Forderungen Datenschutz

Kurzfassung

Forderungen der Schleswig-Holsteinischen Wirtschaft zum Datenschutz
  1. Das Datenschutzrecht darf unternehmerisches Handeln nicht unverhältnismäßig belasten.
  2. Datenschutzregelungen müssen an der wirtschaftlichen Lebenswirklichkeit ausgerichtet sein. Das Verhältnis von Aufwand und Nutzen muss berücksichtigt werden.
  3. Forschung und Entwicklung sind wichtiger Teil unternehmerischen Handelns. Datenschutzrechtliche Regelungen dürfen hier nicht behindern.
  4. Die Datenschutzvorschriften müssen übersichtlich, verständlich, transparent und systematisch verfasst sein.
  5. Ablösung des „one size fits all-Ansatz“ durch Berücksichtigung der Belange der Kleine und mittlere Unternehmen (KMU).
  6. Datenschutzrechtliche Verpflichtungen müssen von der Größe des Unternehmens, der Komplexität der Datenverarbeitungsstrukturen, vom Umfang, dem Risiko und Qualität der Datenverarbeitung abhängig gemacht werden und nur dann zum Tragen kommen, wenn die Datenverarbeitung überraschend ist bzw. vom eigentlichen Geschäftsmodell abweicht.
  7. Sämtliche vorhersehbare Datenverarbeitung aufgrund eines Vertrages, die gesetzlich verpflichtende Verarbeitung von Daten sowie eine Datenverarbeitung im Bagatellbereich darf keine Dokumentations-, Abwägungs-, Nachweis- oder Informationspflichten auslösen.
  8. Es darf keine Wettbewerbsnachteile für deutsche Unternehmen geben, weil deutsches Recht über die EU-Anforderungen hinausgeht. Die Aufsichtsbehörden sollten einheitlich agieren mit klaren Zuständigkeiten und sich auch auf EU-Ebene abstimmen.
  9. Eine anlassbezogene begründete Einzelfallprüfung durch die Aufsichtsbehörde ersetzt die umfassende Rechenschaftspflicht der Unternehmen. Bei der Auswahl der Verantwortlichen im Falle der Inanspruchnahme durch die Aufsichtsbehörde muss die Effektivität bei der Bekämpfung von Datenschutzverstößen im Vordergrund stehen.
  10. Unternehmen brauchen von den datenschutzrechtlichen Aufsichtsbehörden unterstützende praxisnahe lösungsorientierte Beratung (verbindliche Guidance) auch durch Checklisten, Mustervorgaben und konstruktive Hinweise, um Rechtsunsicherheiten und Haftungsrisiken zu vermeiden.

Langfassung

Seit Inkrafttreten der DSGVO sind insbesondere kleine und mittlere Unternehmen (KMU) mit der Anwendung und der Umsetzung des Datenschutzrechts überfordert und belastet.
Der hohe Beratungsbedarf zu den datenschutzrechtlichen Anforderungen und die vielen Rückmeldungen der Mitgliedsunternehmen wurden zum Anlass genommen, die Schmerzpunkte der Schleswig-Holsteinischen Wirtschaft genau zu identifizieren. Zunächst wurden die verschiedenen Arbeitskreise der IHK Schleswig-Holstein mit der Problematik befasst. Dann wurden zwei Workshops durchgeführt mit der dafür eingesetzten Arbeitsgruppe Datenschutz, um die Betroffenheit insbesondere auch unserer kleinen und mittleren Unternehmen zum Thema Datenschutz deutlich sichtbar zu machen. Zielstellung war die Erarbeitung von Lösungsansätzen, um konkrete Forderungen an die Politik richten zu können:

1. Betroffenheit unserer Unternehmen

Problem: Anwendung des Rechtsrahmens

Herausforderungen für die Schleswig-Holsteinische Wirtschaft bestehen in erster Linie in der Anwendung des Rechtsrahmens des Datenschutzes. Der anzuwendende Rechtsrahmen wird von vielen Mitgliedsunternehmen als untauglich angesehen, da die formulierten rechtlichen Anforderungen als rein theoretisch wahrgenommen werden, die an der Realität vorbeigehen.
Der gesunde Menschenverstand und das persönliche Schutzempfinden helfen bei der Erfassung der datenschutzrechtlichen Anforderungen nicht mehr weiter. Das Gespür für ein datenschutzrechtlich konformes Verhalten ist mit der DSGVO verloren gegangen. Ein gesundes Judiz in datenschutzrechtlichen Fragen ist bei den Schleswig-Holsteinischen Unternehmen aus ihrer Sicht kaum vorhanden. Dadurch entstehen enorme Rechtsunsicherheiten, denen mit einem Mehr an bürokratischer Übererfüllung der vermuteten datenschutzrechtlichen Vorkehrungen begegnet wird.
Der datenschutzrechtliche Alltag bei vielen Schleswig-Holsteinischen Unternehmen wird durch einen komplizierten und zeitintensiven Verwaltungsaufwand bestimmt. Technische Lösungen werden teilweise als unmöglich angesehen; ein Datenaustausch mit Drittländern als schwierig empfunden und der Nutzen von Dokumentations- und Informationspflichten als fraglich wahrgenommen.

Problem: Umsetzung von Datenschutzanforderungen

Enorme Herausforderungen bestehen jedoch auch in der konkreten Umsetzung von Datenschutzanforderungen. Viele Unternehmen fragen sich, warum sie legale Produkte von Microsoft, Social Media oder WhatsApp meiden sollen. Der Datenschutz erschwert eine einfache und schnelle Kommunikation, insbesondere die Mitarbeitergewinnung ohne social media ist kaum möglich.
Unternehmen bekommen gespiegelt, dass Kunden die Datenschutzanforderungen der Unternehmen als strapazierend und belastend für die Kundenbeziehung empfinden. Insbesondere die langgefasste Datenschutzerklärung schreckt ab (Bsp.: freiwillige Mitwirkung des AN am betrieblichen Eingliederungsmanagement durch verpflichtende Aufklärung erschwert).
Die Erfüllung datenschutzrechtlicher Anforderungen bindet enorme personelle und finanzielle Ressourcen und birgt ein unbekanntes Haftungsrisiko.

