Blogserie: In der datenschutzrechtlichen Todeszone
Für die EU-Kommission ist die DSGVO der "Goldstandard", der "Stoff für eine Erfolgsgeschichte" und der Grund für eine weltweite "Aufwärtskonvergenz". Gleichzeitig propagiert die EU-Kommission spätestens seit 2014 eine "florierende datengesteuerte Wirtschaft", eine "europäische Datenwirtschaft" und einen "europäischen Datenraum".
Hierfür entzündet sie ein regulatorisches Feuerwerk. Sieben Rechtsakte mit Datenbezug stehen im Raum:
- FFD: Free Flow of Data-Verordnung (verabschiedet: November 2018)
- OD-PSI: Open Data- und Public Sector Information-Richtlinie (verabschiedet: Juni 2019)
- DGA: Data Governance Act (vorgeschlagen: November 2020)
- DMA: Digital Markets Act (vorgeschlagen: Dezember 2020)
- DSA: Digital Services Act (vorgeschlagen: Dezember 2020)
- AIA: Artificial Intelligence Act (vorgeschlagen: April 2021)
- DA: Data Act (voraussichtlich: 4. Quartal 2021)
Fraglich ist, in welchem Verhältnis diese Rechtsakte zum Goldstandard der DSGVO stehen. Es besteht der Verdacht, dass es jeweils erhebliche Überschneidungen mit der DSGVO gibt, dass der Normgeber das Verhältnis zur DSGVO aber nicht klärt. Ob sich dieser Verdacht erhärten lässt, soll in einer lockeren Abfolge von Blogbeiträgen untersucht werden.
Eine kursorische Durchsicht ergibt bereits, dass alle genannten Rechtsakte postulieren, dass die DSGVO
- in ihrer Anwendung nicht berührt ("not prejudice") wird (Art. 2 II FFD),
- unbeschadet ("without prejudice") von der Geltung des anderen Rechtsakts bleibt (Art. 1 IV OD-PSI),
- unberührt ("without prejudice") bleibt (EG 3 DGA),
- unbeschadet ihrer Anwendbarkeit ("without prejudice") ergänzt wird (EG 11 DMA),
- unberührt ("without prejudice") gelassen wird (Art. 1 V i DSA),
- unberührt ("without prejudice") bleibt und ergänzt wird (Ziff. 1.2 Begründung AIA).
Die gebetsmühlenartige Wiederholung der Formulierung "without prejudice" deutet darauf hin, dass die DSGVO eine Art "Unantastbarkeitsstatus" genießt. Dies darf aber nicht darüber hinwegtäuschen, dass diese Formulierung keine Normenkollision löst, die entsteht, wenn der betreffende Rechtsakt eine materiell-rechtliche Regelung im Anwendungsbereich der DSGVO trifft. Und genau dies trifft vermutlich auf zahlreiche Regelungen der genannten Rechtsakte zu, denn diese enthalten zum Beispiel Regelungen
- zur Datenlokalisierung (FFD),
- zur Weiterverwendung von Daten (OD-PSI und DGA),
- zu Datentreuhand und Datenaltruismus (DGA),
- zu Datenmacht und Datenportabilität (DMA),
- zu Profiling und Werbung (DSA) und
- zu Datenerfassung und Datenmanagement (AIA).
Welche Regelungen der genannten Rechtsakte sich in der datenschutzrechtlichen Todeszone befinden, in der sie gegen die DSGVO keinen Bestand haben, wird im Einzelnen zu untersuchen sein. Die Jurisprudenz kennt Auslegungsregeln für Konkurrenzverhältnisse von Normen, zum Beispiel
- lex specialis derogat legi generali = die speziellere verdrängt das allgemeine Gesetz
- lex posterior derogat legi priori = das spätere verdrängt das frühere Gesetz
- lex superior derogat legi inferiori = das höherrangige verdrängt das niederrangige Gesetz
- Umkehrschluss
- Erst-recht-Schluss
Wendet man diese auf das "without prejudice" an, kommt man womöglich doch zu dem Ergebnis, dass einzelne Regelungen der DSGVO spezifiziert, ergänzt, erweitert, eingeschränkt oder gar verdrängt werden. Auch wenn die Rhetorik der Vorschläge nahelegt, dass die EU-Kommission eine Änderung der DSGVO fürchtet wie der Teufel das Weihwasser, könnte die intendierte Regulierung die DSGVO doch schleichend verändern.
In dieser Blogserie sind bislang erschienen:
- Blogserie: In der datenschutzrechtlichen Todeszone
- Der Data Governance Act I: Weiterverwendung von Daten des öffentlichen Sektors
- Der Data Governance Act II: Datenmittler
- Der Data Governance Act III: Datenaltruismus
- Der Data Governance Act IV: Dataismus
Wird fortgesetzt ...