Datenschutzrecht

Licht und Schattenseiten

Für das neue europäische Datenschutzrecht bestehen nicht nur rechtliche, sondern damit verbunden auch technische Anforderungen (z.B. gemäß Art 25: »Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen« = data protection by design und data protection by default), die nicht von einem Tag auf den anderen umgesetzt werden können.

Im Hinblick auf die zuletzt veröffentlichten Aussagen, wonach z.B. jeder 5. Hackerangriff auf Banken erfolgreich ist (Swift) und jeder mit dem Internet verbundene Rechner ein bis zwei Mal stündlich auf Sicherheitslücken »abgeklopft« wird (SEC Consult), ist es höchste Zeit, dass die DSGVO die bisherige Datenschutz-Richtlinie aus 1995 (3 Jahre vor Google!) ablöst.

Und die Bedeutung des Datenschutzes wird sich durch die rasanten Entwicklungen der Digitalisierung noch verstärken (in den beiden letzten Jahren wurden neun Mal so viel Daten generiert wie in der gesamten bisherigen Menschheitsgeschichte, Babson Olin School of Business) und durch das Internet of Things potenzieren.

Vor diesem Hintergrund ist Datensicherheit essentiell und die neue DSGVO grundsätzlich zu begrüßen. Allerdings schafft sie neue Probleme; zum einen durch ihren Regelungsexzess (Strafen bis 20 Millionen Euro), auf der anderen Seite Rechtsunsicherheit durch eine Vielzahl unbestimmter Begriffe, z.B. in Art. 5, wonach die Verarbeitung personenbezogener Daten nach »Treu und Glauben« erfolgen muss. Geldbußen (die übrigens nicht nur bei Vorsatz, sondern auch bei Fahrlässigkeit drohen) sind so zu verhängen, dass sie »wirksam, verhältnismäßig und abschreckend wirken«. Auch viele andere Regelungen der DSGVO sehen unpräzise Regelungen dieser Art vor, und zwar so viele, dass sich zuletzt sogar die deutsche Bundeskanzlerin dazu geäußert hat:
»Die Europäische Union hat in einem relativ zügigen Verhandlungsprozess die Datenschutz-Grundverordnung verabschiedet. Das ist sozusagen die Rechtsgrundlage für die Datenverarbeitung in allen Mitgliedstaaten der Europäischen Union. Der Kompromiss hat aber dazu geführt, dass wir eine Vielzahl unbestimmter Rechtsbegriffe haben. Ich hoffe, dass die Auslegung durch die jeweiligen Datenschützer nicht so restriktiv ausfallen wird, dass Europa bei der Art und Weise, wie große Datenmengen verarbeitet werden müssen, nicht mithalten kann.«
(https://www.bundeskanzlerin.de/Content/DE/Rede/2016/10/2016-10-25-merkel-medientage.html).

Mit anderen Worten: Man weiß noch nicht genau, wie die nationalen Datenschutzbehörden die DSGVO bzw. die Vielzahl offener Begriffe, die mit der komplexen Entscheidungsfindung der Mitgliedstaaten zusammenhängt (das ist der von Angela Merkel angesprochene »Kompromiss«), auslegen werden. Was daraus folgt, ist ein Spannungsverhältnis: Verlangt wird Datensicherheit auf der einen Seite, es existiert diesbezüglich aber Rechtsunsicherheit auf der anderen Seite.

Um aus dieser Zwickmühle zu kommen, werden u.a. Zertifizierungen empfohlen. Näheres dazu auf www.data-trust-center.com und im Rahmen der MANZ-Jahrestagung Internetrecht am 5. Oktober 2017.

Comments are closed.