Problem: Verbotsprinzip hemmt wirtschaftliche und wissenschaftliche Betätigung

Die DSGVO ist verarbeitungs- und damit auch unternehmerfeindlich. Aufgrund des Verbotsprinzips wird jeder Datenverarbeiter unter Generalverdacht gestellt, weshalb jedes unternehmerische grundrechtlich geschützte Handeln unter laufendem Rechtfertigungsdruck steht.
Jeder Unternehmer muss sich noch vor der Datenverarbeitung Gedanken darüber machen, ob er überhaupt zur Datenverarbeitung berechtigt ist. Nicht erst ein konkreter Datenmissbrauch, sondern schon die Möglichkeit des Datenmissbrauchs soll verhindert werden. Wer personenbezogene Daten verarbeitet, muss sich rechtfertigen – und zwar sowohl vor den Betroffenen als auch vor den staatlichen Aufsichtsbehörden.
Im Ergebnis bewirkt die DSGVO, dass Unternehmen von ihren Grundrechten weniger Gebrauch machen, auch wenn sie weiterhin dazu berechtigt wären. Beispiel: Diskussion um Klingelschilder, Geburtstagslisten in Unternehmen und vor allem der Zurückgang von kleinen Onlineshops oder Gewerbe im Nebenerwerb seit Einführung der DSGVO. Die Intensität der Auswirkungen ist dabei abhängig von Rechtsunsicherheiten, Haftungsrisiken, vom Zugang zu qualifizierter Rechtsberatung und von vorhandenem oder fehlendem Wissen sowie von personellen und finanziellen Ressourcen. Stets präsent und unterschwellig schwingt mit, dass der Datenschutz ein Hemmschuh für Innovationen darstellt und die Digitalisierung erschwert. Der Grundsatz der Zweckbindung schließt im Übrigen auch Zufallsfunde im Bereich der Wissenschaft (z. B. bei Korrelationen) aus.

2. Forderungen aus der Wirtschaft

Anforderungen an einen rechtssicheren, praktikablen und umsetzbaren Rechtsrahmen

Die Datenschutzvorschriften müssten übersichtlich, verständlich, transparent und systematisch verfasst sein. Die Regelungen müssen die Abwägung von Aufwand und Nutzen erkennen lassen und dazu die Zielorientierung aufnehmen. Die datenschutzrechtlichen Anforderungen sollten an der Menge der Datenspeicherung, des Risikos der Datenverarbeitung, der Größe des Unternehmens sowie der Lebenswirklichkeit ausgerichtet werden.
Es sollte eine Bagatellgrenze für bestimmte Lebenslagen (z. B. Tischreservierung, Vereine, bürokratiefreies Jahr für Start Ups) eingeführt werden und zwischen Geschäften im B2B und B2C unterscheiden.
Zu den häufigsten Belastungen in der alltäglichen Unternehmerpraxis zählen konkret die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten, die Informationspflichten, die Verpflichtung Auftragsverarbeitungsverträge zu schließen, die Pflicht zur Bestellung eines Datenschutzbeauftragen, die Cookie-Einwilligungen auf Webseiten sowie die Rolle der Aufsichtsbehörden.

a) Verzeichnis von Verarbeitungstätigkeiten und andere Dokumentations-, Abwägungs- und Nachweispflichten

(1) Belastungssituation

Die Erstellung eines Verarbeitungsverzeichnisses mit Auflistung aller technisch-organisatorischen Maßnahmen stellen gerade KMU vor große Herausforderungen und überfordert sie hinsichtlich der personellen als auch der finanziellen (insbesondere zeitlicher Faktor) Ausstattung.
Hinzu kommt, dass die Anforderungen in der Umsetzung für Nichtjuristen Schwierigkeiten bedeuten. Unklar sind insbesondere folgende Punkte: Benennung der Zwecke der Verarbeitung, der vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien sowie die allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.
Die kleinen und mittleren Unternehmen sind insgesamt mit der Erfüllung der Vielzahl der Dokumentations- und Abwägungs- und Nachweispflichten überlastet.

(2) Rechtslage

Nach Art. 30 führt jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Die Pflichten gelten gemäß Art. 30 Abs. 5 nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien.
Sobald ein Unternehmer z. B. nur einen Mitarbeiter beschäftigt, der sich einmal krankmeldet, verarbeitet der Unternehmer Gesundheitsdaten nach Art. 9 Abs. 1. Damit entfällt für ihn diese Kleinunternehmerregelung automatisch. Auch wird eine Verarbeitung von personenbezogenen Daten in den allerwenigsten Fällen nicht nur gelegentlich erfolgen, sondern vielmehr regelmäßig, weshalb auch hier die Ausnahmeregelung nicht greifen wird. Insbesondere bei telefonischen Kontakten oder jeglicher Korrespondenz werden regelmäßig personenbezogene Daten verarbeitet. Praktisch unterfallen damit fast alle KMU der Verpflichtung ein Verzeichnis von Verarbeitungstätigkeiten zu führen.
Die DSGVO enthält an verschiedenen Stellen weitere umfassende Dokumentationspflichten:
  • Die Erstellung von Datenschutz-Folgenabschätzung nach Art. 35.
  • Die datenschutzrechtlichen Weisungen des Auftraggebers an den Auftragnehmer bei einer Verarbeitung im Auftrag ist zu dokumentieren, Art. 26.
  • Es besteht die explizite Pflicht alle Datenschutzverletzungen zu dokumentieren, Art. 33.
  • Es ist eine dokumentierte Abwägung und Garantien bei der Datenübermittlung an Drittländer zu erstellen, Art. 46.
Als weitere Nachweispflichten sieht die DSGVO folgende vor:
  • Nachgewiesen werden muss die Einhaltung der Verarbeitungsprinzipien (Art. 5 Abs. 2 – z. B. durch ein Datenschutzkonzept.
  • Wenn eine Einwilligung vom Betroffenen abgefragt werden muss, ist diese auch nachweislich vorzuhalten (Art. 7 Abs. 1).
  • Ein Nachweis über die Unbegründetheit des Antrags ist auch bei negativem Auskunftsersuchen zu erbringen (Art. 12 Abs. 5 Satz 3).
  • Es müssen geeignete technische und organisatorische Maßnahmen für die rechtmäßige Verarbeitung der Daten nachgewiesen werden können (Art. 24 Abs. 1) – z. B. durch Richtlinien und Handbücher zur IT-Sicherheit.
  • Bei der Auftragsdatenverarbeitung sind die Verpflichtungen für eine ordnungsgemäße Datenverarbeitung festzulegen (Art. 26).
  • Im Rahmen der Datenschutz-Folgenabschätzung muss ein Nachweis über die Einhaltung der DSGVO erbracht werden (Art. 35 Abs. 7d).
An circa 82 Stellen enthält die DSGVO für jeden Verantwortlichen gleichermaßen die Pflicht, komplizierte Abwägungsentscheidungen zu treffen:
  • 30 Erforderlichkeitsprüfungen
    (Art. 5 Abs. 1c, Art. 5 Abs. 1d, Art. 6 Abs. 1b, c, d, e und f, Art. 7 Abs. 4, Art. 9 Abs. 2b, c, f, g, h, i und j, Art. 11 Abs. 1, Art. 13 Abs. 2, Art. 14 Abs. 2, Art. 17 Abs. 1 a, Art, 17 Abs. 3, Art. 21 Abs. 6, Art. 22 Abs. 2a, Art. 25 Abs. 2 Satz 1, Art. 34 Abs. 3a, Art. 49 Abs. 1b, c, d, e und f, Art. 49 Abs. 1 Satz 2)
  • 13 Risikoprüfungen
    (Art. 24 Abs. 1, Art. 25 Abs. 1, Art. 27 Abs. 2a, Art. 30 Abs. 5, Art. 32 Abs. 1 und 2, Art. 33 Abs. 1 Satz 1, Art. 34 Abs. 1, Art. 34 Abs. 3b, Art. 35 Abs. 1, Art, 36 Abs. 2, Art. 39 Abs. 2, Art. 49 Abs. 1a)
  • 12 Angemessenheitsprüfungen
    (Art. 5 Abs. 1c, d und f, Art. 8 Abs. 2, Art. 12 Abs. 5a, Art. 15 Abs. 3 Satz 2, Art. 17 Abs. 2, Art. 22 Abs. 3, Art. 24 Abs. 2, Art. 33 Abs. 4)
  • 11 Geeignetheitsprüfungen
    (Art. 5 Abs. 1 e, Art. 9 Abs. 2 d, Art. 12 Abs. 1 Satz 1, Art. 24 Abs. 1, Art. 24 Abs. 2, Art. 25 Abs. 1, Art. 25 Abs. 2 Satz 1, Art. 28 Abs. 1, Art. 28 Abs. 4, Art. 32 Abs. 1, Art. 34 Abs. 3a)
  • 8 Interessenabwägungen
    (Art. 6 Abs. 1 f, Art. 15 Abs. 4, Art. 17 Abs. 1 c, Art. 17 Abs. 3, Art. 18 Abs. 1 d, Art. 20 Abs. 4, Art. 21 Abs. 1 Satz 2, Art. 49 Abs. 1 Satz 2)
  • 3 Verhältnismäßigkeitsprüfungen
    (Art. 5 Abs. 1 c, Art. 14 Abs. 5b, Art. 19 Satz 1, Art. 34 Abs. 3c)
  • 3 Treu- und Glauben bzw. Fairnessprüfungen
    (Art. 5 Abs. 1 a; Art. 13 Abs. 1, Art. 11 Abs. 2)
  • 2 Vereinbarkeitsprüfungen
    (Art. 5 Abs. 1 b, Art. 6 Abs. 4)

