DSGVO feiert Geburtstag – und gibt Lücken preis

Am 25. Mai 2021 feiert die Datenschutz-Grundverordnung (DSGVO) ihren dreijährigen Geburtstag. In dem Bericht “Drei Jahre unter der DSGVO” hat die Non-Profit-Organisation Access Now, die sich für die Verteidigung der digitalen Bürgerrechte einsetzt, nun mehrere Haupthindernisse bei der Durchsetzung des Gesetzes untersucht und festgestellt.

1. Das Problem der Auslegung

Gesetze sind in der Regel in abstrakter Rechtssprache verfasst, deren Umsetzung erst nach der Ermittlung der genauen Bedeutung angegangen werden kann. Diese “Ermittlung” ist ein Art von Interpretationsprozess, den man als “Auslegung” bezeichnet.

In Deutschland knüpft man dabei an Friedrich Carl von Savignys System der juristischen Hermeneutik an, die dafür vier Elemente in sich vereint (Schübel-Pfister, 2004, 124 – 132): Während beim grammatischen Element der Auslegung der natürliche Sinn der Worte im unmittelbaren Zusammenhang des Satzes zu ermitteln ist, umfasst die systematische Auslegung den Einbezug naheliegender Gesetze. Die teleologische Auslegung sucht indessen nach dem Sinn und Zweck des Gesetzes, während das historische Element der Auslegung auf die historischen Gründe für die Schaffung einer Norm abzielt.

Nun hat aber jedes Land eigene Formen der Auslegung: Während beispielsweise im angloamerikanischen Raum traditionell der Wortlaut eine größere Rolle bei der Auslegung spielt, umfasst die Interpretation nach französischem Verständnis auch die Lückenfüllung und Rechtsfortbildung (Schübel-Pfister, 2004, 125). Somit ist es möglich, dass Juristen aus anderen Ländern auf unterschiedliche Interpretationen eines Gesetzes kommen. Da bereits der Begriff der Auslegung selbst auslegungsfähig ist, kann selbst der Europäische Gerichtshof, der nach dem Vertrag zur Gründung der Europäischen Gemeinschaft (kurz EGV) ” ‘die Wahrung des Rechts bei der Auslegung und Anwendung’ ” zu sichern hat, zu keinem einheitlichen Ergebnis gelangen (Schübel-Pfister, 2004, 126).

Obwohl die DSGVO Erwägungsgründe sowie Begriffsbestimmungen in Artikel 4 beinhaltet, die zur Unterstützung bei der Auslegung herangezogen werden können, haben auch die Aufsichtsbehörden dieses Problem bemerkt. Laut dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit sind sie daher an der Erarbeitung von “Leitlinien und Empfehlungen für die Auslegung und Umsetzung der neuen Rechtsvorschriften im Europäischen Datenschutzausschuss” (übersetzt aus dem Englischen; GDPR evaluation after two years – Take the opportunity for changes! (2020), The Hamburg Commissioner for Data Protection and Freedom of Information)

2. Das Problem der praktischen Umsetzung

Für die Durchsetzung der Regelungen der DSGVO sind die nationalen Datenschutzbehörden zuständig. Im Zeitraum von Mai 2018 bis März 2021 wurden insgesamt 278.549.188 Euro von den Datenschutzbehörden an Geldbußen und Sanktionen verhängt (Access Now, S. 2) – fast die Hälfte dieser Strafen belief sich gegen Technologieunternehmen und Telekommunikationsbetreiber (Access Now, S. 6).

Neben einer großen Diskrepanz zwischen der Art und Weise, wie Datenschutzbehörden in verschiedenen Mitgliedsstaaten ihre Befugnisse nutzen (Access Now, S. 2), haben die Behörden auch erhebliche Probleme mit der Durchsetzung der DSGVO in grenzüberschreitenden Fällen (Access Now, S. 3). Gründe hierfür sind unter anderem die Verwendung unzureichender Kommunikationsmittel sowie die Unvereinbarkeit nationaler Verfahren (Access Now, S. 3). Letzteres kann beispielsweise dazu führen, dass eine Behörde einen Fall für ungültig erklärt, während eine andere dies nicht tut.

Zusätzlich kommt hinzu, dass sich jeweils die Datenschutzbehörde in dem Land, in dem sich auch die Hauptniederlassung eines Unternehmens befindet, zur “federführenden Behörde” entwickelt und somit für alle Beschwerden im Zusammenhang mit diesem Unternehmen verantwortlich ist (Access Now, S. 13). Ein bekanntes Beispiel hierfür ist das Unternehmen Facebook, das seine Hauptniederlassung in Irland registriert hat und jede Untersuchung gegen das Unternehmen somit von der irischen Datenschutzbehörde geleitet werden muss (Access Now, S. 13). Dieses System führt jedoch meistens zu Überlastungen einzelner Datenschutzbehörden und immer noch zu Unklarheiten darüber, wer einen Fall leiten sollte.

Prof. Dr. Dieter Kugelmannm, seit 2015 Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, sagt in einem Interview mit Netzpolitik auch, dass die “größte Baustelle […] in der Tat eine effektive und europaweit einigermaßen harmonisierte Durchsetzung” ist.

Obwohl in Europa mit der DSGVO also eine gute Gesetzesgrundlage für den Datenschutz gegeben ist, muss die Umsetzung der Gesetze noch verbessert werden. Einheitliche Regelungen und Kommunikationskanäle wären wohl ein Anfang. Ebenfalls darf die Ausweitung der Gesetze nicht fehlen, um eine verfestigte Rechtsgrundlage beim Vorgehen gegen Unternehmen zu haben.