Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Das erste Kapitel liegt hinter uns. Ging doch, oder? Schon müde vom… Laufen? Mit vier Artikeln gehört Kapitel I zu den kürzeren der DS-GVO. Kleine Abfrage unnützen Wissens: Wie lang ist das kürzeste Kapitel der DS-GVO? Und das längste? – Antworten erst am Ende des Blog-Beitrags und einstweilen Ihren Tipp am besten wieder notieren.
Kapitel II trägt den bedeutungsschweren Titel Grundsätze und fällt mit sieben Artikeln immerhin fast doppelt so lang aus wie sein Vorgeher. Die Grundsätze für die Verarbeitung personenbezogener Daten in Art. 5 kommen recht übersichtlich daher. Jedenfalls gehören sie nicht zu den besonders verwirrenden Regeln der DS-GVO. Aber bei genauem Hinsehen finden wir sicher wieder Verbesserungspotenzial. Absatz 1 listet die eigentlichen Grundsätze und Absatz 2 klärt, wer sie zu befolgen hat. Zäumen wir das Pferd von hinten auf, schauen uns also zuerst Absatz 2 an.
Absatz 2
Die erste Aussage ist drolliges und schlechtes Juristen-Deutsch: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich.“ Andere Sprachfassungen kommen wenigstens ohne Wortwiederholung aus, im Englischen zum Beispiel: „The controller shall be responsible […]“.
Die zweite Aussage: Der Verantwortliche muss die Einhaltung der Grundsätze nachweisen können. Das Gesetz verwendet dafür den Begriff Rechenschaftspflicht (accountability). Gelegentlich wird das mit einer Beweislastumkehr gleichgesetzt. Ganz dasselbe ist es allerdings nicht, wie wohl zuerst Veil (ZD 2018, 9, 12) gezeigt hat: In Ordnungswidrigkeiten- und Strafverfahren kann z.B. wegen DS-GVO-Verstößen nicht einfach mit der Begründung verurteilt werden, die Beschuldigten hätten ihre Unschuld beweisen müssen und das sei ihnen nicht gelungen. Deshalb müssen auch Datenschutz-Aufsichtsbehörden beispielsweise in Bußgeldverfahren den jeweiligen Verstoß der verantwortlichen Stelle nachweisen. Sie können nicht ein Bußgeld verhängen mit der Begründung, der Verantwortliche könne nicht beweisen, dass er keine Fehler gemacht hat.
Rechenschaftspflicht oder Dokumentationspflicht (ein bisschen komplizierter: Revisionsfähigkeit) trifft es also besser als Beweislastumkehr. Die Verantwortlichen müssen die DS-GVO nicht nur einhalten, sondern das auch zeigen können. Das bedeutet für Bußgeldverfahren: Wenn zum Beispiel bei einer zwischenzeitlich verstorbenen betroffenen Person nicht geklärt werden kann, ob sie in eine Datenverarbeitung eingewilligt hat oder nicht, würde das Bußgeld nicht wegen fehlender Einwilligung verhängt, sondern wegen fehlender Dokumentation. Damit genug der langen Ausführungen zum kurzen Absatz 2 und hinein in Absatz 1.
AbsATZ 1
Buchstabe a) stellt scheinbar drei Grundsätze auf, von denen bei genauem Hinsehen aber nur einer übrig bleibt: Personenbezogene Daten sollen „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“. Zum ersten Grundsatz, nämlich der Rechtmäßigkeit, ist erstaunlicherweise schon viel geschrieben worden. Er besteht jedoch nur aus Luft: Es ist ja gerade Aufgabe des Gesetzgebers zu klären, was rechtmäßig ist. Der Grundsatz Tue das Richtige taugt nichts.
Nicht sehr viel besser steht es mit dem Grundsatz von Treu und Glauben – in der englischen Sprachfassung: fairness. Was fair ist, muss durch Spielregeln geklärt werden. Ansonsten können die Meinungen sehr weit auseinandergehen. Fußballfreunde wissen, was gemeint ist?
Echten Inhalt besitzt deshalb wohl nur der Grundsatz der Transparenz: Alle sollen wissen, wer welche Daten über sie besitzt und wofür diese Daten genutzt werden. Datenschutz-Veteranen erinnern sich an das berühmte, nun reichlich 40 Jahre alte Volkszählungsurteil des Bundesverfassungsgerichts. Schon damals war erkannt, dass informationelle Selbstbestimmung viel damit zu tun hat, zu wissen, wo welche Daten verarbeitet werden.
