16.05.2018

DSGVO: "Es ändert sich doch gar nicht so viel!"

Portrait von Winfried Veil
Winfried Veil

Der Wind dreht sich. Je näher der 25. Mai 2018 rückt, desto lauter wird die Kritik an der Datenschutz-Grundverordnung (DSGVO). Diese galt in weiten Teilen der Öffentlichkeit bislang als erfolgreiche Durchsetzung von Bürgerrechtsinteressen gegen den "Überwachungsstaat" und die "Datenkraken". Doch nun schlägt den Advokaten des neuen Rechts von verschiedenster Seite heftiger Gegenwind ins Gesicht.

Auf Twitter beklagen sich Blogger, Fotografen, Lehrer, Ehrenamtliche und Vereinsmitglieder. In den Mainstreammedien wird die Berichterstattung zweifelnd bis kritisch. Und selbst Sascha Lobo geht auf deutliche Distanz.

Grund ist der "one size fits all"-Ansatz der DSGVO. Für jeden Datenverarbeiter gelten grundsätzlich dieselben Regeln. Unter der Last der neuen Anforderungen ächzen daher jetzt alle, die (wie Enno Park zynisch anmerkt) "ganz offenbar immer wieder durch Datenmissbrauch auffallen und dringend mal strenger reguliert werden müssten": die Blogger, Fotografen, Filmemacher, KMU, Arztpraxen, Onlinehändler, Influencer, Buchhaltungsbüros, Journalisten, Youtuber, Instagrammer, kleinen und großen Vereine, Open-Source-Entwickler, Webdesigner, Coaches, Aktivisten, PR-Berater, Handwerker und Seelsorger.

Von denselben Personen, die die DSGVO als Meilenstein feiern, ist nun zu hören, durch die neuen Regeln ändere sich gegenüber dem alten Datenschutzrecht doch insgesamt wenig bis gar nichts. Und wer sich schon bislang an das Recht gehalten habe, brauche gar nicht so viel zu tun und habe nichts zu befürchten. Von unbegründeten Ängsten und von Panikmache ist von dieser Seite nun viel die Rede.

Man fragt sich verwundert, wie ein Gesetz gleichzeitig für Nutzer ein echter Fortschritt und ein großer Schritt voran sein kann, wenn sich für die meisten Datenverarbeiter gar nichts ändern soll. Höchstens eines von beidem kann richtig sein.

Zur Vorbeugung von Legendenbildung soll daher die Behauptung, es ändere sich durch die DSGVO gar nicht so viel, noch einmal anhand der Pflichten näher beleuchtet werden, die Umsetzungskosten verursachen. Verglichen wird die Rechtslage nach dem Bundesdatenschutzgesetz alter Fassung mit der Rechtslage nach DSGVO. Hierbei soll der private Bereich (also die Datenverarbeitung durch nicht-öffentliche Stellen) im Vordergrund stehen:

1. Neue Betroffenenrechte

Die DSGVO enthält einige gänzlich neue Betroffenenrechte, die das BDSG a.F. noch nicht kannte, zum Beispiel:

Für jedes dieser Betroffenenrechte muss ein eigener neuer Prozess aufgesetzt werden. Jedes Betroffenenrecht muss binnen eines Monats erfüllt werden (Art. 12 Abs. 4 DSGVO). Jedes dieser Rechte kann erhebliche Zusatzkosten verursachen: man denke etwa an die Pflicht zur Erstellung einer Kopie der aus jahrzehntelanger Geschäftsbeziehung stammenden Daten oder an die Pflicht, alle Daten eines Betroffenen in einem "strukturierten, gängigen und maschinenlesbarem Format" zusammenfassen zu müssen.

Auch neue Pflichten wie die Pflicht zu Datenschutz "by design" und "by default" verursachen selbstverständlich Umsetzungskosten.

