„Hiermit widerspreche ich der DSGVO (Datenschutz-Grundverordnung) und darf damit weiter Personenfotos auf Facebook posten“ ist auf einem Bild zu lesen, das auf Facebook mindestens 5500 Mal geteilt wurde, obwohl es der Fotograf Robert Kneschke eigentlich als Witz für Kollegen erstellt hatte. Einige der User haben den Witz wohl auch verstanden. Das Beispiel zeigt trotzdem, dass Viele wenig über den Inhalt der DSGVO wissen. Auch unter Juristen wird über die Auslegung und Konsequenzen der neuen Normen gestritten. Die Angst gerade kleinerer Firmen und auch privater Blogbetreiber vor der DSGVO ist daher groß (vgl. https://www.for-net.info/2018/05/16/die-grosse-datenschutzwelle/). Der folgende Artikel will deshalb einige der wichtigsten Änderungen aufzeigen, die mit der DSGVO einhergehen, und soll so einen grundlegenden Überblick ermöglichen.
Hintergründe und Ziele der DSGVO
Es ist notwendig, die Ziele und Hintergründe des neuen Datenschutzrechts zu verstehen. Durch die DSGVO soll europaweit ein gleich hohes Datenschutzniveau erreicht werden („Harmonisierung“ vgl. Erwägungsgrund Nr. 3, 9, 10). Sie wurde daher als Verordnung erlassen, denn Verordnungen sind für jeden Mitgliedstaat verbindlich und gelten in diesen unmittelbar (Art. 288 Abs. 2 AEUV). Auffallend ist dabei, dass die DSGVO unabhängig davon gilt, ob die Datenverarbeitung in der EU stattfindet, oder der Verantwortliche (Definition in Art. 4 Nr. 7 DSGVO) seinen Sitz in der EU hat (vgl. Art. 3 DSGVO). Dabei wird grundsätzlich auch nicht zwischen öffentlich-rechtlichen (Behörden) und nicht öffentlich-rechtlichen Stellen differenziert (vgl. Art. 2, 4 Nr. 7 DSGVO). Ausnahmen gibt es aber für die Strafverfolgung (Art. 2 Abs. 2 Buchstabe d DSGVO) oder im familiären Bereich (Art. 2 Abs. 2 Buchstabe c DSGVO); eine Ausnahme durch Widerspruch per Facebook-Bild ist hingegen nicht vorgesehen. Als EU-Recht besitzt die DSGVO nach der Costa/Enel-Entscheidung (EuGH Urt. v. 15.7.1964 – Slg. 1964, 1251) des Europäischen Gerichtshofs (EuGH) außerdem Anwendungsvorrang vor nationalem Recht. Das bedeutet: wenn nationales Recht nicht europarechtskonform ausgelegt werden kann, wird es (auch von den nationalen) Gerichten nicht angewendet. Die Rechtsprechung des Europäischen Gerichtshofs ist mittlerweile auch in der Erklärung Nr. 17 des Vertrags von Lissabon (http://publications.europa.eu/resource/cellar/688a7a98-3110-4ffe-a6b3-8972d8445325.0005.01/DOC_19, abgerufen am 29.05.2018) kodifiziert. Eine nationale Abweichung von der DSGVO ist daher grundsätzlich nicht möglich. Allerdings enthält die DSGVO Öffnungs- und Spezifizierungsklauseln, im Rahmen derer die Mitgliedstaaten abweichende Regelungen treffen können. So ist die Einwilligung eines Kindes in die Datenverarbeitung gem. Art. 8 Abs. 1 S. 1, 2 DSGVO nur dann gültig, wenn das Kind mindestens sechzehn Jahre alt ist, oder die Einwilligung durch einen oder mit Zustimmung des Erziehungsberechtigten erfolgte. Art. 8 Abs. 1 S. 3 DSGVO erlaub es den Mitgliedstaaten jedoch, eine niedrigere Altersgrenze vorzusehen. Deutschland hat von dieser Möglichkeit bislang keinen Gebrauch gemacht. Die DSGVO soll außerdem das Verfahren um Datenschutzverstöße und Streitigkeiten vereinfachen. Dies geschieht etwa durch Einführung des sog. „One-Stop-Shop“-Prinzips (Art. 56 DSGVO) für Datenschutzbehörden, d.h. sowohl EU-Bürger als auch Unternehmen müssen sich bei Beschwerden nur mit einer Datenschutzbehörde auseinandersetzen. Außerdem sollen die Betroffenenrechte (Art. 13 ff. DSGVO) gestärkt und die Durchsetzbarkeit des Datenschutzes durch hohe Bußgelder (Art. 83 Abs. 5 und 6 DSGVO) verbessert werden. So soll der Datenschutz an den technischen Fortschritt angepasst werden.
