Fake news? - Art. 5 Datenschutzgrundverordnung und die Umkehr der Beweislast

von Prof. Dr. Thomas Hoeren, veröffentlicht am 12.08.2018
Rechtsgebiete: Datenschutzrecht12|16171 Aufrufe

In der sich abzeichnenden Literatur zum neuen Datenschutz wird stets und fatalerweise betont, dass die Datenschutzgrundverordnung zu einer radikalen Änderung der Darlegungs – und Beweislast für die ordnungsgemäße unrechtmäßige Verarbeitung personenbezogener Daten geführt hat. Hierzu wird auf Art. 5 Abs. 2 DSGVO verwiesen, wonach der Verantwortliche für die Einhaltung des Abs. 1 er dieses Artikels verantwortlich sei und dessen Einhaltung nachweisen müsse.  Die Rechenschaftspflicht führe damit in der Praxis im Vergleich zum bisherigen Recht zu umfangreichen zusätzlichen Dokumentations- und Nachweispflichten[1]  Durch Abs. 2 werde klargestellt, dass die Beweislast für die Rechtmäßigkeit einer Datenverarbeitung beim Verantwortlichen liegt, und dies werde durch Art.  24 noch einmal bekräftigt.[2] Im weiteren wird nachgewiesen, dass diese Auslegung unzutreffend ist.

Noch entscheidet über die Auslegung der Wortlaut der Vorschrift. Art. 5 Abs. 2 verweist ausdrücklich auf die Einhaltung des Abs. 1. Er gilt daher nicht für die besonderen Vorschriften der Datenschutzgrundverordnung, sondern für die Grundsätze für die allgemeine Datenverarbeitung. Nun umfasst Art. 5 Absatz 1 auch die Pflicht zur Verarbeitung personenbezogener Daten in rechtmäßiger Weise. Nicht  gemeint ist aber mit Rechtmäßigkeit, dass die gesamten Vorgaben der Datenschutzgrundverordnung eingehalten werden: vielmehr verweist Art. 5 Abs. 1 mit dem Erfordernis der Rechtmäßigkeit der Verarbeitung auf Art. 6 Abs. 1.

Nach Art. 24 Abs. 1 setzt der Verantwortliche geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Er muss dies aber nicht unbeschränkt tun, sondern nur unter Berücksichtigung der Art, des Umfangs der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und für die Freiheiten natürlicher Personen. Alle Pflichten der Verordnung stehen durch den allgemeinen Grundsatz in Art. 24 Abs. 1 unter dem Vorbehalt der Verhältnismäßigkeit (risikobasierter Ansatz).

In der Literatur zur Datenschutzgrundverordnung wird behauptet, dass es sich bei Art. 5 Abs. 2 um „eine folgenschwere Veränderung gegenüber dem bisherigen Recht“ handele.[4] Dem ist nicht so. Schon nach dem alten BDSG galt der Grundsatz des Verbotes der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt. Die Rechtfertigungsgründe waren Ausnahmen und als solche von der verantwortlichen Stelle zu beweisen. Nichts anderes sagt Art. 5 Abs. 2 in Verbindung mit Art. 5 Abs. 1. Von der Beweislast zu unterscheiden ist die in Art. 24 geregelte öffentlich-rechtliche Nachweispflicht gegenüber den Aufsichtsbehörden. Diese finden sich an verschiedenen Stellen der Datenschutzgrundverordnung geregelt. Die Aufsichtsbehörde hat das Recht, verschiedene Dokumente von der verantwortlichen Stelle herauszuverlangen.

Es stellt sich für den unbedarften und unabhängigen Betrachter die Frage, wer warum seit Beginn der Diskussionen um die Datenschutzgrundverordnung Panik verbreitet. Offensichtlich haben bestimmte Verkehrskreise Vorteile davon, mit irreführenden Informationen über den Datenschutz an die Öffentlichkeit zu treten und eine die oft hemmungslose Panik zu verbreiten. Im Zusammenhang mit der Datenschutzgrundverordnung ist eine neue Spezies von Datenschutzbeauftragten entstanden, die ihre eigene Existenzberechtigung aus einem Zuviel an Dokumentationspflichten zieht. Diese neue Spezies wird noch unterstützt von zahlreichen neuen „Datenschutzexperten“ aus der Anwaltschaft und anderen mit Rechtsfragen rund um den Datenschutz oft juristisch laienhaft befassten Personenkreisen, die gerne für Verunsicherung und Diskussionen rund um den Datenschutz verbreiten und damit in nicht unerheblichem Maße für ein unnötiges Mehr an Arbeit und Umsatz sorgen. Ob damit dem Sinn und Zweck des Datenschutzes nicht ein Bärendienst erwiesen wird, ist hier noch die Frage.