2. Erweiterte Betroffenenrechte

Die meisten Betroffenenrechte enthielt das BDSG a.F. zwar schon. Jedoch werden die Rechte in vielen Fällen durch die DSGVO in ihrem Anwendungsbereich deutlich erweitert:

  • Auskunftsrecht: Gemäß Art. 15 DSGVO sind deutlich mehr Gesichtspunkte zu beauskunften als bislang. Neu sind die Auskunft über die Speicherdauer, über das Bestehen bestimmter Betroffenenrechte, über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,  über die Tragweite und angestrebten Auswirkungen einer automatisierten Entscheidungsfindung. In Bezug auf die Regelmäßigkeit und die Kosten der Auskunftserteilung stellt die Neuregelung ebenfalls eine Verschärfung zu Lasten des Verantwortlichen dar.
  • Widerspruchsrecht: Beim Widerspruchsrecht gemäß Art. 21 Abs. 1 Satz 2 DSGVO muss der Verantwortliche zwingende schutzwürdige Gründe für seine Datenverarbeitung nachweisen können. Damit wurde die gesetzliche Vermutung, die von dem Verantwortlichen bei der von ihm vorzunehmenden Interessenabwägung zugrunde zu legen ist, zu Lasten des Verantwortlichen umgekehrt. Der Verantwortliche muss daher bei jedem Widerspruch aufwändig darlegen, warum seine Gründe für die Datenverarbeitung ausnahmsweise überwiegen.
  • Meldepflicht: Meldungen von Datenschutzverletzungem an die Datenschutzaufsichtsbehörde waren bislang nach § 42a BDSG a.F. nur bei sensiblen Daten und nur bei schwerwiegenden Beeinträchtigungen erforderlich. Diese Pflicht wird nach Art. 33 DSGVO deutlich erweitert.
  • Benachrichtigungspflicht: Auch die Pflicht zur Benachrichtigung des Betroffenen wird durch Art. 34 DSGVO deutlich erweitert.
  • Informationspflichten: Die DSGVO enthält deutlich mehr Informationspflichten (s. dazu Ziffer 4. unten)

Jedes einzelne Detail dieser Betroffenenrechte verursacht Erfüllungsaufwand. Jeder gegenüber dem bisherigen Recht zusätzliche Verfahrensschritt verursacht Erfüllungsmehraufwand.

3. Weniger Ausnahmen von den Betroffenenrechten

Die DSGVO enthält weitaus weniger Ausnahmen von den Betroffenenrechten als das BDSG a.F.

So enthält beispielsweise das Auskunftsrecht gemäß Art. 15 DSGVO gar keine (!) Ausnahmetatbestände (was die Norm aufgrund von Unverhältnismäßigkeit wohl in die Nähe der Primärrechtswidrigkeit bringt). § 34 Abs. 7 BDSG a.F. enthielt hingegen (etwas verkürzt) Ausnahmetatbestände, wenn

  • die Daten nur deshalb gespeichert waren, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden durften (künftig § 34 Abs. 1 Nr. 2 lit. a) BDSG-n.F.),
  • die Daten ausschließlich der Datensicherung dienten (künftig § 34 Abs. 1 Nr. 2 lit. b) BDSG-n.F.),
  • die Daten ausschließlich der Datenschutzkontrolle dienten (künftig § 34 Abs. 1 Nr. 2 lit. b) BDSG-n.F.),
  • die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des überwiegenden rechtlichen Interesses eines Dritten, geheimgehalten werden mussten (künftig § 29 Abs. 1 S. 2 BDSG-n.F.),
  • die Verarbeitung für Zwecke der wissenschaftlichen Forschung erforderlich war (künftig § 27 Abs. 2 BDSG-n.F.),
  • das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereitet hätte (künftig nur § 34 Absatz 1 Nr. 1 iVm § 33 Absatz 1 Nr. 2 lit. b) BDSG-n.F.),
  • die Daten aus allgemein zugänglichen Quellen entnommen waren,
  • die Auskunft die Geschäftszwecke des Verantwortlichen erheblich gefährdet hätte.