(3) Problemfeld Bestimmtheitsgrundsatz

Die DSGVO schützt ihrem Wortlaut nach die folgenden Schutzgüter: Menschenwürde, Menschenrechte, Grundrechte, Rechte, Datenschutzrechte, Grundfreiheiten, Freiheiten, Interessen, Garantien und personenbezogene Daten.
Diese Schutzgüter tauchen in 125 Vorschriften der DSGVO auf. Die Terminologie ist dabei höchst uneinheitlich: die genannten Schutzgüter finden Eingang in 25 verschiedene Wortlautkombinationen:
  • 16 x "Rechte"
  • 50 x "Rechte und Freiheiten"
  • 4 x "Rechte und Freiheiten sowie berechtigte Interessen"
  • 1 x "Persönliche Rechte und Freiheiten"
  • 1 x "Menschenrechte und Grundfreiheiten"
  • 1 x "Rechte und berechtigte Interessen"
  • 1 x "Datenschutzrechte"
  • 3 x "Grundrechte"
  • 13 x "Grundrechte und Grundfreiheiten"
  • 3 x "Grundrechte und Interessen"
  • 1 x "Grundrechte und Garantien"
  • 1 x "Grundrechte und personenbezogene Daten"
  • 1 x "Personenbezogene Daten und andere Grundrechte und Grundfreiheiten"
  • 2 x "Interesse"
  • 6 x "Berechtigte Interessen"
  • 4 x "Zwingende berechtigte Interessen"
  • 1 x. "Zwingende schutzwürdige Gründe"
  • 6 x "Lebenswichtige Interessen"
  • 1 x "Interessen und Rechte"
  • 2 x "Interessen und Grundrechte"
  • 1 x "Interessen, Rechte und Freiheiten"
  • 2 x "Interessen oder Rechte und Freiheiten“
  • 3 x "Interessen oder Grundrechte und Grundfreiheiten"
  • 1 x “Menschliche Würde, berechtigte Interessen und Grundrechte”
Ein einheitliches Konzept verbirgt sich hinter der Terminologie nicht. Abstufungen zwischen Grundrechten/Rechten/Freiheiten/Interessen gibt es nicht. Welche konkreten Schutzgüter sich hinter Grundrechten/Rechten/Freiheiten/Interessen verbergen, wird nicht konkretisiert.
Insbesondere kennen z. B. nur die deutschen Gerichte das Recht auf informationelle Selbstbestimmung, im Gegensatz zur Grundrechtecharta, Europäischen Menschenrechtskonvention, Vertrag über die Arbeitsweise der EU, Europäischen Gerichtshof und der DSGVO sowie der Allgemeinen Erklärung der Menschenrechte, Internationalen Pakt über bürgerliche und politische Recht oder der OECD-Richtlinien über Privatsphäre von 2013.
  • In der DSGVO ist grundsätzlich im Art. 1 Abs. 2 die Rede vom Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
  • Nach Art. 8 Abs. 1 EMRK hat jede Person das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.
  • Gemäß Art. 7 der Grundrechtecharta ist es wiederum das Recht auf Achtung ihrer Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.
  • Art. 16 des Vertrages über die Arbeitsweise der EU schützt wiederum das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten.
  • Der EuGH legt alle europäischen Regelungen seinen Entscheidungen zu Grunde.
  • Art. 12 der AEMR schützt das Privatleben, seine Familie, seine Wohnung und seinen Schriftverkehr oder Beeinträchtigungen seiner Ehre und seines Rufes.
  • Diese OECD-Richtlinien gelten für personenbezogene Daten sowohl im öffentlichen als auch im privaten Sektor, durch die aufgrund der Art der Datenverarbeitung oder aufgrund der Datenart bzw. den Umständen, unter denen sie genutzt werden, eine Gefährdung der Privatsphäre und Freiheiten von Personen bewirkt werden kann.
  • Art. 17 Abs. 1 des IPBPR schützt das Privatleben, seine Familie, seine Wohnung und seinen Schriftverkehr, die Ehre und den Ruf.

