EU-DSGVO und Cloud Computing: EU-Datenschutz-Grundverordnung verfehlt alle Ziele

Die jüngst in Kraft getretene Datenschutz-Grundverordnung der EU ist weitgehend wirkungslos. Das ist das Ergebnis einer rechtswissenschaftlichen Untersuchung der Universität Kassel. Viele aktuelle Herausforderungen, etwa durch Social Media oder Cloud Computing, würden ignoriert. Weil die Abgrenzung zu deutschem Recht unscharf ist, werde die Rechtslage in Deutschland unübersichtlicher und möglicherweise sogar schlechter. Für Juristen und Datenschützer bietet die Studie aber auch einen Wegweiser durch die verworrenere Rechtslage und sie trägt somit zu Rechtssicherheit bei.

Die Datenschutz-Grundverordnung der Europäischen Union gibt EU-weit Regeln für die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen vor. Die Verordnung ist zum 25. Mai 2016 in Kraft getreten und wird zwei Jahre später in allen Mitgliedstaaten unmittelbar gelten. Sie verfolgt drei Ziele: Zum einen will sie das Datenschutzrecht europaweit vereinheitlichen, zum anderen für gleiche wirtschaftliche Bedingungen in der Union sorgen und damit den Binnenmarkt stärken und drittens den Datenschutz angesichts der Herausforderungen der technischen Entwicklung modernisieren und die Grundrechte besser schützen.

Doch weil die Verordnung zu abstrakt sei und zu viele Ausnahmen mache, erreiche sie kein einziges dieser Ziele, so Prof. Dr. Alexander Roßnagel, Leiter der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) der Universität Kassel. Mit seinem Team hat er die Verordnung in den vergangenen Monaten intensiv untersucht. Das Ergebnis der Untersuchung liegt nun vor.

Die Gründe für das Versagen der Verordnung:

  • Die Verordnung enthält mehr als 70 Öffnungsklauseln, die es den Mitgliedstaaten ermöglichen, bestehende Datenschutzregeln beizubehalten oder neue zu erlassen. Dadurch komme es in allen Mitgliedstaaten zu unterschiedlichen Regelungen.
  • Die Verordnung enthält zu vielen Fragen nur sehr abstrakte Antworten; dadurch würden Wirtschaft, Behörden und Gerichte in jedem Mitgliedstaat die Regelung sehr unterschiedlich anwenden.
  • Schließlich sind die Regelungen so technikneutral, dass sie die Risiken der Informationstechnik nicht ausreichend erfassen: „Alle modernen Herausforderungen für den Datenschutz wie Soziale Netzwerke, Big Data, Suchmaschinen, Cloud Computing, Ubiquitous Computing und andere Technikanwendungen werden vom Text der Verordnung ignoriert“, kritisiert Roßnagel.

Aber damit nicht genug: Die Datenschutz-Grundverordnung verfehlt laut Untersuchung nicht nur ihre Ziele, sondern verstärkt noch die ohnehin hohe Rechtsunsicherheit in praktischen Fragen des Datenschutzrechts. Sie wird ab dem 25. Mai 2018 in allen Mitgliedstaaten unmittelbar gelten und dann Teil der jeweiligen nationalen Rechtsordnung sein. „Allerdings hebt sie das deutsche Datenschutzrecht nicht auf“, so Roßnagel, der an der Universität Kassel das Fachgebiet Öffentliches Recht mit Schwerpunkt Recht der Technik leitet. „Dieses gilt grundsätzlich fort, ist aber im Fall eines Widerspruchs zur Verordnung nicht mehr anwendbar.“ Um die Lage noch komplizierter zu machen, gilt deutsches Recht in bestimmten Fällen jedoch trotzdem, wenn nämlich deutsche Regelungen die DGSVO präzisieren, konkretisieren oder ihnen zur Durchsetzung verhelfen. Zusätzlich wird die rechtliche Situation noch durch die über 70 Öffnungsklauseln verkompliziert – Roßnagels Fazit: „In vielen Fällen wird unklar oder gar strittig sein, welche Regelung im Einzelfall anwendbar ist“.

Um hier Klarheit zu schaffen, leisten die Kasseler Datenschutz-Juristen selber Hilfestellung. In ihrer Studie gehen sie alle relevanten Anwendungsbereiche – Verwaltung, Beschäftigungsverhältnisse, Wissenschaft und Forschung, Statistik und Archivierung, Presse und Medien, Telekommunikation und Internet, Gesundheit und soziale Sicherheit und freie Berufe – Schritt für Schritt durch und klären, wo jeweils EU-Regelungen und wo deutsches Recht anzuwenden sind. Die Untersuchung gibt Juristen und Datenschützern somit einen Wegweiser durch die komplizierte Lage und trägt zur Rechtssicherheit bei.

Die Kasseler Juristen appellieren zugleich an den deutschen Gesetzgeber, die unübersichtliche Gemengelage aus neuen europäischen Regelungen und weitergeltendem deutschem Recht aufzulösen. „Hier muss der deutsche Gesetzgeber neue angepasste Regelungen treffen“, fordert Roßnagel. „Die Ergebnisse unserer Studie sind zugleich Empfehlungen, wie diese klärenden Regelungen aussehen sollten: Sie sollten – soweit möglich – das Datenschutzniveau in Deutschland wahren und notwendige Umstellungen bei allen Beteiligten reduzieren. Außerdem sollten sie Lücken und Schwachstellen der Verordnung ausgleichen und das Datenschutzrecht auf die neuen Risiken der modernen Informationstechnik einstellen.“

Literaturtipp: Alexander Roßnagel (Hrsg.), Europäische Datenschutz-Grundverordnung – Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, Nomos Verlag, Baden-Baden 2016, 342 S.

1 Gedanke zu „EU-DSGVO und Cloud Computing: EU-Datenschutz-Grundverordnung verfehlt alle Ziele“

  1. Pingback: Homepage

Schreibe einen Kommentar

*