizierung offen zu halten beabsichtigte.Footnote 64 Auf diese Weise sollten beispielsweise die abstrakten Vorgaben der Kommission im Hinblick auf den Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen in Art. 23 Abs. 3 und 4, zur Sicherheit der Verarbeitung in Art. 30 Abs. 3 und 4 genauer geregelt werden können. Ebenso wurde zwar die Durchführung einer Datenschutzfolgenabschätzung bei besonders riskanten Verarbeitungen in Art. 33 Abs. 1 und 2 zur Verpflichtung gemacht, eine Spezifizierung der Risiken sollte gem. Abs. 6 allerdings erst mittels delegierter Rechtsakte erfolgen.Footnote 65
Diese Vorgehensweise der Kommission lässt sich darüber hinaus aber auch als das Ergebnis einer notwendigen Lehre aus vergangenen Fehlschlägen in der EU-Datenschutzregulierung interpretieren: Einerseits hinkt staatliche Regulierung der Technikentwicklung stets hinterherFootnote 66 und andererseits hat sich technikneutrale Regulierung zu einem politischen Paradigma entwickelt, das in der Praxis nicht immer die intendierten Resultate mit sich gebracht hat.Footnote 67 Denn jede Regulierung bleibt, trotz des Versuchs mittels technikneutraler Regulierung Weiterentwicklungen nicht auszuschließen, stets an die realen technologischen Gegebenheiten gekoppelt, die den Ausgangspunkt eines politischen Entscheidungsprozesses bilden. Dadurch, dass Gesetzgebungsprozesse mehrere Jahre in Anspruch nehmen können, kann nicht wirksam ausgeschlossen werden, dass die verabschiedeten Regelungen selbst dann veraltet sind, wenn zum Entwurfszeitpunkt bestimmte Risiken unter Einhaltung der Technikneutralität explizit adressiert wurden. Der Blick auf die Dauer der Entscheidungsprozesse der EU-Datenschutzpolitiken zeigt, dass deren offizielle Verhandlungsphase durchschnittlich 42 Monate, also etwas mehr als drei Jahre dauerte. Noch deutlicher wird das Bild, wenn beachtet wird, dass zentrale Gestaltungsentscheidungen (das Agenda-Setting) häufig bereits in der Vorbereitungsphase eines Gesetzesvorschlags getroffen werden und nach Beginn des formellen Gesetzgebungsprozesses nur schwer modifiziert werden können.Footnote 68 Wenn auch die Vorbereitungsphasen der datenschutzpolitischen Gesetzgebungsprozesse miteinberechnet werden, ergibt sich ein noch höherer Wert von 83 Monaten bzw. sechseinhalb Jahren (vgl. Tab. 1).Footnote 69 In dieser Zeit kann sich technologisch viel verändern und fundamentale Änderungen sind nach Abschluss der Agenda-Setting-Phase nur schwer möglich. Im Falle der DSGVO bauten die vorgeschlagenen Bestimmungen wie beispielsweise das Recht auf Vergessenwerden oder das Recht auf Datenportabilität auf den spezifischen Debatten über die Einhegung der Folgen sozialer Online-Netzwerke. Die Themen Big Data und das Internet der Dinge rückten ab 2013 und insb. 2014 und somit erst nach Abschluss der Agenda-Setting-Phase in den Mittelpunkt der datenschutzpolitischen Debatte (vgl. z. B. den Debattenüberblick in: Schirrmacher 2015).Footnote 70 Mit ihren Vorschlägen beabsichtigte die Kommission, künftig schneller auf technologische Veränderungen reagieren zu können.
Alternativ hätte die Kommission auf die Spezifizierung im Rahmen von delegierten und Durchführungsrechtsakten verzichten und stattdessen die Möglichkeit von Gesetzesänderungen bzw. des Erlasses neuer Gesetze vorziehen können. Angesichts der Historie der Datenschutzpolitik konnte jedoch auch diese Option nicht infrage kommen. Denn obwohl aufgrund fortschreitender technologisch induzierter Datenschutzgefährdungen immer neuere Datenschutzgesetze erforderlich wurden, fiel es den Befürwortern datenschutzrechtlicher Regelungen in vergangenen datenschutzpolitischen Aushandlungsprozessen stets schwer, sich gegenüber den Gegnern verbindlicher Regelungen durchzusetzen. Die verabschiedeten Datenschutzgesetze stellten häufig einen Kompromiss auf dem kleinsten gemeinsamen Nenner dar, statt echte datenschutzpolitische Innovationen mit sich zu bringen. Insofern die Kommission ein Interesse an strengeren bzw. innovativen Datenschutzregelungen hatte – davon kann angesichts des Policy-Entrepreneurship der zuständigen Justizkommissare Jacques Barrot und insbesondere Viviane Reding ausgegangen werden – kam die Möglichkeit von Gesetzesänderungen oder des Erlasses neuer Regelungen nicht infrage, da hierbei stets die Gefahr bestand, dass die auf diesem Wege verabschiedeten Regelungen nur unbefriedigende Resultate bringen würden. Zudem hätte die o. g. lange Dauer von Entscheidungsprozessen stets die Gefahr impliziert, dass auch die neuen Regelungen bereits im Moment ihres Inkrafttretens veraltet sein könnten.Footnote 71
Schließlich war im Laufe der 2000er-Jahre zunehmend klargeworden, dass eine Praxis der Selbstregulierung im Hinblick auf den effektiven Schutz personenbezogener Daten im Kontext neuer Technologierisiken nicht die gewünschten Ergebnisse mit sich bringen würde. Weder die Erfahrungen mit Selbstregulierung im Rahmen der RFID-Empfehlungen noch im Rahmen der Umsetzung der DSRL konnten als zufriedenstellend bezeichnet werden. Die datenverarbeitende Wirtschaft zeigte wenig Interesse am Instrument der Datenschutz-Folgenabschätzung, das mit den RFID-Empfehlungen eingeführt worden war: Nachdem ein erster Industrie-Vorschlag für ein DSFA-Konzept seitens der Datenschutzgruppe für unzureichend befunden und abgelehnt wurde, wurde der überarbeitete Vorschlag 2011 angenommen – allerdings unter Auflagen, da immer noch Mängel festgestellt wurden.Footnote 72 Und auch die einzige nennenswerte Selbstregulierungsinitiative im Rahmen der Umsetzung der DSRL, die von der European Advertising Standards Alliance (EASA) Ende der 2000er-Jahre forciert wurde, war seitens der Art. 29-Datenschutzgruppe für nicht-konform mit den Vorgaben der ePrivacy-Richtlinie befunden worden.Footnote 73
Im Kontext der Harmonisierungsthematik bezweckte die Kommission mit ihren neuen Befugnissen zudem in verstärkter Weise Einfluss auf die harmonisierte Umsetzung der Verordnung nehmen zu können, um die Entstehung neuer Divergenzen in den Mitgliedstaaten zu vermeiden.Footnote 74 Teilweise sah der Kommissionsentwurf auch vor, dass der Europäische Datenschutzausschuss für die Gewährleistung der kohärenten Anwendung der Verordnung mitverantwortlich sein sollte. Dadurch, dass die Kommission für sich selbst auch im Hinblick auf den Ausschuss die letztverantwortliche und damit maßgebliche Steuerungskompetenz vorsah, stand im Zentrum des Kommissionsentwurfs zur Gewährleistung der Kohärenz dennoch die Kommission selbst.Footnote 75 Auch dieses Agieren der Kommission war ein Ergebnis des Widerstands der Mitgliedstaaten hinsichtlich der Harmonisierung ihrer Datenschutzregelungen. Diese Ablehnung gemeinsamer Standards seitens der Mitgliedstaaten hat Tradition und reicht über die Ablehnung wirksamer und harmonisierter Anti-Spam-Regelungen im Kontext der Cookie- und ePrivacy-Richtlinie,Footnote 76 der Verabschiedung eines angemessenen Datenschutz-Standards für den Bereich der ehemaligen dritten Säule im Kontext des JI-RahmenbeschlussesFootnote 77 bis hin zur Aufweichung der Regelungen der Datenschutz-Richtlinie zurück.Footnote 78 In allen genannten Politikprozessen führte der Druck der Mitgliedstaaten zu einer Reduktion des Harmonisierungsniveaus. Dabei wurde einerseits argumentiert, dass eine gewisse Regelungsdivergenz bereichernd wirke und andererseits, dass während der Implementierung die Entstehung von zu starken Divergenzen vermieden würde. Während einige Beobachter bereits früh Kritik an dieser Form der politisch vom Ministerrat intendierten Divergenz übten,Footnote 79 zeigte sich auch in den Gesetzesbegründungen der späteren Gesetzesreformen (s. insb. die DSGVO und JI-Richtlinie), dass die entstandenen Divergenzen als untragbar eingestuft und zum Anlass für die Reformen herangezogen wurden.
