Seit ein paar Monaten reden plötzlich alle über Datenschutz, konkret über europäischen Datenschutz in Gestalt einer Verordnung, die offenbar alles und jeden betrifft und, seit sie verbindlich geworden ist, für flächendeckende Verunsicherung gesorgt hat. Datenschutz als eine technische Angelegenheit, die sich in irgendwelchen, nur selten gelesenen Erklärungen und Bestimmungen verborgen hatte, die wir als Nutzer digitaler Anwendungen bereitwillig weggeklickt haben, ist plötzlich zu einem Vieles bestimmenden und verändernden politischen Thema geworden. Wenn es noch einer Illustration der Durchgriffswirkung europäischer Gesetzgebung bedurft hat, dann ist die EU-Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 verbindlich geworden ist und in deren Folge nicht nur die Nutzer/-innen digitaler Angebote in den vergangenen Wochen eine lange Reihe ähnlich lautender Benachrichtigungen und E-Mails erhalten und manchen veränderten Startbildschirm beliebter Anwendungen vorgefunden haben, ein hervorragendes Beispiel.

Beitrag in PDF-Form577 KB

link

Die DSGVO macht auch nicht alles neu, sondern sie knüpft in wesentlichen Teilen an bestehendem europäischen und nationalen Datenschutzrecht an. Wolf J. Schünemann argumentiert, dass das neue Datenschutzrecht in der Substanz nicht revolutionär ist, womöglich aber in seiner Wirkung, weil die wesentlichen Grundsätze an das digitale Zeitalter angepasst werden und die Rahmenbedingungen für die Rechtsdurchsetzung erheblich verbessert werden.

Regeln für die vernetzte Welt? – die EU-Datenschutzgrundverordnung in der Analyse

Autor

Prof. Dr. Wolf J. Schünemann ist Juniorprofessor für Politikwissenschaft mit dem Schwerpunkt Politik und Internet an der Universität Hildesheim. Zu seinen Forschungsschwerpunkten gehören die internationale Regulierung des Internets und Cybersicherheit. Weitere Forschungsinteressen sind europapolitische Fragen, insbesondere der demokratische Konflikt in und über Europa.

Plötzlich Datenschutz – wie die DSGVO über uns gekommen ist

Seit ein paar Monaten reden plötzlich alle über Datenschutz, konkret über europäischen Datenschutz in Gestalt einer Verordnung, die offenbar alles und jeden betrifft und, seit sie verbindlich geworden ist, für flächendeckende Verunsicherung gesorgt hat. Datenschutz als eine technische Angelegenheit, die sich in irgendwelchen, nur selten gelesenen Erklärungen und Bestimmungen verborgen hatte, die wir als Nutzer digitaler Anwendungen bereitwillig weggeklickt haben, ist plötzlich zu einem Vieles bestimmenden und verändernden politischen Thema geworden. Wenn es noch einer Illustration der Durchgriffswirkung europäischer Gesetzgebung bedurft hat, dann ist die EU-Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 verbindlich geworden ist und in deren Folge nicht nur die Nutzer/-innen digitaler Angebote in den vergangenen Wochen eine lange Reihe ähnlich lautender Benachrichtigungen und E-Mails erhalten und manchen veränderten Startbildschirm beliebter Anwendungen vorgefunden haben, ein hervorragendes Beispiel. Zugleich stellt sie einen historischen Meilenstein und normativen Grundstein für die europäische Netzpolitik dar, ein Politikfeld, das sich aus guten Gründen derzeit auch und in besonderem Maße auf europäischer Ebene entwickelt (Bendiek / Berlich / Metzger 2015) und dort, wie ich weiter unten argumentieren werde, gut aufgehoben ist. Dennoch bildet die breite Verunsicherung, die die Regulierung hervorgerufen hat, freilich einen Nährboden für die Mobilisierung EU-kritischer Diskurse mit vielen ihrer bekannten Elemente des Brüsseler „Bürokratiemonsters“, der „Regulierungsorgie“, der „Bürgerferne“ etc. In dieses Horn stieß in Deutschland etwa die drastische Kritik der AfD-Fraktion anlässlich einer Aktuellen Stunde zum Thema, die am 7. Juni 2018 auf Verlangen der Fraktion im Deutschen Bundestag durchgeführt worden ist (Plenarprotokoll 19/36: 3407ff.).

