Governance der EU-Datenschutzpolitik

ZusammenfassungTrotz einiger Kritikpunkte stellt die EU-Datenschutz-Grundverordnung (DSGVO) das weltweit ambitionierteste Gesetz zum Schutz personenbezogener Daten dar. Die DSGVO führte mehrere Innovationen in das Datenschutzrecht ein. Dazu zählen beispielsweise das Marktortprinzip, das Recht auf Datenübertragbarkeit, die Anforderungen an den Datenschutz durch Systemgestaltung und durch Voreinstellungen sowie die Datenschutz-Folgenabschätzung. Auf der Ebene der Governance-Strukturen fand das Prinzip der sog. Rechenschaftspflicht Eingang in das EU-Datenschutzrecht. An die Seite gestärkter Betroffenenrechte und gestärkter Aufsichtsbehörden trat die Pflicht der Datenverarbeiter, selbständig und – in Abhängigkeit vom Risiko der jeweiligen Verarbeitung – unter geringerem organisatorischen Aufwand für die Einhaltung der Datenschutzregeln zu sorgen. Als Element dieser Rechenschaftspflicht wurde das mögliche Sanktionsmaß auf eine Bußgeldhöhe von 20 Mio. EUR oder im Falle eines Unternehmens auf bis zu 4 Die DSGVO war aber auch Kritik ausgesetzt. Aus bürgerrechtlicher Seite stechen die unzureichende Harmonisierung und die falsch verstandene Technikneutralität der DSGVO hervor. So beinhaltet die DSGVO trotz der anfänglichen Intention der EU-Kommission, das EU-Datenschutzrecht zu vereinheitlichen, 70 Öffnungsklauseln. Diese ermöglichen es den Mitgliedstaaten von den Vorgaben der Verordnung abzuweichen oder diese zu konkretisieren. Zudem wird die DSGVO dahingehend kritisiert, dass die Datenschutz-Risiken moderner Technologien unberücksichtigt blieben. Aus der Perspektive der datenverarbeitenden Wirtschaft wird die DSGVO dagegen im Hinblick auf die mit der neuen Regelung verbundene administrative Mehrbelastung kritisiert. Dieser Beitrag widmet sich der Auseinandersetzung mit beiden Strängen der Kritik und beantwortet zwei Fragen: Zum einen interessiert uns, weshalb die Einführung datenschutzrechtlicher Innovationen durch eine unzureichende Harmonisierung und eine falsch verstandene Technikneutralität begleitet wurden. Zum anderen widmen wir uns der Frage zu, wie die Innovationen der DSGVO, insbesondere das Sanktionsregime, wirken und welche Effekte die DSGVO auf die Innovationsfähigkeit von Unternehmen hat – wirkt sie eher innovationsfördernd oder innovationshemmend?