[1] Wybitul, Einführung in die EU-Datenschutz-Grundverordnung, Rn. 77; Wybitul, CCZ 2016, 194 (197); ausf. Lepperhoff, RDV 2016, 197

[2] Albrecht/Jotzo, Teil 2 G, Rn. 18; Wybitul/Ströbel, BB 2016, 2307 (2311).

[3] Paal/Pauly/Frenzel, 2. Aufl. 2018, DS-GVO Art. 5 Rn. 5.

[4] Kühling/Buchner/Bergt DS-GVO Art. 82 Rn. 46-48

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

12 Kommentare

Kommentare als Feed abonnieren

es tut gut, einmal nüchtern zu sehen was in der Datenschutzgrundverordnung drin steht. Was machen da viele Leute unberechtigte Panik?

0

Erster Satz: "ordnungsgemäße unrechtmäßige Verarbeitung"

Müsste es hier nicht "ordnungsgemäße und rechtmäßige Verarbeitung" heißen?

0

Fake news? Fake law, wenn schon!

Als datenschützender Anwalt möchte ich den Ball ein wenig zurückspielen, und zwar in Richtung des Verordnungsgebers und der Aufsichtsbehörden.

Die DSGVO ist ein Geschenk an die Anwaltschaft und ein Bärendienst an der Allgemeinheit, weil sie überkomplex und auch deshalb in sich widersprüchlich ist. Die Beratungsmandate fallen deshalb vom Himmel, ohne dass es irgendwelcher Panikmache bedürfte (die im Übrigen durch die Protagonisten auf Behördenseite und Politik viel mehr befeuert wird; die CDU ist sogar gegen die Windmühlen einer nicht im Ansatz ersichtlichen "Abmahnwelle" in den Kampf gezogen...).

Die Dokumentations- und Belehrungspflichten sind auch, entgegen der Darstellung im Artikel, kein Hirngespinst. Wenn man die DSGVO ernst nimmt, ist eine Datenschutzerklärung ausgedruckt nun mal dutzende Seiten lang. Diesen Unfug haben sich keine Anwälte ausgedacht, sondern der mehr als übereifrige Verordnungsgeber - mit dem einzigen Effekt, dass jetzt Bleiwüsten konsequent weggeklickt werden und kein Betroffener auch nur ein Jota besser gestellt wäre.

Hinzu kommt die fachliche Inkompetenz der Aufsichtsbehörden, die es der Wirtschaft zusätzlich erschwert, irgendwie einen verlässlichen Handlungsrahmen zu finden. Deren "knackige Hilfestellung" grenzt nicht an, sie ist Realsatire:

"Setzen Sie oder Ihre Dienstleister technische und organisatorische Maßnahmen ein, die ein dem Verarbeitungsrisiko angemessenes Schutzniveau gewährleisten (Art. 32 DS-GVO)? Haben Sie Ihre diesbezügliche Schutzbedarfsklassifizierung dokumentiert?"

Da weiß Herbert, der Tischler, jetzt aber Bescheid! Schutzbedarfsklassifizierung dokumentieren! Los geht's!

Zugegeben: in manchen Fällen ist dieses Versagen auch ein Segen, weil sich die Missverständnisse wirtschaftsfreundlich auswirken. So stützt etwa der Bayrische Landesdatenschutzbeauftragte seine Einschätzung, "Facebook Pixel" könne rechtskonform eingesetzt werden, auf § 15 Abs. 3 TMG, wenn er die Information über eine opt-out-Möglichkeit (und diese selbst) als Voraussetzung nennt.

