Der 28.1.2019 ist der erste Europäische Datenschutztag nach dem Wirksamwerden der DSGVO. Zeit für eine Zwischenbilanz zur Datenschutzberatung im Zeichen der DSGVO.
- Der Kampf um die Deutungsmacht
Kurzpapiere, Stellungnahmen, Handreichungen, Auslegungshilfen: Die Datenschutzbehörden äußern sich zu zahlreichen DSGVO-Themen. Berater sind für diese Papiere dankbar. Durch die Stellungnahmen werden die Positionen der Behörden leichter vorhersehbar.
Nicht selten liegen die Behörden jedoch völlig daneben. Wenn beispielsweise die nordrhein-westfälische Behörde verlangt, in den Betreffzeilen von E-Mails auf personenbezogene Daten vollständig zu verzichten (LDI NRW, „Technische Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand“), ist dies nicht nur lebensfremd. Es fehlt auch an jeglicher rechtlicher Begründung. Art. 32 DSGVO verhält sich zu Betreffzeilen nicht. Ausführlich dazu: Keppeler, „Warum Anwälte nach der DSGVO nicht (zwingend) Ende-zu-Ende verschlüsselt kommunizieren müssen“ CR 2019, 18 – 24.
So verdienstvoll viele Papiere der Aufsichtsbehörden sind, für die Auslegung der DSGVO sind sie nicht verbindlich. Berater sollten daher nicht allzu viel Zeit mit der Exegese der Papiere verbringen, sondern mit eigenen Argumenten und Positionen um die Deutungsmacht bei der Auslegung der DSGVO ringen. Die Auslegung der DSGVO ist unsere eigene Aufgabe.
- Die Aufsichtsbehörden sind Partei. Berater auch.
Viele Bestimmungen der DSGVO sind hochgradig auslegungsbedürftig. Das gilt für „berechtigte Interessen“ (Art. 6 Abs. 1 Satz 1 lit. f DSGVO), für die Frage eines möglichen Kopplungsverbots (Art. 7 Abs. 4 DSGVO) und für unzählige andere Fragen.
- Eine Seite: Â Betroffene
Seit jeher neigen die Aufsichtsbehörden zu einer restriktiven Normauslegung. Auch wenn beispielsweise § 26 Abs. 2 BDSG Einwilligungserklärungen eines Arbeitnehmers erlaubt, entspricht es dem Rollenverständnis (und der Weltsicht) mancher Aufsichtsbehörde, dem (vermeintlich oder tatsächlich) schwächeren Arbeitnehmer zur Seite zu stehen und die Freiwilligkeit einer Einwilligung grundsätzlich zu verneinen.
Dass Aufsichtsbehörden strenge Maßstäbe an die Auslegung der DSGVO anlegen und „im Zweifel für den Betroffenen“ argumentieren, ist ihnen nicht zu verdenken. Denn der Schutz der Betroffenen ist die originäre Aufgabe der Behörden.
- Andere Seite:Â Datenverarbeiter
Für die Beraterin heißt dies, dass sie die Standpunkte der Behörde nicht kritiklos übernehmen darf. Vielmehr ist sie als Gegenpol gefragt – als Vertreterin der Unternehmen, deren Freiräume bei der Datenverarbeitung genauso unter Grundrechtsschutz steht wie der Datenschutz. Berater müssen übertriebenen, einseitigen oder auch abwegigen Positionen der Aufsichtsbehörden entschieden entgegentreten. Dabei ist das juristische Auslegungshandwerk gefragt. Wer Unternehmen gegen restriktive Praktiken und Standpunkte der Behörden verteidigt, verstrickt sich nicht in fragwürdige Winkelzüge. Eine wirksame Verteidigung der Rechte eines Datenverarbeiters gehört zum gelebten Rechtsstaat.
- Keine Angst vor der eigenen Courage
Eine amerikanische Behörde fordert von einem deutschen Unternehmen die Herausgabe personenbezogener Daten. Das Unternehmen bitten eine Anwaltskanzlei um ein Gutachten. Die Kanzlei legt in ihrem Gutachten dar, dass die Übermittlung der Daten in die USA DSGVO-konform ist.
