Ab dem 25.5.18 wird die Datenschutz-Grundverordnung angewendet. Aktuell liegen in vielen Unternehmen die Nerven blank. Ein Grund dafür ist die hohe Rechtsunsicherheit bei verschiedenen Regelungsbereichen. Wir gehen auf zwei Beispiele näher ein.
Der Inhalt im Überblick
Bestehende Rechtsunsicherheit
Fehlende Rechtssicherheit ist ein bekanntes Phänomen, wenn neue Gesetze angewendet werden. Solange noch keine Erfahrungen in der praktischen Anwendung gemacht wurden und noch keine Konkretisierungen durch die Rechtsprechung erfolgt sind, führen z.B. Unklarheiten im Wortlaut, systematische Widersprüche oder unbestimmte Rechtsbegriffe zu großen Verunsicherungen. Im Europarecht kommt eine weitere Dimension hinzu: Welche ergänzenden Regelungen trifft der nationale Gesetzgeber im Rahmen der Öffnungsklauseln und wie wird das geltende Recht auf nationaler Ebene vollzogen?
Je näher die Anwendbarkeit der Datenschutz-Grundverordnung rückt, umso mehr Fragezeichen gibt es bei der praktischen Anwendung der Regelungen. Schaut man nach links und rechts, erkennt man zwar bei der Umsetzung vieler Pflichten einen gemeinsamen „Nenner“, allerdings stellt man auch fest, dass in vielen Bereichen die praktische Umsetzung (stark) differiert. Die Aufsichtsbehörden versuchen durch Stellungnahmen und Positionspapiere bei der Umsetzung zu unterstützen und der Verunsicherung entgegenzuwirken. Viele dieser Hilfestellungen sind auch durchaus für die praktische Umsetzung hilfreich, allerdings zeigt sich auch, dass selbst den 17 Aufsichtsbehörden bei verschiedenen Fragen eine gemeinsame Verständigung schwerfällt. So sind die meisten Stellungnahmen erst gegen Ende der zweijährigen Übergangsphase veröffentlicht worden. Die Themenkomplexe, bei denen Unsicherheiten bestehen, sind zahlreich. Im Folgenden gehen wir auf zwei Bereich näher ein.
Informationspflichten
In den vergangenen Monaten hat sich herauskristallisiert, dass die Erfüllung der Informationspflichten einer der zentralen Themenkomplexe ist, bei denen Verantwortliche große Umsetzungsschwierigkeiten haben. Die Verantwortlichen beschäftigt etwa die Frage wie genau informiert werden muss. Umstritten ist z.B., ob zur Erfüllung der Informationspflichten nach Art. 13 DSGVO die Angabe der Empfängerkategorien genügt oder ob die Empfänger immer genau benannt werden müssen. Die Umsetzung in der Praxis zeigt an diesem Beispiel – beide Varianten sind anzutreffen. Unsicherheit besteht auch bei der Frage „wie“ die Informationspflichten erfüllt werden müssen: Darf die Erfüllung „gestuft“ erfolgen und ist bei der Erfüllung ein sog. Medienbruch zulässig? Speziell in diesem Bereich helfen die bisherigen Stellungnahmen der Aufsichtsbehörden nur bedingt weiter, da z.B. die bisherigen Äußerungen zum Medienbruch teilweise widersprüchlich sind.
Webtracking
Auch bei der Frage wie Webtracking datenschutzkonform durchgeführt werden kann, besteht Ungewissheit. Zunächst stellt sich in diesem Zusammenhang die Frage, welches Recht diesen Bereich bis zum Inkrafttreten der E-Privacy-Verordnung regelt. Gelangt man zum dem Ergebnis, dass die ab 25. Mai 2018 anwendbare Datenschutz-Grundverordnung die bisherigen Vorschriften des Telemediengesetzes zum Webtracking komplett ersetzen, stellt sich direkt die Folgefrage welche Rechtsgrundlagen in der DSGVO einschlägig sind.
Die Datenschutzkonferenz (DSK) wollte durch ihre Positionsbestimmung vom 26.4.18 bestehende Rechtsunsicherheiten beseitigen. Die Reaktion der Praxis zeigt aber eher das Gegenteil. Die knappe rechtliche Begründung und in Teilen sicher auch diskutable Ansicht der Behörden wirft weitere Fragen auf. Unsere kritische Anmerkung zum DSK-Papier finden Sie hier. Auch zahlreiche Verbände und Gesellschaften haben sich bereits kritisch zu dieser Positionsbestimmung geäußert. Die klare Positionierung der deutschen Behörden ist auch im Hinblick auf den europäischen Vollzug der Datenschutz-Grundverordnung nicht unproblematisch. Die Position der Aufsichtsbehörden zum Umgang mit Webtracking ist bisher nicht auf europäischer Ebene abgestimmt. Die ungleiche Handhabung durch verschiedene europäische Aufsichtsbehörden läuft damit dem Sinn und Zweck der DSGVO, einem europaweit einheitlichen Schutzniveau und der Schaffung von Rechtssicherheit, entgegen.
Bei der Umsetzung besteht nicht allein eine Unsicherheit in rechtlicher Hinsicht, die Einholung der Einwilligung beim Webtracking wirft auch in technischer Hinsicht zahlreiche Fragen auf: Wie differenziert muss ein Cookie-Banner oder Cookie-Management-Tool ausgestaltet sein? Reicht es, wenn bestimmte Gruppen von Tools bzw. Cookies aktiviert oder deaktiviert werden können? Wie lässt sich technisch gewährleisten, dass vor der Erteilung der Einwilligung keinerlei Datenaustausch stattfindet? Fragt man bei den Aufsichtsbehörden an, wie sie sich die Umsetzung der Vorgaben vorstellen, erhält man bisher leider keine hilfreichen Antworten. Dort heißt es dann: „bei der Umsetzung sei nun die Praxis gefordert“.
Rechtssicherheit braucht Zeit
Die zahlreichen Fragen und Probleme in diesem Beitrag lassen ein unbefriedigendes Gefühl zurück. Auf viele Fragen gibt es sie nicht – die eine richtige Antwort. Die Ausräumung von Zweifeln über die Rechte und Pflichten benötigt Zeit. Wie in allen anderen Rechtsbereichen wird die Rechtsprechung ihren Teil zu größerer Rechtssicherheit beitragen. Entscheidungen von Gerichten wird es aber nur geben, wenn die Behörden entsprechende Bescheide erlassen, über die in der Folge gestritten wird. Fehlende Verfügungen in der Vergangenheit haben dazu geführt, dass das Datenschutzrecht nur in begrenztem Umfang durch die Rechtsprechung konkretisiert wurde. Auch der Gesetzgeber wird sowohl auf nationaler, als auch auf europäischer Ebene gefordert sein. Es bleibt zudem zu hoffen, dass die Aufsichtsbehörden ihre Rolle unter Berücksichtigung dieser Unklarheiten mit dem entsprechenden Fingerspitzengefühl wahrnehmen.
Eines gilt zumindest: Sieht die Datenschutz-Grundverordnung entsprechende Pflichten für den Verantwortlichen vor, dann ist jede Art der Umsetzung besser als keine Umsetzung, auch wenn das „wie“ in Teilen noch unklar ist.
