Die DSGVO wird vor allem als Verbotsnorm wahrgenommen. Der Grundsatz, die Verarbeitung personenbezogener Daten ist verboten, es sei denn, es besteht eine Rechtsgrundlage aus einem Gesetz oder durch die Einwilligung der betroffenen Person, zieht sich durch die tägliche Arbeit mit dem Datenschutz.

Der Europäische Binnenmarkt, (fast) unendliche Weiten

Weniger Beachtung findet dabei ein weiterer Zweck der DSGVO, nämlich die Förderung des freien Verkehrs personenbezogener Daten innerhalb der Europäischen Union und des Europäischen Wirtschaftsraumes.

Um diesen Punkt einzuordnen, ist ein Blick in das Europarecht notwendig. Die Schaffung des Europäischen Binnenmarktes ist eines der größten Projekte der Europäischen Union. Dies bedeutet einen Raum ohne Binnengrenzen mit Grundfreiheiten: Waren, Personen, Dienstleistungen und Kapital sollen sich frei in diesem Binnenmarkt bewegen können.

Diese Freiheit ist bspw. auf dem Weg mit dem Auto zum Urlaubsort spürbar, wenn man von Deutschland über Frankreich nach Spanien kommt, ohne eine Grenzkontrolle passieren zu müssen. Wenn Waren im EU-Ausland bestellt, Urlaub in einem anderen Land verbracht oder auch auf der anderen Seite der Grenze gearbeitet wird, werden regelmäßig personenbezogene Daten ausgetauscht, was eine einheitliche Behandlung erfordert.

Art. 1 Abs. 3 DSGVO sieht vor dem Hintergrund der Grundfreiheiten vor, dass der freie Verkehr personenbezogener Daten in der Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden darf.

ErwGr 5 führt dazu aus, dass der Binnenmarkt zu einem deutlichen Anstieg des grenzüberschreitenden Verkehrs personenbezogener Daten geführt und der unionsweite Datenaustausch zwischen privaten und öffentlichen Akteuren zugenommen habe. ErwGr 7 hebt hervor, dass diese Entwicklungen einen soliden, kohärenteren und klar durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der Union erfordern und eine Vertrauensbasis geschaffen werden soll, die die digitale Wirtschaft dringend benötige, um im Binnenmarkt weiter wachsen zu können.

Damit der Binnenmarkt funktionieren kann, müssen also überall in der EU dieselben Spielregeln gelten, damit Unternehmen und EU-Bürgerinnen und -Bürger rechtssicher in der EU agieren können. Ein Unternehmen in Spanien soll keinen Wettbewerbsvorteil gegenüber einem Unternehmen in Irland haben, nur weil in Spanien die Datenschutzregeln großzügiger ausgelegt werden als in Irland.

Diese Regelung richtet sich an die Mitgliedstaaten, die für die nationale Umsetzung verantwortlich sind.

Kleinstaaterei in Deutschland beim Datenschutz

In der Praxis zeichnet sich für deutsche Unternehmen in Deutschland allerdings ein anderes Bild. Hier spielt die Anzahl der Aufsichtsbehörden eine Rolle. Dadurch, dass für Unternehmen und Landesbehörden die jeweiligen Datenschutzaufsichtsbehörden der Länder zuständig sind, ergibt sich die stolze Anzahl von 17 Behörden, wobei Bayern zwei Aufsichtsbehörden hat – jeweils eine für Unternehmen und für Behörden. Hinzukommt die Bundesbehörde für den Datenschutz, die für Bundesbehörden und Anbieter von Telekommunikations- oder Postdienstleistungen zuständig ist. Andere EU-Länder, wie etwa Frankreich, haben dagegen eine zentrale Aufsichtsbehörde.

Die Bitkom kritisierte in ihrer Stellungnahme zur Struktur der Datenschutzaufsichtsbehörden in Deutschland aus dem September 2020, dass unterschiedliche Interpretationen der DSGVO durch die einzelnen Behörden faktisch unterschiedliche Regeln für den jeweiligen Geltungsbereich ergeben.