Seit der Veröffentlichung der Kommissionsvorschläge stand sowohl im politischen Aushandlungsprozess als auch in der Fachliteratur insbesondere das Handeln der Europäischen Kommission, also der Vorschlag auf eine Vielzahl von delegierten und Durchführungsrechtsakten zu setzen, in mehrfacher Hinsicht im Zentrum der Kritik. Zum einen wurde angesichts der enormen Anzahl an delegierten und Durchführungsrechtsakten die offensichtlich beabsichtigte Machtkonzentration bei der Kommission bemängelt, die dem komplexen Regelungsbedarf auf nationaler Ebene nicht gerecht werde.Footnote 80 Zum anderen wurde kritisiert, dass die vorgeschlagenen Rechtsakte sich entgegen des EU-Primärrechts auch auf wesentliche Vorschriften der Verordnung erstreckten und damit rechtswidrig seien.Footnote 81 Roßnagel u. a.Footnote 82 begrüßten stattdessen, dass die Kompetenzen, welche die Kommission für sich selbst vorgesehen hatte, den Mitgliedstaaten übertragen werden sollten. HornungFootnote 83 trat dagegen einerseits dafür ein, Spezifizierungen möglichst im Verordnungstext selbst vorzunehmen und andererseits dafür, einen Teil der Verantwortung an den EDSA zu delegieren. Auch die privatwirtschaftlichen Akteure reagierten durchweg ablehnend auf die Kommissionsvorschläge und traten für die Löschung der Kommissionskompetenzen und die Regelung von Kernaspekten in der Verordnung selbst ein. Dabei fokussierte ein Teil der Kritik eher auf die im Rahmen der Festlegung technischer Details befürchtete Gefährdung der Technikneutralität,Footnote 84 während ein anderer Teil die absehbare Machtkonzentration bei der Kommission kritisierteFootnote 85
Lediglich die Artikel-29-Datenschutzgruppe und der EDSB begrüßten das Instrument der delegierten und Durchführungsrechtsakte, missbilligten allerdings deren große Zahl insb. im Hinblick auf ihre Zulässigkeit und Notwendigkeit.Footnote 86 Beispielsweise lehnte die Artikel-29-Datenschutzgruppe den Kommissionsvorschlag zur Festlegung der Kriterien und Anforderungen im Hinblick auf den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche VoreinstellungenFootnote 87 oder zur Spezifizierung des Stands der Technik im Kontext von Art. 30 (Sicherheit der Verarbeitung) ab.Footnote 88 Der Vorschlag, die Spezifizierung der Risiken, wann eine DSFA durchgeführt werden sollte, mittels eines delegierten Rechtsaktes durchzuführen, wurde hingegen unterstützt.Footnote 89
Nachdem sich auch Parlament und Ministerrat ablehnend gegenüber den Kommissionsvorschlägen äußerten, legte die Kommission in den interinstitutionellen Verhandlungen Alternativvorschläge vor, insbesondere in Form 1) der Aufnahme von Verfahrensvorschriften in die Befugnis, 2) der Festlegung inhaltlicher Bedingungen für die Befugnis oder 3) der Einschränkung des Umfangs der Befugnis.Footnote 90 Das Europäische Parlament sah in seinen Änderungsvorschlägen schließlich die Reduzierung der Zahl der delegierten Rechtsakte von 26 auf 10, der Zahl der Durchführungsrechtsakte von 23 auf 1 und die Regelung vieler der entsprechenden Sachverhalte in der Verordnung selbst vor.Footnote 91 Da das Parlament seine Position bereits im Laufe der Jahre 2012 und 2013 festgezurrt hatte, fanden zudem die Debatten zum Internet der Dinge und zu Big Data praktisch keinen Widerhall in seiner Position. Kommission und Parlament hätten also gar nicht auf die Gefährdungslage durch Big Data, das Internet der Dinge oder gar KI eingehen können, weil die Entscheidungsprozesse in beiden Organen vor der Hochphase dieser Debatten weitestgehend abgeschlossen waren. Der Parlamentsvorschlag, einen Teil der Kommissionsvollmachten in der Verordnung selbst zu regeln, wurde jedoch vom Ministerrat mehrheitlich abgelehnt. Stattdessen sah der Ratsentwurf vor, die Mitgliedstaaten selbst in die Rolle zu versetzen, etwaige Präzisierungen und Änderungen vornehmen zu können bzw. zu müssen.Footnote 92 Zudem wäre der Ministerrat zwar in der Lage gewesen, auf die Diskurse zum Internet der Dinge und Big Data zu reagieren, da er seine Position erst Mitte 2015 verabschiedete. Der Rat war jedoch weniger daran interessiert, risikoadäquate Schutzregelungen zu treffen, als in die Verordnung Freiräume für Big Data-Anwendungen zu integrieren.Footnote 93\({}^{,}\)Footnote 94
Im Trilog konnte sich schließlich der Ministerrat mit der Streichung der meisten delegierten und Durchführungsrechtsakte durchsetzen, sodass nur noch zwei Ermächtigungen für delegierte Rechtsakte und sieben für Durchführungsrechtsakte übrigblieben.Footnote 95 Die von der Kommission für sich selbst vorgesehene Rolle der Konkretisierung der Vorgaben der DSGVO im Hinblick auf neue Technologien wurde somit teilweise an die Mitgliedstaaten delegiert.Footnote 96 Die von der Kommission für sich selbst vorgesehene Rolle zur Gewährleistung der kohärenten Anwendung wurde hingegen teilweise an den Europäischen Datenschutzausschuss (EDSA) übertragen. Dieser wurde dahingehend ermächtigt, Leitlinien, Empfehlungen und bewährte Verfahren zu datenschutzspezifischen Fragestellungen zu erarbeiten und im Falle von Meinungsverschiedenheiten zwischen den nationalen Aufsichtsbehörden unter Rückgriff auf das sog. Kohärenzverfahren rechtsverbindliche Beschlüsse fassen zu dürfen.Footnote 97
Insofern ist der Vorwurf gegen Kommission und Parlament unberechtigt. Da er seine Position erst Mitte 2015 verabschiedete und selbst wichtige zwischenstaatliche Einigungen erst im Laufe des Jahres 2015 erfolgten, ist der angemessene Adressat der Kritik also vielmehr der Ministerrat.
3 Wirkungen der DSGVO: Innovation, Wettbewerbsfähigkeit und Sanktionen
3.1 Datenschutz, Wettbewerbsfähigkeit und Innovation
Empirische Forschung zu den Innovationsauswirkungen von Regulierung im Allgemeinen (und von Datenschutzregulierung im Besonderen) liegt soweit nur begrenzt vor. Bisherige Arbeiten haben sich vor allem auf die Auswirkungen von Umweltverordnungen konzentriert, mit mehreren Ergebnissen, die für die Debatte um die DSGVO relevant sind und im Folgenden knapp zusammengefasst werden.Footnote 98 Zum einen kann die in der öffentlichen Debatte häufig vertretene These, dass Regulierung grundsätzlich Innovationen hemme, so nicht bestätigt werden. Im Gegenteil haben statistische Studien wiederholt positive Korrelationen zwischen Innovationsintensität und der Strenge von Umwelt- und Verbraucherschutzregulierungen identifiziert.Footnote 99 Von naiven Interpretationen dieser Ergebnisse, wonach mehr Regulierung zu mehr Innovation führt, ist natürlich abzusehen; zumal sich zahlreiche Fallstudien finden, die zeigen, dass Regulierung durchaus Technologieentwicklung blockieren kann.Footnote 100 Jedoch zeigen sie, dass die tatsächlichen Wechselwirkungen zwischen Regulierung und Innovation (sowie Wettbewerbsfähigkeit im weiteren Sinne) komplexer sind als häufig angenommen wird.
Auf der negativen Seite kann man mindestens zwei Wirkmechanismen identifizieren, wie Regulierung Innovation blockieren kann: Zum einen aufgrund des Compliance-Aufwandes gestiegene Kosten, welche (rein rechnerisch) die für Innovationsausgaben zur Verfügung stehenden Ressourcen schmälern, bzw. den Profitabilitätsgrad, welchen die Innovation erzielen muss um sich betriebswirtschaftlich zu lohnen, steigert. Zum anderen führen direkte Verbote bestimmter Anwendungen oder Prozesse dazu, dass sich die ihnen zugrunde liegenden technischen oder organisatorischen Neuerungen nicht entfalten können.Footnote 101 Weniger häufig in der Literatur diskutiert, für die Frage der DSGVO aber hoch relevant, ist ein dritter Faktor: die Rechts(un)sicherheit. Wenn Firmen nicht sicher sein können, ob ein Innovationsvorhaben erlaubt ist, werden sie es im Zweifel aufgeben, um Fehlinvestitionen zu vermeiden.
Umgekehrt beschreibt die Literatur aber auch Mechanismen, über welche Regulierung Innovation und sogar Wettbewerbsfähigkeit stimulieren kann.Footnote 102. Insofern Regulierung Firmen Auflagen macht, besteht ein Anreiz, technische oder organisatorische Lösungen (d. h. Innovationen) zu entwickeln, um diese Auflagen zu erfüllen. Regulierung kann damit Märkte für neue Lösungen oder Produkte schaffen. Insofern die fragliche Regulierung später von anderen Ländern übernommen wirdFootnote 103 können sich dadurch Export- und Wettbewerbsvorteile für heimische Firmen ergeben.Footnote 104 Ein weiterer möglicher innovationsfördernder Mechanismus von Regulierung liegt in dem Vertrauen, das Regulierung schaffen kann. Je größer das potentielle Risiko, dem sich Verbraucher mit der Nutzung eines Produktes ausgesetzt fühlen, desto höher ihre vermutlichen Hemmungen, das Produkt tatsächlich zu nutzen. Dies dürfte insbesondere für neue, komplexe Technologien gelten, bei denen Verbraucher glauben, sie unzureichend zu verstehen oder meinen, nicht genug Erfahrungswerte zu besitzen, um Risiken einschätzen zu können. Insofern (Risiko-)Regulierung Verbrauchern glaubhaft beteuern kann, etwaige Risiken einzudämmen, kann sie deren Bereitschaft, neue Technologien zu nutzen, erhöhen und damit letztlich den Markt und die Anreize zur Innovation neuer Technologien stärken.
In Summe ist also zu konstatieren, dass die möglichen Auswirkungen von Regulierung auf Innovation vielschichtig und gegenläufig sein können. Bislang konnten keine allgemeingültigen Gesetzmäßigkeiten darüber identifiziert werden, wann und unter welchen Umständen Regulierung Innovation eher positiv bzw. negativ beeinflusst. Tatsächlich ist davon auszugehen, dass auch keine solchen Gesetzmäßigkeiten existieren, sondern dass die jeweiligen Auswirkungen auf spezifische, nur schwer verallgemeinerbare Wechselwirkungen zwischen den spezifischen Rechtsvorschriften und den Besonderheiten der jeweiligen Technik zurückgehen.
Wie sieht es nun bei der DSGVO aus? Zeigt sie eher innovationsfördernde oder -hemmende Wirkungen? Diese Frage ist leider immer noch nur sehr bedingt zu beantworten, da soweit nur eine geringe Zahl meist kleinerer Studien und Erhebungen zu diesem Thema vorliegt. Es fehlen weiterhin größere quantitative Untersuchungen, die es erlauben würden, Auswirkungen verlässlich und nach Strukturmerkmalen (Unternehmensgröße, Branche, Geschäftsmodell, Verarbeitungskontext etc.) aufgeschlüsselt nachzuzeichnen und die zu Grunde liegenden Wirkmechanismen klar zu identifizieren.
Zunächst ist zu konstatieren, dass Untersuchungen aus dem ersten Jahr nach Verabschiedung der DSGVO (2017) eher auf (wenn auch verhalten) positive Auswirkungen hindeuteten. Ein Bild das sich in folgenden Jahren allerdings eintrübt. So stellen Martin u. a.Footnote 105 in Interviews mit Unternehmensgründern und auf Datenschutz spezialisierten Rechtsanwälten (N = 19) fest, dass die DSGVO (zumindest bei den interviewten Firmen) anscheinend nur in wenigen Fällen zur Aufgabe geplanter neuer Produkte oder Features führte. Umgekehrt hatten die meisten dieser Firmen aufgrund der DSGVO neue Technologien zur Unterstützung von Datensicherheits- und Datenschutz-Compliance eingeführt. Insofern alle der interviewten Firmen datenintensive Dienste anboten, mit besonders sensiblen Daten arbeiteten oder risikoreiche Verarbeitungen durchführten, kann dieses Ergebnis als Hinweis gewertet werden, dass die DSGVO zumindest keine unmäßig innovationshemmenden Wirkungen entfaltete. Ganz im Gegenteil hat sie die Entwicklung von Märkten für neue Produkte und Lösungen angestoßen, wirkte also durchaus innovationsfördernd.
