(Gleichzeitig ein Beitrag zur beginnenden Reformdebatte)

Die Bedeutung vieler Normen der DSGVO liegt über sechs Jahre nach ihrem Inkrafttreten noch immer im Dunklen. Dies liegt auch daran, dass sie in rechtstechnischer Hinsicht schlecht gemacht ist. Um es mit Arthur Schopenhauer zu sagen: „Dunkelheit und Undeutlichkeit des Ausdrucks ist allemal und überall ein sehr schlimmes Zeichen.“ Die sprachliche Schlamperei schlägt der DSGVO den Boden der Rechtsförmlichkeit aus. Die DSGVO ist keine Blaupause für gute Gesetzgebung.

1. Von der Bedeutung der Rechtssprache

Es ist das ganz kleine Einmaleins der Gesetzgebung: Wenn Du in einem Gesetz einen bestimmten Begriff verwendest, dann hat dieser einen konkreten Bedeutungsgehalt. Wenn Du in demselben Gesetz einen anderen Begriff verwendest, dann darf dieser nicht dieselbe Bedeutung haben. Wenn Du für einen bestimmten Sachverhalt eine bestimmte Rechtsfolge festlegst, verwendest Du für diesen Sachverhalt immer denselben Begriff. Wenn Du einen anderen Begriff verwendest, hat dieser eine andere Bedeutung. Das lernt man in den ersten Minuten des Kontakts mit einer Normenprüfstelle.

Nach dem Grundsatz der Einheit der Rechtsordnung bilden sogar die Rechtsnormen aller Gesetze ein widerspruchsfreies System. Jeder in einem Gesetz verwendete Begriff muss sich in das Rechtssystem einfügen. In der deutschen Rechtsordnung nennen wir die bedeutungsgeladenen Gesetzesbegriffe Tatbestandsmerkmale.

Die Tatbestandsmerkmale der DSGVO hat der Autor nunmehr über Jahre hinweg immer wieder querschnittlich analysiert. Es ist Zeit für eine Gesamtbilanz:

Zentrale Rechtsbegriffe werden von der DSGVO mit größter Beliebigkeit verwendet, kombiniert, ausgetauscht, falsch übersetzt, gedankenlos hingeworfen oder durch inflationären Gebrauch ihres Gewichts beraubt.

Als Jurist kann man daran nur verzweifeln. Die Ungenauigkeiten haben gravierende Folgen für die Anwendung der DSGVO. Sich darüber zu beklagen, ist nicht pedantisch oder perfektionistisch. Von einem Rechtstext, der Bürgern und Unternehmen staatliche Zwangsgewalt, Handlungsverbote und Bußgelder in Millionenhöhe androht, darf man Normenklarheit und -bestimmtheit verlangen. Es ist durchaus legitim, eindeutig definierte Begriffe zu erwarten. Doch ist dies nicht der Fall:

2. Von Rechten, Freiheiten und Interessen

Schon das Schutzgut der DSGVO ist unklar. In 125 Vorschriften tauchen als mögliche Schutzgüter auf: Menschenwürde, Menschenrechte, Grundrechte, Rechte, Datenschutzrechte, Grundfreiheiten, Freiheiten, Interessen, Garantien und personenbezogene Daten. Die Terminologie ist dabei höchst uneinheitlich. Die genannten Schutzgüter finden Eingang in 24 verschiedene Wortlautkombinationen:

• 16 x „Rechte“
• 1 x „Datenschutzrechte“
• 50 x „Rechte und Freiheiten“
• 1 x „Persönliche Rechte und Freiheiten“
• 4 x „Rechte und Freiheiten sowie berechtigte Interessen“
• 1 x „Rechte und berechtigte Interessen“
• 3 x „Grundrechte“
• 13 x „Grundrechte und Grundfreiheiten“
• 3 x „Grundrechte und Interessen“
• 1 x „Grundrechte und Garantien“
• 1 x „Grundrechte und personenbezogene Daten“
• 1 x „Menschenrechte und Grundfreiheiten“
• 1 x „Personenbezogene Daten und andere Grundrechte und Grundfreiheiten“
• 2 x „Interesse“
• 6 x „berechtigte Interessen“
• 4 x „zwingende berechtigte Interessen“
• 1 x „zwingende schutzwürdige Gründe“
• 6 x „lebenswichtige Interessen“
• 1 x „Interessen und Rechte“
• 2 x „Interessen und Grundrechte“
• 1 x „Interessen, Rechte und Freiheiten“
• 2 x „Interessen oder Rechte und Freiheiten“
• 3 x „Interessen oder Grundrechte und Grundfreiheiten“
• 1 x „Menschliche Würde, berechtigte Interessen und Grundrechte“

Ein kohärentes Konzept verbirgt sich hinter der Terminologie nicht. Abstufungen zwischen Grundrechten/Rechten/Freiheiten/Interessen gibt es nicht. Welche Schutzgüter sich hinter welchen Grundrechten/Rechten/Freiheiten/Interessen verbergen, wird nicht konkretisiert. Auch die Umstrittenheit der Drittwirkung von Grundrechten zwischen Privaten wird nicht zur Kenntnis genommen. Das führt dazu, dass Private komplexe Grundrechtsabwägungen vornehmen müssen.

Mangels Konkretisierung fehlen für die zahlreichen Abwägungsentscheidungen die Abwägungsmaßstäbe, die eine strukturierte und konsistente Prüfung erlauben. Welche Grundrechte/Rechte/Freiheiten/Interessen im Einzelfall gegen welche Grundrechte/Rechte/Freiheiten/Interessen abzuwägen sind, bleibt unklar.

Die DSGVO will irgendwie alles schützen, macht sich aber nicht die Mühe, dieses „alles“ rechtlich einzuhegen. Begriffe wie „Rechte und Freiheiten“ klingen gut. Der Gebrauch positiv konnotierter Rechtsbegriffe ist sicherlich auch an die Öffentlichkeit gerichtet, um sie für die DSGVO zu gewinnen. Ihr inflationärer Gebrauch führt aber zur Abstumpfung beim Rechtsunterworfenen und lässt die Schutzgüter in den endlosen Weiten des Rechtsraumes zerfließen.

3. Von Geeignetheit, Erforderlichkeit und Verhältnismäßigkeit

Mindestens 80 Regelungen der DSGVO verpflichten den Verantwortlichen zur Vornahme von Abwägungsentscheidungen. So gibt es in der DSGVO:

• 3 x Fairnessprüfungen
• 8 x Interessenabwägungen
• 2 x Kompatibilitätsprüfungen
• 11 x Geeignetheitsprüfungen
• 30 x Erforderlichkeitsprüfungen
• 10 x Angemessenheitsprüfungen
• 3 x Verhältnismäßigkeitsprüfungen
• 13 x Risikoprüfungen

All diese Abwägungspflichten treffen sowohl staatliche Stellen als auch Private. Ursprünglich staats- und verwaltungsrechtliche Prinzipien gelten auf strukturähnliche Weise auch für natürliche und juristische Personen des Privatrechts. Dies führt zur totalen Drittwirkung des Grundrechts auf Datenschutzes zwischen Privaten. Die DSGVO kümmert sich jedoch nicht darum, dass der einzelne Bürger vielleicht nicht in der Lage ist, eine verfassungsrechtliche Verhältnismäßigkeitsprüfung vorzunehmen.

Im deutschen Verfassungsrecht haben die Begriffe „Geeignetheit“, „Erforderlichkeit“ und „Verhältnismäßigkeit“ klare Konturen, die von der Rechtsprechung des BVerfG in jahrzehntelanger Rechtsprechung ausgeformt wurden. Angesichts der Beliebigkeit, mit der die Begriffe in der DSGVO verwendet werden, kann man den in der deutschen Rechtsordnung vorgesehenen Bedeutungsgehalt getrost vergessen.

