Innerhalb der Bundesregierung wurde die Internettauglichkeit des Regelwerks bisweilen in Zweifel gezogen.
Datenschutzrechtliche Herausforderungen, die aus dem Cloud Computing, sozialen Netzwerken, der Datenverarbeitung durch mobile Verarbeitungssysteme (so genannte Wearables), durch Big-Data-Auswertungen und umfassende Profilbildungen (Profiling) erwachsen, würden - so die Kritik - durch die DSGVO nur unzureichend
erfasst. Bewährte Rechtsinstrumente wie die Einwilligung und die Transparenzvorschriften müssten einerseits
in Frage gestellt werden. Andererseits bedürfe es zusätzlicher Schutzmechanismen, möglicherweise aber auch
ganz neuer Ansätze.
Dieser Kritik kann ich mich nicht anschließen. Schon heute sind Phänomene wie das Cloud Computing oder Big
Data datenschutzrechtlich beherrschbar und datenschutzkonform einsetzbar, wenn auch unter strengen datenschutzrechtlichen Vorgaben. So lässt sich Cloud Computing innerhalb der EU auf der Grundlage der Auftragsdatenverarbeitung, außerhalb der EU mit den Regelungen zum Drittstaatentransfer abbilden. Big-Data-Anwendungen können bei Beachtung der Grundsätze der Zweckbindung, der Erforderlichkeit und Datensparsamkeit,
der Verhältnismäßigkeit, der Transparenz, des technologischen Datenschutzes und mit den Methoden der
Pseudonymisierung und Anonymisierung auch ohne Einwilligung der Betroffenen rechtskonform ausgestaltet
werden. Die bereits jetzt bestehenden zentralen Prinzipien des Datenschutzrechts wie die Autonomie des Einzelnen, die Transparenz, die Zweckbindung und das Prinzip von Relevanz und Erforderlichkeit können daher einen
wirksamen Schutz gewährleisten und sichern die allseits erwünschte und auch notwendige Technikneutralität
des Datenschutzrechts. Denn angesichts der Innovationsgeschwindigkeit wäre es kurzsichtig, jede technologische Neuerung separat im Datenschutzrecht regeln zu wollen. Die grundsätzlichen Prinzipien des Datenschutzes
müssen daher auch für die internetbasierte Datenverarbeitung gelten.
Das Argument der mangelnden Internettauglichkeit wird bisweilen aber nicht wegen fehlender Schutzmechanismen des Datenschutzrechts, sondern - im Gegenteil - wegen der angeblich zu hohen datenschutzrechtlichen
Hürden angeführt. Das europäische Datenschutzrecht sei ein Wettbewerbshindernis auf dem digitalen Markt,
weil es heimischen Unternehmen untersage, was Unternehmen in Drittstaaten - namentlich führenden US-Konzernen - erlaubt sei. Auch diese Argumentation überzeugt mich gleich aus mehreren Gründen nicht. Zum einen
werden wegen des in der DSGVO vorgesehenen Marktortprinzips, das auch Unternehmen aus Drittstaaten europäischem Datenschutzrecht unterwirft, wenn diese auf dem europäischen Markt Waren und Dienstleistungen anbieten, in Europa gleiche Wettbewerbsbedingungen bestehen. Zum anderen darf es nicht der Anspruch eines
ambitionierten europäischen Datenschutzrechts sein, Big-Data-Auswertungen oder andere Datenverarbeitungen
durch Absenkung der rechtlichen Anforderungen zu legitimieren, nur weil diese technisch möglich sind. Das
Recht hat nicht der Technik zu folgen, sondern die Aufgabe, angemessene Rahmenbedingungen für technische
Entwicklungen zu setzen. Daher lehne ich einen risikobasierten Ansatz ab, bei dem nur besonders risikobehaftete Datenverarbeitungen dem Regime des Datenschutzrechts unterworfen werden sollen (vgl. Nr. 1.2.3).
Dagegen teile ich die Auffassung der Bundesregierung, dass die Anforderungen an die Bildung von Profilen
bislang nicht ausreichend in der DSGVO niedergelegt sind, auch wenn es sich angesichts der zahlreichen Ein satzszenarien von Nutzer-, Verhaltens-, Bewegungs- und sonstigen Persönlichkeitsprofilen sicherlich nicht um
ein rein internetspezifisches Problem handelt. Eine Reglementierung darf sich insbesondere nicht allein auf die
nachteiligen Folgen einer Entscheidung beschränken, die auf der Basis des Profilings getroffen wurde. Vielmehr
muss früher, nämlich bereits bei der Profilbildung selbst angesetzt werden. Während der Vorschlag der Europäischen Kommission nur „auf Profiling basierende Maßnahmen“ erfasst, die weder rein automatisiert sein noch
rechtliche Wirkungen oder maßgeblich Beeinträchtigungen entfalten dürfen, enthält der Vorschlag des Europäischen Parlaments bereits deutliche Verbesserungen. Allerdings soll das grundsätzliche Verbot des Profilings
nach dem Willen des Parlaments nur gelten, wenn die Profilbildung „Maßnahmen zur Folge hat, durch die sich
rechtliche Konsequenzen für die betroffene Person ergeben, oder die ähnlich erhebliche Auswirkungen auf die
Interessen, Rechte oder Freiheiten der betroffenen Personen hat“. Im Rat zeichnet sich bislang zu dieser Frage
noch kein klares Bild ab. Daher unterstütze ich das Anliegen der Bundesregierung, die Profilbildung unabhängig davon zu regeln, unter welchen Anforderungen eine nachgelagerte Entscheidung auf der Basis dieser Profilbildung - etwa die Entscheidung gegen den Abschluss eines Vertrags - erfolgen darf.
BfDI 25. Tätigkeitsbericht 2013-2014
– 33 –