Der letzte Punkt, die Entstehung neuer Märkte für Produkte und Technologien um Datenschutz umzusetzen, wird auch durch entsprechende Branchenregister bestätigt, die seit 2017 kontinuierliches und rasches Wachstum in der Zahl der einschlägigen Firmen nachweisen. Innovationsaktivitäten fokussieren sich auf ein breites Spektrum von Lösungen, von Produkten zur Governance von Datenbeständen und Datenschutz-Management über IT-Sicherheit bis zu Verfahren zur Anonymisierung bzw. Pseudonymisierung von Daten und deren Auswertung.Footnote 106
Unglücklicherweise legen die wenigen verfügbaren quantitativen Erhebungen nahe, dass die Erfahrungen der Firmen seitdem negativer geworden sind, wobei das Gesamtbild nichtsdestotrotz widersprüchlich bleibt. Abb. 1 und 2 zeigen Ergebnisse aus mehreren repräsentativen Erhebungen des IT-Branchenverbands Bitkom. Demnach ist die Zahl der Unternehmen, welche die DSGVO als „einen Wettbewerbsvorteil für europäische Unternehmen“ sehen, seit 2017 kontinuierlich gestiegen, um mehr als die Hälfte: von nur 38 % auf 62 %. Paradoxerweise ist der Anteil der Firmen, die sagen, die DSGVO „bring[e] [ihrem eigenen] Unternehmen Vorteile“ ebenso stetig gefallen, ebenfalls um fast die Hälfte: von 39 % in 2017 auf 20 % in 2020. Gleichzeitig ist die Zahl der Firmen, die angaben, die DSGVO stelle „eine Gefahr für [ihr] Geschäft dar“ fast konstant geblieben, bei jeweils etwa 13 % (Abb. 1).
Auch die Aussagen zu den spezifischen Auswirkungen auf Innovation sind widersprüchlich. Einerseits ist die Zahl derer, die glauben, die DSGVO „verhinder[e] Innovationen in der EU“ leicht gefallen, von 37 % auf 29 %. Andererseits ist die Zahl derer, die angaben, dass „neue, innovative Projekte [in ihrem eigenen] Unternehmen aufgrund der DSGVO gescheitert sind“ von lediglich 14 % im Jahr 2019 auf volle 56 % im Jahr 2020 hochgeschnellt (Abb. 2). Eine Umfrage des Wirtschaftsforschungsinstituts ZEW unter Firmen der Informationswirtschaft kommt zu ähnlichen Ergebnissen: bei 24 % hat die DSGVO „Innovationen gebremst“, bei 13 % den „Einsatz neuer Technologien erschwert oder verhindert“.Footnote 107 Im Android App-Markt (Google Playstore) hat die DSGVO zu massiven Rückgängen in der Entwicklung neuer Apps und zum Rückzug vieler Entwickler geführt.Footnote 108
Eine sinnvolle positive wie normative Einordnung dieser Zahlen ist jedoch schwierig, da wesentliche Kontextinformationen fehlen. Zum einen muss grundsätzlich betont werden, dass nicht jede Innovation gesellschaftlich oder wirtschaftlich wünschenswert ist. Wenn eine im Vergleich zur Zeit vor der DSGVO peniblere Einhaltung von Datenschutzgesetzen heute dazu führt, dass z. B. ein Startup daran gehindert wird, sensible Finanzinformationen ungesichert zu verarbeiten oder eine Firma ein angedachtes Produkt stornieren muss, das Jobbewerbungen mit „Hintergrundinformationen“ aus den Social-Media-Profilen der Bewerber „anreichern“ sollte,Footnote 109 dann ist das vielleicht weniger ein Hinweis darauf, dass die DSGVO Innovation unmäßig einschränkt, als dass sie vielmehr ihren Zweck erfüllt. Das Problem ist jedoch, dass weiterhin sehr wenig darüber bekannt ist, welche „neuen, innovativen Projekte“ aufgrund der DSGVO tatsächlich scheitern.
Die bereits zitierte Umfrage des BitkomFootnote 110 legt nahe, dass insbesondere der „Aufbau von Datenpools, z. B. um Daten mit Partnern zu teilen“ sowie der „Einsatz neuer Technologien, wie z. B. Big Data und KI“ aufgrund der DSGVO scheitern. Aber zu welchen Zwecken sollten diese Technologien bzw. Pools eingesetzt werden? In welchen Branchen sind die betroffenen Firmen aktiv und welche Geschäftsmodelle verfolgen sie? Geht es hier um die Entwicklung von Zukunftstechnologien mit erheblichem wirtschaftlichen und ökologisch-gesellschaftlichem Mehrwert, die etwa die Energie- und Verkehrswende vorantreiben könnten? Oder geht es um Online-Werbetechnologien, die Konsument:innen immer umfassender ausspähenFootnote 111 – mit fragwürdigem gesellschaftlichen oder volkswirtschaftlichen Mehrwert?Footnote 112
Ebenso unklar ist, was für Folgen das Scheitern dieser „neuen, innovativen Projekte“ für die befragten Firmen hatte, und was „Scheitern“ konkret bedeutet. Ging es hier oft um strategisch wichtige Projekte, deren Scheitern die Wettbewerbsfähigkeit der Firma maßgeblich schädigt? Oder um eine Innovationsidee unter vielen, die vielleicht sogar in abgeänderter Form in einem anderen Projekt fortentwickelt wird? Wir wissen es nicht.
Dass jedoch unter den befragten Firmen der Anteil jener, der angibt, Innovationsprojekte seien wegen der DSGVO gescheitert, massiv steigt (von 14 % auf 56 % zwischen 2019 und 2020), gleichzeitig aber der Anteil derjenigen, der angibt, sie seien durch die DSGVO bedroht, zurückgeht und auf niedrigem Niveau verharrt (12 %) und der Anteil, der in der DSGVO einen allgemeinen Wettbewerbsvorteil für europäische Firmen erblickt, ebenfalls weiterhin stark wächst (von 50 % auf 62 %) legt nahe, dass die DSGVO Innovationsaktivitäten allgemein nicht in einem kritischen Ausmaß behindert.Footnote 113
Fast noch weniger als über die negativen Innovationsauswirkungen der DSGVO wissen wir über ihre positiven Auswirkungen. Etwa zwei Drittel der von Bitkom befragten Firmen hält sie für einen Wettbewerbsvorteil für europäische Unternehmen, wenngleich nur 20 % einen Vorteil für sich selbst erblicken. Welche konkreten Vorteile sehen diese Firmen also in der DSGVO für sich und andere? Warum ist dennoch die Hoffnung vieler Firmen, Vorteile aus der DSGVO zu ziehen, anscheinend enttäuscht worden? Schließlich hatten im Jahr 2017 noch 38 % der Befragten in ihr einen Vorteil für das eigene Geschäft gesehen. Auch auf diese Fragen gibt es soweit noch keine klaren Antworten.
Drei mögliche Wirkmechanismen, über die die DSGVO Firmen Vorteile verschaffen könnte, sind Marktvorteile, Angleichung von Wettbewerbsbedingungen und gestiegenes Verbrauchervertrauen.
Marktvorteile: Martin u. a.Footnote 114 identifizieren in ihren Interviews einen „Buy European“-Effekt: Firmen gaben an, bei Datenschutz-relevanten Produkten neuerdings europäische Anbieter zu bevorzugen, oder sogar ganz auf außereuropäische Anbieter zu verzichten, da sie glaubten, sich bei Europäern eher darauf verlassen zu können, dass die DSGVO tatsächlich eingehalten wird. Die nach dem Schrems II-Urteil weiter gestiegenen Hürden, Daten ins außereuropäische Ausland zu transferieren, dürften diesen Effekt weiter stärken.
Zwar sind solche de facto protektionistischen Effekte grundsätzlich eher wettbewerbs-, wohlstands- und innovationsschmälernd; aufgrund der Größe des europäischen Binnenmarktes dürfte dieser Schaden aber gering bleiben. Im Gegenteil, wenn solche DSGVO-bedingten Marktvorteile das Wachstum europäischer Alternativen zu den dominierenden US-Konzernen befördern, könnten sie langfristig für mehr Wettbewerb und damit mehr Wohlstand und Innovation sorgen.
Angleichung von Wettbewerbsbedingungen: Die DSGVO bietet die Chance, einheitlichere Datenschutzstandards in Europa und potentiell sogar weltweit durchzusetzen, wenn sie von anderen Wirtschaftsregionen oder außereuropäischen Firmen teilweise übernommen wird. Dieses Phänomen, der sog. „Brussels Effect“ kann in diversen Regulierungsfeldern beobachtet werden, einschließlich dem des Datenschutzes.Footnote 115 Das dürfte insbesondere deutschen Firmen zugutekommen, da deutsche Standards auch bisher zu den höchsten in Europa zählten. Wie Abb. 3 zeigt, erwartet eine klare Mehrheit deutscher Firmen solche Angleichungen des Datenschutzstandards und somit der Wettbewerbsbedingungen durch die DSGVO.
Verbrauchervertrauen: Verbraucherumfragen legen nahe, dass Sorgen um Datenmissbrauch weiterhin ein wichtiger Grund für die Nicht-Nutzung neuer Digitalprodukte wie z. B. Sprachassistenten sind.Footnote 116 Interviews mit Firmenvertretern bekräftigen, dass allgemeines Konsumentenmisstrauen um „Ausspähung“ bisweilen auch rechtlich wie gesellschaftlich unproblematische Innovationen scheitern lässt, da Unternehmen davon absehen, Technologien zu nutzen oder zu entwickeln, die Verbrauchermisstrauen wecken könnten.Footnote 117
Regulierung ist grundsätzlich geeignet, derartige Sorgen zu nehmen und Vertrauen herzustellen. Ob die DSGVO dies bisher geschafft hat, ist indes fraglich. Die DSGVO und die in ihr verbrieften Rechte sind den meisten EU-Bürgern wenigstens in Ansätzen bekannt. 57 % (und damit 20 % mehr als 2015) wissen auch um die Existenz der Datenschutz-Aufsicht. Dieses Wissen könnte das Vertrauen der Bürger in den Schutz und die Kontrollierbarkeit ihrer Daten (und damit Technologieakzeptanz) stärken. Tatsächlich aber ist seit 2015 die Zahl der Bürger, die glauben wenigstens begrenzte Kontrolle über ihre Daten zu haben, in den meisten EU-Staaten nur unwesentlich gestiegen oder sogar gefallen. Allerdings ist auch die Zahl derer, denen diese fehlende Kontrolle Sorgen bereitet, in den meisten EU-Ländern (leicht) gefallen, wobei sie weiterhin fast überall die Mehrheit bilden.Footnote 118 Ein Paradigmenwechsel im Hinblick auf Vertrauen zeichnet sich somit noch nicht ab. Andererseits wäre ein signifikanter Vertrauensanstieg innerhalb von ein bis zwei Jahren nach Einführung der DSGVO auch kaum zu erwarten. Vertrauen dürfte sich, wenn überhaupt, langsam und über längere Zeiträume aufbauen. Insofern erscheint es eher unwahrscheinlich, dass der Faktor „Vertrauen“ schon jetzt positive Innovationswirkungen hat.
