Rechtsunklarheit kurz vor der Einschulung der DSGVO
Laurenz Strassemeyer
Schriftleitung Datenschutz-Berater
Sehr geehrte Leserinnen und Leser,
vor kurzem, am 25. Mai 2023, durften wir den fünften Jahrestag der Geltung der DSGVO feiern – wobei für manch einen das mitunter auch ein Trauertag war. Die gemischten Emotionen zu diesem epochalen Rechtsakt sind bekannt. Es dürfte aber ziemlich sicher sein, dass die Reise, die mit dem Kommissionsvorschlag am 25. Januar 2012 begann und im Inkrafttreten der Verordnung am 24. Mai 2016 mündete, zu einem bleibenden Meilenstein geführt hat.
Ebenso dürfte kein Zweifel daran bestehen, dass die DSGVO die Landschaft des Datenschutzes in der EU, aber auch weit darüber hinaus nachhaltig verändert hat. Erst kürzlich hatte ich die schöne Gelegenheit, mich in Kalifornien mit verschiedenen Professoren über die Auswirkungen auf das amerikanische Recht auszutauschen. Unabhängig davon, wie die Einzelnen zu den Spezifika der DSGVO standen, waren sich alle einig: ohne die DSGVO gäbe es weltweit keine derart große Regulierungsbereitschaft im Bereich des Datenschutzes. Daneben ließen alle keinen Zweifel daran aufkommen, dass eine Regulierung unbedingt notwendig sei.
Und wie sieht es innerhalb der Grenzen des europäischen Wirtschaftsraums aus? Hier hat die DSGVO einen einheitlichen Rechtsrahmen geschaffen. Das stellt durchaus ein Vorteil für Unternehmen dar, die in verschiedenen Jurisdiktionen agieren. Vor allem aber hat die DSGVO das Bewusstsein für den Datenschutz in der Gesellschaft geschärft. Selbst viele Nichtjuristen kennen nun den Auskunftsanspruch oder wissen um die Möglichkeit, bei Datenschutzverstößen Schadensersatz geltend machen zu können.
Gleichzeitig offenbaren die beiden letztgenannten Ansprüche eine der großen Schwächen der DSGVO: Auch nach fünf Jahren ihrer Geltung herrscht bei vielen Regelungen noch große Rechtsunsicherheit: Wann ist der Tatbestand erfüllt und was ist die genaue Rechtsfolge? Man könnte es auch so formulieren: Kurz vor der Einschulung der DSGVO wissen viele ihrer Anwender nach wie vor nicht, wie sie mit ihr umgehen sollen. Es ist zu bezweifeln, dass sich dies schnell ändern wird. Jedenfalls so lange nicht, bis sich zumindest an einer der folgenden drei Stellschrauben etwas bewegt:
(i) Kommission, Rat und Parlament haben damals im Trilog wahrlich einen Gesetzestext zusammengezimmert, der weder in sich kohärent noch eindeutig, klar und bestimmt formuliert ist. Die zahlreichen Erwägungsgründe verbessern den Normtext nur selten, im Gegenteil, sie sind an der einen oder anderen Stelle das Einfallstor für Nebelkerzen hin zur Konfusion. (ii) Es gibt zwar immer mehr EuGH-Entscheidungen, dass der mitunter lange und steinige Weg schnell beschritten wird, ist aber bloß einigen wenigen enthusiastischen Einzelrichtern zu verdanken. So manches nationale Gericht meint hingegen es komme gänzlich ohne Vorlage aus und entscheidet lieber nach dem Motto: Altbewährtes währt am längsten! Hierbei bleibt so mancher europarechtlicher Grundsatz auf der Strecke. Ist der Weg zum EuGH doch beschritten, fehlen nicht selten entscheidende Streitpunkte in den Vorlagefragen. Und umgekehrt antwortet der EuGH zunehmend vage. Die Richter scheinen ein bekanntes Sprichwort umgedreht zu haben: für sie gilt, was du heute kannst besorgen, das verschiebe lieber auf morgen. Kritik also an Legislative und Judikative. Da läge es nahe, auch die Exekutive ins Visier zu nehmen. Sie trägt durch ihre uneinheitliche Handreichung sicherlich auch an einigen Stellen zur Rechtsunsicherheit bei. Ich sehe aber einen anderen Aspekt als bedeutender: (iii) Mit dem Chaos, das durch die Flut an sogenannter wissenschaftlicher Literatur in die Welt gesetzt wird, entsteht zusätzliche Rechtsunsicherheit. Wissenschaftlich ist im Datenschutzrecht schon alles, was einen Satz mit einer Fußnote belegt. Verstehen Sie mich nicht falsch, ich bin ein großer Freund von spitzfindigen und argumentativ geschickten Lösungen innerhalb des Rechts. Und ja, die DSGVO lässt dafür genügend Spielraum. Aber es trägt nicht zur Rechtssicherheit bei, wenn man zum zehnten Mal eine Auffassung wiedergibt, die in ihrem Ursprung bereits klare Grundsätze des EuGH Case Law ignoriert und eigentlich jedem klar sein sollte, dass sie vor dem EuGH keinen Bestand haben wird.
An welcher Stelle man am besten zu mehr Rechtssicherheit beitragen kann, ist jedem selbst überlassen. Der Gesetzestext der DSGVO wird im Großen und Ganzen so bleiben, wie er ist. Es wäre allerdings sicherlich hilfreich, wenn die DSGVO nicht als Gesamtwerk medial verflucht würde. Stattdessen sollte punktuell klar herausgearbeitet werden, was, wie und warum angepasst werden muss (inkl. konkretem Vorschlag). Vielleicht würde die Kommission solche Aspekte dann mit in das Zeugnis der DSGVO aufnehmen, das sie nächstes Jahr ausstellen muss (vgl. Art. 97 Abs. 1 DSGVO). Aber auch auf nationaler Ebene würde der deutsche Gesetzgeber hierdurch dazu animiert, mehr Rechtsklarheit zu schaffen. Die Gerichtspraxis ist hingegen ein Bereich, der seit langem kritisiert, aber kaum zügig modernisiert wird. Bleibt also noch der letzte oben genannte Aspekt. Technisch ist das sicher der einfachste Weg hin zu weniger Rechtsunsicherheit. Ob er von den Einzelnen angenommen wird, bleibt zu sehen. Ich kann Ihnen jedenfalls zusagen, dass wir in der Redaktion weiter versuchen werden, in diesen Heften klare und eindeutige Hilfestellungen zu geben, ohne großen Schnickschnack. Es gibt immer Entscheidungen, über die man sich nicht freut oder bei denen man anderer Ansicht ist. Am Ende steht aber die Frage, was folgt konkret aus der Entscheidung für Sie. Dieser Frage versuchen wir uns hier stets anzunehmen. In diesem Sinne wünsche ich Ihnen viel Spaß bei der Lektüre dieser Ausgabe, in der Sie ein Novum erleben: erstmals werden drei EuGH-Entscheidungen auf einen Schlag besprochen – in der Hoffnung auf mehr Rechtssicherheit …
Ihr
Laurenz Strassemeyer