3. Die Datenschutzgrundverordnung (DSGVO)

Als BDSG-neu besteht ein neu gefasstes BDSG, das weiterhin den auf nationaler Ebene durch die DSGVO nicht bedienten Regelungsbedarf abdeckt sowie u. a. Öffnungsklauseln der DSGVO ausfüllt (Weth/Sorge 2019: 15).

Die 1970 erfolgte Einführung des Datenschutzbegriffs in die Gesetzessprache lässt sich zudem als Erklärungsansatz für die häufig nicht trennscharf vorgenommene Unterscheidung zwischen Datenschutz und Datensicherheit anführen. So umfasst der eigentliche Begriff des Datenschutzes nicht den Schutz von Daten, sondern den Schutz desjenigen, dem die Daten gehören: „Sie [die Datenschutzregelungen] hatten […] vornehmlich den Schutz der Datenverarbeitung vor unbefugten Eingriffen zum Gegenstand, fokussierten sich also nach heutiger Terminologie auf die Datensicherheit“ (von Lewinski 2012: 29). Auf die Verständnisproblematik des Datenschutzbegriffs weist auch Weinert hin: „Der Begriff ‚Datenschutz‘ […] kann als Begriff insofern missverständlich sein, als das Objekt des rechtlichen, organisatorischen und technischen Schutzes nicht Daten, sondern Menschen sind, die ‚Betroffenen‘ bzw. ‚betroffenen Personen‘, auf die sich Daten beziehen“ (Weichert 2018: 1375).

Im März 2018 wurde bekannt, dass Daten von Facebook-Nutzern unrechtmäßig an die Datenanalyse-Firma Cambridge Analytica weitergegeben wurden. Dies erfolgte über den Entwickler einer Umfrage-App, der Daten von Facebook-Nutzern unrechtmäßig an die Datenanalyse-Firma weiterleitete. Involviert waren nicht nur die Daten von rund 300.000 Umfrageteilnehmern, sondern auch die Daten ihrer Facebook-Freunde. Der Skandal stürzte Facebook 2018 in eine schwere Krise (Redaktion beck-aktuell 2018).

Für einen Überblick über den Datenschutz in der EU siehe Hijmans/Langfeldt 2012.

In diesem Zusammenhang gilt es aber auch, auf das zum 1. Dezember 2021 in Kraft getretene Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) hinzuweisen. Dieses soll eine Anpassung der Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die Vorgaben der DSGVO erreichen sowie eine rechtssichere Umsetzung der ePrivacy-Richtlinie aus dem Jahr 2002 gewährleisten (Gierschmann 2023: 22).

Die in Abbildung 3.2 dargestellten Daten beziehen sich auf das jeweilige Datum der Gesetzesverabschiedung.

Von Lewinski spricht in diesem Zusammenhang von „Staatsskepsis“ und verortet deren Beginn in den 1960er-Jahren (von Lewinski 2012: 28).

Nach diesem Privatsphärenkonzept liegt eine „Verletzung der Privatsphäre […] immer dann vor, oder besteht darin, dass Informationen aus einem sozialen Kontext in einen anderen gelangen, für den sie nicht bestimmt sind. Umfassende digitale Beobachtung, zentrale Speicherung und virtuelle Diffusion von Daten sind vor diesem Hintergrund ein großes Risiko für die Privatsphäre“ (Baumann 2015: 11).

Die Ergebnisse des interkulturellen Ländervergleichs werden mithilfe von Punkten (1–100) dargestellt, wobei die Ausprägung eines Dimensionsmerkmals mit steigendem Wert zunimmt.

Die in der vorliegenden Arbeit präsentierten und diskutierten Änderungen stellen keine abschließende Darstellung DSGVO-induzierter verbraucherrelevanter Änderungen im Datenschutz dar. Es handelt sich vielmehr um eine kriteriengeleitete Auswahl, in der diejenigen Änderungsinhalte berücksichtigt werden, die zu den in der betroffenen- bzw. verbraucherspezifischen Literatur zur DSGVO prominent diskutierten Änderungsinhalten gehören.

Die dreigliedrige Unterteilung ist nicht als trennscharfe Kategorisierung zu verstehen, sondern als inhaltliche Differenzierung der verwendeten Auswahlkriterien, was ein Überlappen von Inhalten nicht ausschließt. Vor diesem Hintergrund lassen sich die thematisierten verbraucherrelevanten Änderungen, in einigen Fällen, mehreren Bereichen gleichzeitig zuordnen.

Die in Art. 83 DSGVO deutlich verschärften Sanktionen forcieren z. B. bei Unternehmen intensivierte Compliance-Bestrebungen, was einen erhöhten Schutz personenbezogener Daten nach sich zieht – ein aus Sicht des Datenschutzes positiv zu bewertender Effekt, von dem in letzter Konsequenz auch Verbraucher profitieren.