3.2 DSGVO-Sanktionen
Eine der wesentlichsten Veränderungen im deutschen und europäischen Datenschutzregime, das die DSGVO gebracht hat, ist die Verschärfung des Sanktionsregimes. Konnte vor der DSGVO in Deutschland ein Bußgeld von maximal 300.000 EUR für einen Datenschutzverstoß verhängt werden,Footnote 119 so sind jetzt Bußgelder von bis zu 20 Mio. EUR oder vier Prozent des weltweiten jährlichen Unternehmensumsatzes möglich. Zweck dieser massiven Erhöhung war es, das in den Vorjahren vielfach konstatierte „Vollzugsdefizit“ im Datenschutz – bzw. die auf Unternehmensseite verbreitete Wahrnehmung, dass Datenschutzverstöße nur „Kavaliers- und Bagatelldelikte“ seienFootnote 120 – zu beheben.Footnote 121 Entsprechend großes Interesse kam im Vorfeld daher der Frage zu, wie die Datenschutzbehörden mit den neuen Zwangsmitteln umgehen würden.
Wie die aktuelle Forschung darlegt, spielten Bußgelder in der Aufsichtspraxis und dem Amtsverständnis der deutschen Landesbehörden in der „vor-DSGVO-Zeit“ eher eine untergeordnete Rolle.Footnote 122 Der Fokus der Behörden lag eher auf Aufklärung, Sensibilisierung und Beratung der Öffentlichkeit und der Verantwortlichen sowie auf der Bearbeitung von Eingaben und Beschwerden betroffener Personen. Gerade bei kleinen und mittleren Unternehmen wurde (und wird) der Schwerpunkt eher darauf gelegt, datenschutzkonforme Zustände (wieder-)herzustellen – und nicht, eventuelle Verstöße möglichst hart zu sanktionieren. Vorausgesetzt, dass sich Verantwortliche kooperativ und reformwillig zeigten (und Verstöße nicht vorsätzlich begangen oder die betroffenen Personen unzumutbar hohen Risiken ausgesetzt wurden), blieben Bußgelder meist niedrig oder es wurde ganz auf sie verzichtet. Dieser eher auf Sensibilisierung und Beratung als auf aktivem „Eintreiben“ von Bußgeldern fokussierte Ansatz grenzte sich auch vom aufsichtsbehördlichen Stil mancher anderer EU-Mitgliedstaaten ab, in denen Bußgeldern schon vor der Datenschutz-Grundverordnung eine wichtigere Rolle zukam, auch zur Finanzierung der Behörden.Footnote 123
In Interviews im Frühjahr und Sommer 2018 betonten Behördenvertreter, dass sie sich zwar einerseits verpflichtet sahen, die Spielräume des neuen Bußgeldrahmens zu nutzen und dies auch wollten, um eine bislang häufig fehlende Disziplin in den Markt zu tragen. Andererseits sahen sie aber weiterhin ihre Amtsaufgabe nicht primär im Verteilen von Bußgeldern. Ihre Botschaft lautete aber, dass bei eklatanten Missbräuchen Bußgelder künftig merkbar steigen würden, während man kooperative Akteuren, die Fehler eingestehen und abstellen wollen, konstruktiv unterstützen werde.Footnote 124
Wie Abb. 4 zeigt, ist die Höhe sowie die Zahl der verhängten Bußgelder dennoch erheblich angestiegen.Footnote 125 Bewegte sich der durchschnittliche GesamtwertFootnote 126 der jährlich von allen deutschen Datenschutz-Aufsichtsbehörden verhängten Bußgelder in den Jahren 2010 bis 2018 noch im unteren sechsstelligen Bereich, wurden 2019 bereits Bußgelder von insgesamt mehr als 25 Mio. EUR verhängt, und im Jahr 2020 waren es bis Herbst bereits mindestens 36,5 Mio. EUR.Footnote 127 Gleiches gilt für die Anzahl der Bußgelder. Es scheint, dass in keinem Jahr zwischen 2010 und 2018 mehr als 191 Bußgelder verhängt wurden, meist erheblich weniger als 150. Dagegen waren es 2019 bereits 494.Footnote 128
Welche Auswirkungen dürfte die verschärfte Bußgeldpraxis auf Unternehmen haben? Wie die sozialwissenschaftliche Forschung zu Compliance-Verhalten von Firmen herausgearbeitet hat, sind die Faktoren, die in Unternehmensentscheidungen, sich an Recht und Gesetz zu halten, oder eben nicht, komplex.Footnote 129 Neben „ökonomischen“ Erwägungen wie der erwarteten Höhe des durch Rechtsbruch zu erzielenden Gewinns diskontiert um die Wahrscheinlichkeit, entdeckt zu werden und die Schwere der zu erwartenden StrafeFootnote 130 spielen auch Fragen gesellschaftlicher Erwartungen wie etwa Reputationsverluste sowie innere normative Vorstellungen eine wichtige Rolle.Footnote 131
Zwar ist mit dem höheren Bußgeldrahmen die zu erwartende Strafe im Entdeckungsfall wesentlich gestiegen, die weiterhin begrenzten Personalkapazitäten der Aufsichtsbehörden lassen die Wahrscheinlichkeit einer Entdeckung durch „Initiativfahndung“ seitens der Aufsichtsbehörden jedoch weiterhin sehr gering erscheinen. Wichtiger für die Aufdeckung dürften Eingaben und Beschwerden aus der Bevölkerung sowie ggf. von Wettbewerbern sein. Diese sind in den vergangenen zwei Jahren ebenfalls massiv gestiegen. Hohe, medienwirksame Bußgelder dürften diesen Zustrom am Laufen halten, insofern sie das Thema Datenschutz und Datenschutzverstöße in der öffentlichen Wahrnehmung halten.
Die Androhung von Sanktionen ist jedoch oft nicht der Hauptgrund, warum sich Firmen wie Einzelpersonen an Regeln halten. Im Gegenteil wollen sich die meisten Menschen und Organisationen aus innerer Überzeugung an Recht und Gesetz halten. WieFootnote 132 ausführen, können hohe Strafen diesen Willen durchaus bestärken, nicht im Sinne der Abschreckung, sondern indem sie eine „kalibrierende“ Wirkung entfalten: Das Sanktionsmaß ist auch eine Messlatte für Bewertung des Rechtsbruchs in der Gesellschaft: Niedrige Sanktionen deuten auf Bagatelldelikte hin, die man sich auch mit gutem Gewissen „einmal leisten kann“; schwere Sanktionen auf Verfehlungen, die erhebliche moralische Schuld nach sich ziehen. Dies ist insofern relevant, als dass Datenschutzverfehlungen bislang eben doch sehr häufig als Bagatellen aufgefasst worden sind und nicht als Grundrechtsverstöße.
Der neue Bußgeldrahmen könnte helfen, diese Wahrnehmung zu verändern – vorausgesetzt, dass er tatsächlich zur dauerhaften Etablierung wesentlich höherer Bußgelder für Datenschutzverstöße führt. Bis zu welchem Grad das tatsächlich geschehen wird, scheint bislang noch offen. Gemäß Art. 83(1) DSGVO müssen Bußgelder „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein. Darüber hinaus legt die DSGVO zwei Obergrenzen für Bußgelder fest (10 bzw. 20 Mio. EUR oder 10 bzw. 20 % des konzernweiten Jahresumsatzes) (Art. 83(4)(5) DSGVO). Zudem benennt sie Kriterien, anhand derer die Schwere von Verstößen bestimmt werden kann (Art. 83(2) DSGVO) und legt zumindest grob fest, dass Verstöße gegen bestimmte Auflagen schwerer wiegen (und daher mit bis zu 20 Mio. EUR Bußgeld geahndet werden können) als andere (für die maximal 10 Mio. EUR Bußgeld fällig werden können) (Art. 83(4)(5) DSGVO). Eine Untergrenze für Bußgelder legt sie jedoch nicht fest. Festzulegen, wie hoch ein „wirksames, verhältnismäßiges und abschreckendes“ Bußgeld ist, bleibt damit letztlich der Auslegung der Aufsichtsbehörden vorbehalten – und der Rechtsprechung durch die Gerichte. Wie oben ausgeführt, sind die Datenschutzbehörden offensichtlich Willens, wesentlich höhere Bußgelder zu verhängen. Die kritische – soweit noch nicht beantwortbare – Frage ist, inwiefern die Gerichte dies mittragen werden. Zumindest in einem Fall – dem 9,55 Mio. EUR Bußgeld des Bundesdatenschutzbeauftragten gegen den Telefonanbieter 1&1 - hat das Gericht ein sehr hohes Bußgelder um 90 % (!) reduziert, was vom Bundesbeauftragten akzeptiert wurde.Footnote 133 Inwiefern diesem Fall breitere Bedeutung zukommt, bleibt abzuwarten; was er aber verdeutlicht, ist dass die DSGVO einen Prozess der „Rekalibrierung“ der rechtlichen wie moralischen Schwere von Datenschutzverstößen eingeleitet hat, in dem wir uns noch befinden. Das tatsächlich zu erwartende Strafmaß bei Verstößen liegt damit noch im Fluß.
4 Schluss
Als die Kommission im Jahre 2012 ihren DSGVO-Entwurf vorlegte, wurden mehrere ambitionierte Ziele ins Auge gefasst: Die neue Verordnung sollte nicht nur neue innovative datenschutzrechtliche Instrumente wie die DSFA einführen, sie sollte auch den datenschutzrechtlichen Rahmen über alle EU-Mitgliedstaaten hinweg harmonisieren und zukunftstaugliche, technikneutrale Formulierungen enthalten. Damit sollte die DSGVO letzten Endes ein wirkungsvolles, neues Datenschutz-Regime etablieren, das Innovationen fördert, sofern sie keine Einschränkung des EU-Grundrechts auf Datenschutz darstellen, während zugleich mittels des neuen Sanktionsregimes böswillige Akteure von Zuwiderhandlungen abgehalten werden sollten.
Da im Hinblick auf die Aspekte der Harmonisierung und Technikneutralität bereits zum Zeitpunkt der Verabschiedung der DSGVO ein Nichterreichen der selbstgesteckten Ziele attestiert wurde, hat sich der vorliegende Beitrag im Rahmen der ersten Frage der Frage gewidmet, weshalb die Einführung datenschutzrechtlicher Innovationen durch eine unzureichende Harmonisierung und eine falsch verstandene Technikneutralität begleitet wurde. Im Rahmen der zweiten Frage wurde hingegen untersucht, welche Effekte die DSGVO auf die Innovationsfähigkeit hat und wie das neue Sanktionsregime wirkt.
