Blogserie: In der datenschutzrechtlichen Todeszone

Für die EU-Kommission ist die DSGVO der „Goldstandard“, der „Stoff für eine Erfolgsgeschichte“ und der Grund für eine weltweite „Aufwärtskonvergenz“. Gleichzeitig propagiert die EU-Kommission spätestens seit 2014 eine „florierende datengesteuerte Wirtschaft“, eine „europäische Datenwirtschaft“ und einen „europäischen Datenraum“.

Feuerwerk der EU-Kommission

Hierfür entzündet sie ein regulatorisches Feuerwerk. Sieben Rechtsakte mit Datenbezug stehen im Raum:

FFD: Free Flow of Data-Verordnung (verabschiedet: November 2018)
OD-PSI: Open Data- und Public Sector Information-Richtlinie (verabschiedet: Juni 2019)
DGA: Data Governance Act (vorgeschlagen: November 2020)
DMA: Digital Markets Act (vorgeschlagen: Dezember 2020)
DSA: Digital Services Act (vorgeschlagen: Dezember 2020)
AIA: Artificial Intelligence Act (vorgeschlagen: April 2021)
DA: Data Act (voraussichtlich: 4. Quartal 2021)

Verhältnis zur DSGVO?

Fraglich ist, in welchem Verhältnis diese Rechtsakte zum Goldstandard der DSGVO stehen. Es besteht der Verdacht, dass es jeweils erhebliche Überschneidungen mit der DSGVO gibt, dass der Normgeber das Verhältnis zur DSGVO aber nicht klärt. Ob sich dieser Verdacht erhärten lässt, soll in einer lockeren Abfolge von Blogbeiträgen untersucht werden.

„without prejudice“

Eine kursorische Durchsicht ergibt bereits, dass alle genannten Rechtsakte postulieren, dass die DSGVO

in ihrer Anwendung nicht berührt („not prejudice“) wird (Art. 2 II FFD),
unbeschadet („without prejudice“) von der Geltung des anderen Rechtsakts bleibt (Art. 1 IV OD-PSI),
unberührt („without prejudice“) bleibt (EG 3 DGA),
unbeschadet ihrer Anwendbarkeit („without prejudice“) ergänzt wird (EG 11 DMA),
unberührt („without prejudice“) gelassen wird (Art. 1 V i DSA),
unberührt („without prejudice“) bleibt und ergänzt wird (Ziff. 1.2 Begründung AIA).

DSGVO, die Unantastbare?

Die gebetsmühlenartige Wiederholung der Formulierung „without prejudice“ deutet darauf hin, dass die DSGVO eine Art „Unantastbarkeitsstatus“ genießt. Dies darf aber nicht darüber hinwegtäuschen, dass diese Formulierung keine Normenkollision löst, die entsteht, wenn der betreffende Rechtsakt eine materiell-rechtliche Regelung im Anwendungsbereich der DSGVO trifft. Und genau dies trifft vermutlich auf zahlreiche Regelungen der genannten Rechtsakte zu, denn diese enthalten zum Beispiel Regelungen

zur Datenlokalisierung (FFD),
zur Weiterverwendung von Daten (OD-PSI und DGA),
zu Datentreuhand und Datenaltruismus (DGA),
zu Datenmacht und Datenportabilität (DMA),
zu Profiling und Werbung (DSA) und
zu Datenerfassung und Datenmanagement (AIA).

In der datenschutzrechtlichen Todeszone

Welche Regelungen der genannten Rechtsakte sich in der datenschutzrechtlichen Todeszone befinden, in der sie gegen die DSGVO keinen Bestand haben, wird im Einzelnen zu untersuchen sein. Die Jurisprudenz kennt Auslegungsregeln für Konkurrenzverhältnisse von Normen, zum Beispiel

lex specialis derogat legi generali = die speziellere verdrängt das allgemeine Gesetz
lex posterior derogat legi priori = das spätere verdrängt das frühere Gesetz
lex superior derogat legi inferiori = das höherrangige verdrängt das niederrangige Gesetz
Umkehrschluss
Erst-recht-Schluss

Wendet man diese auf das „without prejudice“ an, kommt man womöglich doch zu dem Ergebnis, dass einzelne Regelungen der DSGVO spezifiziert, ergänzt, erweitert, eingeschränkt oder gar verdrängt werden. Auch wenn die Rhetorik der Vorschläge nahelegt, dass die EU-Kommission eine Änderung der DSGVO fürchtet wie der Teufel das Weihwasser, könnte die intendierte Regulierung die DSGVO doch schleichend verändern.