Als Prof. Dr. Kugelmann seine Amtszeit 2015 antrat, wurde die Datenschutz-Grundverordnung politisch verhandelt. Seine Behörde und er bereiteten sich, die Verantwortlichen und die Bürgerinnen und Bürgern im Rahmen von internen und externen Workshops, Informationsoffensiven und bilateralen Beratungen auf den erwarteten „Umbruch“ des Datenschutzrechts vor. In diesem Zusammenhang konnte Prof. Dr. Kugelmann als Europarechtswissenschaftler wissenschaftliche Perspektiven in seine neue Aufsichtsfunktion einfließen lassen. Das zweite Panel zum Thema „Auswirkungen der DS-GVO“ griff dieses Momentum auf. Darin erörterten Dr. h.c. Marit Hansen, Landesbeauftragte für Datenschutz und für Informationszugang Schleswig-Holstein, Thomas Zerdick, Head of Unit Supervision and Enforcement beim Europäischen Datenschutzbeauftragten, und Prof. Dr. Alexander Roßnagel, Hessischer Beauftragter für Datenschutz und Informationsfreiheit, die europäische Perspektive des Datenschutzrechts. 

Einführend erläuterte Prof. Dr. Roßnagel, dass der erste Entwurf eines einheitlichen, verbindlichen Gesetzes zur europäischen Datenschutzharmonisierung bereits 2012 von der Kommission eingebracht wurde, 2016 in Kraft getreten und 2018 wirksam geworden sei. Handele es sich also um ein „altes Gesetz? Hat die Datenschutz-Grundverordnung technisch den Anschluss verloren? Oder sind es zeitlose Regeln und Pflichten für Verantwortliche? Kann die Verordnung erreichen und erzielen, was sie sich vorgenommen hat?“ Dieses Spannungsfeld wolle er in dem Panel beleuchten. 

Thomas Zerdick rief noch einmal die mit der Datenschutz-Grundverordnung verbundenen Ziele in Erinnerung: Ein europäischer Datenschutz, „der zur Wirklichkeit einer vernetzten, globalen und datengestützten Wirklichkeit“ passt. Ein Paradigmenwechsel durch die Stärkung der Rechte der Bürgerinnen und Bürger, durch die Harmonisierung im EU-Binnenmarkt und die Schaffung von Vertrauen für eine digitale Gesellschaft. „Die Menschen sollten wieder die Kontrolle über ihre personenbezogenen Daten erhalten und nicht in der Hinsicht dem Staat oder Unternehmen ausgeliefert sein.“ Die Unternehmen sollten in dem europäischen Binnenmarkt durch eine einheitliche Regelung Rechtssicherheit bekommen. Dies sei zudem verbunden gewesen mit der Hoffnung des sogenannten Brussels Effect, darauf also, dass die Datenschutz-Grundverordnung als erster europäischer Digitalrechtsakt als europäisches Markenzeichen und Vorbild für andere Staaten fungiere. Beim Schutz der Würde des Menschen im digitalen Raum habe die Datenschutz-Grundverordnung als Referenzmodell für andere Drittstaaten gedient. Immer schon als eine Herausforderung sei dabei die föderale Aufsichtsstruktur erkannt worden, aber der dezentrale Ansatz wurde verfolgt, denn: „Zum Datenschutz brauchen wir einen dezentralen Ansatz, denn zum Datenschutz braucht man Bürgernähe“, stellte Thomas Zerdick klar. 

Für Prof. Dr. Roßnagel stellte sich dabei die Frage, ob der Geburtsfehler, der zu unterschiedlichen Auffassungen und deswegen erforderlichen Abstimmungs- und Kohärenzverfahren geführt habe, nicht die Gesetzestechnik der sehr allgemeinen und unspezifischen Regelungen und Grundprinzipien gewesen sei, die branchen- und technikübergreifend gelten sollten. Nach Thomas Zerdick sei es das Ziel gewesen, Grundprinzipien festzulegen, aus denen sich Recht und Lösungen fortentwickeln. Diese Dogmatik werde dem Umstand gerecht, dass es sich bei der Datenschutz-Grundverordnung um ein grundrechtsbasiertes Recht handele. In der gesellschaftlichen Resonanz habe sich allerdings gezeigt, dass die Veranschaulichung für die Bürgerinnen und Bürgern nicht geglückt sei. 

