Literaturhinweise

Jan Phillipp Albrecht, Florian Jotzo

Das neue Datenschutzrecht der EU

Jan Phillipp Albrecht, Florian Jotzo, Das neue Datenschutzrecht der EU, Nomos Verlag, Baden-Baden 2017, 49,00 €.

Ab dem 25. Mai 2018 ist die neue Datenschutz-Grundverordnung der Europäischen Union anzuwenden. Die Verordnung wird ab diesem Datum den Umgang mit personenbezogenen Daten in allen Mitgliedsstaaten weitgehend einheitlich regeln. Das Handbuch soll einen Überblick darüber geben, wie die Verordnung aufgebaut ist und welche Hintergründe sich dahinter verbergen. Es soll eine Orientierung in der komplexen Materie eines unmittelbar anwendbaren EU-Gesetzes sowie eine Einordnung der Änderungen zum bisherigen Datenschutzrecht bieten. Das Handbuch stellt an sich den Anspruch, den Leser nach Lektüre in die Lage zu versetzen, welche neuen Rechte Verbraucher in Zukunft im Bereich des Datenschutzes wahrnehmen können.

Der Aufbau des Werks orientiert sich im Großen und Ganzen nach der Kapitel- und Artikelanordnung der Datenschutz-Grundverordnung, ist sozusagen als eine einfache lesbare Einführung in die Verordnung gedacht. Allerdings soll das Handbuch ebenso als juristisches Nachschlagewerk dienen.

So beschäftigt sich beispielsweise der erste Teil des Handbuchs mit dem historischen Werdegang der europäischen Datenschutzregeln. Ausgangspunkt für einen europäischen Datenschutz ist Art. 8 EMRK, der das Recht auf Privatleben und den Schutz personenbezogener Daten statuiert. Das Herz des europäischen Datenschutzes ist bislang die allgemeine Datenschutzrichtlinie aus dem Jahr 1995 gewesen. Es folgten lange Verhandlungen über eine Reform des Datenschutzes, an deren Ende heute die Datenschutz-Grundverordnung steht. Das Handbuch beschreibt, dass der Wandel der Technik diese Reform unumgänglich gemacht habe. Da fügt es sich gut, dass der Co-Autor Jan Philipp Albrecht im Europäischen Parlament der Berichterstatter für die Verordnung war - hier wird aus erster Hand beschrieben, was die die Absichten des neuen Rechts waren.

Im zweiten Teil geht es um allgemeine Grundsätze des europäischen Datenschutzrechtes. Schlagworte sind zum Beispiel Transparenz, Datensparsamkeit oder Integrität und Vertraulichkeit. Diese Grundsätze haben für die Analyse der konkreten Bestimmungen der Verordnung eine herausgehobene Bedeutung.

In den folgenden Teilen geht es um die Bestimmungen der Grundverordnung wie allgemeine Regelungen, individuelle Datenschutzrechte, Verantwortlichkeit und Pflichten, Aufsichtsbehörden, Rechtsbehelfe, Haftung und Sanktionen und dergleichen.

Hier findet man beispielsweise etwas zur Einwilligung. Art. 4 Nr. 11 Datenschutz-Grundverordnung enthält eine Begriffsbestimmung. Danach ist eine Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Die Datenschutz-Grundverordnung fordert somit abweichend zur Datenschutz-Richtlinie und somit zum BDSG das Abgeben einer eindeutigen bestätigenden Handlung. Das führt dazu, dass eine stillschweigende Einwilligung nicht mehr möglich ist. Vielmehr muss aus dem Verhalten einer Person eindeutig geschlossen werden können, dass er im Einzelfall mit der Datenverarbeitung einverstanden ist. Praktisch hat das zum Beispiel zur Folge, dass ein sogenanntes "Opt-Out" zur Unwirksamkeit einer Einwilligung führt, weil die geforderte bestätigende Handlung fehlt, das bloße Nicht-Reagieren ist für eine Einwilligung danach nicht ausreichend. Ein "Opt-In" dagegen erfüllt die Voraussetzungen an eine wirksame Einwilligung nach der Datenschutz-Grundverordnung. Ebenso fordert die Verordnung, dass die Einwilligung freiwillig erfolgen muss, die betroffene Person also eine echte Wahl haben muss. Damit soll verhindert werden, dass Anbieter Daten verlangen, die für den Dienst als solchen nicht erforderlich sind. Wird also die Erfüllung eines Vertrages davon abhängig gemacht, dass man in die Verarbeitung von Daten einwilligt, die dafür nicht erforderlich sind, mangelt es an der Freiwilligkeit und die Einwilligung ist unwirksam. Es bleibt somit kaum Raum für Einwilligungen in Verarbeitungen, die über das für die Vertragserfüllung Erforderliche hinausgehen. Deshalb wurde viel darüber diskutiert, ob Nutzer im Netz mit ihren Daten als Gegenleistung bezahlen dürfen. Das soll nach der Datenschutz-Grundverordnung möglich sein, wenn Anbieter Betroffenen echte Alternativen bieten und den Betroffenen keine Nachteile entstehen, wenn sie ihre Daten nicht zu zweckfremden Verarbeitungen preisgeben. Das sähe dann so aus, dass ein Benutzer wählen können muss, ob er für WhatsApp, Instagram oder Gmail Geld bezahlen will oder seine Daten für Werbung frei geben möchte. Allerdings besteht eine echte Wahl nur dann, wenn die Entgelte den Wert der Datenverarbeitung nicht übersteigen, da ansonsten ein wirtschaftlicher Nachteil für den Benutzer vorläge.

Durch die Verordnung entsteht ein einheitliches europäisches Datenschutzrecht, das in allen Mitgliedsstaaten unmittelbar und direkt gilt. Wichtig ist allerdings, dass die Verordnung Öffnungsklauseln enthält, die es den Mitgliedsstaaten möglich machen, eigene Regelungen zu treffen. Damit befasst sich der neunte Teil des Handbuchs.

So findet sich beispielsweise in Art. 85 der Datenschutz-Grundverordnung die bedeutendste Ausgestaltungskompetenz zugunsten der Mitgliedsstaaten in Bezug auf die Presse-, Meinungs- und Informationsfreiheit. Die Mitgliedsstaaten dürfen danach das Recht auf Schutz personenbezogener Daten mit den Regeln zum Schutz der Meinungsfreiheit und Informationsfreiheit in Einklang bringen. Das ist wichtig, weil das Datenschutzrecht und Persönlichkeitsrechte oft kollidieren und es im Bereich der Meinungsfreiheit und der Persönlichkeitsrechte an gemeinsamen europäischen Standards fehlt.

Eine weitere Ausgestaltungskompetenz ist in Art. 88 Datenschutz-Grundverordnung geregelt. Hier geht es um den Beschäftigtendatenschutz. Die Norm erlaubt es den Mitgliedsstaaten, durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften für den Datenschutz bei Beschäftigten vorzusehen.

Am Ende des Werkes findet sich zur Arbeitserleichterung eine Synopse, die die Regeln der Datenschutz-Grundverordnung und der Datenschutz-Richtlinie gegenüberstellt. Im Anhang finden sich weiterhin die Stellungnahmen der Kommission, des Rates und des Europäischen Parlaments zur Verordnung, um die Herkunft der jahrelang beratenen Bestimmungen sowie den Willen des Gesetzgebers besser verstehen zu können.

Autorin: Dipl.-Jur. Bianca Borzucki, Mitarbeiterin der Kanzlei Prof. Dr. Ory.