(4) Problemfeld Verhältnismäßigkeitsgrundsatz

Die Unbestimmtheit dieser Regelungen, was die DSGVO genau schützen will, führt zu unlösbaren Aufgaben bei den vielen vorgeschriebenen Abwägungsentscheidungen, wie z. B. der Interessenabwägung nach Art. 6 Abs. 1 f der DSGVO oder der Datenschutzfolgen-Abschätzung gemäß Art. 35 DSGVO. Für die Frage der Schwellwertanalyse, ob für die Betroffenen ein hohes Risiko durch die Verarbeitung ihrer personenbezogenen Daten besteht, sind jedoch jene Schutzgüter zu ermitteln und gewichten.
Die Rechtspflicht des Unternehmers, ständig in eigener Verantwortung Grundrechtsabwägungen vornehmen zu müssen, hat etwas Totalitäres. Dies wirft auch Fragen nach den Maßstäben für die Erfüllung dieser staatsanalogen Pflichten auf.
(Das zügellose Recht – Teil II: Die totale Drittwirkung von Winfried Veil, cr-online)
Selbst wenn eine Datenverarbeitung erlaubt ist, so haben die zahlreichenden Begleitpflichten wie Informations-, Dokumentations-, Abwägungs- und Nachweispflichten eine erdrosselnde Wirkung und machen damit eine Datenverarbeitung faktisch unmöglich. (Veil)
Zu viele oft nur schematisch zu erfüllende Pflichten führen schließlich auch zur Nichtbeachtung der Pflichten und letztlich zur Erosion der Rechtstreue (Weniger-ist-Mehr-Paradoxon). (Veil)
Laut Erwägungsgrund 82 sollte zum Nachweis der Einhaltung dieser Verordnung der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen.
Zwar wollte man laut Erwägungsgrund 13 zumindest der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung tragen, weshalb diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen enthalten soll, die weniger als 250 Mitarbeiter beschäftigen. Die Ausnahme kommt jedoch faktisch nicht zum Tragen, s. o.. Unabhängig davon also, ob es sich um GAFA, Behörden oder KMU handelt, jeden Verantwortlichen trifft dieselbe Pflichten zur Führung eines Verarbeitungsverzeichnisses, und zwar auch dann, wenn mit der Datenverarbeitung gar kein Geld verdient wird. Auch unterscheidet die DSGVO hier nicht zwischen risikoarmer und risikoreicher Datenverarbeitung. Obwohl laut Erwägungsgrund 13 die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten werden, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen, jedoch wurde hier davon praktisch kein Gebrauch gemacht.
Das gewählte Mittel - die Führung eines Verarbeitungsverzeichnisses und der anderen Nachweispflichten – könnte jedoch problematisch sein für die Erreichung des Zwecks der Einhaltung der DSGVO. Sie stellen einen Eingriff in die Privatautonomie dar, der mit den Vorgaben des Bundesverfassungsgerichts (Urteil vom 22.01.2022 – 1 BvR 699/06, Rn. 48) übereinstimmen muss:
„Der Bürger und die von ihm gegründeten Vereinigungen und Einrichtungen können ihr Handeln nach subjektiven Präferenzen in privater Freiheit gestalten, ohne hierfür grundsätzlich rechenschaftspflichtig zu sein. Ihre Inpflichtnahme durch die Rechtsordnung ist von vornherein relativ und - insbesondere nach Maßgabe der Verhältnismäßigkeit - prinzipiell begrenzt.“
Jeder Datenverarbeiter steht unter Generalverdacht. Noch bevor der Verantwortliche überhaupt mit der Datenverarbeitung beginnen darf, wird er mit umfangreichen Pflichten belegt. Auf die Verursachung einer Rechtsgutsverletzung oder drohenden Schadens kommt es gar nicht mehr an. Die DSGVO verpflichtet jeden Datenverarbeiter dazu, die für eine Überwachung erforderlichen Informationen zu sammeln. Umfassende Rechenschaftspflichten zwingen ihn, seine Maßnahmen jederzeit nachweisen zu können. Zweck dieser „Accountability“ ist es, die staatliche Kontrolle zu erleichtern – ein klassischer Ansatz des Präventionsstaates. Dadurch, dass das verfolgte Schutzgut nicht präzise benannt werden kann, geht es nicht mehr um die Abwehr einer konkreten Gefahr. Diese Vorverlagerung der Gefahrenabwehr ist ein rechtsstaatliches Problem. Im Bereich des Datenschutzes vertraut der Staat nicht auf das normkonforme Verhalten seiner Bürgerinnen und Bürger, vielmehr wird die Eingriffsschwelle abgesenkt. Auf eine konkrete Gefahr für ein hinreichend bestimmtes Rechtsgut kommt es nicht mehr an. Die Datenverarbeitung der Unternehmen wird umfassend mit den Informations-, Dokumentations- und Nachweispflichten kontrolliert. (Veil)

(5) Lösungsansätze

Die Verpflichtung, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, Nachweis- und Abwägungspflichten zu erfüllen, sollten vom Umfang, dem Risiko und der Qualität der Datenverarbeitung abhängig gemacht werden. Zudem sollte sie nur dann zum Tragen kommen, wenn die Datenverarbeitung überraschend ist bzw. vom eigentlichen Geschäftsmodell abweicht. Sämtliche gesetzlich verpflichtende Verarbeitungen sollten von diesen Anforderungen befreit sein. Anlassbezogene Einzelfallprüfung durch die Aufsichtsbehörde sollten die Rechenschaftspflicht ersetzen.

b) Informationspflichten

(1) Belastungssituation

Die Verpflichtung zur Bereitstellung der Informationspflichten wird von kleinen und mittleren Unternehmen als überbordender Verwaltungsaufwand empfunden. Es werden für die Erstellung gerade für KMU nicht unerhebliche personelle wie zeitliche Ressourcen gebunden.
Hinzu kommt, dass die Anforderungen in der Umsetzung für Nichtjuristen Schwierigkeiten bedeuten. Unklar sind insbesondere folgende Punkte: In welchem Medium und zu welchem Zeitpunkt müssen die Pflichtinformationen bereitgestellt werden; Benennung der Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen sowie die Rechtsgrundlage für die Verarbeitung; Benennung der Dauer der Datenspeicherung oder die Kriterien für die Festlegung dieser Dauer.

(2) Rechtslage

Sobald personenbezogene Daten bei der betroffenen Person erhoben werden (wie die Entgegennahme eines Telefonats oder einer Email, das Kontaktformular auf der Webseite), so müssen umfangreiche Informationspflichten aufgelistet im Art. 13 erfüllt werden. Die Informationspflicht aus Art. 13 DSGVO besteht zum Zeitpunkt der Erhebung der Daten und die Informationen müssen dabei in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden.