Aufgrund der Öffnungsklausel des Art. 23 DSGVO hat der deutsche Gesetzgeber im BDSG n.F. zwar hier einige Nachbesserungen vorgenommen. Insgesamt bleibt es aber dabei, dass sämtliche Betroffenenrechte weniger Ausnahmen vorsehen als das bisherige Recht. Dass die Ausnahmetatbestände insgesamt höchst inkohärent sind, kommt noch erschwerend hinzu.

4. Mehr Informationspflichten

Art. 13 und 14 DSGVO sehen sehr umfangreiche Informationspflichten vor, die der Verantwortliche von sich aus zu Beginn oder kurz nach Beginn jeder Datenverarbeitung gegenüber dem Betroffenen zu erfüllen hat. Das BDSG a.F. enthielt in §§ 4 Abs. 3, 19a und 33 ebenfalls Informationspflichten. Die dem Betroffenen zu erteilenden Informationen nach der DSGVO (Rat) sind jedoch weitaus umfangreicher:

  • Bei jeder Verarbeitung: Nach BDSG a.F. war eine Information des Betroffenen nur bei erstmaliger Speicherung personenbezogener Daten erforderlich. Nach Art. 13 Abs. 3 und 14 Abs. 4 DSGVO besteht die Informationspflicht hingegen bei jeder Verarbeitung, insbesondere bei jeder Weiterverarbeitung. Die Fallzahl der zu erteilenden Informationen wird daher schon allein deshalb um ein Vielfaches höher sein als bislang.
  • Umfang der Information: Darüber hinaus sind dem Betroffenen nach der DSGVO bei jeder Information weitaus mehr Gesichtspunkte als nach dem BDSG a.F. mitzuteilen. Der Aufwand für jede einzelne Information ist damit weitaus größer. Außerdem werden häufigere Änderungen der Informationsliste erforderlich werden. Bislang war nur über die Identität der verantwortlichen Stelle, die Tatsache der Speicherung, die Art der Daten, die Zweckbestimmung der Verarbeitung und (unter Umständen) Kategorien von Empfängern zu informieren. Nunmehr sind nach Art. 13 und 14 DS-GVO zusätzlich Informationen zu erteilen über:
    • die Kontaktdaten des Datenverarbeiters und seines Repräsentanten,
    • das berechtigte Interesse des Datenverarbeiters oder das eines Dritten,
    • die konkreten Empfänger personenbezogener Daten bei Übermittlung,
    • die Absicht, die Daten an ein Drittland oder eine Internationale Organisation zu übermitteln,
    • die Rechte des Betroffenen in Bezug auf Berichtigung, Löschung, Verarbeitungsbeschränkung und Widerspruch,
    • das Recht zum Widerruf der Einwilligung,
    • das Recht zur Beschwerde bei der Aufsichtsbehörde,
    • die Bedeutung und die erwarteten Folgen einer automatisierten Einzelentscheidung,
    • die Herkunft der Daten und
    • die Tatsache der  Weiterverarbeitung.
  • Trotz vorhandener Kenntnis: Nach altem wie nach neuem Recht entfällt die Informationspflicht, wenn der Betroffene die ihm zu erteilenden Informationen schon hat (früher: § 4 Abs. 3 BDSG a.F.; nunmehr: Art. 13 Abs. 4 und Art. 14 Abs. 5 lit. a DSGVO). Bislang führte diese Ausnahme häufig dazu, dass gar keine Informationen zu erteilen waren. Denn Identität des Verantwortlichen, Tatsache der Speicherung, Art der Daten und Zweckbestimmung erschließen sich dem Betroffenen oft von selbst, wenn er Kenntnis von der Datenverarbeitung hat. Da nunmehr aber über weitaus mehr Gesichtspunkte zu informieren ist, ist kaum noch ein Fall denkbar, in dem nicht doch die eine oder andere Information (wer kennt schon die Kontaktdaten des Datenschutzbeauftragten?) zu erteilen ist. Die Ausnahmebestimmung der bereits vorhandenen Kenntnis läuft damit praktisch ins Leere.
  • Weniger Ausnahmetatbestände: Die Informationspflicht des § 33 BDSG a.F. kannte in Abs. 3 eine Vielzahl von Ausnahmen. Art. 13 DSGVO enthält dagegen gar keine und Art. 14 Abs. 5 DSGVO nur noch eine handvoll Ausnahmetatbestände. Auch insofern entsteht die Pflicht zur Information nach neuem Recht deutlich häufiger.