Aber irgendeinen Unterschied – so denkt man – muss es doch machen, ob der Verantwortliche „geeignete“ oder „angemessene“ Maßnahmen treffen muss. Die DSGVO beraubt einen dieser naiven Vorstellung. Aus dem Tatbestandsmerkmal „angemessen“ wird in der englischen Fassung der DSGVO:

• 1 x „adequate“
• 5 x „reasonable“
• 1 x „appropriate“
• 1 x „suitable“
• 1 x „proportionate“
• 1 x „due“

Es ist nicht anzunehmen, dass diese Begriffe im englischen Rechtskreis alle dieselbe Bedeutung haben. Während man bei Vornahme der zehn Angemessenheitsprüfungen im deutschsprachigen Rechtskreis annehmen muss, es gelte derselbe Abwägungsmaßstab, muss man im englischsprachigen Rechtskreis von sechs verschiedenen Abwägungsmaßstäben ausgehen.

4. Von Beschränkungen, Abweichungen und Ausnahmen

Ein Hauptziel der DSGVO ist die Harmonisierung des Datenschutzrechts in der EU. Ob dieses Ziel erreicht wird, hängt auch davon ab, wie die zahlreichen Öffnungsklauseln der DSGVO interpretiert werden und inwieweit die Mitgliedstaaten von ihnen Gebrauch machen.

Die DSGVO enthält ca. 70 Öffnungsklauseln, die den Mitgliedstaaten Gestaltungsspielraum geben. EG 10 Satz 5 spricht von „Spielraum“ bzw. “margin of manoeuvre”.

Streit zwischen der EU-Kommission und den Mitgliedstaaten über die Reichweite der Öffnungsklauseln und damit über den Gestaltungsspielraum der Mitgliedstaaten ist vorprogrammiert. Teilweise heißt es, die DSGVO gebe den Mitgliedstaaten „nicht sonderlich viel Spielraum“ (Tim Wybitul) und jede Öffnungsklausel sei eine „restriktiv zu betrachtende Ausnahme“ (Jan Albrecht). Teilweise wird die Existenz von Öffnungsklauseln ganz geleugnet. Insbesondere Vertreter der Europäischen Kommission (z.B. Martin Selmayr) sprechen gerne von „Spezifizierungsklauseln“. Bislang hält sich die Europäische Kommission mit Vertragsverletzungsverfahren gegen die Mitgliedstaaten wegen Überschreitung der Befugnisse aus den Öffnungsklauseln wohl eher aus politischen Gründen zurück, um nicht noch mehr Unruhe an der Datenschutzfront zu stiften.

Der restriktiven Interpretation wird von anderen die Lückenhaftigkeit und Ausfüllungsbedürftigkeit vieler Regelungen der DSGVO entgegengehalten. Die DSGVO wird daher auch bezeichnet als „Hybrid“ (Jürgen Kühling / Mario Martini: „von der Grundverordnung zum Handlungsformenhybrid“), „Zwitter“ (Alexander Roßnagel), „Richtlinie im Gewand einer Verordnung“ (Alexander Roßnagel)  oder “Diregulation” (Nikolaus Marsch, Das europäische Datenschutzgrundrecht, S. 342). In anderen Bereichen ist die EU gar nicht regelungsbefugt (z.B. im Bereich Meinungsfreiheit), so dass sie „an sich“ keine datenschutzrechtlichen Regelungen treffen dürfte, es aber „irgendwie“ trotzdem tut.

