R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
 
 
K&R 2016, I
Moos 

Weniger ist mehr – ein Plädoyer für gesetzgeberische Zurückhaltung bei nationalen Begleitgesetzen zur DSGVO

Abbildung 1

RA Dr. Flemming Moos, Hamburg

Eines der maßgeblichen Ziele, das mit der Verabschiedung der Datenschutzgrundverordnung (DSGVO) erreicht werden soll, besteht in einer größeren Harmonisierung des Datenschutzrechts in der EU. Ausgangspunkt hierfür war der allgemeine Befund, dass die Mitgliedstaaten bei der Umsetzung der RL 95/46/EG noch zu viele Freiheiten hatten und deshalb ungewünschte Inkonsistenzen auftraten, obgleich der EuGH auch für die RL 95/46/EG schon angenommen hat, dass sie zu einer “Vollharmonisierung” im Bereich des Datenschutzrechts führe. Mit diesem sinnvollen Ansinnen droht der europäische Gesetzgeber zu scheitern.

Auch wenn der Anfang August 2016 geleakte Referentenentwurfs des Bundesinnenministeriums für ein “Allgemeines Bundesdatenschutzgesetz”, welches u. a. die Regelungsaufträge und Regelungsoptionen der DSGVO umsetzen soll, offiziell bereits wieder zurückgezogen wurde, lassen die Verfasser erkennen, dass sie auf die vertrauten deutschen Datenschutzregelungen auch künftig nicht verzichten wollen. Nicht mehr in der DSGVO vorgesehene Regelungen zur Videoüberwachung, zu Auskunfteien und zum Scoring sollen in die “neue Datenschutzwelt” hinübergerettet werden. Auch marginale Abweichungen der DSGVO-Regelungen zum bisherigen BDSG möchte der nationale Gesetzgeber korrigieren; seien es Informationsrechte der Betroffenen, Regelungen zu automatisierten Einzelentscheidungen oder Anforderungen an betriebliche Datenschutzbeauftragte. Dieser Ansatz ist nicht nur europarechtlich fragwürdig, er ist auch in der Praxis zum Scheitern verurteilt.

Richtig ist, dass der Normtext der DSGVO im Vergleich zum BDSG wesentlich umfangreicher ist, wobei allerdings der materielle Regelungsgehalt hinter demjenigen des BDSG zurückbleibt. Es ist eben eine “Grund”-Verordnung. Richtig ist auch, dass die DSGVO eine Reihe von Öffnungsklauseln enthält, die es den nationalen Gesetzgebern gestatten, ausfüllende Regelungen zu erlassen. So weit, so gut.

Es gibt aber auch einfach Regelungsmaterien, die der EU-Gesetzgeber in der DSGVO (bewusst) mit weniger Komplexität und Detailtiefe in der DSGVO verankert hat. Ein anschauliches Beispiel dafür bietet das Scoring. Zu den im BDSG bestehenden, feingliedrigen Regelungen (§§ 28 a, 28 b BDSG) vergleichbare Vorschriften sucht man in der DSGVO vergeblich. Das Scoring wird wohl unter das “Profiling” gemäß Art. 4 Nr. 4 DSGVO zu fassen sein, da nach dem Willen des Unionsgesetzgebers hierunter jede automatisierte Verarbeitung personenbezogener Daten fällt, die der Analyse oder Vorhersage der “wirtschaftlichen Lage” einer Person dient. Die DSGVO knüpft an das Profiling jedoch in Fortführung der bisherigen Regelung zu automatisierten Einzelentscheidungen (§ 6 a BDSG) lediglich erweiterte Informationspflichten sowie Betroffenenrechte; dezidierte Regelungen zur Bildung und Verwendung entsprechender Scorewerte, wie sie im BDSG aufgeführt werden, finden sich in der DSGVO nicht. Sollten sich deshalb die Mitgliedstaaten aber veranlasst sehen, solche vermeintlichen “Regelungslücken” der DSGVO mit nationalen Rechtsvorschriften zu schließen? Ich meine nein.

Befürworter eines solchen Ansatzes berufen sich darauf, dass die DSGVO sog. “implizierte” Öffnungsklauseln enthalte. Danach sollen Mitgliedstaaten im Bereich geteilter Zuständigkeiten (wie im Falle des Datenschutzrechts) auch dann gemäß Art. 2 Abs. 2 AEUV gesetzgeberisch tätig werden, “sofern und soweit die Union ihre Zuständigkeit nicht ausgeübt hat”, mithin einen bestimmten Sachverhalt nicht abschließend geregelt hat. Dies erscheint als Irrweg.

Der DSGVO sollte (mit Ausnahme der expliziten Öffnungsklauseln) vielmehr gerade ein abschließender Charakter zuerkannt werden, sodass kein Raum für die Inanspruchnahme impliziter Öffnungsklauseln bleibt. Das europarechtliche Ziel eines einheitlichen Rechtsrahmens für den Datenschutz, der Wettbewerbsgleichheit für alle Anbieter schafft, würde sonst konterkariert. Es sollte darauf gesetzt werden, dass die Aufsichtsbehörden – notfalls im Kohärenzverfahren über den Datenschutzausschuss in Gestalt von Leitlinien und Empfehlungen (Art. 70 DSGVO) – und die Gerichte Konkretisierungen der unbestimmten Rechtsbegriffe herbeiführen und verlässliche Leitplanken für den Umgang mit personenbezogenen Daten in spezifischen Verarbeitungsszenarien entwickeln. Wo dies als unzureichend empfunden wird, sollten die Selbstregulierungsinstrumente der Verhaltensregeln (Art. 40 DSGVO) und Zertifizierungen (Art. 42 DSGVO) genutzt werden. Ein solcher Ansatz ließe die Gesetzesregelungen auch hinreichend flexibel bleiben, um künftig technische Neuerungen sinnvoll zu erfassen. Das ist ja gerade ein Schwachpunkt der bestehenden BDSG-Regelungen und auch der ihr zugrundeliegenden RL 95/46/EG. Es gilt deshalb das Credo: weniger ist mehr.

RA Dr. Flemming Moos, Hamburg

 
stats