Schon die ersten Zwischenrufe aus den Reihen der SPD wiesen auf den Umstand hin, dass die umstrittene Verordnung nicht etwa Ende Mai 2018, sondern zwei Jahre zuvor in Kraft getreten war, allerdings eine Umsetzungsfrist von 24 Monaten vorgesehen hatte. Bereits der Eindruck also, dass die EU-DSGVO plötzlich über uns gekommen sei, zeugt von mangelnder Kenntnis der Materie. Dieser Beitrag wird die über ein Jahrzehnt währende Genese der Gesetzgebung sowie die Hintergründe und Motive für die EU-DSGVO beleuchten (1). Im Zentrum steht das Verständnis von Datenschutz als Grundrechtschutz, der einer zeitgemäßen Modernisierung bedurft hat, um mangels Durchsetzungschancen nicht bedeutungslos zu werden. Die DSGVO macht auch nicht alles neu, sondern sie knüpft in wesentlichen Teilen an bestehendem europäischen und nationalen Datenschutzrecht an. In Abschnitt 2 werden die tradierten und die innovativen Normen und Instrumente vorgestellt, die durch das EU-Gesetz (re-)formuliert werden. Alles in allem möchte ich argumentieren, dass das neue Datenschutzrecht in der Substanz nicht revolutionär ist, womöglich aber in seiner Wirkung, weil die wesentlichen Grundsätze an das digitale Zeitalter angepasst werden und die Rahmenbedingungen für die Rechtsdurchsetzung erheblich verbessert werden. Mehr noch, es besteht sogar die Chance, über den EU-Rahmen hinaus, die Regeln für die Welt auf diesem Feld maßgeblich zu beeinflussen. In Abschnitt 3 soll abschließend insbesondere auf die potentielle Strahlkraft des europäischen Datenschutzrechts hingewiesen werden. In diesem Zusammenhang stellt sich die angesichts illiberaler Tendenzen innerhalb und außerhalb Europas bedeutende Frage, ob es der EU als globaler Normunternehmerin gelingt, internationale Standards zu setzen und somit womöglich mittelbar das Schutzniveau von Menschen weltweit gegenüber zügelloser Verarbeitung personenbezogener Daten zu erhöhen.

Gar nicht so plötzlich – die Hintergründe und Entwicklung der Datenschutzgrundverordnung

Datenschutz ist Grundrechtsschutz. Diese Gleichung gilt seit Jahrzehnten in einem immer größeren Teil der Welt, insbesondere aber in Europa. Hier hat das moderne Datenschutzrecht gewissermaßen seine Ursprünge. In den 1970er Jahren hat der Europäische Gerichtshof für Menschenrechte eine Rechtsprechung entwickelt, die aus dem in Art. 8 der Europäischen Menschenrechtskonvention (EMRK) formulierten Recht auf Privatleben den grundrechtlichen Schutz für personenbezogene Daten abgeleitet hat. Diese Deutung ist durch die Europäische Datenschutzkonvention (Nr. 108) des Europarates festgehalten und verbrieft worden. Das erste Datenschutzgesetz der Welt gab sich schon 1970 das Bundesland Hessen. Schweden machte 1973 auf nationaler Ebene den Anfang. Es folgte eine Reihe europäischer Nationalstaaten (Greenleaf 2013). In seinem berühmten Volkszählungsurteil hob das Bundesverfassungsgericht in Deutschland den Datenschutz 1983 als Recht auf informationelle Selbstbestimmung auf Grundrechtsniveau (Busch / Jakobi 2011). Auf EU-Ebene wurden die in der Konvention 108 verbrieften Datenschutzstandards 1995 im Rahmen einer Datenschutzrichtlinie (95/46/EG) in das Sekundärrecht integriert. Datenschutz wurde später auch Teil der Europäischen Grundrechtecharta. Die im Jahr 2000 verabschiedete Charta enthält in ihrem Art. 8 das Grundrecht auf Schutz personenbezogener Daten. Mit dem Vertrag von Lissabon, der die Gründungsverträge der EU reformierte und 2009 in Kraft trat, wurde die Grundrechtecharta zwar nicht in das Vertragswerk integriert, aber doch für rechtsverbindlich erklärt. Zudem greift der Vertrag über die Arbeitsweise der EU die grundlegende Norm in Artikel 16 ausdrücklich auf und überträgt die Rechtsetzungskompetenz auf die EU-Ebene (Albrecht / Jotzo 2017: 37, 44). Damit kam dem europäischen Gesetzgeber die Aufgabe zu, wirksame Maßnahmen zum Schutz des darin formulierten Grundrechts zu ergreifen. Die Kommission leitete daraus ihren Auftrag ab, ein neues Datenschutzgesetz für die EU zu entwerfen, das den Anforderungen des digitalen Zeitalters gewachsen sein würde. Tatsächlich hatten sich die Herausforderungen für den Datenschutz seit dem Inkrafttreten der ebenfalls für das internationale Datenschutzrecht wegweisenden Europäischen Datenschutzrichtlinie (DS-RL) aus dem Jahr 1995 (Newman 2008; Ripoll Servent 2017) wesentlich verändert. Weit stärker als zuvor hat sich der Regelfall der Verarbeitung personenbezogener Daten unter den Bedingungen der fortschreitenden Digitalisierung und in Zeiten von sozialen Netzwerken, personalisierter Online-Suche und Big Data von den Informationsasymmetrien zwischen Staat und Bürger zu denjenigen zwischen Unternehmen und Konsument verschoben (Baumann / Schünemann 2017). Nicht zuletzt dadurch greift die Regulierung viel weiter und direkter in die alltäglichen Nutzungsgewohnheiten der Menschen ein und hat spürbare Wirkungen auf ihr Konsumverhalten, als es in den Anfängen der Datenschutzgesetzgebung der Fall gewesen war.