Man könnte hoffen, dass die Terminologie der DSGVO selbst Aufschluss darüber gibt, wie weitreichend die Befugnisse der Mitgliedstaaten sind. Doch auch diese Hoffnung wird enttäuscht. Auch hier ist die Terminologie nicht nur uneinheitlich, sondern beliebig. Zulässig sind im nationalen Recht zusätzlich zur DSGVO Regelungen, die sich ergeben müssen aus:

• „spezifischen Vorschriften“ (Art. 23 II)
• „spezifischeren Bestimmungen zur Anpassung der Anwendung“ der DSGVO (Art. 6 II)
• „Beschränkungen“ (Art. 23 I)
• „Abweichungen“ (Art. 85 II)
• „Ausnahmen“ (Art. 89 II oder III)
• dem „In-Einklang-Bringen des Datenschutzrechts mit anderen Grundrechten“ (Art. 85 I oder 90 I)
• „Präzisierungen“ (EG 8)
• „Gesetzgebungsmaßnahmen“ (Art. 23 II)
• „Rechtsgrundlagen des Rechts der Mitgliedstaaten“ (Art. 6 III)
• „Rechtsvorschriften der Mitgliedstaaten“ (Art. 6 IV oder 22 II b)
• „notwendigen und verhältnismäßigen Maßnahmen“ (Art. 6 IV)
• dem „Recht der Mitgliedstaaten“ (Art. 9 II b, g, h, i, j oder Art. 10)
• „rechtlichen Verpflichtungen, die die Verarbeitung nach dem Recht der Mitgliedstaaten erfordert“ (Art. 17 III b)
• einem „wichtigen öffentlichen Interesse eines Mitgliedstaates“ (Art. 18 II)

Auch hier darf man nicht erwarten, dass der sprachliche Unterschied zwischen Spezifizierung, Beschränkung, Abweichung, Ausnahme, dem In-Einklang-Bringen, Präzisierung, Gesetzgebungsmaßnahme, Rechtsgrundlage, usw. einen inhaltlichen Unterschied macht – geschweige denn, dass terminologische Unterschiede etwas über die konkrete Reichweite der jeweiligen Öffnungsklausel aussagen.

5. Von Garantien und Vorkehrungen

An insgesamt 73 Stellen verlangt die DSGVO vom mitgliedstaatlichen Recht, vom Verantwortlichen, vom Auftragsverarbeiter, von internationalen Abkommen oder von Drittländern „Garantien“. Oft verlangt sie damit zusätzliche Maßnahmen, die über die explizit in der DSGVO genannten Pflichten hinausgehen. Der Wortlaut ist nicht einheitlich. Teilweise werden „nur“ Garantien, teilweise geeignete, angemessene, notwendige, ausreichende, hinreichende oder zusätzliche Garantien verlangt. Teilweise werden Garantien „für“ etwas (z.B. für Rechte), teilweise Garantien „gegen“ etwas (z.B. Risiken) verlangt:

• 10 x „Garantien“
• 26 x „geeignete Garantien“
• 3 x „angemessene Garantien“
• 1 x „notwendige Garantien“
• 1 x „ausreichende Garantien“
• 4 x „hinreichende Garantien“
• 2 x „zusätzliche Garantien“
• 2 x „geeignete oder angemessene Garantien“
• 1 x „Garantien für ein angemessenes Schutzniveau“
• 1 x „Garantien zum Schutz der Rechte und Freiheiten der betroffenen Personen“
• 3 x „geeignete Garantien für den Schutz der betroffenen Person“
• 1 x „geeignete Garantien für die Grundrechte und Interessen der betroffenen Person“
• 5 x „geeignete Garantien für die Rechte und Freiheiten der betroffenen Person(en)“
• 1 x „geeignete Garantien für den Schutz personenbezogener Daten und anderer Grundrechte und Grundfreiheiten“
• 1 x „angemessene Garantien zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen“
• 1 x „zur Bewältigung der Risiken geplante […] Garantien“
• 1 x „Garantien […] zur Minderung des Risikos“
• 1 x „Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung“
• 5 x „Bedingungen und Garantien“
• 1 x „angemessene Bedingungen und Garantien“
• 1 x „Garantien in nicht rechtsverbindlichen Verwaltungsvereinbarungen
• 1 x „Grundrechte und Garantien“