(3) Problemfeld Verhältnismäßigkeitsgrundsatz

Laut Erwägungsgrund 60 sollen mit den Informationspflichten die Grundsätze einer fairen und transparenten Verarbeitung gewährleistet werden. Dazu soll der Verantwortliche der betroffenen Person alle Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Dieses gewählte Mittel könnte jedoch unter dem Gesichtspunkt der Drittwirkung der Grundrechte problematisch sein: Unternehmen müssen zur Erfüllung der Informationspflichten wie der staatliche Gesetzgeber oder wie staatliche Behörden unter anderem
  • Rechtsgrundlagen für das eigene Handeln suchen,
  • einen Grundrechtsausgleich vornehmen,
  • Interessenabwägung durchführen,
  • Transparenzanforderungen erfüllten,
  • Rechtsgrundlagen zitieren,
  • Rechtsbehelfsbelehrungen vornehmen,
  • Bestimmtheitsgebote erfüllen,
  • Geeignetheitsprüfungen, Erforderlichkeitsprüfungen, Angemessenheitsprüfungen und Verhältnismäßigkeitsprüfungen durchführen sowie
  • Risikofolgenabschätzungen vornehmen.
Durch diese Verpflichtungen wird der Unternehmer letztlich zum Sachwalter des Gemeinwohls gemacht. Die eigentlichen Interessen des Staates werden nun zu Pflichten der Unternehmen. Dadurch, dass diese Pflichten dabei nicht auf die Fälle der Marktbeherrschung, der Diskriminierung oä beschränkt sind, kann von einer unmittelbaren Drittwirkung der Grundrechte gesprochen werden. (Das zügellose Recht – Teil II: Die totale Drittwirkung von Winfried Veil, cr-online). Eine derartige generelle Drittwirkung der Grundrechte wird in der Rechtswissenschaft und Rechtsprechung jedoch kritisch gesehen, da sie den demokratischen Prozess umgeht und die Autonomie des Einzelnen beeinträchtigt. (Prof. Neuner: „Das BVerfG im Labyrinth der Drittwirkung“, NJW 2020, Seite 1851)
Die Frage ist darüber hinaus auch, ob dieser zweifelhafte Zweck mit der Bereitstellung der Informationen erreicht wird, wenn die Informationen von den Betroffenen überhaupt nicht zur Kenntnis genommen werden (wollen). Es spricht vieles dafür, dass die Betroffenen die Informationen schon gar nicht lesen (Allensbach-Umfrage, Focus).

(4) Lösungsansätze

Die Informationspflichten sollten von der Größe des Unternehmens, der Komplexität der Datenverarbeitungsstrukturen, vom Umfang, dem Risiko und Qualität der Datenverarbeitung abhängig gemacht werden. Insbesondere sollten Informationspflichten, für Bagatellen (z. B. die Tischreservierung mit dem Namen), die Durchführung eines Vertrages oder die Erfüllung gesetzlicher Pflichten (z. B. Geldwäschegesetz, gesetzliche Aufbewahrungspflichten) entfallen. Zudem sollte sie nur dann zum Tragen kommen, wenn die Datenverarbeitung überraschend und nicht vorhersehbar ist bzw. vom eigentlichen Geschäftsmodell abweicht. Sämtliche gesetzlich verpflichtende Verarbeitungen sollten von diesen Anforderungen befreit sein.

c) Verpflichtung zum Abschluss eines Auftragsverarbeitungsvertrages

(1) Belastungssituation

Unternehmen müssen für eine Vielzahl von wiederkehrenden Sachverhalten immer wieder einen fast inhaltsgleichen Auftragsverarbeitungsvertrag schließen, was zu einem enormen bürokratischen Aufwand führt.

(2) Rechtslage

Die DSGVO schreibt im Art. 28 für das Auftragsverarbeitungsverhältnis einen umfangreichen Auftragsverarbeitungsvertrag mit genauen Inhalten vor.

(3) Problemfeld Verhältnismäßigkeitsgrundsatz

Erwägungsgrund 81: Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, die den Anforderungen dieser Verordnung genügen. Privatautonomie und Vertragsfreiheit werden durch diese datenschutzrechtliche vertragliche Vorgabe außer Kraft gesetzt.
Das Mittel der Verpflichtung zum Abschluss eines Auftragsverarbeitungsvertrages ist dann geeignet, wenn der oben genannte Zweck überhaupt erreicht oder zumindest gefördert werden kann. Da die standardisierten Verträge automatisiert abgeschlossen werden müssen, findet keine individuelle Rechtsprüfung statt. Eine Erhöhung der Sicherstellung der Erfüllung der Anforderungen der DSGVO dürfte damit nicht erreicht werden.
Die Verpflichtung zum Abschluss eines Auftragsverarbeitungsvertrages ist dann erforderlich, wenn es keine mildere Maßnahme gibt, die denselben Erfolg mit gleicher Sicherheit erzielt. Als mildere Maßnahme kommt hier die gesetzliche Verpflichtung des Auftragsverarbeiters zur Einhaltung der Anforderungen der DSGVO in Betracht, sanktionierbar über Bußgelder. Ein zwingender Vorrang der vertraglichen Bindung gegenüber einer gesetzlichen Bindung bzw. zusätzlich zur gesetzlichen Bindung ist nicht erkennbar. Es ist nicht ersichtlich, warum die Pflichten in einem Auftragsverarbeitungsverhältnis nicht gesetzlich geregelt werden, sondern stattdessen eine wiederkehrende standardisierte vertragliche Vereinbarung vorgeschrieben wird.

(4) Lösungsansätze

d) Pflicht zur Bestellung eines Datenschutzbeauftragten

(1) Belastungssituation

Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten belastet insbesondere die KMU Unternehmen, die eine risikoarme Datenverarbeitung betreiben. Es wird teilweise sogar die Einstellung von Mitarbeitern und Auszubildenden von der Grenze der Mitarbeiterzahl, ab wann ein Datenschutzbeauftragter bestellt werden muss, abhängig gemacht.

(2) Rechtslage

Gemäß § 38 BDSG benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
Der nationale Gesetzgeber geht mit dem § 38 BDSG über die Regelungen des Art. 37 DSGVO hinsichtlich der Benennung eines Datenschutzbeauftragen hinaus, wonach die Verpflichtung zur Bestellung von der Anzahl der Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, abhängig ist.
Art. 37 verlangt hingegen die Benennung eines Datenschutzbeauftragten, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
In Absatz 1 des § 38 BDSG wurde von der Öffnungsklausel des Artikels 37 Absatz 4 Satz 1 Halbsatz 2 der DSGVO Gebrauch gemacht.