Den wirksamen Schutz des Grundrechts auf Datenschutz zu gewährleisten, war das ausdrückliche Kernanliegen der EU-Kommission. Daneben kam das Motiv zum Tragen, das Vertrauen in transnationale Datenflüsse als wesentliche Bedingung für das Funktionieren des digitalen Binnenmarkts zu stärken. Zudem rechnete die Kommission selbst mit der internationalen Strahlkraft ihrer Regulierung und setzte sich den expliziten Anspruch, internationale Standards im Bereich Datenschutz zu bestimmen. So betonte etwa die seitens der Kommission zuständige damalige Justizkommissarin Reding während des Rechtsetzungsprozesses immer wieder in ähnlicher Form: „Europe must act decisively to establish a robust data protection framework that can be the gold standard for the world. Otherwise others will move first and impose their standards on us“ (Reding 2014).

Um die potentielle Reichweite der Gesetzgebung wissend, hatte die Kommission seit 2010 in einem breit angelegten Konsultationsprozess zunächst viele Stakeholder eingebunden. Darüber hinaus rief das Rechtsetzungsvorhaben ein intensives Lobbying hervor, das über den gesamten Entscheidungsprozess nicht abriss. Anfang 2012 legte die Kommission ihren Entwurf vor. Im Paket mit der so genannten „Polizei-Richtlinie“¹ verhandelte der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) über den Entwurf. Unter Federführung des Berichterstatters Jan-Philipp Albrecht (ehemals MdEP, Bündnis 90/Die Grünen) wurde ein Bericht verfasst, der im Frühjahr 2013 zunächst in den Verhandlungen stecken blieb. Eine Rekordzahl von knapp 4.000 Änderungsanträgen war eingebracht worden und ein Kompromiss war zunächst nicht in Sicht (Dix 2013; Stupp 2016, 14 Apr). Die Enthüllungen des Whistleblowers Edward Snowden 2013 und das dadurch bei Parlamentariern aller Fraktionen sowie den Bürgern erheblich gesteigerte Bewusstsein für den Schutz personenbezogener Daten halfen, die Widerstände zu überwinden (Albrecht / Jotzo 2017: 41; Voss 2014: 20). Im März 2014 wurde der geänderte Entwurf des Parlaments mit übergroßer Mehrheit im Plenum bestätigt (621 Stimmen dafür, nur zehn dagegen, 22 Enthaltungen). Es dauerte in der Folge noch über ein Jahr, bis auch der Rat zu einer gemeinsamen Position gefunden hatte. Im Mai 2015 begannen die Trilog-Verhandlungen, die zu vergleichsweise rascher Kompromissfindung führten. Nachdem im Dezember 2015 eine Einigung erzielt worden war, konnte die DSGVO im April 2016 verabschiedet werden. Sie trat einen Monat später in Kraft (EU 2016/679). Es zeugt erneut von dem Bewusstsein um die große Reichweite der Gesetzgebung, dass eine für das Instrument der Verordnung sehr ungewöhnliche Umsetzungsfrist von zwei Jahren vorgesehen wurde. Nach fast zehn Jahren seit Beginn der Konsultationen und einer zweijährigen Phase des Übergangs und der Anpassung kamen die im vergangenen Mai verbindlich gewordenen Regeln also keineswegs überraschend. Und doch trafen sie viele Anbieter von Online-Diensten, aber auch Verantwortliche für die Datenverarbeitung in ganz anderen Kontexten, nicht zuletzt die Bürgerinnen und Nutzer offenbar unvorbereitet.