Ein Beispiel ist die Speicherdauer für Unterlagen erfolgloser Bewerbungen. Eine gesetzliche Aufbewahrungsfrist gibt es nicht. Nach Art. 17 Abs. 1 lit. a DSGVO sind Daten unverzüglich zu löschen, wenn sie nicht mehr notwendig sind. Wann dies der Fall ist, wird aber schon von Aufsichtsbehörden in Deutschland unterschiedlich ausgelegt:

Während die Landesdatenschutzbehörde in Niedersachsen auf ihrer Website in einem FAQ zur DSGVO wohl von drei Monaten ausgeht, spricht die Landesdatenschutzbehörde von Hamburg in seinem Tätigkeitsbericht von 2021 auf Seite 45 von sechs Monaten. Dagegen geht die Landesdatenschutzbehörde in Baden-Württemberg in ihrem Ratgeber zum Beschäftigtendatenschutz von 2020 von vier Monaten aus.

Allein schon für Deutschland zeigt sich, dass es unterschiedliche Ansichten zur Auslegung des Merkmals „Notwendigkeit“ aus Art. 17 DSGVO gibt. Dies schürt das, was die DSGVO eigentlich beseitigen möchte: die Rechtsunsicherheit bei der Datenverarbeitung.

Die Bitkom verweist daher auch auf den Standortnachteil für europäische Unternehmen, die durch unterschiedliche Regelungen entstehen. Der Gesetzgeber in Deutschland diskutierte bereits im Jahre 2020 über eine Zentralisierung der deutschen Aufsichtsbehörden (wir berichteten), konnte die Diskussion bis zur Bundestagswahl 2021 aber nicht abschließen. Der Koalitionsvertrag der Ampelkoalition von 2021 sieht vor, dass zur besseren Durchsetzung und Kohärenz des Datenschutzes die Datenschutzkonferenz (DSK) institutionalisiert wird und Beschlüsse verbindlich erlassen kann. Eine Evaluierung des BDSG durch das Bundesinnenministerium aus dem Jahre 2021 kam allerdings zu dem Schluss, dass diese Institutionalisierung eine Grundgesetzänderung notwendig macht. Sprich, die CDU müsste dies mittragen, um eine 2/3 Mehrheit im Bundestag für die Änderung zu erhalten. Ein Referentenentwurf des Innenministeriums vom 09.08.2023, aus dem der Tagesspiegel zitiert, sieht keine Regelung zur rechtlichen Verbindlichkeit von Beschlüssen der DSK vor, da dies eine Grundgesetzänderung erfordere.

Europa kann Vorbild für Deutschland sein

Die hehren Grundsätze der DSGVO für eine einheitliche Behandlung personenbezogener Daten ist selbst innerhalb Deutschlands schwer zu realisieren. Dazu müssen noch dicke Bretter gebohrt werden. Ob die CDU sich aufraffen könnte, einer Grundgesetzänderung zuzustimmen, ist unklar. Hoffnung machen Äußerungen aus der CDU-Bundestagsfraktion aus dem Jahre 2020, die eine Zentralisierung durchaus befürworten.

Für Unternehmen in Deutschland wäre es ein Schritt zu mehr Rechtssicherheit, wenn verbindliche Beschlüsse der DSK dazu führen, dass Rechtsmeinungen bundesweit gelten und nicht nur in einem Bundesland. Auf europäischer Ebene ist man mit der DSGVO weiter. Art. 65 DSGVO sieht vor, dass der Europäische Datenschutzausschuss, in dem die Aufsichtsbehörden der EU-Mitgliedstaaten vertreten sind, verbindliche Beschlüsse erlassen kann, um die ordnungsgemäße und einheitliche Anwendung der DSGVO sicherzustellen. Dies hat das Gremium bei einem Bußgeld gegen Instagram bereits unter Beweis gestellt.

Es bleibt zu hoffen, dass solch ein Instrument auf nationaler Ebene auch zur Verfügung stehen wird, um mehr Rechtssicherheit zu erhalten.