Am 25. Mai 2022 gilt die DSGVO vier Jahre. Im Urteil der meisten Deutschen wird sie als problematisch begriffen. Sie bringen das Gesetz nicht mit besserem Datenschutz in Verbindung, sondern mit lästigen Themen wie Cookie-Bannern.
Die DSGVO soll Datenverkehr ermöglichen
Bei genauerer Betrachtung ist die DSGVO besser als ihr Ruf. Ihr gesetzliches Ziel ist es, den Datenschutz mit rechtlich belast- und nachvollziehbaren Maßstäben in das rechte Verhältnis zu anderen Grundrechten zu setzen.
Der Schutz der Privatsphäre ist nur ein Aspekt unter vielen. Die Rechtsanwendung muss, wenn es um Gesundheitsdaten geht, das Recht auf Leben und körperliche Unversehrtheit beachten, aber auch das Recht auf freie Fortbewegung, Freizügigkeit und natürlich auch die freie Berufsausübung und die Eigentumsfreiheit der Datenwirtschaft und der Bürger achten.
Falsche Anwendung ist das Problem: Beispiel Videokonferenzsysteme
Dass nicht die DSGVO sinnvolle Lösungen verhindert, sondern deren enge und praxisferne Auslegung und Anwendung, kann man an der Diskussion um Videokonferenzsysteme festmachen.
Videokonferenzsysteme sind seit der Pandemie für das Arbeiten im Homeoffice, für das Lernen in Schulen oder das Studium in Hochschulen unerlässlich. Es geht um Ausbildung und Berufsausübung. Der Einsatz gängiger und funktionsfähiger Software wie MS Teams, Zoom und Cisco Webex werden von den Datenschutzaufsichtsbehörden aber als datenschutzrechtlich unzulässig bewertet. Die Berliner Datenschutzaufsichtsbehörde hat eine "Datenschutzampel" ins Netz gestellt.
Dabei handelt es sich nicht um das Ergebnis einer Prüfung der technisch komplexen Grundlagen und Abwägungsfragen. In der Sache handelt es sich vielmehr um eine behördliche Warnung, die aber faktisch wie ein Nutzungsverbot mit beträchtlichen Auswirkungen für Nutzer und Anbieter wirkt. Wie sich die zur Warnung führende Prüfung vollzogen hat, ist nicht erkennbar. Unternehmen, die die Warnung nicht befolgen, müssen aber mit Bußgeldern von bis zu 4 Prozent des Jahresumsatzes rechnen.
Die Bewertung der Videokonferenzsysteme geht auch an der Realität vorbei. Unternehmen und Bildungseinrichtungen, aber auch Behörden und Gerichte nutzen diese Software vielfach mangels funktionstüchtiger und anwenderfreundlicher Alternativen für ihren spezifischen Anwendungszweck. Sie bemühen sich auf bestmögliche Weise und redlich, die Risiken durch Einstellungen so zu minimieren, dass der Einsatz zur Erfüllung der verfassungsrechtlichen Pflichten zu digitalem Büro- und Schulleben datenschutzrechtlich verantwortet werden kann.
Datenschutzrecht ist komplex
Natürlich ist die Frage des Datenschutzes hier rechtlich komplex. Nach einer Entscheidung des Europäischen Gerichtshofs (Schrems II) ist eine Übermittlung von Daten in die USA wegen der Kompetenzen der dortigen Sicherheitsbehörden und des mangelnden dortigen Rechtsschutzes in einem Verfahren aus Irland pauschal für unzulässig erklärt worden. In den Details ist aber vieles tatsächlich gar nicht geprüft.
Die Übermittlung von Daten kann nämlich systemtechnisch vielfach nicht ausgeschlossen werden. Eine Befolgung der Rechtsauffassung der Aufsichtsbehörden ist in der Praxis oft gar nicht umsetzbar. Spätestens dann, wenn man mit internationalen Partnern zu tun hat, stößt man an Grenzen. Anordnungen der Aufsicht, diese Videokonferenzsysteme nicht zu nutzen, würden Chaos verursachen.
EU-Strategie: Datenbinnenmarkt
Die Datenstrategie der Europäischen Union will auf Basis der DSGVO einen Binnenmarkt für Daten etablieren, von dem Gesellschaft, Staat, Wissenschaft profitieren sollen. So soll Europas Datenwirtschaft den Kampf mit den Tech-Giganten und Datenkraken aus aller Welt aufnehmen und gewinnen. Es geht um das Teilen von Daten und um den rechtssicheren Einsatz künstlicher Intelligenz. Auch das muss die DSGVO ermöglichen, wenn der Datenschutz den Fortschritt in der Digitalisierung nicht verhindern soll.
Die Datenschutzaufsichtsbehörden sind gut beraten, sich auf die Entwicklungsoffenheit der DSGVO zu besinnen. Deren Aufgabe ist es, Datenverkehr zu ermöglichen. Denn, so heißt es in deren Art. 1: "Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden." An dieser Richtschnur der Ermöglichung von Datenaustausch ist die Anwendung der DSGVO zu messen.
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.