Die DSGVO gilt seit rund einem halben Jahr. In vielen Punkten besteht trotz (zum Teil auch wegen) behördlicher Leitlinien weiterhin grosse Unklarheit, bspw. beim Anwendungsbereich der DSGVO, bei den Rechtsgrundlagen, bei Datenschutzerklärungen, im Zusammenhang mit Betroffenenrechten und bei der datenschutzrechtlichen Rollenverteilung. Auch in den vielen (vor allem in Deutschland) erschienenen Kommentierungen sind viele Fragen strittig, und andere bleiben offen. Dagegen sind Abmahnwellen bisher ausgeblieben, und es sind erst wenige Sanktionsentscheide ergangen. Auch ist die Zahl von Betroffenenanfragen bisher nicht explodiert. Auf Seite der Unternehmen werden die Umsetzungsarbeiten fortgesetzt. In der Schweiz beginnt Ende November die Beratung des DSG, die hoffentlich mit Augenmass geführt wird.

Die junge EU-Datenschutz-Grundverordnung (DSGVO) wurde erst im Mai dieses Jahres wirksam, und schon erscheint eine Vielzahl der Kommentare in der 2. Auflage. Allein in meinem Regal stehen elf DSGVO-Kommentare (ein Anspruch auf Vollständigkeit sei ausgeschlossen, und die Anzahl der Praxishandbücher bleibe unerwähnt). In der Praxis ist dieser Überfluss an Literatur nicht nur ein Segen. Die Vielzahl der Lehrmeinungen müssen vor dem Hintergrund gelesen werden, dass sie sich weder auf Rechtsprechung noch auf etablierte Behördenpraxis stüt­zen. Folglich stellt sich die Frage, inwiefern die Werke sich voneinander unterscheiden können. Die nachfolgenden Ausführungen sollen Ihnen die Wahl erleichtern. Hierbei vertritt die Autorin ihre persönliche Erfahrung aus der täglichen Praxis – andere Praktiker mögen andere Schwerpunkte setzen.

Die arbeitsteilige Datenbearbeitung verlangt in erster Linie eine klare und praktisch handhabbare Zuordnung der Verantwortung. Dafür stellt das Datenschutzrecht die Instrumente der alleinigen oder gemeinsamen Verantwortlichkeit und der Auftragsverarbeitung zur Verfügung. Wichtig ist in erster Linie die Unterscheidung der Rolle des Verantwortlichen von jener des Auftragsverarbeiters. Als Faustregel bewährt sich dabei die Schwerpunkttheorie: Eine an der Verarbeitung eines Verantwortlichen beteiligte weitere Stelle ist Verantwortliche, wenn ihr Auftrag im Kern nicht die Datenverarbeitung betrifft, sondern eine andere Dienstleistung. Betrifft ihre Leistungspflicht dagegen gerade die Datenverarbeitung, ist sie eine Auftragsverarbeiterin. In vielen Fällen sind jedoch weitere Kriterien zu beachten. Sind mehrere Stellen jeweils Verantwortliche, stellt sich sodann die weitere Frage der gemeinsamen Verantwortlichkeit. Dies gilt für die DSGVO, in Kern aber auch das (heutige und revidierte) DSG. Viele Fragen in diesem Umfeld sind allerdings noch wenig geklärt.

Das Datenschutzrecht wurde und wird umfassend revidiert, es beruht aber noch immer auf Konzepten aus den 1960er- und 1970er-Jahren des letzten Jahrhunderts. Es erstaunt deshalb wenig, dass das geltende (und künftige) Recht nicht in der Lage ist, die heutigen Probleme überzeugend zu lösen. Dieser Beitrag legt den Finger auf die wunden Punkte und versucht, erste Schritte hin zu einem neuen Ansatz zu skizzieren. Er ist bewusst provokativ gehalten und hofft, eine (längst überfällige) Diskussion zu den Grundfragen des Datenschutzrechts anzuregen.