(3) Problemfeld Verhältnismäßigkeitsgrundsatz

Genaue Gesetzesbegründung nicht gefunden. Es wird in der neuen Regelung lediglich darauf hingewiesen, dass man die alte Regelung aus dem BDSG vor der DSGVO übernommen hat und zwischenzeitlich von 10 auf 20 Personen die Schwelle erhöht.
Unabhängig davon, ob es sich um GAFA, Behörden oder kleine Unternehmen handelt, jeden Verantwortlichen treffen dieselben Pflichten zur Bestellung eines Datenschutzbeauftragten, und zwar auch dann, wenn mit der Datenverarbeitung gar kein Geld verdient wird. Auch unterscheidet das BDSG nicht zwischen risikoarmer und risikoreicher Datenverarbeitung.
Zwar werden laut Erwägungsgrund 13 auch Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen, jedoch hat der nationale Gesetzgeber hiervon nicht gemacht. Außerdem könnte er als milderes Mittel die Pflicht zur Bestellung eines Datenschutzbeauftragten von dem Umfang der Datenverarbeitung abhängig machen, wie in der DSGVO vorgesehen.

(4) Lösungsansätze

e) Einwilligung in Cookies auf Webseiten

(1) Belastungssituation

Das offenbar allgemein anerkannte Einwilligungserfordernis in die Verwendung von nicht notwendigen Cookies mittels Cookie-Banner bei Aufruf einer Webseite wird von der weit überwiegenden Mehrzahl der Unternehmen als unverhältnismäßig und als belastend angesehen, sowohl auf der Verantwortlichen-Seite als auch auf Anwenderseite.

(2) Rechtslage

Der § 25 TTDSG verweist in seiner neuen Regelung zur Einwilligung in Cookies auf die DSGVO: „Die Information des Endnutzers und Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.“ Die Gesetzesbegründung besagt: „Die Frage, ob Webseitenbetreiber über Cookies, die nicht im Sinne von § 25 Absatz 2 TTDSG unbedingt erforderlich sind, hinreichend informieren und ob die Einwilligung wirksam erteilt wurde, beurteilt sich im Einzelfall gemäß den in der DSGVO geregelten Anforderungen.“
Die Definition der Einwilligung ist im Art. 4 Nr. 11 der VO (EU) 2016/679 geregelt: „Einwilligung der betroffenen Person ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“
Der Erwägungsgrund 32 der DSGVO beschreibt die Umstände der Einwilligung wie folgt: „… Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für die Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert.
Danach kann die Einwilligung auch mit der Einstellung des Browsers zu den Cookies erteilt werden. Problematisch erscheint dabei, dass eine Einwilligung immer für den Einzelfall und bewusst erteilt werden muss. Vorgefertigte Einstellungen sind eher eine Generaleinwilligung in die Cookie-Nutzung, ohne möglicherweise die einzelnen Nutzungsbedingungen zur Kenntnis zu nehmen. Dem lässt sich jedoch entgegenhalten, dass eine Browsereinstellung, die jegliche Cookie-Nutzung zulässt, sehr bewusst getroffen werden wird. Daraus lässt sich im Zweifel auch herleiten, dass der Nutzer sich zuvor intensiv mit Cookies im Allgemeinen auseinandergesetzt hat und mit der Erstellung von Nutzungsprofilen generell keine Probleme hat und eben sämtliche Cookies bewusst durch seine Einstellungen blockiert.
Solange also keine Cookies (abgesehen von notwendigen) verwendet werden, braucht man also auch kein Cookie Banner, jedenfalls lässt sich hierzu keine klare Rechtspflicht finden.
Zwar mögen Browservoreinstellungen keine Entscheidung im Einzelfall sein, dies sind technische Einstellungen jedoch niemals. Gleichwohl sollen nach diesen Erwägungsgrund technische Einstellungen für eine Einwilligung ausreichen. Daraus kann geschlossen werden, dass auch in den Browsereinstellungen eine Einwilligung gesehen werden kann. Herleiten lässt sich dies folgendermaßen: die aktive Willenserklärung ist in diesem Fall eine Kombination aus der Einstellung des Browsers/Nutzung der Voreinstellungen. Dies ist eine generelle Einwilligung. In dem Bewusstsein dieser Einstellungen nun bestimmte Webseiten aufzurufen, ist dann eine Entscheidung im Einzelfall und die konkrete Einwilligung in die jeweilige Cookie-Nutzung.
Diese Begrifflichkeiten unterscheiden sich damit von der nationalen klassischen Willenserklärung. Das explizite Erfordernis eines Cookie-Banners kann weder den Urteilen, noch der DSGVO entnommen werden.
Zudem ist ein solches Vorgehen auch derzeit in der kommenden ePrivacy-VO vorgesehen. Dort heißt es in der Begründung des jetzigen Entwurfsstadiums:
„Um zu vermeiden, dass die Endnutzer immer wieder aufs Neue in die Verwendung von Cookies einwilligen müssen, werden die Endnutzer ihre Einwilligung in die Verwendung bestimmter Arten von Cookies erteilen können, indem sie einen oder mehrere Anbieter in ihren Browser-Einstellungen in eine Positivliste aufnehmen. Die Softwareanbieter werden dazu angehalten, den Benutzern jederzeit die Erstellung und Änderung von Positivlisten in ihrem Browser sowie den Widerruf ihrer Einwilligung zu erleichtern.“
Für den Moment ist dies jedoch noch keine Rechtsklarheit, zumal die VO voraussichtlich erst Ende 2023/2024 anwendbar sein wird und die Fassungen aktuell beinahe monatlich geändert werden.

(3) Problemfeld Rechtsunsicherheit

Die Aufsichtsbehörden vertreten jedoch eine andere Auffassung: „Der Umstand, dass der
Browser der Endnutzer:innen Cookies oder Web-Storage, z. B. Local Shared Objects
(LSO) zulässt, kann dementsprechend auch – ungeachtet weiterer Aspekte wie
Informiertheit oder Bestimmtheit – keine Einwilligung darstellen. (Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021, Seite 12)