Gar nicht so neu – zu Substanz und Instrumenten der DSGVO

Ein wesentlicher Unterschied zu der zuvor gültigen Rechtslage besteht in der Wahl des Rechtsetzungsinstruments an sich. Anders als in den 1990ern wählte die Kommission bewusst das Instrument der Verordnung, um die nationalen Umsetzungsdifferenzen innerhalb der EU, die zu uneinheitlichen Datenschutzniveaus für die EU-Bürger und zu unfairen Wettbewerbsbedingungen für die datenverarbeitende Industrie geführt hatten, fortan zu vermeiden. Tatsächlich waren viele Bestandteile der EU-DSGVO auch schon zuvor geltendes europäisches Recht. Es haperte allein an der einheitlichen Umsetzung in der gesamten EU, einschließlich der abschreckenden Sanktionierung von Verstößen. Zu den tradierten Datenschutzgrundsätzen, die in das neue Datenschutzrecht übernommen und wo nötig an die neuen Umstände der Datenverarbeitung angepasst wurden, gehören: die informierte Einwilligung (Art. 6-8 EU-DSGVO), die Zweckbindung, die Datenminimierung, die Transparenz, die Richtigkeit, die Integrität und Vertraulichkeit der erhobenen Daten (Art. 5 EU-DSGVO). Gestärkt werden diese Rechte durch die Etablierung einer Rechenschaftspflicht bei dem für die Datenverarbeitung Verantwortlichen, der nachweisen muss, dass die Voraussetzungen für eine rechtmäßige Datenverarbeitung vorliegen, sowie das Kopplungsverbot, wonach es nicht gestattet ist, die Erfüllung eines Vertrags, also etwa eine digitale Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig zu machen, wenn diese Daten gar nicht für die vertraglich vereinbarte Dienstleistung benötigt werden, soll heißen: Es ist zum Beispiel nicht erlaubt, das Funktionieren eines Musikstreaming-Diensts davon abhängig zu machen, dass dieser zusätzlich die Kontakte des Nutzers oder seine Standortdaten auslesen kann.

Darüber hinaus enthält die DSGVO eine Reihe weiterer Bestimmungen, die besonders innovativ sind und als emergente Normen internationalen Datenschutzrechts anzusehen sind, auch wenn selbst sie partiell an existierendes Recht auf nationaler und/oder europäischer Ebene anknüpfen: das Recht auf Löschung, das Recht auf Datenportabilität, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Privacy by Design und Privacy by Default). Sie werden im Folgenden kurz einzeln beschrieben.

Recht auf Löschung (Art. 17 EU-DSGVO)

Das Recht auf Löschung hat in den vergangenen Jahren eine gleichsam schillernde Karriere gehabt, denn es wurde, ausgehend von der Begriffsbildung des Rechtswissenschaftlers Mayer-Schönberger als „Recht auf Vergessenwerden“ (“right to be forgotten”, Mayer-Schönberger 2009), von der Kommission aufgegriffen und in den ersten Entwurf für die Datenschutzgrundverordnung integriert. Im Jahr 2014 hat der EuGH in seinem wegweisenden Urteil im Vorabentscheidungsverfahren „Google vs. Spanien“ (C-131/12) das bestehende Datenschutzrecht (Grundrechtecharta und Datenschutzrichtlinie) im Sinne des Rechts auf Vergessenwerden ausgelegt, indem er Suchmaschinen wie Google verpflichtete, Löschanfragen von Betroffenen für Links zu an anderer Stelle veröffentlichten personenbezogenen Daten anzunehmen und im Sinne des Datenschutzrechts ggf. zu entsprechen (Azurmendi 2017).