Buchstabe b) behandelt die Zweckbindung. Dieser Grundsatz ist vor allem wichtig als prinzipielles Verbot der Vorratsdatenspeicherung. Aus Sicht der Verantwortlichen ergeben sich daraus manchmal große Schwierigkeiten, nicht nur für Wünsche der staatlichen Überwachung (an die Datenschützer natürlich zuerst denken). Auch bei „chaotischen“ und „ergebnisoffenen“ Verarbeitungsvorgängen (Stichworte: KI, Data Mining, Marketing, aber auch: Forschung) sind Ziele und Zwecke der Datenverarbeitungen anfangs häufig noch unklar, also nicht so genau beschreibbar, wie Datenschützer sich das wünschen würden.
Gruselvorstellung für Historiker: Hätte in mittelalterlichen Klöstern die DS-GVO gegolten, wie viele Dokumente zum Klosterleben wären uns verloren gegangen? Hätten Unternehmen nach der Deutschen Reichsgründung 1871 die DS-GVO befolgt: Wüssten wir genauso viel über die Sozial- und Wirtschaftsgeschichte des Deutschen Kaiserreiches? Übrigens können sich Historiker bei Art. 5 Abs. 1 lit. b) DS-GVO nicht nur über den Grundsatz der Zweckbindung ärgern, sondern auch darüber, dass – hier wie öfter in der DS-GVO – von „wissenschaftlichen oder historischen Forschungszwecken“ die Rede ist, also die Geschichtswissenschaft in Brüssel also offenbar nicht als „Wissenschaft“ gesehen wird.
Schlussbemerkung zu Buchstabe b: Der zweite Halbsatz bedeutet natürlich nicht, dass Datenverarbeitungen für Archiv-, Forschungs- und statistische Zwecke immer zulässig wäre. Solche Zwecke gelten nur „nicht als unvereinbar mit den ursprünglichen Zwecken“. Bei diesen Zielen scheitert die Verarbeitung also nicht von vornherein an einer Unzulässigkeit der Zweckänderung (Ausblick nach vorn: Art. 6 Abs. 4). Trotzdem wird natürlich jeweils eine Rechtsgrundlage für die Verarbeitung zum geänderten Zweck benötigt.
Buchstabe c): Datenminimierung ließe sich gut verbinden mit Buchstaben b) Zweckbindung und Buchstaben e) Speicherbegrenzung – letztlich nur der zeitliche Aspekt der Datenminimierung. Alle drei Buchstaben gemeinsam ergeben: Personenbezogene Daten bitte nur verarbeiten, soviel und solange dies für einen konkreten Zweck nötig ist.
Buchstabe d) schreibt vor, dass die Verantwortlichen die Richtigkeit personenbezogener Daten anzustreben haben. Das ist – bei genauerem Hinsehen – seltsam und hat mit informationeller Selbstbestimmung gar nicht viel zu tun: Vielleicht ist betroffenen Personen ja ganz recht, wenn verantwortliche Stellen sich irren? Beispiel: Bei Vereinsmitglied A ist in der Buchhaltung fehlerhaft vermerkt, dass der Mitgliedsbeitrag des laufenden Jahres schon gezahlt wurde. Laut DS-GVO ein Datenschutzverstoß – aber ist das sinnvoll? Würde nicht für das Selbstbestimmungsrecht der Anspruch auf Berichtigung genügen? Dann kann die betroffene Person selbst entscheiden, ob ihr die Berichtigung wichtig ist oder ob sie vielleicht gern ein bisschen günstiger dasteht.
Buchstabe e) war oben schon erwähnt; das muss genügen. Und Buchstabe f) behandelt die in der Informationssicherheit bekannte Trias von Vertraulichkeit, Integrität und Verfügbarkeit (schöne alte Eselsbrücke: CIA – confidentiality, integrity, availability). Allerdings wurde die „Verfügbarkeit“ im Klammerzusatz vergessen. Verbesserungsvorschlag: „[…] f) in einer Weise verarbeitet werden, die ihre Integrität, Vertraulichkeit und Verfügbarkeit durch geeignete technische und organisatorische Maßnahmen gewährleisten“.
Klitzekleiner Korrekturhinweis zum Schluss: Absatz 1 müsste natürlich mit einem „Punkt“, nicht mit Semikolon enden. Vielleicht wird es bei der zweiten DSGVO-Evaluation bemerkt. Nun aber schnellen Schrittes zum spannenden Artikel 6! Auflösung zu den eingangs gestellten Quizfragen: Am kürzesten und längsten sind die Kapitel … ach nein, schauen Sie selbst!
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.