(4) Problemfeld Verhältnismäßigkeitsgrundsatz

Ein Einwilligungserfordernis für die Cookie-Verwendung, egal ob als Banner- oder Browserlösung sollte generell in Frage gestellt werden.
Laut Erwägungsgrund 42 sollte die betroffene Person mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen, damit sie in Kenntnis der Sachlage ihre Einwilligung geben kann. Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.
Die Einwilligung ist nur dann geeignet, den Zweck der Informiertheit zu erfüllen, wenn auch die dazugehörigen Informationen zur Kenntnis genommen werden. Dies ist jedoch schon fraglich, siehe Studie Focus.
Die Einwilligung ist auch nur dann erforderlich, wenn es keine mildere Maßnahme gibt, die dieselbe Informiertheit mit gleicher Sicherheit erzielen. Sämtliche Informationen zur Datenverarbeitung des Verantwortlichen einer Webseite, auch deren Cookies lassen sich den vorgeschriebenen Datenschutzerklärungen entnehmen. Mit der Browsereinstellung lassen sich Cookies nach individuellen Vorlieben einstellen. Eine Einwilligung liegt damit vor, siehe oben.
Sollte diese Rechtsauffassung nicht tragen (obwohl sie derzeit auch in den Entwürfen der EU-Privacy-Verordnung diskutiert wird), so wäre ein individuelles Einwilligungserfordernis bei jedem Besuch einer einzelnen Webseite aufgrund der ständigen Unterbrechung eines Webseitenaufrufs hinsichtlich der Erforderlichkeit zu hinterfragen.
Die Anforderungen an die Einwilligung in den Art. 6 und 7 DSGVO führen bei der Verwendung von Cookies auf Webseiten zu einem mittelbaren Zwang zur Rechtsförmlichkeit. Zwar kennt die Rechtsordnung Formvorschriften für Rechtsgeschäfte, jedoch nur dann, wenn ein gesteigertes Schutzbedürfnis der Beteiligten gerechtfertigt ist. Der faktische Förmlichkeitszwang bei der Einwilligung geht weit über das von §§ 133, 157 BGB für die Auslegung gewöhnlicher rechtsgeschäftlicher Handlungen geforderte Maß hinaus. Die hohen Anforderungen der DSGVO können sehr leicht zu einem Auseinanderfallen des tatsächlich betätigten und des rechtlich anerkannten Willens des Betroffenen führen. Aus Sicht der Aufsichtsbehörden weist z. B. die Bestimmtheit oder Informiertheit der Einwilligung in Cookies und bei sozialen Medien wie Facebook juristische Mängel auf – mit der Folge, dass die Einwilligung unwirksam und die Datenverarbeitung rechtswidrig ist. Wie man aber anhand des massenhaften automatisierten Wegklickens der Cookie-Banner und der hohen Nutzungsrate dieser datenschutzrechtlich umstrittenen Dienste erkennen kann, sehen die meisten Betroffenen darin kein Problem. Dies sind aus Sicht der Aufsichtsbehörden Fehlentscheidungen. Das ist Paternalismus. Unter Paternalimus wird jede staatliche Maßnahme verstanden, die das Ziel hat, die Situation der Bürger zu verbessern und die entgegen bzw. ungeachtet eigenverantwortlich getroffener Entscheidungen vorgenommen wird. Zahlreiche Regelungen der DSGVO dienen zwar an sich der Selbstbestimmung. Sie ersetzen aber die echte Selbstbestimmung des Einzelnen durch etwas, was man als „wohlverstandene“ Selbstbestimmung ansehen muss. (Veil)
Die Unwirksamkeit der Einwilligung wird nach objektiv-typisierten Kriterien bestimmt. Auf die Frage, ob der Betroffene die Einwilligung tatsächlich aus freien Stücken erteilt hat, kommt es nicht an. Eine Selbstbestimmung entgegen der rechtlichen Annahme der Unfreiwilligkeit wäre dann nicht möglich.
Als milderes Mittel kommt hier entweder die gesetzlich normierte Browserlösung mit privacy by default oder die Entbehrlichkeit der Cookie-Einwilligung aus folgendem Kritikpunkt in Betracht: Sobald für Daten ein Personenbezug hergestellt werden kann, ist die DSGVO für Unternehmen vollumfänglich anzuwenden. Dies führt dazu, dass bereits IP-Adressen unter denselben Schutz gestellt werden, wie die private Wohnadresse einer Person. Kreditkartendaten gelten wiederum nicht als schützenswertes Datum im Sinne der DSGVO. Der Informationsgehalt und der wirtschaftliche Wert von Daten werden bei dem Einwilligungserfordernis nicht berücksichtigt.
Es gibt kein „belangloses“ Datum mehr. Das Datenschutzrecht sieht jede Verarbeitung von personenbezogenen Daten als Risiko an und schreibt für jede Verarbeitung präventiv zu erfüllende Pflichten vor. Im Gegensatz zum Zivilrecht sieht die DSGVO allgemeine Lebensrisiken als regelungsbedürftig an. Anders als der größte Teil des Strafrechts vertraut die DSGVO nicht auf die Abschreckungswirkung von Strafe. Dies wären aber die milderen Mittel im Gegensatz zum Einwilligungserfordernis.

(5) Lösungsansätze

Die Verpflichtung mittels eines Klickens auf einen Cookie-Banner Einwilligungen in die Verwendung von Cookies einzuholen, sollte durch die individuelle Browsereinstellung abgelöst werden. Dafür werden Standardcodes auf den Webseiten implementiert.

f) Rolle der Aufsichtsbehörden fraglich

(1) Belastungssituation

Unternehmen nehmen bei den Aufsichtsbehörden wiederholt eine destruktive Haltung wahr, die unternehmerisches Handeln verhindern, statt ermöglichen will. Dies äußert sich unter anderem in pauschalen Warnungen vor gängigen Produkten oder Verboten der Nutzung von weit verbreiteten Dienstleistungen (Social Media, Videokonferenzdienste, Microsoft-Onlinedienste) oder Handlungen (Datenübertragung in die USA) ohne eingehende Erläuterungen oder Handlungsalternativen. Guidance und lösungsorientierte Beratung werden gebraucht; unterstützender statt sanktionierender Ansatz gewünscht; verlässliche und verbindliche Einschätzungen vermisst.