Im Rahmen des Rechtsetzungsprozesses für die DSGVO wurde die mit dem Recht auf Vergessenwerden verbundene Vorstellung eines „digitalen Radiergummis“ allerdings als unrealistisch und in der Konsequenz womöglich irreführend kritisiert und schließlich weitgehend verworfen. Stattdessen spricht das Gesetz ausdrücklich nur vom Recht auf Löschung und formuliert das bereits zuvor bestandene Recht des Einzelnen besser aus, wonach eine betroffene Person von dem für die Datenverarbeitung Verantwortlichen die Löschung unrechtmäßig erhobener oder nicht länger notwendiger personenbezogener Daten verlangen kann. Allerdings ist in einem Klammerzusatz zum Titel des Artikels auch in Anführungszeichen das „Recht auf Vergessenwerden“ ergänzt. Auch greift der zweite Absatz des Artikels dessen innovative Idee zumindest insofern auf, als darin der Verantwortliche sogleich dazu angehalten wird, im Falle einer Löschung, auch die Entfernung von Links und Kopien bei Dritten zu erwirken.

Recht auf Datenübertragbarkeit (Art. 20)

Das Recht auf Datenübertragbarkeit ist zweifelsohne ein innovativer Bestandteil der EU-DSGVO. Es changiert zwischen einer datenschutz- und einer wettbewerbsrechtlichen Bestimmung, denn es definiert das Recht auf informationelle Selbstbestimmung so weitgehend, dass der betroffenen Person von einem Anbieter nicht nur Auskunft über die betreffenden personenbezogenen Daten erteilt werden müssen, sondern diese ihr auch in einem offenen Format zur Verfügung gestellt werden müssen. Damit werden die in der Internetökonomie vielfach bestehenden Lock-in-Effekte reduziert und die Souveränität des Konsumenten gestärkt. Dieser kann künftig beispielsweise mit seiner gesamten digitalen Identität und seinen gesammelten Daten von einem Anbieter eines sozialen Netzwerks oder eines Streamingportals zu einem anderen umziehen. Ähnlich wie im Bereich klassischer Telefonie-Anbieter soll der Umzug auf Wunsch der betroffenen Person gar direkt zwischen den Anbietern vorgenommen werden können.

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25)

Diese beiden unter den englischen Termen Privacy by design und Privacy by default viel diskutierten innovativen Prinzipien werden im Regelfall im Verbund genannt und sind auch in einem gemeinsamen Gesetzesartikel kodifiziert. Sie legen fest, dass der Verantwortliche alle technischen und organisatorischen Maßnahmen trifft, um bereits bei der Auswahl und beim Design von Hard- und Software die Datenschutzgrundsätze zu beachten. Insbesondere sind auch die Voreinstellungen, denen eine Anwendung also ohne weitere Einstellungen durch den Nutzer unterliegt, im Sinne maximaler Datensparsamkeit vorzunehmen. Jede darüber hinaus gehende Datenverarbeitung muss dann von der betroffenen Person explizit autorisiert werden.

Die innovativen Bestandteile der DSGVO sind viel diskutiert worden, berühren wesentliche Fragen der alltäglichen Nutzung digitaler Angebote und markieren beachtliche Fortschritte. Dennoch zeigt der knappe Katalog an Innovationen auch, dass der Rechtsetzungsakt insgesamt die Substanz europäischen Datenschutzrechts nicht wesentlich verändert. Vieles von dem, was heute der DSGVO zugeschrieben wird, in positiver und negativer Stoßrichtung, galt bereits zuvor, vielfach waren sich Verantwortliche und Betroffene aber nicht bewusst, nicht zuletzt wegen der chronischen Umsetzungsdefizite.