Der in der Datenschutz-Grundverordnung nur punktuell geregelte risikoorientierte Ansatz reichte für Prof. Dr. Roßnagel noch nicht weit genug, da z.B. die Grundprinzipien und Erlaubnistatbestände unabhängig des Risikos gelten würden. Ist die fehlende Differenzierung der Grund dafür, dass die Datenschutz-Grundverordnung als zu aufwändig und bürokratisch wahrgenommen werde? Nach Ansicht von Thomas Zerdick sei der Datenschutz-Grundverordnung ein ausreichender risikobasierter Ansatz zuzuschreiben. Da es sich um ein Regelungswerk handele, das Grundrechtschutz im alltäglichen Leben durchsetzen soll, sei es nicht möglich, Bereiche aus dem Anwendungsbereich herauszunehmen. 

Hat sich die Datenschutz-Grundverordnung denn technisch bewährt? Die Datenschutz-Grundverordnung sei bewusst technikoffen gestaltet, damit sie technische Neuerungen als Regelungswerk standhalten könne und damit nachhaltig sei. Das Abstraktionslevel im Hinblick auf die Grundprinzipien und Betroffenenrechte, die Risikoabschätzung und Verhältnismäßigkeit sei dazu grundsätzlich geeignet, führt die Informatikerin Dr. Marit Hansen an. Als problematisch erkennt sie dabei, dass der gestalterische Aspekt des Datenschutzes dazu führe, dass insbesondere globale Player es vorzogen, nicht datenschutzkonforme Geschäftsmodelle weiter zu betreiben – ohne die Grundsätze der DS-GVO angemessen zu berücksichtigen. Dies habe als schlechtes Vorbild für kleinere Unternehmen gedient. Standardisierungen von Datenschutzanforderungen und Selbstregulierungen hätten sich in vielen Branchen wenig durchgesetzt. 

Mit Spannung sehe sie dem Zusammenwirken der DS-GVO mit anderen EU-Digitalrechtsakten entgegen. Synergien etwa im Falle des Cyberresilience Acts als Produktsicherheitsrecht könnten auch zu einer Stärkung des Datenschutzrechts führen, z.B. im Rahmen der Nutzerinformationen. Hier seien u.a. die Hersteller Adressaten der Pflichten; fehlende Herstellerhaftung sei ein Makel der DS-GVO, den Dr. Marit Hansen weiterhin bedauere. Generell sei der Start der DS-GVO auch von den Datenschutzaufsichtsbehörden verstolpert worden. Themen wie Zertifizierungen, Verhaltensregelungen und andere echte Neuerungen wurden verspätet angegangen und man habe sich auf bekannte, auf der Datenschutzrichtlinie aufbauende Interpretationen gestützt. Aber es sei noch nicht zu spät: „Ich wünsche mir, dass es endlich losgeht“, resümiert Dr. Marit Hansen. 

„Wenn man Grundrechte in einer technisch geprägten Welt schützen will, dann muss man Technik gestalten.“ Vor diesem Hintergrund sollte der Art. 25 DS-GVO – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen – nach Ansicht von Prof. Dr. Roßnagel eine größere Rolle in der Datenschutzpraxis spielen. Die Herausforderung für Dr. Marit Hansen besteht darin, dass die Probleme in der Praxis und technischen Gestaltungsmöglichkeiten weit vorgelagert seien. Die Hersteller stünden dabei aber, wie zuvor skizziert, nach der DS-GVO nicht in der Pflicht. In diesem Zusammenhang gebe es ein erhebliches Entwicklungspotential. Dr. Marit Hansen vernehme dabei jedoch auch, dass der Komplex der technischen Datenschutzgestaltung durch das Zusammenspiel von Rechtsakten insbesondere des Produktsicherheitsrechts oder des Europäischen Gesundheitsdatenraumes einen „Drive“ erfahre. 

Orientiert an Fragen aus dem Auditorium diskutierten die Panelisten zum Schluss die Frage der Harmonisierungsbestrebungen der Datenschutz-Grundverordnung vor dem Hintergrund nationaler und europäischer föderaler Aufsichtsstrukturen. Thomas Zerdick betonte, dass es wichtig sei, dass die Bürgerinnen und Bürger vor Ort Ansprechpartner hätten, die ihre Grundrechte durchsetzten. Erforderlich sei es dabei aber, dass die Aufsichtsbehörden mit einem guten, effizienten Ergebnis zusammenarbeiteten. Dr. Marit Hansen ergänzte, dass die bestehende Vielfalt der Schwerpunkte und der fachliche „Flavour“ der Aufsichtsbehörden dann vorteilhaft seien, wenn man voneinander lernen könne; „dass man von den einzelnen Spezialist:innen insgesamt profitiert“. Dies griff einen strategischen Ansatz auf, der auch bei der Fortentwicklung der Datenschutzkonferenz im Rahmen des Arbeitskreises DSK 2.0 diskutiert wird. 