Die Informationspflichten der DSGVO sind gegenüber dem BDSG a.F. umfangreicher und kleinteiliger. Informationen sind außerdem in viel mehr Fällen als bisher zu erteilen. Dies führt zu erheblichen Bürokratiekosten beim Datenverarbeiter und zu einem "information overkill" beim Betroffenen.

5. Mehr Mitteilungspflichten

Kaum beachtet werden in der öffentlichen Debatte über die DSGVO auch die vielen kleinteiligen Mitteilungspflichten, die neben den Informationspflichten der Art. 13 und 14 DSGVO bestehen. So muss der Verantwortliche auf jede Geltendmachung eines Betroffenenrechts durch einen Betroffenen fristgebunden mit einer Mitteilung an den Betroffenen reagieren (Art. 12 Abs. 3 und 4 DSGVO). Entsprechende Mitteilungspflichten löst somit die Geltendmachung eines jeden antragsabhängigen Betroffenenrechts aus:

  • Auskunft: Erteilung/Nichterteilung der Auskunft
  • Kopie: Erteilung/Nichterteilung der Kopie
  • Berichtigung: Benachrichtigung über Vornahme/Nichtvornahme; Mitteilung der Berichtigung an etwaige Empfänger; Mitteilung der Empfänger an den Betroffenen
  • Vervollständigung: Benachrichtigung über Vornahme/Nichtvornahme
  • Löschung: Benachrichtigung über Vornahme/Nichtvornahme; Maßnahmen zur Information anderer Verantwortlicher über das Löschverlangen; Mitteilung der Löschung an etwaige Empfänger; Mitteilung der Empfänger an den Betroffenen
  • Verarbeitungseinschränkung: Benachrichtigung über Vornahme/Nichtvornahme; Mitteilung der Verarbeitungseinschränkung an etwaige Empfänger; Mitteilung der Empfänger an den Betroffenen
  • Datenportabilität: Vornahme oder Benachrichtigung über Nichtvornahme
  • Widerspruch: Mitteilung über Befolgung/Nichtbefolgung des Widerspruchs
  • Automatisierte Einzelentscheidung: Information über das Recht auf "human intervention", auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung

Auch diese Mitteilungs- und Unterrichtungspflichten (in dieser Übersicht hoffentlich vollständig erfasst) verursachen selbstverständlich Kosten, da auch für die Erfüllung dieser Pflichten technisch-organisatorische Maßnahmen zu ergreifen sind.

6. Umfangreichere Dokumentationspflichten

Zwar sah § 4g Abs. 2 in Verbindung mit § 4e BDSG a.F. auch bereits die Führung eines "Verfahrensverzeichnisses" vor. Durch die in Art. 30 DSGVO verankerte Pflicht zur Führung eines "Verzeichnisses von Verarbeitungstätigkeiten" werden die Anforderungen an den Mindestinhalt aber ausgeweitet. Neu hinzugekommen sind Informationen über etwaige "gemeinsam Verantwortliche", über den Vertreter, über Namen und Kontaktdaten des Datenschutzbeauftragten, über Datentransfers zu internationalen Organisationen, über Überprüfung und daraus abgeleitete Garantien von Drittstaatentransfers.

7. Mehr Nachweispflichten

Die DSGVO enthält eine Vielzahl von Nachweispflichten. Eine einheitliche Terminologie ist hierbei nicht erkennbar. Es wird von Rechenschafts-, Dokumentations- und Nachweispflichten gesprochen. Auch eine Systematik ist nicht erkennbar. Klar ist aber, dass die DSGVO geradezu nachweis- und dokumentationsversessen ist.