Obwohl die Europäische Kommission für die vorgesehene Kompetenzverlagerung hin zur Kommission selbst während der Datenschutzreform viel gescholten wurde, hätten die initialen Kommissionsvorschläge als auch die späteren Alternativvorschläge von Kommission und Parlament die flexible Anpassung und Spezifizierung der Datenschutz-Bestimmungen an die Datenschutz-Risiken künftiger Technologien erlaubt. Dadurch wäre zudem die Wahrscheinlichkeit reduziert worden, dass bei künftigen Spezifizierungsdebatten gleich die Neuverhandlung der gesamten Verordnung aufs Tablett gebracht wird oder gar, dass sich bei einer vollumfänglichen Reform die Perspektive der Gegner eines hohen Datenschutzniveaus durchsetzen könnte, wie es in der Datenschutzpolitik regelmäßig der Fall gewesen ist und wie es auch im Falle der DSGVO wahrscheinlich der Fall gewesen wäre, wenn sich die Community der Datenschutzbefürworter einer Absenkung des Schutzniveaus nicht entschieden entgegengestellt und wenn die Snowden-Enthüllungen ihren Argumenten keinen Auftrieb verschafft hätten.Footnote 134
In Summe wurde die DSGVO durch die Streichung der delegierten und Durchführungsrechtsakte sowohl der wirksamen Gewährleistung der Harmonisierung als auch der Möglichkeit zur Adressierung technologie-spezifischer Risiken beraubt, ohne dass im Rahmen des Trilogs geeignete Alternativen beschlossen wurden. Weder die von der Kommission vorgeschlagene Selbstermächtigung noch die vom Parlament vorgeschlagene Spezifizierung im Verordnungstext selbst konnten sich angesichts des Widerstands des Ministerrats durchsetzen.
Die mangelnde Harmonisierung des europäischen Datenschutzrechts und die Verabschiedung einer falsch verstandenen Technikneutralität, die als Risikoneutralität wirkt, sind somit Ergebnis des Widerstands des Ministerrats bzw. der darin versammelten Mehrheit der Mitgliedstaaten, die historisch stets gegen die EU-weite Harmonisierung der datenschutzrechtlichen Regelungen eingetreten waren. Dies lässt die Hoffnung darüber, dass sich auf Ebene und unter der Verantwortung der Mitgliedstaaten mittels der Öffnungsklauseln etc. eine Anhebung des Schutzniveaus durchsetzen ließe, aussichtslos erscheinen.
Die Analyse der Wirkung der DSGVO hat gezeigt, dass es klare Hinweise darauf gibt, dass die DSGVO Innovationshindernisse schafft. Da der allgemein als legitim anerkannte Zweck der DSGVO allerdings auch gerade darin liegt, bestimmte Datenverarbeitungen (somit auch Innovationen) auszubremsen, um Rechte und Freiheiten der Betroffenen zu schützen, ist dies an sich nicht problematisch, sondern kann im Gegenteil als Beleg für die Wirksamkeit der DSGVO gewertet werden. Problematisch wäre jedoch, wenn die DSGVO die Entwicklung wichtiger Zukunftstechnologien, die etwa für die Sicherung des Wohlstandes oder den ökologischen Umbau von Wirtschaft und Gesellschaft benötigt werden, ausbremsen würde. Die wenigen Studien suggerieren aber, dass große Mehrheiten deutscher Firmen die DSGVO eher als Wettbewerbsvorteil denn als -nachteil sieht. Dies kann als Hinweis interpretiert werden, dass sie strategisch wichtige Innovation eher nicht in einem kritischen Ausmaß behindert. Aufgrund der begrenzten Datenlage sind dies jedoch letztlich Spekulationen. Wir brauchen daher detailliertere, branchen- und technologiespezifische Studien zu den Auswirkungen des Datenschutzes auf Innovation.
Der neue Sanktionsrahmen wird zunehmend von den deutschen Datenschutzbehörden angewandt. Bußgelder in Millionenhöhe werden verhängt. Die bislang verbreiteten Wahrnehmungen (i) eines „Vollzugsdefizits“ im Datenschutz und dass (ii) Datenschutzverstöße Bagatelldelikte seien, dürften somit mehr und mehr der Vergangenheit angehören. Gleichzeitig ist davon auszugehen, dass die Aufsichtsbehörden ihre Amtsaufgabe weiterhin primär nicht in der Verhängung von Bußgeldern sehen werden.
Die mit großen Ambitionen gestartete Datenschutz-Grundverordnung befindet sich nun seit mehreren Jahren in der Anwendung und wie sich zeigt, ist sie weder der ambitionierte Heilsbringer für die Europäische Digitalwirtschaft, wie sie während des Aushandlungsprozesses immer wieder beworben wurde,Footnote 135 noch ist sie die vonseiten vieler Mitgliedstaaten und der datenverarbeitenden Wirtschaft befürchtete massive Innovationsbremse, die Europa aus dem Rennen um technologische Hoheit wirft. Stattdessen zeigt sich, dass die DSGVO komplexe Effekte entfaltet, die noch weiterer Untersuchung und Konkretisierung bedürfen.
Notes
- 1.
Aus Gründen der besseren Lesbarkeit wird im Beitrag der Begriff Datenverarbeiter statt „für die Verarbeitung Verantwortlicher“ verwendet.
- 2.
Roßnagel et al. (2021).
- 3.
Roßnagel et al. (2021).
- 4.
EDC (2015).
- 5.
ICDP (2015).
- 6.
Bitkom (2019).
- 7.
- 8.
Bennett und Raab (2006, S. 87 ff.)
- 9.
Zerdick (1995, S. 81).
- 10.
González Fuster (2014, S. 93).
- 11.
European Commission (1990, S. 2 f.)
- 12.
Simitis et al. (2019, S. 187 f.), Rn. 110.
- 13.
Bennett und Raab (2006, S. 87 ff.)
- 14.
- 15.
European Commission (1990, S. 2), Nr. 1.
- 16.
Dass selbst die Übernahme vieler Elemente des Datenschutzrechts eines Mitgliedstaates nicht zwangsläufig zu einer größeren Unterstützung führte, verdeutlicht das Beispiel der Bundesrepublik. Obwohl die Kommission sich in ihrem 1990er-Richtlinienvorschlag stark am deutschen Datenschutzrecht orientierte, wurde der Vorschlag seitens der deutschen Ratsdelegation nicht in besonderem Maße unterstützt. Stattdessen übte die Bundesrepublik Druck auf die Kommission aus, damit im Zuge der Überarbeitung des Vorschlags weitere Bestandteile des deutschen Datenschutzrechts, etwa das Konzept des betrieblichen Datenschutzbeauftragten, in die finale Richtlinie aufgenommen werden (Simitis 1995, S. 450).
- 17.
Simitis (1995, S. 449 ff.)
- 18.
Bignami (2005, S. 838 f.)
- 19.
Bainbridge (1996, S. 25 ff.)
- 20.
Im Laufe des Aushandlungsprozesses wurden fast alle Befugnisse der Europäischen Kommission, die sie für sich im Hinblick auf die Harmonisierung des europäischen Datenschutzrechts vorgesehen hatte, gestrichen. Letztlich war die Kommission nur noch in die Genehmigung von Datentransfers in Drittstaaten eingebunden, verlor aber selbst dort die für sich vorgesehene herausgehobene Stellung (Bignami 2005, S. 839).
- 21.
- 22.
- 23.
- 24.
Beispielhaft sei an dieser Stelle die Verarbeitung besonderer Kategorien personenbezogener Daten in Art. 8 DS-RL genannt. Dieser verbietet im Rahmen des ersten Absatzes zunächst die Verarbeitung, schafft im zweiten Absatz allerdings dermaßen weitreichende nationale Ausnahmeregelungen, dass vom zuvor formulierten Verbot kaum etwas übrig blieb (Simitis 2001, S. 112).
- 25.
Simitis (2001, S. 112)
- 26.
Simitis (1997, S. 282 f.)
- 27.
Simitis (2001, S. 111).
- 28.
Europäische Kommission (2003).
- 29.
Ebd. (2003, S. 12).
- 30.
So etwa im Hinblick auf Art. 8 Abs. 1 (sensible Daten), Art. 10 (Information des Betroffenen), Art. 13 (Ausnahmen im Zusammenhang mit dem Informations- und Auskunftsrecht des Betroffenen) (ebd. 2003, S. 12).
- 31.
Europäische Kommission (2003, S. 7 f.)
- 32.
Ebd. (2003, S. 8), Nr. 13, 24.
- 33.
Europäische Kommission (2007b, S. 10).
- 34.
- 35.
Simitis et al. (2019, S. 159 ff.)
- 36.
Roßnagel (2017, S. 61), §1, Rn. 42.
- 37.
European Commission (1990, S. 8), Nr. 18.
- 38.
Ebd. (1990, S. 75 ff.)
- 39.
Europäische Kommission (1999, S. 54, 73).
- 40.
Europäische Kommission (2000, S. 5, 8).
- 41.
Karaboga (2021).
- 42.
Mit dieser neuen Technologie wurde die berührungslose Übertragung von Daten über kurze Distanzen ermöglicht. Aus der Perspektive des Datenschutzes wurde kritisiert, dass RFID-basierte Datenübertragungen für Betroffene unsichtbar seien und dadurch die informationelle Selbstbestimmung gefährdet würde (Westerholt und Döring 2004; Friedewald et al. 2009).
- 43.
Beim Thema RFID setzte die Kommission zudem eine ExpertInnen-Gruppe ein, die den Politikprozess zwischen Juli 2007 und März 2009 intensiv begleitete und beeinflusste (Jeuck 2009, S. 20 ff.).
- 44.
- 45.
Im Gegensatz zu harten, also verbindlichen Regulierungsinstrumenten wie Richtlinien oder Verordnungen.
- 46.
Nachdem ein erster Vorschlag seitens der Art.-29-Gruppe für unzureichend befunden und abgelehnt wurde, wurde der überarbeitete Vorschlag 2011 angenommen (Spiekermann 2012).
- 47.
Bach et al. (2016, S. 10).
- 48.
Iglezakis (2013, S. 10 f.)
- 49.
Council (2009, S. 4).
- 50.
Karaboga (2021).
- 51.
Europäische Kommission (2010).
- 52.
Ebd. (2010, S. 11).
- 53.
European Commission (2010, S. 4 f.)
- 54.
- 55.
- 56.
Council (2011), 2, Nr. 10, 6, Nr. 26.
- 57.
European Parliament (2011), 5, Nr. 9.
- 58.
Commission (2009).
- 59.
- 60.
- 61.
- 62.
- 63.
- 64.
Ratsvorsitz (2012, S. 3).
- 65.
Für unwesentliche Aspekte der Verordnung, wie z. B. die Festlegung technischer Bedingungen (insbesondere Standardvorlagen oder Standardverfahren), sah der Kommissionsentwurf den Rückgriff auf das Instrument der Durchführungsrechtsakte vor, womit zugleich der Grad der möglichen Einflussnahme des Europäischen Parlaments und des Ministerrats bei der Festlegung dieser Bedingungen reduziert worden wäre.
- 66.
- 67.
Reed (2007).