Deswegen liegen wesentliche Neuerungen der DSGVO in der Stärkung von Institutionen, Ausweitung von Kompetenzen und der Verbesserung von Instrumenten zur Erhöhung der potentiellen Wirksamkeit der Datenschutzbestimmungen. So werden die nationalen Datenschutzbehörden organisatorisch erheblich gestärkt und in einem europäischen Datenschutzausschuss mit eigener Rechtspersönlichkeit zusammengefasst. Er wird künftig mittels Empfehlungen und Leitlinien zur einheitlichen Umsetzung der DSGVO beitragen. Damit ist das Kollektivorgan der Datenschutzbehörden gegenüber der zuvor existierenden Art. 29 Working Party (nach Art. 29 der Datenschutzrichtlinie) erheblich aufgewertet worden. Dem Datenschutzausschuss gehört auch der europäische Datenschutzbeauftragte an, dessen Position ebenfalls noch einmal gestärkt wird. Die entscheidende Neuerung zur Steigerung der Wirksamkeit des europäischen Datenschutzrechts besteht in der Möglichkeit zur Verhängung empfindlicher Geldbußen durch die Aufsichtsbehörden nach Art. 83 EU-DSGVO in einer maximalen Höhe von bis zu 20.000.000 Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens. Dies ist eine deutliche Verschärfung, denn die DS-RL hatte es den Mitgliedstaaten überlassen, welche Sanktionen im Fall von Verstößen verhängt werden sollten. Laut Bundesdatenschutzgesetz vor seiner Reform nach DSGVO waren Geldbußen in einer maximalen Höhe von 300.000 Euro vorgesehen (§43 BDSG a.F.). In vielen anderen Ländern gab es keine vergleichbaren Sanktionen.

Allerdings hätten auch die schärfsten Strafmaßnahmen nur eine bedingte abschreckende Wirkung, wenn sich Anbieter in einer transnationalen Datenwirtschaft auf Geltungsräume jenseits der EU-Grenzen zurückziehen könnten. Dieser Herausforderung trägt eine grundlegende Innovation der DSGVO Rechnung, die Einführung des sog. Marktortprinzips (Art. 3 DSGVO). Beruhte die DS-RL noch auf dem Territorialitätsprinzip, so dass Datenverarbeitung, die außerhalb der EU angesiedelt war, nicht von der Gesetzgebung berührt war, ist der Anwendungsbereich nunmehr auf jegliche Verarbeitung personenbezogener Daten von EU-Ansässigen, die also für den europäischen Markt bestimmt ist, erweitert worden, egal, wo diese Datenverarbeitung vollzogen wird. Mit dieser Metanorm sind die Vorzeichen für eine extraterritoriale Wirkung der DSGVO und eine Beeinflussung der Datenschutzentwicklung weltweit gesetzt.

Gar nicht so schlecht – effektiver Datenschutz in Zeiten von Big Data

Wie in den vorangegangenen Abschnitten verdeutlicht, gingen wesentliche Impulse der weltweiten Datenschutzentwicklungen in der Vergangenheit bereits vom europäischen Kontinent aus. Die Datenschutzgrundverordnung schreibt diese Geschichte fort. Durch die europäische Marktmacht in Verbindung mit dem Marktortprinzip und der Angemessenheitsprüfung für den Transfer personenbezogener Daten in Drittländer sind erhebliche Anreize für Anbieter in Drittstaaten gesetzt worden, die wesentlichen Grundsätze europäischen Datenschutzrechts zu übernehmen. Erste internationale Entwicklungen, wie jüngst der kalifornische Consumer Privacy Act, deuten in diese Richtung (Greenleaf 2017).

Die EU-Datenschutzgrundverordnung kann als ein wesentlicher Grundstein einer werteorientierten Netzpolitik verstanden werden. Angesichts illiberaler Tendenzen weltweit, auch in Europa, angesichts jüngerer Skandale des millionenfachen Datenmissbrauchs (z.B. Cambridge Analytica), angesichts der Fortschritte in den Bereichen Big Data und Künstliche Intelligenz scheint ein wirksamer Schutz der Persönlichkeitsrechte unbedingt erforderlich. Entwicklungen dieser Art führen deutlich vor Augen, dass die Datenschutzreform angemessen und zeitgemäß ist.