Was er übersieht: § 15 Abs. 3 TMG setzt eine Pseudonymisierung der Daten voraus - Facebook benutzt aber Klardaten. Dieser Weg ist also von vornherein versperrt.

Aber wie gesagt, man soll ja für Kleinigkeiten dankbar sein - alles andere wäre Stand heute das Ende wirksamen Online-Marketings.

Was dann aber das Fass endgültig zum Überlaufen bringt, sind Aussagen wie die einer EU-Abgeordneten, sie könne die Dokumentationspflichten auch ohne technisches Know-How in zwei Stunden bewältigen.

Wir betreuen mehrere Mittelständler, und der Aufwand allein für die Prozesserfassung zur Erstellung von Verfahrensverzeichnissen kostet schon für kleinere Unternehmen mit hundert Mitarbeitern einen deutlich fünfstelligen Betrag. Niemand hält das entsprechende Know-How inhouse vor - wie auch, die Vorgaben sind ja neu. Ohne Berater geht es also nicht, und die Erfassung, zutreffende Kategorisierung und rechtliche Prüfung beansprucht in solchen Fällen auf Beraterseite schnell mehr als 40 Stunden - selbst dann, wenn man (was wir tun) in erster Linie Hilfe zur Selbsthilfe leistet. Die Prozessverantwortlichen sind Marketingmitarbeiter, Personaler, Fuhrpark-Verwalter - denen zu erklären, was genau die Fragestellung ist, ist bereits alles andere als trivial.

Wer das für Marketing-getriebene Fake News hält, sollte sich erst mal der konkreten Aufgabe stellen.

Ich könnte noch seitenweise weitere Beispiele liefern (es ist technisch unmöglich, die Datensicherheit durch Backups zu gewährleisten und gleichzeitig die Löschungspflichten zu erfüllen etc. pp.).

Ich putze mir statt dessen jetzt lieber den Schaum vom Mund und hoffe, dass Prof. Dr. Hoeren in seinen nächsten Beiträgen mithilft, den tatsächlichen Misstand zu beseitigen: die Rechtsunsicherheit.

Kann personalisiertes Online-Marketing nur auf eine Einwilligung gestützt werden oder auch auf ein berechtigtes Interesse? Wie gehe ich damit um, dass eine wirklich "informierte" Einwilligung angesichts der Verhaltens der großen Plattformbetreiber nicht eingeholt werden kann? Welche Auswirkungen hat der Umstand, dass Amazon Web Services nur für non-HR-Daten Privacy-Shield-zertifiziert ist, auf Unternehmen, die für ihre (Cloud-) Dienste darauf zurückgreifen? Und wie geht man damit um, dass Amazon sich weigert, sich auf bestimmbare TOMs in einer Auftragsverarbeitungsvereinbarung zu verpflichten?

Das sind die wahren Probleme. Die beratenden Anwälte - und ja, das ist unbescheiden - verdienen eine Medaille, weil sie eine Suppe auslöffeln, die der Gesetzgeber der Wirtschaft eingebrockt hat.

5

Genau. Ein Geschenk für prozessgierige Anwälte... denen angesichts der Kombination von Art. 5 und 82 DSGVO das Wasser im Mund
zusammen laufen wird.

Gefaehrdungshaftung mit vager Exkulpationsmoeglichkeit für Verarbeiter...
das Grauen.

0

Als "datenschützender Anwalt" verdienen Se ganz gut an der Irritation, Herr Franz. Mein Mitleid hält sich daher in Grenzen. Gruß ihre Fanny

0

Wegen Art. III der VO dürfte die neue Rechtslage gegenüber der alten eher ein Minus darstellen,
wenn auch sicher nicht in den Bilanzen der
Medien - und Internetkonzerne.

Ist die VO verfassungswidrig? Vermutlich in weiten Teilen.

Aktuell haben unzählige US-Unternehmen
EU-Nutzer ausgesperrt. Zahlreiche Blogs sind wegen Abmahnparanoia geschlossen.

Faktisch dürfte Datenschutz im Netz nicht erreichbar sein, es sei denn, man zieht den Stecker - endgültig. Daran ändert auch dieses
VO-Gebilde nichts.