- 68.
Fouilleux et al. (2005, S. 617).
- 69.
Sofern im Falle der DSGVO nicht der Zeitpunkt ihrer Annahme, sondern ihres Wirksamwerdens zur Berechnung herangezogen wird, verlängert sich die Dauer gar auf knapp 9 Jahre (Mai 2009 bis April 2018).
- 70.
Konkrete instruktive Vorschläge zur Regelung der durch das Internet der Dinge oder Big Data verursachten Datenschutz-Gefährdungen wurden sogar erst nach der Einigung im Trilog vorgelegt (Roßnagel et al. 2016; Taylor, Floridi und Sloot 2017). Das Thema KI wurde noch später zum Gegenstand der öffentlichen Debatte.
- 71.
Karaboga (2021).
- 72.
Spiekermann (2012).
- 73.
Artikel-29-Datenschutzgruppe (2011).
- 74.
Reding (2012a).
- 75.
Hornung (2012, S. 105).
- 76.
Karaboga (2021).
- 77.
Hert und Papakonstantinou (2009).
- 78.
- 79.
- 80.
Roßnagel (2017, S. 54 f.), Rn. 17.
- 81.
Hornung (2012, S. 105).
- 82.
- 83.
Hornung (2012).
- 84.
- 85.
- 86.
- 87.
Artikel-29-Datenschutzgruppe (2012, S. 26).
- 88.
Ebd. (2012, S. 29).
- 89.
Ebd. (2012, S. 32).
- 90.
Ratsvorsitz (2012, S. 3).
- 91.
Roßnagel (2017, S. 56), §1, Rn. 21.
- 92.
Roßnagel (2017, S. 56), §1, Rn. 22 f.
- 93.
- 94.
Deshalb überrascht es auch nicht, dass Parlament und Kommission 2015 ein äußerst geringes Interesse daran zeigten, auf den Vorschlag des Ministerrats einzugehen, fundamentale Aspekte der Datenschutzregulierung vor dem Hintergrund neuer Technologien neu zu verhandeln. Da der Ministerrat bzw. die EU-Mitgliedstaaten sich in der DSGVO-Debatte stets hinter die datenverarbeitende Industrie gestellt hatten, wurde befürchtet, dass die Debatte bloß zu einer Abschwächung des historisch gewachsenen Datenschutzniveaus führen würde. Im Ergebnis vertraten Kommission wie auch Parlament die Position, dass ein Zurückfallen hinter das Schutzniveau der DSRL nicht infrage komme (Albrecht 2015).
- 95.
Albrecht (2016, S. 97).
- 96.
Roßnagel et al. (2018).
- 97.
Bieker (2016).
- 98.
Martin et al. (2019).
- 99.
- 100.
- 101.
Martin et al. (2019).
- 102.
Ebd. (2019), und die dort diskutierte Literatur.
- 103.
Bradford (2020).
- 104.
Jacob et al. (2005).
- 105.
Martin et al. (2019).
- 106.
- 107.
Erdsiek (2020).
- 108.
Janssen et al. (2020).
- 109.
Martin et al. (2019).
- 110.
Bitkom (2020).
- 111.
Christl und Spiekermann (2016).
- 112.
- 113.
Dass der Anteil Firmen, die in der DSGVO eine direkte Gefahr für das eigene Geschäft erblickt, in den Bitkom-Umfragen seit 4 Jahren relativ stabil ist, kann ebenfalls als Hinweis interpretiert werden, dass diese Firmen-Einschätzungen zu pessimistisch sein könnten: wären diese Firmen tatsächlich ernsthaft gefährdet wäre zu erwarten, dass sie sich nach und nach aus dem fraglichen Geschäft zurückziehen, so dass ihr Anteil in den Erhebungen mit den Jahren sinken würde.
- 114.
Martin et al. (2019).
- 115.
Bradford (2020).
- 116.
Gentemann, Böhm und Esser (2018).
- 117.
Martin et al. (2019).
- 118.
Kantar (2019).
- 119.
Durch die Akkumulation mehrerer einzeln geahndeter Verstöße konnten auch vorher schon höhere Gesamtzahlungen fällig werden. So verhängte der Landesdatenschutzbeauftragte von Rheinland-Pfalz 2014 Bußgelder von insgesamt 1,3 Mio. EUR gegen ein Unternehmen.
- 120.
Caspar (2018).
- 121.
Martin et al. (2019).
- 122.
- 123.
- 124.
Martin et al. (2019).
- 125.
Wie weiter unten besprochen, wurden mehrere dieser Bußgelder allerdings später von Gerichten wieder erheblich reduziert oder aus formalen Gründen aufgehoben.
- 126.
Unglücklicherweise finden sich vor 2019 nur spärliche und oft nicht direkt vergleichbare Daten zu den verhängten Bußgeldern in den Tätigkeitsberichten der Aufsichtsbehörden. Sofern die einzelnen Behörden überhaupt Daten zu Zahl und Höhe der verhängten Sanktionen veröffentlichten, taten sie dies zumeist nicht jahresfein, sondern summierten Zahlen für jeweils 2 Jahre – ohne aber einen einheitlichen Zweijahresrhythmus über alle Behörden hinweg festzulegen. (D. h. Behörde A berichtete die Zahlen für 2012/2013 und 2014/2015 jeweils als Summe; Behörde B aber für 2013/2014 und 2015/2016, usw.) Um eine minimale Vergleichbarkeit herzustellen wurde daher auf Basis der verfügbaren Daten für jede Behörde für jedes Jahr von 2010 bis 2019 bzw. 2020 ein Durchschnittswert berechnet. Vor 2019 müssen die jährlichen Zahlen sowohl für die Anzahl wie den Gesamtwert der Bußgelder als lediglich grobe Schätzwerte verstanden werden. Die Entwicklung über den Zeitverlauf (Trendlinie) dürfte dennoch akkurat sein.
- 127.
Diese Zahlen geben die von den Aufsichtsbehörden erstinstanzlich verhängten Bußgelder wieder. Etwaige spätere Anpassungen der Summen durch Gerichte sind nicht eingerechnet, da hierzu kaum systematische Zahlen vorliegen.
- 128.
Bei der Kalkulation der Anzahl der Bußgelder ergab sich das gleiche Problem wie schon bei ihrem Gesamtwert, und das gleiche Berechnungsverfahren fand Anwendung.
- 129.
Martin et al. (2019).
- 130.
- 131.
Kagan et al. (2011).
- 132.
Martin et al. (2019).
- 133.
Anger (2021).
- 134.
Karaboga (2021).
- 135.
Literatur
ACCIS. (2012). Proposal for amendments to the proposed review of the EU’s Data Protection Legal Framework. Brussels. https://wiki.laquadrature.net/images/3/37/ACCIS_Position_Paper_on_Proposed_Data_Protection_Regulation_May_2012.pdf.
ACT u. a. (2009). Joint Response by ACT, AER, AIG, EACA, EGTA, EPC, FEDMA, IAB Europe and the WFA to the European Commission Consultation on the Data Protection Directive. https://ec.europa.eu/home- affairs/sites/default/files/what- is-new/public-consultation/2009/pdf/contributions/registered_organisations/act_joint_response_en.pdf.
Albrecht, J. P. (2015). “No EU Data Protection Standard Below the Level of 1995”. European Data Protection Law Review, 1(1), 3–4. https://doi.org/10.21552/edpl/2015/1/4.
Albrecht, J. P. (2016). “Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung”. Computer und Recht, 32(2). https://doi.org/10.9785/cr-2016-0205.
AmCham, E. U. (2011). Am Cham EU’s response to the Commission communication on a comprehensive approach on data protection in the European Union. American Chamber of Commerce to the European Union.
AmCham, E. U. (2012). Am Cham EU – Position Paper on Data Protection. American Chamber of Commerce to the European Union.
Anger, H. (2021). “Bußgeld wegen Datenschutzverstößen: Urteil gegen 1&1 ist rechtskräftig”. Handelsblatt. https://www.handelsblatt.com/politik/deutschland/dsgvo-bussgeld-wegen-datenschutzverstoessenurteil-gegen-1und1-ist-rechtskraeftig/26826800.html.
Article 29 Data Protection Working Party und Working Party on Police and Justice. (2009). The Future of Privacy: Joint Contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data. Working Paper 02356/09/EN, WP 168. Brussels.
Artikel-29-Datenschutzgruppe. (2011). Stellungnahme 16/2011 zur Best-Practice-Empfehlung von EASA und IAB zu verhaltensorientierter Online-Werbung. Working Paper 02005/11/DE, WP 188.
Artikel-29-Datenschutzgruppe. (2012). Stellungnahme 08/2012 mit weiteren Beiträgen zur Diskussion der Datenschutzreform. Working Paper 01574/12/DE, WP199.
Bach, M. P., Zoroja, J., & Loupis, M. (2016). “RFID usage in European enterprises and its relation to competitiveness”. International Journal of Engineering Business Management, 8, 184797901668509. https://doi.org/10.1177/1847979016685093.
Bainbridge, David. (1996). EC Data Protection Directive. Butterworths.
Bamberger, K. A., & Mulligan, D. K. (2013). “Privacy in Europe: Initial Data on Governance Choices and Corporate Practices”. George Washington Law Review, 81(5), 1529–1664.
Bamberger, K. A., & Mulligan, D. K. (2015). Privacy on the ground: Driving corporate behavior in the United States and Europe. The MIT Press.
Becker, G. S. (1968). “Crime and Punishment. An Economic Approach”. Journal of Political Economy, 76(2), 169–217. DOI: 1010.1086/259394.
Bennett, C. J., & Raab, C. D. (2006). The Governance of Privacy: Policy Instruments in Global Perspective. 2nd and updated ed. MIT Press.
Berlinghoff, M. (2013). “Computerisierung und Privatheit – Historische Perspektiven”. Aus Politik und Zeitgeschichte, 63(15-16), 14–19.
BEUC. (2009). EU General Data Protection Framework – BEUC answer to the consultation. Bureau Europées Unions de Consommateurs.
Bieker, F. (2016). “Enforcing Data Protection Law – The Role of the Supervisory Authorities in Theory and Practice”. Privacy and Identity Management. Facing up to Next Steps. Springer International Publishing, 125–139. https://doi.org/10.1007/978-3-319-55783-0_10.
Bignami, F. (2005). “Transgovernmental Networks vs. Democr ernmental Networks vs. Democracy: The Case of the acy: The Case of the European Information Privacy Network”. Michigan Journal of International Law, 26(3), 807–868.
Bitkom. (2011). Response on the consultation for the purpose of reforming of Directive 95/46/EC. Berlin.
Bitkom. (2017). EU-Datenschutzgrundverordnung – Wie gut ist die deutsche Wirtschaft vorbereitet?https://www.bitkom.org/sites/default/files/file/import/Bitkom-Charts-PK-DSGVO-17-05-2018.pdf.