Zwar stellt das in Art. 15 Abs. 3 geschaffene Recht auf Erhalt einer Kopie auch ein neues Betroffenenrecht dar. Dieses ist aber stark mit dem grundsätzlichen Auskunftsrecht verknüpft und flankiert dieses, während das Recht auf Datenübertragbarkeit ein vollständig eigenständiges Betroffenenrecht darstellt. Diese Unterscheidung lässt sich im Verordnungsaufbau nachzeichnen. So wird dem Recht auf Datenübertragbarkeit in der DSGVO mit Art. 20 ein eigenständiger Artikel gewidmet, währen das Recht auf Erhalt einer Kopie in einem Absatz zum Auskunftsrecht der betroffenen Person (Art. 15 Abs. 3 DSGVO) geregelt wird. Als „vollständig neues Betroffenenrecht“ wird im Folgenden daher lediglich das Recht auf Datenübertragbarkeit in Art. 20 DSGVO verstanden (zur grundsätzlichen Differenzierung der Implikationen von Art. 15 Abs. 3 und Art. 20 DSGVO siehe Brink/Joos 2019: 484).

Interessanterweise wurde die Bezeichnung „Recht auf Vergessenwerden“ unmittelbar nach Fällen des EuGH-Urteils mit diesem in Verbindung gebracht, obwohl der oberste Gerichtshof diesen Ausdruck im Urteil niemals gebraucht hatte (Herbst 2020a: 67).

Auf die Umsetzungsherausforderungen, die sich aus Art. 17 DSGVO im digitalen Informationszeitalter ergeben, verweisen z. B. Martini und Weinzierl, die anhand der Block-Chain-Technologie eine Grundsatzproblematik aufzeigen, die sie selbst als „Dilemma zwischen funktional unmöglichem Vergessen-Können und einem datenschutzrechtlich geforderten Vergessen-Müssen“ (Martini/Weinzierl 2017: 1251) beschreiben.

In ihrem Beitrag diskutieren Koreng und Feldmann zudem das Spannungsfeld zwischen Datenschutz und Meinungs- bzw. Pressefreiheit, das aus Art. 17 DSGVO resultiert.

Art. 4 Nr.5 DSGVO steht stellvertretend für den hohen Stellenwert, den die DSGVO der Pseudonymisierung als technisch-organisatorische Maßnahme insgesamt zuweist.

Roßnagel führt an, dass sich das Marktortprinzip in Art. 3 Abs. 2 lit. a DSGVO wiederfinde, nicht aber in Art. 3 Abs. 2 lit. b, was er als Aufenthaltsprinzip beschreibt (Roßnagel 2019a: 468).

Siehe hierzu bspw. die von der DEK empfohlene „Erarbeitung branchenbezogener Verhaltensregeln und Standards betreffend Datenformate“ (DEK 2019: 21).

Für die Privacy-by-Design-Prinzipien (The 7 Foundational Principles) siehe Cavoukian 2011.

Die verbraucherrelevanten Implikationen der Privacy-by-Design-Maßnahmen nach Art. 25 Abs. 1 DSGVO werden in Abschnitt 4.​4.​2 vor dem Hintergrund einer Einordnung der Regulierungspotentiale der DSGVO hinsichtlich der Adressierung von Dark Patterns näher betrachtet.

Auf den Status Quo Bias und seine Implikationen für das Datenschutzverhalten von Verbrauchern wird in Abschnitt 4.​2 näher eingegangen.

Dass sich Art. 35 gemäß der dargestellten inhaltlichen Auslegung auf Datenverarbeitungen beschränkt, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen nach sich ziehen, verweist zudem auf die anzupassende Skalierbarkeit bestehender Risiken, sodass eine Einteilung in „geringfügig“ oder „überschaubar“ (siehe DSK 2018b: 4) unwahrscheinlich bzw. unangemessen erscheint.

Dass „das Kollektiv“ Verbraucher als Interessengruppe stark prägt und durchaus auch zu Schwierigkeiten im Hinblick auf die Interessensvertretung von Verbrauchern führt, wird im weiteren Verlauf des vorliegenden Kapitels in den Ausführungen zu Art. 80 Abs. 1 DSGVO eingehender thematisiert.

Auf Art. 43 DSGVO wird nicht näher eingegangen, da sich dieser mit den Anforderungen an Zertifizierungsstellen und deren Akkreditierung befasst und damit nicht primär die Betroffenenperspektive tangiert.

In diesem Zusammenhang sieht die DSGVO auch neue Pflichten für die Aufsichtsbehörden vor. Nach Art. 57 Abs. 2 DSGVO hat jede Aufsichtsbehörde das Einreichen von Beschwerden „durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden“, zu erleichtern (Art. 57 Abs. 2 DSGVO). Roßnagel bemerkt hierzu: „Eine Pflicht, innerhalb vorgegebener Fristen eine Beschwerde zu bearbeiten, ist für die Aufsichtsbehörde neu. Sie ist in dieser Ausformung in der Datenschutz-Richtlinie und im deutschen Datenschutzrecht nicht bekannt“ (Roßnagel 2017a: 37).

Die Art. 80 Abs. 1 DSGVO positiv verortenden Ausführungen in Bezug auf den verbraucherrelevanten Mehrwert des Artikelabsatzes unterstreichen noch einmal, warum es aus Verbrauchersicht bedauernswert ist, dass es sich bei Art. 80 Abs. 2 DSGVO um eine Öffnungsklausel handelt.