Der DAV hat (unter unserer Mitwirkung) zu den Vorschlägen der Europäischen Kommission ausführlich Stellung genommen:

Einige Kernaussagen:

• Das geltende europäische Datenschutzrecht bedarf einer Erneuerung, da die Datenschutzrichtlinie aus dem Jahr 1995 stammt und keine hinreichenden Antworten auf die Herausforderungen der Informations- und Kommunikationstechnologie gibt.
• Der DS-GVO fehlt das Bewusstsein, dass Grundrechte und Grundfreiheiten nicht nur den Betroffenen, sondern auch den (privaten) Datenverarbeitern zustehen. Es bedarf praktikabler Abwägungsmechanismen zur Herstellung einer solchen Konkordanz und zudem eines effektiven Rechtsschutzes.
• An dem Verbotsprinzip hält Art. 6 DS-GVO fest. Jede Art der datengestützten Kommunikation bedarf danach einer Rechtfertigung. So steht bspw. die Kritik an einem prominenten Politiker über ein soziales Netzwerk auf einer Stufe mit der Erfassung von Adressdaten bei einem Versandhändler. Die in Art. 80 DS-GVO vorgesehenen Ausnahmen vom Verbotsprinzip bleiben zur Ausgestaltung völlig dem nationalen Gesetzgeber überlassen. Ein und dieselbe Meinungsäußerung könnte also nach deutschem Recht aufgrund einer Ausnahmenorm erlaubt und nach ungarischem Recht verboten sein.
• Ohne eine Modifikation, wenn nicht gar Abschaffung des Verbotsprinzips, wird eine Modernisierung des Datenschutzrechts misslingen.
• Daten „gehören“ einer Person nicht (allein), sie sind vielmehr (auch) ein Abbild sozialer Realität und als notwendiger Bestandteil der sozialen und gesellschaftlichen Interaktion schützenswert. Das Einwilligungs-/Verbotsprinzip darf nicht dazu führen, dass der soziale Interaktionsraum schleichend „privatisiert“ und hierdurch die freie Kommunikation in einer demokratischen Gesellschaft behindert wird.
• Art. 80 DS-GVO entspricht dem „Medienprivileg“ des Art. 9 DSRL. Die Reichweite dieses „Medienprivilegs“ ist unsicher und streitig, praktikable Kriterien zur Abwägung zwischen schutzwürdigen Persönlichkeitsrechten und dem Grundrecht auf freie Kommunikation lassen sich Art. 80 DS-GVO nicht entnehmen.
• Dem Begriff „Personenbezogenheit“ fehlt die Trennschärfe. Je nach Begriffsverständnis gelangt man zu einem sehr weiten oder stark eingeschränkten Anwendungsbereich des Datenschutzrechts. Die Kontroversen um den Anwendungsbereich des Datenschutzrechts werden sich fortsetzen. Während Art. 4 Nr. 1 DS-GVO die Deutung eines absoluten Begriffs des Personenbezugs nahelegt, heißt es in Erwägungsgrund 24, dass bspw. Kennnummern, Standortdaten und „Online-Kennungen“ nicht zwangsläufig als personenbezogene Daten zu betrachten sind.
• Dem staatlichen Zugriff müssen Schranken gesetzt werden, ohne dass es auf einen Personenbezug einzelner Daten ankommt. Ohne Personenbezug soll es auch weiterhin keine Transparenzpflichten beim Umgang mit Daten geben (Art. 14 DS-GVO).
• Die DS-GVO setzt auf eine umfassende behördliche Kontrolle und Durchsetzung des Datenschutzrechts. Es soll eine pyramidenartige Behördenstruktur entstehen. Die Rechtsdurchsetzung soll unter der Federführung der Europäischen Kommission stehen und die Kommission soll zugleich umfangreiche Befugnisse erhalten soll, per delegiertem Rechtsakt und durch Durchführungsrechtsakte Recht zu setzen, was rechtsstaatlich höchst problematisch wäre.
• Das neue europäische Datenschutzrecht soll nach dem Willen der Kommission nicht für die EU-Verwaltung gelten. Der Bürger muss aber darauf vertrauen können, dass sich europäische Behörden an die selbstgesetzten Standards halten.
• Das Ziel, durch den Erlass der DS-GVO die Rechtssicherheit für Wirtschaft und Staat bei der Verarbeitung personenbezogener Daten zu erhöhen, schlägt fehl.
• Die Nutzung der Rechtsform „Verordnung“ entzieht der Judikatur des Bundesverfassungsgerichts den gesamten Bereich des Schutzes personenbezogener Daten. Die Möglichkeiten der Geltendmachung einer Grundrechtsverletzung in Europa sind demgegenüber unzureichend.

(zusammengestellt von stud. iur. Jörn Lübben)