Als Erfolgsgeschichte der Datenschutz-Grundverordnung wurde auf Nachfrage des Auditoriums der klare und krisenfeste Umgang mit Daten in der Covid Pandemie benannt. Thomas Zerdick rief in Erinnerung, dass Europa durch den klaren Rechtsrahmen schnell handlungsfähig war. In diesem Zusammenhang lobte Dr. Marit Hansen auch die großen Plattformunternehmen, die dazu beigetragen hätten, dass im Rahmen von Covid-Apps mit wenig Datenmaterial Näheabgleiche von Bürgerinnen und Bürger vorgenommen werden konnten und damit datenminimierend ein Beitrag zum Schutz der Bevölkerung geleistet werden konnte.

Den Schutz der Bürgerinnen und Bürger, der ein erklärtes Ziel der Datenschutz-Grundverordnung ist, griff auch Prof. Dr. Roßnagel in seinen Abschlussworten auf. Zu der Frage des Fortgangs der Datenschutz-Grundverordnung zitierte er einen Kollegen der italienischen Aufsichtsbehörde, Guido Scorza: „Wir müssen die Bürger dazu bringen, ihre Grundrechte zu lieben.“

Als Vorsitz des Arbeitskreises DSK 2.0 sowie des Arbeitskreises Künstliche Intelligenz der Datenschutzkonferenz beschäftigt sich Prof. Dr. Kugelmann gemeinsam mit seinen Bundes- und Länderkolleginnen und -kollegen bereits seit mehreren Jahren mit Fragen zur effektiven Zusammenarbeit und strategischen Aufstellung der Datenschutzaufsichtsbehörden. Dabei wurden bislang nicht nur die internen Kooperationsmechanismen der Datenschutzkonferenz optimiert, sondern es werden auch die weiteren Aufsichtsstrukturen und -akteure, die durch die Europäische Digitalgesetzgebung hinzutreten, in den Blick genommen. Ziel ist es, dass trotz der Vielfalt an Strukturen und – zum Teil – an Auffassungen eine effektive Durchsetzung des Datenschutzrechts durch die Aufsichtsbehörden gewahrt bleibt.

Im dritten und abschließenden Panel diskutierte Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht, mit Prof. Dr. Indra Spiecker genannt Döhmann, Lehrstuhlinhaberin und Professorin für das Recht der Digitalisierung an der Universität zu Köln, und Prof. Dr. David Roth-Isigkeit, Lehrstuhlinhaber und Professor für Öffentliches Recht, insbesondere Recht der Digitalisierung an der Deutschen Universität für Verwaltungswissenschaften Speyer, über „Die Durchsetzung des Datenschutzrechts und seine künftige Entwicklung“. Die Aufsichtspraxis der deutschen Datenschutzbehörden wurde dabei ebenso in den Blick genommen wie die Frage, in welcher Weise sich die Wirksamkeit des Datenschutzrechts wissenschaftlich messen lässt.

Zu Beginn griff Michael Will die jüngste FORSA-Umfrage der Bundesbeauftragten auf, die unter anderem zum Ergebnis kam, dass die Erwartungen der Bürgerinnen und Bürger an den Datenschutz überwiegend unerfüllt geblieben seien. Dabei stelle sich die Frage, was genau der Maßstab der Wissenschaft an eine erfolgreiche Rechtsdurchsetzung sei. Laut Prof. Dr. Spiecker gen. Döhmann sei es ein gängiger rechtswissenschaftlicher Weg zu schauen, welche Instrumente und Mechanismen es gebe und wie wirkmächtig diese seien. „Je mehr sich über eine Regulierung beschwert wird, umso eher kann man sagen, demnach scheint sie zu greifen.“ Die durch die Datenschutz-Grundverordnung verursachte stärkere Durchsetzungskraft durch eine mit stärkeren Befugnissen ausgestattete Aufsicht sei für die Verantwortlichen schmerzhaft spürbar – für Bürgerinnen und Bürger eher nicht. Diesbezüglich führte sie das sogenannte „Privacy Paradoxum“ an. Grundsätzlich sei es den Bürgerinnen und Bürgern wichtig, dass ihre Daten geschützt werden, trotzdem würden sie Dienste in Anspruch nehmen und dabei erhebliche Datenspuren hinterlassen, „weil es alternativlos scheint“. Dies liege nicht zuletzt an unzureichend berücksichtigtem „Privacy by Design“, womit Prof. Dr. Spiecker gen. Döhmann auf die Diskussion im zweiten Panel verwies. 