An anderen Stellen verlangt die DS-GVO „Vorkehrungen“:

• geeignete Datenschutzvorkehrungen
• erforderliche Vorkehrungen
• geeignete technische und organisatorische Sicherheitsvorkehrungen
• zur Bewältigung der Risiken geplante Sicherheitsvorkehrungen und Verfahren
• geeignete technische Sicherheitsvorkehrungen
• Sicherheitsvorkehrungen und Mechanismen zur Minderung des Risikos

Welche Garantien und Vorkehrungen gemeint sind, wird in der DSGVO meist nicht weiter ausgeführt. In einigen wenigen Fällen wird die DSGVO konkreter. So kommen zum Beispiel Verschlüsselung, Pseudonymisierung oder Verarbeitung nur durch Fachpersonal, das dem Berufsgeheimnis oder einer Geheimhaltungspflicht unterliegt, als Garantien in Betracht.

6. Von Maßnahmen

161 Mal verwendet die DSGVO den Begriff „Maßnahmen“, ohne den Begriff zu definieren und meist auch nicht zu konkretisieren. Erst eine querschnittliche Betrachtung macht deutlich, was alles unter Maßnahmen verstanden wird.

An 75 Stellen verlangt die DSGVO vom Verantwortlichen oder vom Auftragsverarbeiter die Ergreifung von „Maßnahmen“. Die Terminologie ist dabei wenig einheitlich. Verlangt werden:

• 4 x „Maßnahmen“
• 6 x“geeignete Maßnahmen“
• 1 x „geeignete und wirksame Maßnahmen“
• 3 x „erforderliche Maßnahmen“
• 3 x „angemessene Maßnahmen“
• 2 x „angemessene Maßnahmen – auch technischer Art“
• 1 x „angemessene und besondere Maßnahmen“
• 1 x „besondere und angemessene Maßnahmen“
• 9 x „technische und organisatorische Maßnahmen“
• 1 x „technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung“
• 11 x „geeignete technische und organisatorische Maßnahmen“
• 1 x „geeignete technische Schutz- sowie organisatorische Maßnahmen“
• 1 x „erforderliche technische und organisatorische Maßnahmen
• 1 x „aufsichtsbezogene Maßnahmen“
• 1 x „vorgesehene Maßnahmen und Garantien“
• 1 x „vorgeschlagene Maßnahmen“
• 2 x „ergriffene Maßnahmen“
• 1 x „Maßnahmen und Verfahren“
• 2 x „interne Strategien […] und Maßnahmen“
• 1 x „Mitteilungen und Maßnahmen“
• 1 x „Informationen und Maßnahmen“
• 1 x „öffentliche Bekanntmachung oder eine ähnliche Maßnahme“
• 3 x „Abhilfemaßnahmen“
• 1 x „geplante Abhilfemaßnahmen“
• 1 x „ergriffene Abhilfemaßnahmen“
• 1 x „nachfolgende Maßnahmen“
• 1 x „andere Datenschutzmaßnahmen“
• 1 x „Pseudonymisierungsmaßnahmen
• 1 x „andere Maßnahmen“
• 1 x „Maßnahmen zur Eindämmung des Risikos“
• 2 x Maßnahmen zur Eindämmung von Risiken, wie etwa Verschlüsselung
• 1 x „geplante Maßnahmen“ zur Eindämmung des Risikos
• 1 x „Maßnahmen zum Schutz personenbezogener Daten“ (als verbindliche interne Datenschutzvorschriften)
• 1 x „Maßnahmen für die Sicherheit der Verarbeitung“
• 1 x „Maßnahmen zur Sicherstellung der Datensicherheit“
• 1 x „Maßnahmen zur Abmilderung möglicher nachteiliger Wirkungen“ einer Datenschutzverletzung
• 2 x „Maßnahmen zur Minderung des entstandenen Schadens
• 1 x „Schulungsmaßnahmen“