(2) Problemfeld Vorgehen der Aufsichtsbehörden, Beispiel Facebook Fanepages

Das ULD ging 2011 gegen Unternehmen in SH vor, weil sie eine Facebook-Fanpage betrieben. Die IHK Schleswig-Holstein hatte kritisiert, dass die Datenschutzaufsicht effektiver gegen – in diesem Fall – Facebook selbst vorgehen möge, als gegen einzelne schleswig-holsteinische Unternehmen. Seinerzeit bestand allerdings Rechtsunsicherheit darüber, ob die Datenschutzaufsicht für ein unmittelbares Vorgehen gegen Facebook zuständig sei.
Diese Rechtsunsicherheit wurde im Verlauf eines jahrelangen Muster-Gerichtsprozesses mit der Wirtschaftsakademie Schleswig-Holstein GmbH beseitigt: So hätte bereits nach altem Recht eine deutsche Aufsichtsbehörde durchaus gegen Facebook vorgehen können, da Facebook über eine Niederlassung in Deutschland verfügt.
Dennoch ist zu befürchten, dass auch jetzt nach Abschluss des Rechtsstreits Datenschutzaufsichten ihre Maßnahmen nicht gegen Facebook, sondern gegen einzelne Unternehmen, die Fanpages betreiben, richten werden. So ist auch die Stoßrichtung der von der EDSA eingerichteten Task Force zu Beschwerden gegen Nutzung von Google- und Facebook-Services zu verstehen.
Dieser Ansatz ist aus folgenden Gründen nicht zielführend:
  • Zum einen hat der EuGH bereits festgestellt, dass Fanpagebetreiber tatsächlich keinerlei Einfluss auf die Datenverarbeitung von Facebook haben, die ja eigentlich von den Datenschutzaufsichten kritisiert wird – sie können sie also auch nicht ändern.
  • Der Prozess hat auch gezeigt, dass die notwendigen Rechtsklärungen über die Zulässigkeit einer Datenverarbeitung des Anbieters eines sozialen Netzwerks durch die Inanspruchnahme von Nutzern dieses Netzwerks nicht erreicht werden konnten.
  • Selbst wenn es keine einzige Fanpage mehr gäbe, wären mögliche Grundrechtsverletzungen durch Facebook bei den bundesweit derzeit wohl ca. 32 Millionen privaten Nutzern dadurch nicht beseitigt.
  • Schließlich ist es unseren Mitgliedern nicht zu vermitteln, warum die Nutzung eines legalen Produktes durch Unternehmen illegal sein soll.
Ziel sollte es sein, Datenschutzverstöße dort zu adressieren, wo es am effektivsten möglich ist, sie zu bekämpfen, also bei demjenigen, der selbst auch Einfluss auf die Datenverarbeitung nehmen kann. Wenn und soweit auf Basis der derzeitigen Rechtslage den Datenschutzaufsichten ein solches Vorgehen nicht möglich sein sollte, sollte z. B. im Rahmen der nächsten Evaluierung der DSGVO auf die Schaffung dieser Möglichkeit gedrängt werden.
Sowohl das ULD als auch die Datenschutzkonferenz verweisen diesbezüglich aufeinander und sehen sich nicht in der Pflicht, die effektivere Verfolgung von Datenschutzverstöße zu favorisieren. Eine diesbezügliche Zusammenarbeit mit der IHK-Organisation wurde von den beiden genannten Datenschutzbehörden abgelehnt.
Die Art der Vorgehensweise steht bei weiteren gängigen Produkten wie Paypal usw. zu befürchten.

(3) Problemfeld keine Kontrolle der Aufsichtsbehörden

Gemäß Art. 52 handelt jede Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig. Die Mitglieder jeder Aufsichtsbehörde unterliegen bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung von außen und ersuchen weder um Weisung noch nehmen sie Weisungen entgegen.
Eine Kontrolle des Handels dieser Behörden wird dadurch erschwert, dass nur durch die gerichtliche Einzelfallprüfung einer bestimmten Maßnahme, Äußerung oä möglich ist, da sie keinerlei staatlicher Aufsicht unterliegen. Die Datenschutzaufsichtsbehörden sind vollkommen unabhängig. Sie unterliegen weder der Fachaufsicht noch der Rechtsaufsicht. In der Umsetzung des Datenschutzrechts sind sie daher weitestgehend frei. Es ist kein triftiger Grund ersichtlich, warum die Datenschutzaufsicht anders behandelt werden sollte als die Atomaufsicht, die Lebensmittelkontrolle, der Seuchenschutz oder der Immissionsschutz. Auch diese sind laufender demokratisch legitimierter Kontrolle unterworfen und nicht nur der nachgelagerten Überprüfung durch Gerichte im konkreten Streitfalle.
(Veil, in „Die schrankenlose Behörde“)

(4) Problemfeld Rechtmäßigkeit des Verwaltungshandelns

Die Aufsichtsbehörden warnen auf ihren Webseiten pauschal beispielsweise vor Social Media Diensten und vor bestimmten Anbietern von Videokonferenzdiensten aus den USA (Schleswig-Holstein, Berlin und Hamburg) sowie vor Microsoft-Onlinediensten.
Pauschalisierte Warnungen finden jedoch ihre Grenzen im Verfassungsrecht. Zum einen muss wegen des mit der Warnung verbundenen Eingriffs in die Grundrechte (Art. 12 GG) bei Warnungen der Gesetzesvorbehalt beachtet werden. Dies führt zum Erfordernis einer gesetzlichen Rechtsgrundlage.
Gemäß Art. 53 Abs. 1 a) muss jede Aufsichtsbehörde die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Ebenso muss sie die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren (Art. 53 Abs. 1 b)
Es ist sehr zweifelhaft, ob die pauschale Warnung z. B. vor Social Media und Videokonferenzdiensten aus den USA von dieser Rechtsgrundlage gedeckt ist. Nach der Je-desto-Formel muss die Eingriffsbestimmung umso konkreter sein, je höher der Grundrechtseingriff ist. Die Nutzung von Social Media und Videokonferenzdiensten spielt für Unternehmen eine große Rolle. Sie ist bedeutsam für die Kommunikation mit den Mitarbeitern, Kunden und anderen Vertragspartnern. Eine aufgrund der Warnung eingeschränkte Nutzung würde bestimmte Branchen (Dienstleistungen und Handel) regelrecht lahmlegen. Deshalb muss die Warnung auf eine fundierte Rechtsprüfung zurückzuführen sein und nicht nur auf eine Meinungsäußerung, denn Behörden können nicht das Grundrecht der Meinungsfreiheit für sich beanspruchen.

(5) Lösungsansätze

Es bedarf einer verbindlichen Guidance durch die datenschutzrechtlichen Aufsichtsbehörden und praxisnahe lösungsorientierte Beratung auch durch Checklisten, Mustervorgaben und konstruktive Hinweise.
Es sollte eine unterstützende statt einer sanktionierenden Haltung die Arbeit der Aufsichtsbehörden ausmachen, insbesondere sollten sie dafür verlässliche und verbindliche Einschätzungen zu aktuellen Fragen geben, die aber auch unternehmerische Gestaltungsspielräume ermöglichen.
Die Aufsichtsbehörden sollten einheitlich agieren mit klaren Zuständigkeiten, sich auch auf EU-Ebene abstimmen, um Wettbewerbsnachteile für zum Beispiel deutsche oder bestimmte regional ansässige Unternehmen zu verhindern. Auch bei der Auswahl der Inanspruchnahme eines bestimmten Verantwortlichen sollte die Aufsichtsbehörde die Effektivität bei der Vermeidung von Datenschutzverstößen in den Vordergrund stellen (Beispiel: Belangung von Facebook selbst statt einzelner Unternehmen für Facebook-Fanpages).