Editorial : Datenschutz mit Biss: Fünf Jahre DS‑GVO : aus der RDV 3/2023 Seite 139
Die Datenschutz-Grundverordnung (DS-GVO) feiert am 25. Mai 2023 fünften Geburtstag. Pünktlich zum Jubiläum hat die Irische Datenschutzbehörde Zähne gezeigt, und ein Bußgeld von 1.2 Milliarden Euro gegen Meta verhängt und der Bundesgerichtshof hat das Recht auf Vergessenwerden konturiert, nachdem der Europäische Gerichtshof die Grundlagen gelegt hat. Die DS-GVO hat sich etabliert. Seit Mai 2018 ist Datenschutz europaweit ein Thema. Wer zu wirtschaftlichen Zwecken Daten verarbeitet, kennt heute seine Pflichten und weiß, wie er sie umsetzen muss. Von der Datenverarbeitung Betroffene kennen ihre Rechte. Insbesondere die Transparenzpflichten und die wichtigen Vorschriften zur Datenschutz-Folgenabschätzung für hohe Risiken sind 2018 dazu gekommen.
Die unabhängigen Datenschutzbehörden kontrollieren und beraten. Sie haben Maß gehalten bei den Sanktionen, die ihnen zur Verfügung stehen. Auch wenn bei der Einheitlichkeit der Entscheidung der vielen Aufsichtsbehörden in Deutschland Optimierungsbedarf besteht, den sowohl die Aufsichtsbehörden als auch der Gesetzgeber des ergänzenden Bundesdatenschutzgesetzes (BDSG) erkannt haben und die Aufsicht in Einzelfragen, etwa beim Einsatz von Microsoft 365 nach Meinung vieler übersteuert, erledigt sie ihre anspruchsvolle Arbeit im Wesentlichen verlässlich und gut. Gerichte haben ihre Kontrollfunktion über die Aufsicht ausgefüllt. Betroffene können nun Schadensersatz wegen Datenschutzverstößen vor Zivilgerichten geltend machen. Die Höhe der möglichen Bußgelder und die Schadensersatzvorschriften sind ebenfalls neu. Das Zusammenwirken von staatlichen und zivilrechtlichen Sanktionen ist ein scharfes Schwert gegenüber der Wirtschaft.
Den Umgang damit muss die Rechtsprechung kontrollieren. Die nationalen Gerichte legen bis zu den Obergerichten in Deutschland und Europa zunehmend dem Europäischen Gerichtshof als oberstem Fachgericht Auslegungsfragen vor. Die Harmonisierung gelingt Stück für Stück. Der EuGH hat kürzlich das Auskunftsrecht konturiert, zur fehlenden Bagatellschwelle für Schadensersatzansprüche entschieden und so dem Bürger bei der Rechtsverfolgung den Rücken gestärkt. Zudem hat er eine deutsche Vorschrift zum Beschäftigtendatenschutz für europarechtswidrig erklärt, weil sie keine eigene Kontur aufweist. Damit hat er in Deutschland die Tür für ein Beschäftigtendatenschutzgesetz weiter geöffnet, das schon lange diskutiert wird. Ein Generalanwalt beim EuGH hat dem Gericht vorgeschlagen, den im BDSG für Kreditvergaben zentralen Score der SCHUFA als verbotene Maschinenentscheidung einzuordnen und damit eine zentrale Wirtschaftspraxis zur Disposition gestellt. Die Entscheidungen des höchsten Europäischen Gerichts müssen nicht jedem gefallen, aber sie sind im Rechtsstaat bindend.
Der Gesetzgeber in der EU sollte erwägen, die DS-GVO anzupassen und im Detail konkretere Vorgaben machen. Das ist wichtig, weil die anstehenden Datenakte zur Schaffung eines datengetriebenen Binnenmarktes sowie eines Gesundheitswesens dringend klare Regeln brauchen. Fünf Jahre Digitalisierung können an einem Gesetz, das die Datenverarbeitung in der Digitalisierung regelt, nicht spurlos vorübergehen, wenn der Wille des Gesetzgebers Richtung Daten als Wirtschaftsgut wandelt.
Das Jubiläum des Datenschutzrechts im Mai 2023 markiert zeitlich einen Wendepunkt. Europa diskutiert die Schaffung eines neuen Rechtsrahmens für Anwendungen generativer Künstlicher Intelligenz wie ChatGPT. Der Datenschutz muss hier – neben vielen andern Rechtsgebieten – beachtet werden.
Prof. Dr. Rolf Schwartmann
Prof. Dr. Rolf Schwartmann
Kölner Forschungsstelle für Medienrecht der Technischen Hochschule Köln, Mitherausgeber von Recht der Datenverarbeitung (RDV) sowie Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)