Ängste
Trotzdem ist die DSGVO nicht unumstritten. So wird etwa zum Teil befürchtet, dass die DSGVO kein geeignetes Mittel darstellt, um den großen Daten-Sog von Google und Facebook etc. zu bekämpfen (vgl. Quelle 7 und 8). Zum Teil wird außerdem eine Abmahnindustrie und eine Flut von datenschutzrechtlichen Anfragen befürchtet. Grund für diese Ängste sind die gestärkten Betroffenenrechte und die sogleich darzustellenden verschärften Sanktionsmöglichkeiten.
Verschärfte Sanktionsmöglichkeiten
Vor Geltung des DSGVO wurden Verstöße gegen Datenschutzvorschriften etwa gem. § 43 Abs. 3 S.1 BDSG a.F. mit Bußgeldern bis zu 300.000 Euro sanktioniert. § 43 Abs. 3 S. 2 BDSG a.F. stellte hierzu bereits klar, dass die Höhe der Geldbuße den wirtschaftlichen Vorteil übersteigen solle, den der Täter aufgrund des datenschutzrechtlichen Verstoßes erlangte. Diese Beträge erschienen dem europäischen Gesetzgeber wohl zu gering, um damit auch Datenschutzverstöße von großen Unternehmen wie Facebook, das 2017 einen weltweiten Umsatz von über 40 Milliarden US-Dollar erzielte, wirksam zu bekämpfen. Nach Art. 83 Abs. 5 und 6 DSGVO sind daher nun Geldbußen bis zu 20 Millionen Euro oder vier Prozent des von einem Unternehmen erzielten weltweiten Jahresumsatzes (im Falle Facebooks also i.H.v. 1,6 Milliarden US-Dollar) möglich. Wie strikt die Bußgelder von den Aufsichtsbehörden auch eingetrieben werden, ist noch unklar, allerdings können Aufsichtsbehörden von Betroffenen und Verbänden verklagt werden, wenn sie Beschwerden nicht nachgehen (vgl. Art. 78 DSGVO).
Neue Rechte für Betroffene
Nach Art. 15 DSGVO hat eine von einer Datenerhebung betroffene Person das Recht zu erfahren, ob und zu welchem Zweck sie betreffende persönliche Daten verarbeitet werden (Auskunftsrecht). Nach einigen journalistischen Angaben wollen 40 Prozent der Deutschen von diesem Recht innerhalb der ersten sechs Monate nach der unmittelbaren Gültigkeit der DSGVO Gebrauch machen, was die Angst vor einer Anfrageflut erklärt.
Art. 17 DSGVO enthält das sog. „Recht auf Vergessenwerden“, Unternehmen müssen demnach auf Wunsch des Betroffenen personenbezogene Daten löschen. Neu ist außerdem das in Art. 20 DSGVO normierte Recht auf Datenübertragbarkeit, sowie das Recht auf Einschränkung der Verarbeitung gem. Art. 18 DSGVO und das Recht auf Berichtigung gem. Art. 16 DSGVO. Recht auf Berichtigung bedeutet, dass eine betroffene Person von dem Verantwortlichen die unverzügliche Berichtigung sie betreffender persönlicher Daten verlangen kann. Betroffene sollen durch neue Datenschutzprinzipien außerdem weitreichender geschützt werden. Nennenswert ist hier insbesondere Art. 25 DSGVO, der „Privacy by Default“ (Datenschutz durch datenschutzfreundliche Voreinstellungen) (Art. 25 Abs. 2 DSGVO) und „Privacy by Design“ (Datenschutz durch Technikgestaltung) (Art. 25 Abs. 1 DSGVO) vorschreibt.
Fazit
Unbestreitbar hat die DSGVO den Datenschutz ausgeweitet. Wie effektiv die neuen Betroffenenrechte sind, wird sich noch zeigen. 51 Prozent der Unternehmen gehen nach einer Studie des It-Konzerns IBM derzeit wohl jedenfalls davon aus, dass die DSGVO europäischen Firmen einen Wettbewerbsvorteil bringen wird.
Quellen:
- Hilgendorf, Übersicht „Neuerungen des Datenschutzrechts („DSGVO-Checkliste“)“ aus dem vhb-Kurs „Einführung zum Datenschutzrecht“