Schauen wir auf den Prozess der europäischen Rechtsetzung, ihre Treiber und Bremser, dann fallen Erklärung und Bewertung eindeutig zugunsten der supranationalen Organe der EU aus. Kommission und Parlament, flankiert durch die wegweisende Rechtsprechung des EuGHs, haben dieses fortschrittliche Datenschutzrecht im Sinne effektiven Grundrechtsschutzes vorangetrieben. Einige Mitgliedstaaten können gewiss auf beachtliche nationale Vorleistungen in der Datenschutzentwicklung verweisen, die teils in das europäische Recht Eingang gefunden haben. Dennoch besteht der starke Verdacht, dass sie im internationalen, auch innereuropäischen Wettbewerb, etwa um ausländische Direktinvestitionen, angesichts der uneinheitlichen Umsetzung auf Basis der Datenschutzrichtlinie und auch den Positionen im Rat nach zu urteilen nicht zu einem vergleichbaren Schutzniveau gefunden hätten. Mehr noch: Auf nationaler Ebene würde ohne die gebündelte Marktmacht des europäischen Binnenmarkts im Rücken eine entsprechend strikte nationale Datenschutzregulierung nicht dieselbe Wirkung auf die transnational operierenden Internetkonzerne und die Standardentwicklung weltweit haben, wie sie für die Datenschutzgrundverordnung zu erwarten sind. Damit ist der DSGVO-Prozess ebenfalls geeignet, die grundlegenden Vorteile europäischer Integration für die Regulierung grenzüberschreitender Probleme noch dazu mit globaler Ausstrahlung zu verdeutlichen. Aufgrund der besonderen Interdependenzsituation ist die Netzpolitik als emergentes Politikfeld tatsächlich am besten auf supranationaler Ebene aufgehoben.

Allerdings ist der Kampf für besseren Datenschutz im digitalen Zeitalter auf europäischer Ebene noch nicht zu Ende. Derzeit befindet sich mit der ePrivacy-Verordnung die nächste wesentliche Reformmaßnahme im Gesetzgebungsprozess. Eigentlich sollte die Verordnung, die zum einen wesentliche Konkretisierungen der DSGVO enthält, zum anderen noch einmal darüber hinausgeht, im Mai 2018 verabschiedet werden. Allerdings wiederholt sich gewissermaßen das von der DSGVO bekannte Schauspiel. Wieder haben die EU-Organe und die Mitgliedstaaten massives Lobbying erfahren. Wieder sind es die Mitgliedstaaten, die den Prozess mangels Einigung auf ein gemeinsames Verhandlungsmandat ausbremsen, nachdem die Kommission ihren Entwurf Anfang 2017 präsentiert und das Parlament im Oktober desselben Jahres mit knapper Mehrheit eine überarbeitete Fassung verabschiedet hat.

Auf Seite der Bürger/-innen und Nutzer/-innen sollte das Lamento über die Bequemlichkeitsverluste, die steigende Bürokratie als Herausforderung für kleine und mittelständische Betriebe oder Vereine oder gar die Sorge vor einer potentiellen Schwächung der Wettbewerbsfähigkeit europäischer Standorte für Internetunternehmen durch ein Gefühl der Sicherheit vor überbordender elektronischer Datenverarbeitung und Stolz auf den fortschrittlichen Grundrechtsschutz wenn nicht verdrängt, so doch relativiert werden. Mit Blick auf die laufende Reform, die wiederum die konkrete Ausgestaltung des Datenschutzes in Browsern und anderen beliebten Kommunikationsanwendungen regelt, sollten sie sich ihrer eigenen Präferenzen bewusst werden² und diese über die verfügbaren Kanäle politischer Partizipation artikulieren.

Literatur:

Albrecht, Jan Philipp / Jotzo, Florian (2017): Das neue Datenschutzrecht der EU. Grundlagen, Gesetzgebungsverfahren, Synopse. Baden-Baden: Nomos Praxis.

Azurmendi, Ana (2017): Spain: The Right to Be Forgotten. The Right to Privacy and the Initiative Facing the New Challenges of the Information Society. In: Schünemann, Wolf J. / Baumann, Max-Otto (Hg.): Privacy, Data Protection and Cybersecurity in Europe. Wiesbaden: Springer. S. 17–30.