So weit, so gut. Allerdings empfiehlt die Kanzlei, „vorsorglich“ die zuständige norddeutsche Datenschutzbehörde um eine Bestätigung zu bitten. Ein Bärendienst, denn wie soll sich das Unternehmen verhalten, wenn die Kanzlei zwar „ja“ gesagt hat, die Behörde die Rechtslage jedoch anders beurteilt?
Aufsichtsbehörden sind nicht dazu da, Berater von ihrer Verantwortung zu entlasten. Der Rat, „vorsorglich“ die Behörde zu fragen, ist egoistisch. Unternehmen können von ihren (meist gut bezahlten) Beratern erwarten, dass sie keine Angst vor der eigenen Courage haben.
- Schweigen kann Gold sein
Beschwert sich ein Bürger über ein Daten verarbeitendes Unternehmen, reagieren die Behörden meist mit einem Auskunftsersuchen. Das Unternehmen wird zur Stellungnahme aufgefordert, konkrete Fragen werden gestellt. Gelegentlich erhalten Unternehmen zudem auch Fragenkataloge zu bestimmten Themenkomplexen, ohne dass es eine konkrete Beschwerde gegeben hat.
- Behördliche Auskunftsersuchen
Bei den Aufsichtsbehörden ist eine erhebliche Unsicherheit bei der Abfassung von Auskunftsersuchen zu beobachten. Manche Behörde weist ausdrücklich darauf hin, dass Auskünfte freiwillig sind, solange kein Verwaltungsakt ergeht, der die Auskunftspflicht feststellt (Art. 58 Abs. 1 lit. a DSGVO). Andere Behörden betonen die Verpflichtung des Verantwortlichen zur Zusammenarbeit mit der Aufsichtsbehörde (Art. 31 DSGVO). Zumeist weisen die Behörden darauf hin, dass der Adressat des Schreibens nicht zur Selbstbelastung verpflichtet ist.
- Anwaltlicher Rat
Es ist das gute Recht des Bürgers, von Auskunftsverweigerungsrechten Gebrauch zu machen. Schweigen kann Gold sein, wenn eine Stellungnahme zu einer Selbstbelastung führen kann oder wenn sich ohne Akteneinsicht die Tragweite der eigenen Stellungnahme nicht überblicken lässt. Berater sollten daher nicht vorschnell zur „Kooperation“ mit den Behörden raten, sondern die rechtsstaatlichen Verfahrensrechte ihrer Klienten im Auge haben.
- Rechtsförmliches Handeln einfordern
Aufsichtsbehörden ist es nach wie vor nicht selbstverständlich, per Verwaltungsakt zu handeln. Allzu oft füllt Schriftverkehr die Verfahrensakten, in dem die gegenseitigen Standpunkte ausgetauscht werden, ohne dass sich die Behörde zu förmlichen Verboten oder Auflagen durchringt. Wenn Aufsichtsbehörden WhatsApp bei der Kommunikation mit Schülern für rechtswidrig erachten, warum gibt es dann keine flächendeckenden Verbotsverfügungen?
- Klärungsbedarf
Der zögerliche Umgang der Behörden mit ihren Zwangsbefugnissen ist nur auf den ersten Blick eine gute Nachricht für die Datenverarbeiterin. Wenn Behörden irrige Standpunkte zur Auslegung der DSGVO vertreten, bleiben diese Standpunkte ohne entsprechende Verwaltungsakte in der Welt und können durch die Gerichte nicht korrigiert werden. Beraterinnen sollten stärker als bisher ein rechtsförmliches Handeln der Behörden einfordern, um eine gerichtliche Klärung von Streitfragen bei der DSGVO-Auslegung zu erwirken.
- Mehr Mut zum Rechtsstreit
Wenn Berater im Streit mit den Behörden von ihrem eigenen Rechtsstandpunkt überzeugt sind, sollten sie ihre Klienten zum Rechtsstreit ermutigen. Nur auf diese Weise lassen sich die Rechte der Klienten wahren und durchsetzen, und nur auf diesem Weg lässt sich das Datenschutzrecht nach und nach fortbilden.
Gerichtsprozesse sind für alle Beteiligten anstrengend und risikoreich. Wer zum Prozess rät, riskiert es, falsch zu liegen und den Klienten zu einem Prozess zu verleiten, der am Ende verloren geht. Anwälte kennen dieses Risiko aus vielen Rechtsbereichen seit jeher gut. Wir sollten auch im Datenschutzrecht mutiger werden.