Alle Jahre wieder
Prof. Dr. Alexander Golland Schriftleitung Datenschutz-Berater
Vor einem Jahr schrieb ich im Editorial der Dezemberausgabe von „Geschenken aus Berlin und Brüssel“. Wieder ist ein Jahr vergangen. Lassen Sie uns einen gemeinsamen Blick darauf werfen, was vor allem aus Brüssel zu uns dringt.
Beim großen Thema „ePrivacy“ hat sich weiterhin – jedenfalls in Brüssel – wenig getan. In Deutschland werkelt das Bundesministerium für Digitales und Verkehr aktuell an der Einwilligungsverwaltungsverordnung, die den Regelungsauftrag des § 26 TTDSG umsetzen und den rechtlichen Rahmen des Einsatzes von Personal Information Management-Systemen konkretisieren soll. Ein heikles Unterfangen im Regelungsgeflecht zwischen Spielraum bei der Umsetzung der ePrivacy-Richtlinie, Vorgaben der DSGVO und den eigens aufoktroyierten Anforderungen der Verordnungsermächtigung im TTDSG. Neu auf der Liste der europäischen Gesetzgebungsvorhaben ist der Data Act, der Datenzugangsrechte und Datennutzung regulieren soll. Ein Zielkonflikt mit der – weiterhin unveränderten – DSGVO, das muss ich Ihnen als treuen Lesern unseres Heftes nicht erklären, ist offenkundig.
Sowohl der Digital Markets Act (DMA) als auch der Digital Services Act (DSA) wurden vom Europäischen Parlament und vom Rat angenommen. Vor allem der DSA (zu deutsch: „Gesetz über digitale Dienste“), der am 16. November in Kraft getreten ist und ab Februar 2024 gelten soll, birgt Konfliktpotenzial. So heißt es noch recht harmlos in Art. 2 des DSA, die Verordnung lasse Vorschriften zum Schutz personenbezogener Daten unberührt. Wer sich einmal gefragt hat, warum Art. 22 DSGVO das Profiling überhaupt erwähnt, dessen Anwendbarkeit letztlich von der automatisierten Entscheidung im Einzelfall abhängt (wodurch die Definition des Profiling in Art. 4 Nr. 4 DSGVO obsolet ist), bekommt in Art. 26 des DSA die Antwort: Online-Plattformen sollen keine Werbung anzeigen, die auf dem Profiling oder auf besonderen Arten personenbezogener Daten – jeweils im Sinne der DSGVO verstanden – beruht. Anders als Art. 22 Abs. 2 lit. c und Art. 9 Abs. 2 lit. a der DSGVO sieht der DSA aber keine Einwilligungsmöglichkeit der Nutzer vor.
Moment mal: Die DSGVO erlaubt Datenverarbeitung für automatisierte Einzelfallentscheidungen, die auf Profiling basieren und erhebliche Auswirkungen auf Nutzer haben, u.a. auf Grundlage einer Einwilligung, aber bloße Werbung auf derselben Datenbasis soll selbst mit Einwilligung unzulässig sein? Es scheint, als wolle man die vielfach leichtsinnig gegenüber Instagram, TikTok & Co. erteilten Einwilligungen durch die Hintertür unwirksam machen. Was zunächst nach Datenpaternalismus klingt, scheint eher ein Einknicken vor erwähnten Diensten im Angesicht überforderter Aufsichtsbehörden und datenschutzunbewusster Nutzer zu sein. Ungeachtet dessen, wie man zu dieser Frage steht, dürfte allein anhand dieser Vorschrift klar sein: Der DSA wird zu wesentlichen Friktionen mit der DSGVO und mitgliedstaatlichen Gesetzen – insbesondere dem UWG – führen.
Und ansonsten so? Achja: Fußball-WM. Verfolgt das noch ernsthaft jemand? Gehen Sie auf den Weihnachtsmarkt, trinken Sie Glühwein mit Ihrer Familie, Ihren Freunden und Ihren Arbeitskollegen, genießen Sie die Adventszeit.
Im Namen der gesamten Redaktion wünsche ich Ihnen ein frohes Fest, ein paar erholsame Tage sowie einen guten Rutsch in ein erfolgreiches und gesundes Jahr 2023!
Ihr
Alexander Golland