Baumann, Max-Otto / Schünemann, Wolf J. (2017): Introduction. Privacy, data protection and cybersecurity in Europe. In: Schünemann, Wolf J. / Baumann, Max-Otto (Hg.): Privacy, Data Protection and Cybersecurity in Europe. Wiesbaden: Springer. S. 9–23.

Bendiek, Annegret / Berlich, Christoph / Metzger, Tobias (2015): Die digitale Selbstbehauptung der EU. SWP. Berlin (SWP-Aktuell, 71). URL: https://www.swp-berlin.org/fileadmin/contents/products/aktuell/2015A71_bdk_bel_mtr.pdf. Letzter Zugriff: 09.04.2018.

Busch, Andreas / Jakobi, Tobias (2011): Die Erfindung eines neuen Grundrechts. Zu Konzept und Auswirkungen der „informationellen Selbstbestimmung“. In: Hönnige, Christoph / Kneip, Sascha / Lorenz, Astrid (Hg.): Verfassungswandel im Mehrebenensystem.  Wiesbaden: Springer VS. S. 297–320.

Dix, Alexander (2013): The Commission’s Data Protection Reform After Snowden’s Summer. In: Intereconomics. Jg. 48. Heft 5. S. 268–271. DOI: 10.1007/s10272-013-0470-y.

EU 2016/679, Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, Brüssel, 27.04.2016.

Greenleaf, Graham (2013): Data protection in a globalised network. In: Ian Brown (Hg.): Research handbook on governance of the Internet. Cheltenham/Northhampton: Edward Elgar Publishing. S. 221–259.

Greenleaf, Graham (2017): ‘European’ Data Privacy Standards Implemented in Laws Outside Europe (Privacy Laws & Business International Report, 21-23). URL:  https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3096314. Letzter Zugriff: 18.02.02.2018.

Mayer-Schönberger, Viktor (2009): Delete. The virtue of forgetting in the digital age. Princeton N.J.: Princeton University Press. URL: http://gbv.eblib.com/patron/FullRecord.aspx?p=534065.

Newman, Abraham L. (2008): Building Transnational Civil Liberties. Transgovernmental Entrepreneurs and the European Data Privacy Directive. In: Int. Org. Jg. 62. Heft 1. S. 103–130. DOI: 10.1017/S0020818308080041.

Plenarprotokoll 19/36, Deutscher Bundestag. Stenografischer Bericht der 36. Sitzung, Berlin, 07.06.2018.

Reding, Viviane (2014): A data protection compact for Europe. European Commission. Centre for European Policy Studies. Brussels, 28.01.2014.

Ripoll Servent, Ariadna (2017): Protecting or processing? Recasting EU data protection norms. In: Schünemann, Wolf J. / Baumann, Max-Otto (Hg.): Privacy, Data Protection and Cybersecurity in Europe. Wiesbaden: Springer. S. 129–145.

Stupp, Catherine (2016, 14 Apr): Parliament approves privacy rules after record number of amendments. Hg. v. Euractiv. URL: http://www.euractiv.com/section/digital/news/parliament-approves-privacy-rules-after-record-number-of-amendments. Letzter Zugriff: 01.03.2017.

Voss, W. Gregory (2014): Looking at European Union Data Protection Law Reform through a Different Prism. The Proposed EU General Data Protection Regulation Two Years Later. In: Journal of Internet Law. Jg. 17. Heft 9. S. 11–24.

Zitationshinweis:

Schünemann, Wolf J. (2018): Regeln für die vernetzte Welt? – die EU-Datenschutzgrundverordnung in der Analyse, Essay, Erschienen auf: regierungsforschung.de. Online verfügbar: https://regierungsforschung.de/regeln-fuer-die-vernetzte-welt-die-eu-datenschutzgrundverordnung-in-der-analyse/#more-4973

1. Also der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr (EU 2016/680) und zur Aufhebung des Rahmenbeschlusses 2008/977/JI. [↩]
2. So lässt eine Eurobarometer-Umfrage (Flash Eurobarometer 443) klar erkennen, dass sich Nutzerinnen und Nutzer europaweit besseren Schutz ihrer Daten etwa vor Tracking-Technologien etc. wünschen. [↩]