Bitkom. (2018). EU-Datenschutz-Grundverordnung – wie weit ist die deutscheWirtschaft?https://www.bitkom.org/sites/default/files/file/import/Bitkom-Charts-PK-Privacy-Conference-19-09-2017-final.pdf.
Bitkom. (2019). Bitkom zieht gemischte Jahresbilanz zur DS-GVO. Berlin. https://www.bitkom.org/Presse/Presseinformation/Bitkomzieht-gemischte-Jahresbilanz-zur-DS-GVO.
Bitkom. (2020). DS-GVO und Corona – Datenschutzherausforderungen für die Wirtschaft. Berlin. https://www.bitkom.org/sites/default/files/2020-09/bitkom-charts-pk-privacy-29-09-2020.pdf.
Blind, K. (2012). “The influence of regulations on innovation: A quantitative assessment for OECD countries”. Research Policy, 41(2), 391–400.
Blind, K. et al. (2004). New products and services: Analysis of regulations shaping new markets. Karlsruhe: Fraunhofer Institute for Systems und Innovation Research. http://publica.fraunhofer.de/documents/N-24301.html.
Boehme-Neßler, V. (2009). “Das Ende des Staates? Zu den Auswirkungen der Digitalisierung auf den Staat”. Zeitschrift für öffentliches Recht, 64(2), 145–199. https://doi.org/10.1007/s00708-009-0024-8.
Bradford, A. (2020). The Brussels Effect: How the European Union Rules the World. Oxford: Oxford University Press.
Bräutigam, L., Höller, H. & Scholz, R. (1990). Datenschutz als Anforderung an die Systemgestaltung. VS Verlag. https://doi.org/10.1007/978-3-322-93610-3.
Caspar, J. (15. März 2018). Die neue Architektur der Datenschutzaufsichtsbehörden in Europa. Vortrag im Rahmen des CAST-Workshops “Recht und ITSicherheit”. Darmstadt.
Christl, W., & Spiekermann, S. (2016). Networks of Control: A Report on Corporate Surveillance, Digital Tracking, Big Data and Privacy. Wien: Facultas. https://crackedlabs.org/dl/Christl_Spiekermann_Networks_Of_Control.pdf.
Council. (2009). Review of the Regulatory Framework for Electronic Communications Networks and Services. 7062/09. Brussels: Council of the European Union. https://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/jha/119461.pdf.
Council. (2011). Council Conclusions on the Communication from the Commission to the European Parliament and the Council - A Comprehensive Approach on Personal Data Protection in the European Union. 3071st Justice and Home Affairs Council meeting Brussels, 24 and 25 February 2011. Brussels: Council of the European Union. https://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/jha/119461.pdf.
DigitalEurope. (2012). DigitalEurope’s Comments on Proposed European Commission’s Regulation on Data Protection. Brussels.
EDC. (2015). Coalitions statement on the outcome of the trilogue negotiations: After more than 4 years of hard work it’s disappointing that EU policy makers have stumbled at the finishing line. European Data Coalition.
EDRi et al. (2015). Data Protection – Badly Broken. https://edri.org/files/DP_BrokenBadly.pdf.
EDSB. (7. März 2012). Stellungnahme des Europäischen Datenschutzbeauftragten zum Datenschutzreformpaket. Brussels: Der Europäische Datenschutzbeauftragte. https://edps.europa.eu/sites/default/files/publication/12-03-07_edps_reform_package_de.pdf.
Erdsiek, D. (2020). Viele Unternehmen stellen DSGVOschlechtes Zeugnis aus. ZEW Branchenreport Informationswirtschaft. Mannheim: Zentrum für Europäische Wirtschaftsforschung.
Europäische Kommission. (10. Nov. 1999). Entwicklung neuer Rahmenbedingungen für elektronische Kommunikationsinfrastrukturen und zugehörige Dienste: Kommunikationsbericht 1999. KOM(1999) 539 endg. Brüssel. https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX :51999DC0539&from=DE.
Europäische Kommission. (26. Apr. 2000). Die Ergebnisse der öffentlichen Anhörung zum Kommunikationsbericht 1999 und Leitlinien für den neuen Rechtsrahmen. KOM(2000) 239 endg. Brüssel. https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2000:0239:FIN:DE:PDF.
Europäische Kommission (15. Mai 2003). Erster Bericht über die Durchführung der Datenschutzrichtlinie (EG 95/46). KOM(2003) 265 endg. Brüssel. https://www.bing.com/search?q=https%3A%2F%2Feur-+lex.europa.eu%2Flegal-+content%2FDE%2FTXT%2FPDF%2F%3Furi%3DCELEX%3A52003DC0265%26amp%3Bfrom%3DE&cvid=5f90ef09474d4c279a36d404d70207f7&aqs=edge..69i57j69i58.916j0j4&FORM=ANAB01&PC=DCTS.
Europäische Kommission. (13. Nov. 2007a).Bericht über das Ergebnis der Überprüfung des EU-Rechtsrahmens für elektronische Kommunikationsnetze und -dienste gemäß der Richtlinie 2002/21/EGund Zusammenfassung der Reformvorschläge 2007. KOM(2007) 696 endg. Brüssel. https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2007:0696:FIN:DE:PDF.
Europäische Kommission. (7. März 2007b). Stand des Arbeitsprogramms für eine bessere Durchführung der Datenschutzrichtlinie. KOM(2007) 87 endg. Brüssel. https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52007DC0087&from=de.
Europäische Kommission. (4. Nov. 2010). Gesamtkonzept für den Datenschutz in der Europäischen Union. KOM(2010) 609 endg. Brüssel. https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/uri=CELEX:52010DC0609&from=de.
European Commission. (13. Sep. 1990). Commission Communication on the protection of individuals in relation to the processing of personal data in the community and information security. COM(90) 314 final. Brussels. http://aei.pitt.edu/3768/1/3768.pdf.
European Commission. (2009). Data Protection Conference “Personal Data – More Use, More Protection?– Brüssel: Press Release.
European Commission. (2010). Summary of Replies to the Public Consultation about the Future Legal Framework for Protecting Personal Data. Brussels.
European Commission. (2012). Impact Assessment Accompanying the Document Regulation of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data (General Data Protection Regulation) and Directive of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data by Competent Authorities for the Purposes of Prevention, Investigation, Detection or Prosecution of Criminal Offences or the Execution of Criminal Penalties, and the Free Movement of Such Data. Commission Staff Working Paper SEC(2012) 72 final. Brussels. https://www.europarl.europa.eu/ cmsdata/59702/att_20130508ATT65856-1873079025799224642.pdf.
European Parliament. (2011). European Parliament resolution of 6 July 2011 on a comprehensive approach on personal data protection in the European Union (2011/2025(INI). Resolution P7_7 TA(2011)0323. https://www.europarl.europa.eu/doceo/document/TA-7-2011-0323%5C_EN.pdf.
Fouilleux, E., de Maillard, J. & Smith, A. (2005). “Technical or political? The working groups of the EU Council of Ministers”. Journal of European Public Policy, 12(4), 609–623. https://doi.org/10.1080/13501760500160102.
Frederik, J., & Martijn, M. (2019). “The new dot com bubble is here: it’s called online advertising”. The Correspondent. https://thecorrespondent.com/100/the-new-dot-com-bubble-is-here-its-calledonline-advertising/872445200-5450b1fe.
Friedewald, M. et al. (29. März 2009). Privacy and Trust in the Ubiquitous Information Society: Analysis of the impact of convergent and pervasive ICT on privacy and data protection and needs and options for development of the legal framework. Final Study Report (D4), Prepared for the European Commission, DG INFSO. Karlsruhe: Fraunhofer ISI. https://bookshop.europa.eu/en/privacy-and-trust-in-the-ubiquitous-information-society-pbKK0414601/.
Gentemann, L., Böhm, K., & Esser, R. (2018). Zukunft der Consumer Technology 2018: Marktentwicklung, Trends, Mediennutzung,Technologien, Geschäftsmodelle. Berlin: Bitkom. https://www.bitkom.org/sites/default/files/file/import/180822-CT-Studie-2018-online.pdf.
González Fuster, G. (2014). The Emergence of Personal Data Protection as a Fundamental Right of the EU. Springer International Publishing. https://doi.org/10.1007/978-3-319-05023-2.
Greenleaf, G. (2012). “The influence of European data privacy standards outside Europe: implications for globalization of Convention 108”. International Data Privacy Law, 2(2), 68–92. https://doi.org/10.1093/idpl/ips006.
Gugerli, D. (2009). Suchmaschinen. Die Welt als Datenbank. Berlin: Suhrkamp.
Hert, Paul de und Vagelis Papakonstantinou. (2009). “The data protection framework decision of 27 November 2008 regarding police and judicial cooperation in criminal matters – A modest achievement however not the improvement some have hoped for”. Computer Law & Security Review, 25(5), 403–414. https://doi.org/10.1016/j.clsr.2009.07.008.
Hornung, G. (2012). “Eine Datenschutz- Grundverordnung für Europa? Licht und Schatten im Kommissionsentwurf vom 25.1.2012”. ZD – Zeitschrift für Datenschutz, 2012(3), 99–106.
IAPP. (2018). Privacy Tech Vendor Report. Version 2.4e. Portsmouth, NH: International Association of Privacy Professionals. https://iapp.org/media/pdf/resource_center/2018TechVendorReport.pdf.
IAPP. (2019). 2019 Privacy Tech Vendor Report. Version 3.2. Portsmouth, NH: International Association of Privacy Professionals. https://iapp.org/media/pdf/resource_center/2019TechVendorReport.pdf.
IAPP. (2020). 2020 Privacy Tech Vendor Report. Version 4.2. Portsmouth, NH: International Association of Privacy Professionals. https://iapp.org/media/pdf/resource_center/2020TechVendorReport.pdf.
IAPP und TrustArc. (2019). How Privacy Tech Is Bought and Deployed. https://iapp.org/media/pdf/resource_center/privac _tech_bought_and_deployed_IAPPTrustArc_2019.pdf.
ICDP. (2015). Europe’s New Data Rules Take a Wrong Turn. Press Release. Brussels: Industry Coalition for Data Protection.
Iglezakis, I. (14. Juni 2013). Regulation Models Addressing Data Protection Issues in the EU Concerning RFID Technology. https://doi.org/10.2139/ssrn.2279433.https://ssrn.com/abstract=2279433.
Jacob, K. et al. (2005). Lead Markets for Environmental Innovations. Bd. 27. ZEW Economic Studies. Mannheim: Physica.
Janssen, R. et al. (7. Mai 2020). GDPR and the Lost Generation of Innovative Apps. Vortrag im Rahmen des MaCCI EpoS Virtual IO Seminar. https://www.youtube.com/watch?v=vByIitkHeMc.
Jeuck, L. (2009). Datenschutz in der EU: Der Einfluss transnationaler Akteure auf die RFID-Empfehlung der Europäischen Kommission. PIPE – papers on international political economy 2/2009. Berlin: Arbeitsstelle Internationale Politische Ökonomie. http://nbn-resolving.de/urn:nbn:de:101:1-20100422167.