0

So lange in solchen "wir meinen es doch nur gut mir euch" - Veranstaltungen die "EU"-Hauptverwaltung mitmischt, so lange ist der gesunde Menschenverstand ausgeschaltet( Pizza Napoletana, Leistungsaufnahme Staubsauger, Seilbahnverordnung Meck-Pomm und Berlin, Schnullerkettenverordnung etc usw usf). Im Bereich der "EU"-HV ist es einigen Gestalten gelungen, sich als "Schützer" zu profilieren, weil sie einen Rochus auf Menschen, Unternehmer oder Konzerne haben, die mit diesem zugegebenermaßen nicht sonderlich transparenten Medium Geld verdienen. Das sind tatsächlich potentielle Steckerzieher. Die haben es bis jetzt geschafft, die Menschen so zu verunsichern, dass sie anfangen, aus Vorsicht vor Strafen und dem Image als Datensau schon mal die Selbstabschaltung zu üben. Das kanns nicht sein.

5

Die DSGVO ist
1. ein toller Lobbyerfolg der papiererzeugenden Industrie. Für mich immer noch die einzige sinnvolle Erklärung für dies Machwerk.

2. für Verbraucher eine Katastrophe, weil wichtige Informationen in einem Berg Müll untergehen. Liegt nicht nur an der DSGVO, sondern daran, dass unter dem Label Verbraucherschutz die Unternehmen sehr viel Informationspflichten haben, die dann aber in der Masse eher schaden als Nutzen. Man stelle sich nur mal vor, ein Unternehmen würde wirklich allen Informationspflichten nachkommen.
Zwischen 10 Seiten Datenschutzerklärung nebst TOM, einer Information über das Speichern und Verarbeiten von Kundendaten (und wieso im Rahmen eines Vertragsverhältnisses keine Zustimmung erforderlich ist), der Information nach Dienstleistungs-Informationspflichten-Verordnung und was auch immer einem sonst noch einfällt, findet man vielleicht noch die mehrseitigen AGB wieder. Aber beispielsweise die Widerrufsbelehrung (die für den Kunden in der Regel viel wichtiger wäre als das Datenschutzbelehrungszeugs) geht irgendwann in der Informationsflut völlig unter.

Im Studium ab 1969 haben wir bereits - anders als Frau Dr. Barley von heute meint - selbstredend auch Einführung in NS-Tendenzen (christliche, sozialistische und nat.-soz. Einflüsse in das Recht) erfahren. In Erinnerung ist der Hinweis, dass die Nazis es im deutschen Recht eingeführt haben, Motivation, Ideologie und Erwägungen und Propaganda in "Vorsprüche" einzubauen als Vorspann von Gesetzen. Waren das arme Würstchen! DSGVO: 173 "Erwägungen". Viel Freude in der Erwartung, dass diese Abstreifungen wahnhaften Geistes (sehr wahr, Herr anonymus non nomen ) zur "Auslegung" dieses Legislationsprodukts herangezogen werden. -  Was gefehlt hat, das war eine für zivilbürgerliche Zwecke ( Vereine, Kirchengemeinden, Kleinbetriebe) taugliche Beratschlagung, wie KONKRET vorzugehen sei. Da es dem Gesetzgeber wurscht ist und wir ja derzeit belehrt werden, dass auch Gerichten das gesunde Volksempfinden (huijuijui! Dr. Barley lässt grüßen; nun ja : Meinung der Bevölkerung) schnuppe zu sein habe ( was zwar der BGH-Rechtsprechung widerspricht, aber ansonsten momentan bei rechtsstaatoiden Politkämpfern im Schwange ist) ; hätte man wohl mehr von freigesellschaftlichen Kräften erwarten müssen, zB Handwerkskammern, IHK, Parteien ( könnten die nicht auch bürgernützlich sein?), Parteistiftungen und gerade auch Kirchen erwarten können. War aber nix. Sinnigerweise hat der Chefredakteur der westfälischen ev. Zeitung "Unser irche" auf zwei Halbseiten umfänglichst herungejmmert, dass alle und die Kirchengemeinden ganz unsicher seien. Ja, wer sein Blatt jahrelang nur mit politischer Hetze füllt und geifert, kommt nicht dazu, praktisch Sinvolles hineinzuschreiben.

 

Kommentar hinzufügen