Prof. Dr. Roth-Isigkeit beleuchtete demgegenüber die institutionelle Seite: Sind die Datenschutzaufsichtsbehörden genügend ausgestattet, um gute Rechtsdurchsetzung zu leisten? Aus seiner Praxis könne er dabei die Auffassung der Ministerien wiedergeben: „Es gibt zwei Institutionen, die ihren Job richtig gut machen. Das sind die Datenschutzaufsichtsbehörden und das Bundesverfassungsgericht.“ Die Aufgabe guter Durchsetzung sei es aber nicht, sich nur an den positivrechtlichen Normen zu orientieren und den engmaschigen Rechtsrahmen durchzusetzen. Auch die grundrechtliche Situation müsse beachtet und reflektiert werden, wie sich in der Praxis gewisse „Pole“ verändert haben könnten. 

„Welche Rolle für die Durchsetzungskraft spielen in diesem Zusammenhang Bußgelder der Datenschutzaufsichtsbehörden?“, fragte Michael Will, der als Präsident der Aufsicht über den privatwirtschaftlichen Bereich in Bayern den Eindruck habe, der Erfolg der Aufsicht werde häufig ausschließlich anhand der Arbeiten der Bußgeldstelle der Aufsichtsbehörden gemessen. Prof. Dr. Spiecker gen. Döhmann griff in ihrer Antwort auf die im Volkszählungsurteil von 1983 zum informationellen Selbstbestimmungsrecht ausgeformte Dogmatik zurück: Eine dogmatische Besonderheit des Datenschutzgrundrechts sei die Konkretisierung der Schutzpflichtenlehre dahingehend, dass es nicht reicht, den Einzelnen mit Rechten auszustatten, sondern dass es eine institutionelle Absicherung durch die Datenschutzaufsichtsbehörden brauche. Ein Instrument stelle die Verhängung von Geldbußen dar. Die Verfahren richteten sich ihrer wissenschaftlichen Untersuchung nach vielerorts allerdings gegen die „Big Player“ und gegen schwerwiegende Fälle. Die „low hanging fruits“ würden weit weniger häufig geerntet. Michael Will führte diese Feststellung mit der aufsichtlichen Perspektive zusammen: Dies folge einem risikobasierten Ansatz mit dem Ziel, zunächst den schwerwiegenden Datenschutzverstößen abzuhelfen und diese zu sanktionieren, bevor die knappen Ressourcen weniger invasiven Datenschutzverstößen zugeführt würden. 

Michael Will stellte dazu auch in diesem Panel die Datenschutz-Grundverordnung auf den Prüfstand: Gehen die Aufsichtsbehörden mit den praktischen Bedingungen der Grundrechtsausübung – etwa im Hinblick auf Unternehmen, die zu groß seien, um reguliert zu werden („too big to regulate“) – richtig um oder gebe es in der Hinsicht systemische Mängel der Datenschutz-Grundverordnung? Für Prof. Dr. Roth-Isigkeit stellt weniger die bewährte Datenschutz-Grundverordnung mit ihrem komplexen, dabei jedoch klaren Aufsichtsregime eine Herausforderung dar, sondern die durch die weiteren Digitalrechtsakte hinzutretenden Aufsichtsstrukturen, die in weiten Teilen noch ungeklärt sind und bei denen sich spannende Fragen des Zusammenspiels stellen werden, auch für die beaufsichtigten Stellen. Bedeutsam werden dabei Abstimmungsmechanismen zwischen unterschiedlichen unabhängigen Aufsichtsbehörden, die auch Auswirkungen auf das angewandte materielle Recht haben könnten. Für die Datenschutzaufsichtsbehörden werde dies bedeuten, dass funktionierendes Recht und eine funktionierende Aufsicht konfrontiert werde mit einer Masse von Regulierung, die in Einklang mit dem Datenschutzrecht gebracht werden müsse. Dazu brauchen die Datenschutzaufsichtsbehörden laut Prof. Dr. Roth-Isigkeit neue Strategien. 

Prof. Dr. Spiecker gen. Döhmann ergänzte, dass auch in dem Geflecht von unterschiedlichen Regulierungsrechtsakten, die verschiedenen Regimen folgen, der „Vollzug des Vollzugs“ nicht mitgedacht wurde sowie der Rechtsschutz der Individuen. Wenn Aufsichtsbehörden keine grundrechtsschützende, weil Individuen unterstützende Funktion mehr hätten, bestehe die Gefahr, dass sie zu „politisch steuerbaren Regulierungsinstrumenten“ werden. 