Vor die Klammer gezogene allgemeine Nachweispflichten sind

  • Rechenschaftspflichten gem. Art. 5 Abs. 2
  • Nachweispflichten gem. Art. 24 Abs. 1

Darüber hinaus gibt es verschiedenartige spezifische Nachweispflichten

  • Einwilligung (Art. 7 Abs. 1; EG 42 S. 1)
  • Identitätsfeststellung (Art. 11 Abs. 2 und Art. 12 Abs. 2)
  • Widerspruch (Art. 21 Abs. 1 S. 2; EG 69 S. 2)
  • Datenschutz „bydesign“ und „bydefault“ (Art. 25 Abs. 1; EG 78 S. 2)
  • Verzeichnis aller Verarbeitungstätigkeiten (Art. 30; EG 82 S. 1)
  • Datensicherheit (Art. 32 Abs. 3)
  • Datenschutzverletzung (Art. 33 Abs. 5; EG 85 S. 2)
  • Datenschutz-Folgenabschätzung (Art. 35 Abs. 7; EG 84 S. 2)
  • Drittstaatentransfer (Art. 49 Abs. 6 S. 2 i.V.m. Abs. 6)
  • Haftung (Art. 82 Abs. 3)

Unklar ist, wie umfassend Rechtsprechung und Rechtspraxis diese Nachweispflichten verstehen werden. Sie werfen jedenfalls zahlreiche rechtsstaatliche Bedenken auf. Unter den Stichworten "Datenschutz-Compliance" und "Accountability" wird von Beraterseite aber vielfach die Auffassung vertreten, ohne ein Datenschutz-Compliance-Management-System dürfe eine Datenverarbeitung nicht mehr vorgenommen werden (vgl. z.B. Wichtermann, ZD 2016, 422; Hamann, BB 2017, 1090, 1092;  CIPL, The Role of Enhanced Accountability in Creating a Sustainable Data-driven Economy and Information Society, S. 2).

Das BDSG a.F. kannte derart umfassend zu verstehende Nachweispflichten nicht. Diese führen nicht nur zu einem erheblichen erstmaligen Umstellungsaufwand bei den Datenverarbeitern. Sie führen auch zu erheblichen laufenden Mehrkosten.

8. Höhere Bürokratiekosten

In der Bürokratiekostenmessung wird für jede einzelne Pflicht eines Gesetzes der Erfüllungsaufwand berechnet - und zwar unter Zugrundelegung des zeitlichen Aufwandes für die Erfüllung der Pflicht und der Fallzahl.

Jede einzelne der oben genannten Pflichten verursacht einen Erfüllungsaufwand.

Der Erfüllungsaufwand fällt bei Bürgerinnen und Bürgern, bei der Wirtschaft und bei der Verwaltung an. Angesichts von mehr Pflichten gegenüber der bisherigen Rechtslage ist es wenig überraschend, dass die DSGVO einen erheblichen Erfüllungsmehraufwand verursacht. Zwar wird selbst das bestritten, doch ist es nicht möglich, dass ein Mehr an Informations-, Dokumentations- und Nachweispflichten zu einem Weniger an Bürokratiekosten führen soll.

Es ist auch nicht so, dass die Bürokratiekosten der DSGVO nicht vorhergesehen worden wären:

  • GB:  In einer Studie von London Economics im Auftrag des British Information Commissioner’s Office wurden bereits 2013 allein für die Wirtschaft Großbritanniens in einem Zeitraum von 10 Jahren Nettokosten in Höhe von 2,1 Mrd. Britische Pfund vorhergesagt.
  • NL:  Gemäß einer niederländischen Studie von SIRA Consulting wurden für die niederländische Wirtschaft jährliche Mehrkosten zwischen 1,05 bis 1,40 Mrd. Euro prognostiziert.
  • EU: Eine Studie von Deloitte kommt zu dem Ergebnis, dass sich allein in den vier Branchen Direktmarketing, Online Behavioral Advertising, Web Analytics, Kreditinformation das EU-Bruttosozialprodukt um 173 Mrd. Euro verringern wird und 1,3 Mio. Arbeitsplätze verloren gehen werden.
  • D: Nach einer Schätzung des Statistischen Bundesamtes soll der deutschen Wirtschaft allein die Erfüllung der Informationspflichten im ersten Jahr 1,5 Mrd. Euro und sodann jährlich 1 Mrd. Euro Mehrkosten verursachen.