Kagan, Robert A., Neil Gunningham und Dorothy Thornton (2011). “Fear, Duty, and Regulatory Compliance. Lessons from Three Research Projects”. Explaining Compliance: Business Responses to Regulation. Hrsg. von Christine Parker, Vibeke Lehmann Nielsen und Neil Gunningham. Cheltenham: Edward Elgar, S. 37–58. https://doi.org/10.4337/9780857938732.0000.
Kantar. (2019). The General Data Protection Regulation. Special Eurobarometer 487a. https://doi.org/10.2838/579882.
Karaboga, M. (2021). “Die Entstehung der EU-Datenschutz-Grundverordnung: Policy- Analyse unter besonderer Berücksichtigung der Rolle zeitgenössischer Privatheitsverständnisse”. Inauguraldissertation. Frankfurt am Main: Johann-Wolfgang-Goethe-Universität.
Marotta, V., Vibhanshu, A., & Acquisti, A. (2019). “Online Tracking and Publishers’ Revenues: An Empirical Analysis”. 2019 Workshop on the Economics of Information Security. https://weis2019.econinfosec.org/wp-content/uploads/sites/6/2019/05/WEIS_2019_paper_38.pdf.
Martin, N., & Bile, T. et al. (2019). Das Sanktionsregime der Datenschutz-Grundverordnung: Auswirkungen auf Unternehmen und Datenschutzaufsichtsbehörden. Forschungsbericht. Karlsruhe: Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt.
Martin, N., & Matt, C. et al. (2019). “How Data Protection Regulation Affects Startup Innovation”. Information Systems Frontiers, 21(6), 1307–1324. https://doi.org/10.1007/s10796-019-09974-2.
Microsoft. (2012). The EU’s Proposed Data Protection Regulation: Microsoft’s Position.
Newman, A. L. (2008). “Building Transnational Civil Liberties: Transgovernmental Entrepreneurs and the European Data Privacy Directive”. International Organization, 62(1). https://doi.org/10.1017/s0020818308080041.
OECD. (2011). The Evolving Privacy Landscape: 30 Years after the OECD Privacy Guidelines. DSTI/ICCP/REG(2010)6/FINAL Unclassified. Paris: OECD Directorate for Science, Technology and Industry: Committee for Information, Computer and Communications Policy: Working Party on Information Security and Privacy. https://doi.org/10.1787/5kgf09z90c31-en.
Ollinger, M., & Fernandez-Cornejo, J. (1998). “Innovation and regulation in the pesticide industry”. Agricultural and Resource Economics Review, 27(1), 15–27.
Pearce, G., & Platten, N. (1998). “Achieving personal data protection in the European Union”. JCMS: Journal of Common Market Studies, 36(4), 529–547. https://doi.org/10.1111/1468-5965.00138.
Raab, C. D. (2006). “The Governance of Global Issues: Protecting Privacy in Personal Information”. In von Mathias, K.-A. & Zürn, M. (Hrsg.),New Modes of Governance in the Global System (S. 125–153). London: Palgrave Macmillan. https://doi.org/10.1057/9780230372887_6.
Ratsvorsitz. (2012). Datenschutzpaket – Bericht über die unter zyprischem Vorsitz erzielten Fortschritte. Vermerk des Vorsitzes für den Rat 16525/1/12 REV 1. Brüssel: Rat der Europäischen Union. https://data.consilium.europa.eu/doc/document/ST-16525-2012-REV-1/de/pdf.
Reding, V. (18. Mai 2011a). The reform of the EU Data Protection Directive: the impact on businesses. SPEECH/11/349. Brussels. https://ec.europa.eu/commission/presscorner/detail/hr/SPEECH_11_349.
Reding, V. (2011b). “The upcoming data protection reform for the European Union”. International Data Privacy Law, 1(1), 3–5. https://doi.org/10.1093/idpl/ipq007.
Reding, V. (26. Okt. 2012a). Justice Council: Making Good Progress on Our Justice for Growth Agenda. SPEECH/12/764. Luxembourg. https://ec.europa.eu/commission/presscorner/detail/en/SPEECH_12_764.
Reding, V. (2012b). “The European data protection framework for the twenty-first century”. International Data Privacy Law, 2(3), 119–129. https://doi.org/10.1093/idpl/ips015.
Reed, Chris (Sep. 2007). “Taking Sides on Technology Neutrality”. SCRIPT-ed, 4(3), 263–284. https://doi.org/10.2966/scrip.040307.263.
Rennings, K., & Rammer, C. (2011). “The impact of regulation-driven environmental innovation on innovation success and firm performance”. Industry and Innovation, 18(3), 255–283. https://doi.org/10.1080/13662716.2011.561027.
Richtlinie 2002/58/EG. (31. Juli 2002). "Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)". Amtsblatt der Europäischen Gemeinschaften L 201, S. 37–47. http://eur-lex.europa.eu/LexUriServ/LexUriServ.douri=CELEX:32002L0058:de:HTML.
Richtlinie 2009/136/EG. (18. Dez. 2009). "Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz". Amtsblatt der Europäischen Gemeinschaften L 337, S. 11–36. https://eur-lex.europa.eu/LexUriServ/LexUriServ.douri=OJ:L:2009:337:0011:0036:de:PDF.
Roßnagel, A. (Hrsg.). (2017). Europäische Datenschutz-Grundverordnung, (S. 342). Baden-Baden: Nomos.
Roßnagel, A., Bile, T., & Friedewald, M. et al. (2018). Nationale Implementierung der Datenschutz-Grundverordnung: Herausforderungen – Ansätze -Strategien. Policy Paper. Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt. https://www.forum-privatheit.de/forumprivatheit-de/publikationen-und-downloads/veroeffentlichungendes- forums/positionspapiere-policy-paper/Policy-Paper-Nationale-Implementierung-der-DSGVO_DE.pdf.
Roßnagel, A., Bile, T., & Geminn, C.L. et al. (2021). “Neue Konzepte für den Grundrechtsschutz in der digitalen Welt”. In: Die Zukunft von Privatheit und Selbstbestimmung: Analysen und Empfehlungen zum Schutz der Grundrechte in der digitalen Welt. Hrsg. von Michael Friedewald und Alexander Roßnagel. DuDFachbeiträge. Wiesbaden: Springer Vieweg.
Roßnagel, A., Geminn C. L. et al. (2016). Datenschutzrecht 2016. “Smart” genug für die Zukunft?, Ubiquitous Computing und Big Data als Herausforderungen des Datenschutzrechts. Bd. 4. ITeG - Interdisciplinary Research on Information System Design. Kassel: Kassel University Press. http://www.upress.uni-kassel.de/katalog/abstract.php?978-3-7376-0154-2.
Roßnagel, A., Nebel, M. & Richter, P. (2015). “Was bleibt vom Europäischen Datenschutzrecht? Überlegungen zum Ratsentwurf der DS-GVO”. ZD - Zeitschrift für Datenschutz, 10, 455–460.
Schiedermair, S. (2012). Der Schutz des Privaten als internationales Grundrecht. Tübingen: Mohr Siebeck.
Schirrmacher, F. (2015). Technologischer Totalitarismus: Eine Debatte. Berlin: Suhrkamp.
Schütz, P. (2021). “Data Protection Authorities under the EU General Data Protection Regulation - a new global benchmark?” In: The Handbook on Regulatory Authorities. Hrsg. von Martino Maggetti, Fabrizio Di Mascio und Alessandro Natalini. Cheltenham: Edward Elgar.
Simitis, S. . (1995). From the market to the polis: The EU Directive on the protection of personal data. Iowa Law Review, 80, 445–469.
Simitis, S. (1997). “Die EU-Datenschutzrichtlinie – Stillstand oder Anreiz?” Neue Juristische Wochenschrift, 50(5), 281–288.
Simitis, S. (2001). “Data Protection in the European Union - The Quest for Common Rules”. 1997 European Community Law, (S. 95–142). Hrsg. von Philip Alston. Bd. VIII/1. Collected Courses of the Academy of European Law. The Hague: Kluwer Law International.
Simitis, S. et al. (2019). “Einleitung”. Datenschutzrecht: DSGVO mit BDSG, (S. 158–240). Hrsg. von Spiros Simitis, Gerrit Hornung und Indra Spiecker gen. Döhmann. Baden-Baden: Nomos.
Spiekermann, S. (2012). “The RFID PIA - Developed by Industry, Endorsed by Regulators”. Privacy Impact Assessment (S. 323–346). Hrsg. von David Wright und Paul De Hert. Bd. 6. Law, Governance, and Technology. Dordrecht: Springer.
Stigler, G. J. (1970). “The Optimum Enforcement of Laws”. Journal of Political Economy, 78(3), 526–536. https://doi.org/10.1086/259646.
Taylor, L., Luciano, F. & van der Sloot, B. (2017). Group Privacy. Springer International Publishing. https://doi.org/10.1007/978-3-319-46608-8.
Westerholt, M. von, & Döring, W. (2004). “Datenschutzrechtliche Aspekte der Radio Frequency Identification (RFID)”. Computer und Recht, 20(9), 710–716.
Zerdick, T. (1995). “European Aspects of Data Protection: What Rights for the Citizen?” Legal Issues of Economic Integration, 22(2), 59–86.
Author information
Authors and Affiliations
Corresponding author
Editor information
Editors and Affiliations
Rights and permissions
Open Access Dieses Kapitel wird unter der Creative Commons Namensnennung 4.0 International Lizenz (http://creativecommons.org/licenses/by/4.0/deed.de) veröffentlicht, welche die Nutzung, Vervielfältigung, Bearbeitung, Verbreitung und Wiedergabe in jeglichem Medium und Format erlaubt, sofern Sie den/die ursprünglichen Autor(en) und die Quelle ordnungsgemäß nennen, einen Link zur Creative Commons Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden.
Die in diesem Kapitel enthaltenen Bilder und sonstiges Drittmaterial unterliegen ebenfalls der genannten Creative Commons Lizenz, sofern sich aus der Abbildungslegende nichts anderes ergibt. Sofern das betreffende Material nicht unter der genannten Creative Commons Lizenz steht und die betreffende Handlung nicht nach gesetzlichen Vorschriften erlaubt ist, ist für die oben aufgeführten Weiterverwendungen des Materials die Einwilligung des jeweiligen Rechteinhabers einzuholen.
Copyright information
© 2022 Der/die Autor(en)
About this chapter
Cite this chapter
Karaboga, M., Martin, N., Friedewald, M. (2022). Governance der EU-Datenschutzpolitik. In: Roßnagel, A., Friedewald, M. (eds) Die Zukunft von Privatheit und Selbstbestimmung. DuD-Fachbeiträge. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-35263-9_2
Download citation
DOI: https://doi.org/10.1007/978-3-658-35263-9_2
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-35262-2
Online ISBN: 978-3-658-35263-9
eBook Packages: Computer Science and Engineering (German Language)