Hinsichtlich der Zusammenarbeit mit dem Bundeskartellamt bestünden schon erste Erfahrungswerte der Datenschutzaufsichtsbehörden, die für weitere Kooperations- und Koordinationsmechanismen genutzt werden könnten. Auch das deutsche Verwaltungsrecht kenne Verfahren, in denen unterschiedliche Rechtsrahmen und Interessen verschiedener Akteure berücksichtigt würden – als Beispiel führte Michael Will das Planfeststellungsverfahren an, das kontrovers von den Diskutierenden bewertet wird. Eine Lösung könnte nach Prof. Dr. Roth-Isigkeit ein koordiniertes Abstimmungsverfahren sein, der politische Wind gehe aber in eine andere, zentralisierende Richtung. Dies würden die Pläne der Bundesregierung im Zusammenhang mit der Überwachung über die KI-Verordnung zeigen, die vollends der Bundesnetzagentur übertragen werden soll, auch in den hoheitlichen Bereichen der Justiz und Polizei. 

Damit schnitt Michael Will das kontroverse Thema der Vereinfachung des Datenschutzes durch Bündelung der Aufsicht an, wie es im Rahmen des Koalitionsvertrags von der Bundesregierung skizziert ist. „Funktioniert das denn, dass wir eine allein zuständige Behörde haben werden, ohne dass innerstaatliche Abstimmungen erfolgen müssen?“ Laut Prof. Dr. Spiecker gen. Döhmann wäre dies „mit einem Federstrich“ durch den Verfassungsgesetzgeber – nicht mittels einfachen Rechts – möglich und sie würde auch eine festere Verankerung des Datenschutzes und der Digitalisierung im Grundgesetz befürworten. Die Frage sei aber, ob eine starke Aufsicht überhaupt politisch gewollt sei, denn die Tendenzen gingen eher dahin, eine starke Regulierung mit einem schwachen Vollzug zu kombinieren. Damit verliere das Regulierungsregime seine Kraft. Durch die in der Datenschutz-Grundverordnung eingezogenen Kohärenzmechanismen seien in der DS-GVO diesbezüglich Grenzen gesetzt. Die neuen Digitalrechtsakte kennen aber keine solchen Mechanismen – es gibt zwar die Gremien, aber keine entsprechenden Verfahren. 

Ein weiterer Lösungsansatz könnten Gremien sein, in denen die unterschiedlichen Akteure vertreten sind und Abstimmungen erfolgen können – wäre das möglich oder stehe dem das Verbot der Mischverwaltung entgegen? Prof. Dr. Spiecker gen. Döhmann erläuterte, dass das Verbot der Mischverwaltung die Länder davor schützen sollte, dass der Bund überbordend in deren Kompetenzbereiche eingreife. Wenn dagegen die Institutionalisierung der Datenschutzkonferenz und die Verrechtlichung und Verbindlichkeit einer Kooperation der Datenschutzaufsichtsbehörden geregelt sei, würden die Länder gemeinsam mit dem Bund gestärkt. Insofern würde die Intention des Verbots nicht greifen. In dem Moment, wo durch Verbindlichkeit Souveränität beschnitten werde, müsse der Verfassungsgesetzgeber jedoch zunächst die Voraussetzungen dafür schaffen. Damit bestünden die Grundvoraussetzungen für ein „deutsches Board mit Ländern“, hielt Michael Will fest. Dieses müsse dann aber mit einer guten Governance ausgestattet werden, die dafür Sorge trage, dass die relevanten Akteure zusammenwirkten und dazu auch mit ausreichenden Ressourcen ausgestattet seien. 

Der Vollzug sollte dabei über die europäische Ebene harmonisiert und gebündelt werden, betonte Prof. Dr. Roth-Isigkeit. Auch deswegen, weil der Mitgliedstaat in vielen Rechtsakten eher die Rolle eines Akteurs als die eines Regulators einnehme. Diesbezüglich sollte laut Prof. Dr. Spiecker gen. Döhmann jedoch die geopolitische Dimension mitgedacht werden. Die Europäische Union habe im Zusammenhang mit der Digitalisierung einerseits eine enorme Marktmacht, andererseits dürfe der Vollzug nicht politisch verhandelbar sein, wie es bei dem Vollzug durch einen Akteur schneller möglich sei. „Wichtig ist es, Regelungen zu schaffen, die auch dann noch funktionieren, wenn sie böswillig eingesetzt werden“, so Prof. Dr. Spiecker gen. Döhmann.