Fake news? - Art. 5 Datenschutzgrundverordnung und die Umkehr der Beweislast
Gespeichert von Prof. Dr. Thomas Hoeren am
In der sich abzeichnenden Literatur zum neuen Datenschutz wird stets und fatalerweise betont, dass die Datenschutzgrundverordnung zu einer radikalen Änderung der Darlegungs – und Beweislast für die ordnungsgemäße unrechtmäßige Verarbeitung personenbezogener Daten geführt hat. Hierzu wird auf Art. 5 Abs. 2 DSGVO verwiesen, wonach der Verantwortliche für die Einhaltung des Abs. 1 er dieses Artikels verantwortlich sei und dessen Einhaltung nachweisen müsse. Die Rechenschaftspflicht führe damit in der Praxis im Vergleich zum bisherigen Recht zu umfangreichen zusätzlichen Dokumentations- und Nachweispflichten[1]. Durch Abs. 2 werde klargestellt, dass die Beweislast für die Rechtmäßigkeit einer Datenverarbeitung beim Verantwortlichen liegt, und dies werde durch Art. 24 noch einmal bekräftigt.[2] Im weiteren wird nachgewiesen, dass diese Auslegung unzutreffend ist.
Noch entscheidet über die Auslegung der Wortlaut der Vorschrift. Art. 5 Abs. 2 verweist ausdrücklich auf die Einhaltung des Abs. 1. Er gilt daher nicht für die besonderen Vorschriften der Datenschutzgrundverordnung, sondern für die Grundsätze für die allgemeine Datenverarbeitung. Nun umfasst Art. 5 Absatz 1 auch die Pflicht zur Verarbeitung personenbezogener Daten in rechtmäßiger Weise. Nicht gemeint ist aber mit Rechtmäßigkeit, dass die gesamten Vorgaben der Datenschutzgrundverordnung eingehalten werden: vielmehr verweist Art. 5 Abs. 1 mit dem Erfordernis der Rechtmäßigkeit der Verarbeitung auf Art. 6 Abs. 1.
Nach Art. 24 Abs. 1 setzt der Verantwortliche geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Er muss dies aber nicht unbeschränkt tun, sondern nur unter Berücksichtigung der Art, des Umfangs der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und für die Freiheiten natürlicher Personen. Alle Pflichten der Verordnung stehen durch den allgemeinen Grundsatz in Art. 24 Abs. 1 unter dem Vorbehalt der Verhältnismäßigkeit (risikobasierter Ansatz).
In der Literatur zur Datenschutzgrundverordnung wird behauptet, dass es sich bei Art. 5 Abs. 2 um „eine folgenschwere Veränderung gegenüber dem bisherigen Recht“ handele.[4] Dem ist nicht so. Schon nach dem alten BDSG galt der Grundsatz des Verbotes der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt. Die Rechtfertigungsgründe waren Ausnahmen und als solche von der verantwortlichen Stelle zu beweisen. Nichts anderes sagt Art. 5 Abs. 2 in Verbindung mit Art. 5 Abs. 1. Von der Beweislast zu unterscheiden ist die in Art. 24 geregelte öffentlich-rechtliche Nachweispflicht gegenüber den Aufsichtsbehörden. Diese finden sich an verschiedenen Stellen der Datenschutzgrundverordnung geregelt. Die Aufsichtsbehörde hat das Recht, verschiedene Dokumente von der verantwortlichen Stelle herauszuverlangen.
Es stellt sich für den unbedarften und unabhängigen Betrachter die Frage, wer warum seit Beginn der Diskussionen um die Datenschutzgrundverordnung Panik verbreitet. Offensichtlich haben bestimmte Verkehrskreise Vorteile davon, mit irreführenden Informationen über den Datenschutz an die Öffentlichkeit zu treten und eine die oft hemmungslose Panik zu verbreiten. Im Zusammenhang mit der Datenschutzgrundverordnung ist eine neue Spezies von Datenschutzbeauftragten entstanden, die ihre eigene Existenzberechtigung aus einem Zuviel an Dokumentationspflichten zieht. Diese neue Spezies wird noch unterstützt von zahlreichen neuen „Datenschutzexperten“ aus der Anwaltschaft und anderen mit Rechtsfragen rund um den Datenschutz oft juristisch laienhaft befassten Personenkreisen, die gerne für Verunsicherung und Diskussionen rund um den Datenschutz verbreiten und damit in nicht unerheblichem Maße für ein unnötiges Mehr an Arbeit und Umsatz sorgen. Ob damit dem Sinn und Zweck des Datenschutzes nicht ein Bärendienst erwiesen wird, ist hier noch die Frage.
[1] Wybitul, Einführung in die EU-Datenschutz-Grundverordnung, Rn. 77; Wybitul, CCZ 2016, 194 (197); ausf. Lepperhoff, RDV 2016, 197.
[2] Albrecht/Jotzo, Teil 2 G, Rn. 18; Wybitul/Ströbel, BB 2016, 2307 (2311).