9. Größerer Umsetzungdruck

Der Umsetzungsdruck und die Kontrolldichte erhöhen sich gegenüber der bisherigen Rechtslage erheblich:

  • Bußgelder: Dies liegt natürlich in erster Linie am deutlich höheren Bußgeldrahmen (vgl. Art. 83 DSGVO: bis zu 20 Mio. Euro oder im Fall eines Unternehmens bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres).
  • Haftungsrisiken: Doch auch die zivilrechtlichen Haftungsrisiken nehmen deutlich zu (vgl. Art. 82 DSGVO). Haftungsauslösend kann nicht nur eine rechtswidrige Datenverarbeitung, sondern bereits jeder "Verstoß gegen die DSGVO" sein. Viele zusätzliche sehr kleinteilige materielle Pflichten und viele Form-, Verfahrens- und Fristvorgaben erhöhen damit auch das Risiko von Datenschutzverstößen. Der Schadensbegriff wird auf immaterielle Schäden ausgedehnt. Viele Autoren gehen wegen der umfangreichen Nachweispflichten zudem von einer Beweislastumkehr zu Lasten des Verantwortlichen aus.
  • Verbandsklagen: Hinzu kommen die für Betroffene neu geschaffene Möglichkeit, die Geltendmachung eigener Rechte auf Verbände zu delegieren, und die für Mitgliedstaaten geschaffene Möglichkeit, Verbandsklagerechte auch unabhängig von einer Mandatierung durch Betroffene einzuführen (Art. 80 DSGVO).
  • Wettbewerbsverstöße: Unklar ist schließlich, in welchem Maße Datenschutzverstöße von den Gerichten zukünftig als wettbewerbswidrig angesehen werden. Wäre dies in größerem Maße der Fall, wäre dies angesichts der vielen kleinteiligen Pflichten der DS-GVO eine Einladung für Abmahnanwälte. Die Furcht vor einer Abmahnwelle hat bereits zu einer Einstellung vieler Blogs geführt, jedenfalls wenn man den Ankündigungen vieler Blogger auf Twitter Glauben schenken darf.

Fazit: Hypertrophie des Datenschutzrechts

Als "Hypertrophie" bezeichnet man in der Medizin die Vergrößerung eines Gewebes oder Organs durch Zellvergrößerung bzw. Zunahme des Zellvolumens. Der erste Bundesbeauftragte für den Datenschutz, Hans-Peter Bull, hat diesen Begriff in treffender Weise auf die Entwicklung des Datenschutzrechts übertragen. Lange bevor eine Datenverarbeitung überhaupt zu einem Risiko oder gar Schaden führen kann, greift das Datenschutzrecht präventiv mit einer ganzen "Vorfeldschutz-Kaskade" (von Lewinski) von Regelungen ein. Mit der DSGVO hypertrophiert das Datenschutzrecht weiter durch:

  • mehr Informationspflichten,
  • kleinteiligere Informationspflichten,
  • neue Betroffenenrechte,
  • Erweiterungen der bestehenden Betroffenenrechte,
  • weniger Ausnahmen von den Betroffenenrechten,
  • eine neue Rechenschaftspflicht,
  • mehr Nachweispflichten,
  • kleinteiligere Dokumentationspflichten.

Jede zusätzliche Pflicht verursacht einen Erfüllungsaufwand. Selbst viele kleine zusätzliche Pflichten verursachen in der Summe einen großen Zusatzaufwand.

Man kann all dies aus übergeordneten Gründen wollen. Man kann es auch gut finden. Man sollte dies dann aber auch nicht verleugnen. Und man sollte zugeben, dass es viel Zeit und Geld bei allen Rechtsunterworfenen kostet.

 

Zurück