Nationale Anpassung des Datenschutzrechts

Der Unionsgesetzgeber hat eine Grundverordnung für den Datenschutz erlassen, die unionsweit gilt – und die Gesetzgeber in Deutschland verabschieden Hunderte von Datenschutzgesetzen: Wie passt das zusammen? Trotz unmittelbarer Geltung der Datenschutz-Grundverordnung lassen die Anpassungsgesetze in Bund und Ländern in keinem einzigen angepassten Gesetz den Datenschutzabschnitt oder die wesentlichen Datenschutzregelungen entfallen: Wie ist das zu erklären? Offensichtlich war die Zielsetzung, mit einer Verordnung ein einheitliches und kohärentes Datenschutzrecht in der Union herzustellen, von Anfang an eine Illusion oder vielleicht sogar nur ein politischer Werbetrick. Jedenfalls hat bereits der Entwurf der Kommission dieses Ziel nicht konsequent verfolgt. Wenn die Verordnung die normative Grundlage für die Verarbeitung personenbezogener Daten in allen Bereichen der Wirtschaft, der Verwaltung, der Wissenschaft, der Medien, der Kultur, der Bildung, der Gesundheitsversorgung, des sozialen Schutzes und weiteren gesellschaftlichen Sektoren sein sollte, hätte sie der Komplexität des Regelungsgegenstands gerecht werden müssen. Der Versuch, mit nur 50 materiellen Regelungen diese Komplexität zu erfassen, der ungeheuren Vielfalt regelungsbedürftiger Konstellationen gerecht zu werden und die vielfältigen, hochdifferenzierten bereichsspezifischen Regelungen in jedem der 28 Mitgliedstaaten zu ersetzen, war von Anfang an zum Scheitern verurteilt. Angesichts der Abstraktheit der vorgeschlagenen Regelungen und der Unterkomplexität dieses Entwurfs konnte sich der Rat mit seinen Forderungen nach Regelungsspielräumen für die Mitgliedstaaten leicht durchsetzen. Spezifischere nationale Regelungen sollten Sachgerechtigkeit, Rechtssicherheit und Umsetzbarkeit gewährleisten. Hierfür bieten nun 70 Öffnungsklauseln mit unterschiedlichem Charakter den Mitgliedstaaten den gewünschten Freiraum. Im Ergebnis ist daher die Datenschutz-Grundverordnung ein Rahmen für eine Ko-Regulierung des Datenschutzes durch die Union und die Mitgliedstaaten. Sie regelt den Datenschutz nur im Grundsatz und in einzelnen Aspekten abschließend, ist aber in sehr vielen Details ergänzungsbedürftig und ergänzungsfähig. In vielen wichtigen Lebensbereichen wie dem Datenschutz in der Verwaltung, in den Medien und in Beschäftigungsverhältnissen überlässt sie die Regelungskompetenz sogar mehr oder weniger vollständig den Mitgliedstaaten. Eine solche Ko-Regulierung müsste für den Datenschutz nicht nachteilig sein, wenn Union und Mitgliedstaaten gleichermaßen an einer Verbesserung des Datenschutzes arbeiten. Vor allem könnten die Mitgliedstaaten innovative Ansätze ausgestalten und Schwachstellen der Datenschutz-Grundverordnung ausgleichen. Inhaltliche Schwächen hat die Datenschutz-Grundverordnung vor allem dadurch, dass sie ihr eigenes Ziel nicht umgesetzt hat, den Schutz der Grundrechte gegen Risiken der Datenverarbeitung zu verbessern und einen zukunftsfähigen Datenschutz zu gewährleisten. Sie ignoriert die absehbare Entwicklung der Informationstechnik und ihrer Anwendungen und sieht keine Regelungen für die zukünftigen Herausforderungen des Datenschutzes vor, wie sie etwa mit Künstlicher Intelligenz, Ubiquitous Computing, Big Data und datengetriebenen Geschäftsmodellen verbunden sind. Dagegen bietet die Datenschutz-Grundverordnung instrumentelle Innovationen zum Beispiel durch ihre Regelungen zu datenschutzgerechten Gestaltungen von Technik und Organisation der Datenverarbeitung und die datenschutzfreundlichen Voreinstellungen von IT-Systemen, die Datenschutz-Folgenabschätzung und die Zertifizierung von Datenverarbeitungsvorgängen. Sie regelt diese Instrumente jedoch nur in Ansätzen und lässt viele wichtige Details offen. Daher besteht die Gefahr, dass die Regelungsadressaten diese Instrumente aufgrund der Rechtsunsicherheit nicht oder unzureichend nutzen. Die nationalen Gesetzgeber könnten die Regelungsspielräume der Öffnungsklauseln konstruktiv nutzen, indem sie spezifische Regelungen für besonders ris-