Nicht zu verwechseln mit diesen Maßnahmen, die als Maßnahmen zum Schutz des Betroffenen zu verstehen sind, ist die Verwendung des Begriffes „Maßnahme“ im Zusammenhang mit anderen Aktivitäten des Verantwortlichen. Dies ist an insgesamt 9 Stellen der Fall:

• 3 x „vorvertragliche Maßnahmen“
• 1 x „Entscheidung – was auch eine Maßnahme einschließen kann“
• 1 x „Maßnahmen oder Entscheidungen gegenüber einzelnen natürlichen Personen“
• 1 x ein Kind betreffende Maßnahme
• 1 x Maßnahmen mit diskriminierender Wirkung
• 1 x „wissensgestützte politische Maßnahmen“
• 1 „Maßnahmen im Interesse der betroffenen Person“

Verwirrend ist, dass auch viele Handlungen der Datenschutzaufsichtsbehörden als „Maßnahmen“ bezeichnet werden. Dies ist an insgesamt 50 Stellen der DSGVO der Fall:

• 12 x „Maßnahmen“
• 1 x „Überwachungs- und sonstige Maßnahmen“
• 5 x „geeignete Maßnahmen“
• 1 x geeignete, erforderliche und verhältnismäßige Maßnahmen
• 1 x „individuelle Maßnahmen“
• 1 x „rechtsverbindliche Maßnahmen“
• 1 x „Maßnahmen, die rechtliche Wirkung entfalten sollen“
• 1 x „Maßnahme, die rechtliche Wirkung in Bezug auf Verarbeitungsvorgänge entfalten soll“
• 1 x „rechtlich nicht bindende Maßnahmen“
• 2 x „angeordnete Maßnahmen“
• 1 x „ergriffene Maßnahmen“
• 1 x „Sensibilisierungsmaßnahmen“
• 1 x „spezifische Maßnahmen“
• 1 x „spezifische Maßnahmen für Kinder“
• 1 x „beabsichtigte Maßnahmen“
• 6 x „einstweilige Maßnahmen“
• 1 x „endgültige Maßnahmen“
• 8 x „gemeinsame Maßnahmen“
• 1 x „gemeinsame Durchsetzungsmaßnahmen“
• 1 x „andere Maßnahmen“
• 1 x „Maßnahme in Bezug auf einen Verantwortlichen oder einen Auftragsverarbeiter“
• 1 x „Maßnahmen zur Erleichterung der Einreichung von Beschwerden“

Noch verwirrender wird es dadurch, dass auch die Mitgliedstaaten „Maßnahmen“ ergreifen können oder müssen. Meist geht es dabei um gesetzliche „Maßnahmen“. Dies ist an insgesamt 21 Stellen der Fall:

• 6 x „Gesetzgebungsmaßnahmen“
• 1 x „legislative und administrative Maßnahmen“
• 1 x „Regelungsmaßnahmen“
• 1 x „geeignete Maßnahmen“
• 1 x „erforderliche Maßnahmen“
• 1 x „angemessene Maßnahmen“
• 3 x „angemessene und spezifische Maßnahmen“
• 1 x „angemessene und besondere Maßnahmen“
• 1 x „sonstige Maßnahmen“
• 4 x „notwendige und verhältnismäßige Maßnahme“
• 1 x „Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung“

An einer Stelle kann der Betroffene Maßnahmen beantragen:

• 1 x „beantragte Maßnahmen“

An zwei Stellen werden auch den Akkreditierungsstellen und Zertifizierungsstellen Maßnahmen zugeschrieben:

• 2 x „Maßnahmen“

Die DSGVO erwähnt an zwei Stellen den Begriff „Maßnahmen“ im Zusammenhang mit der Europäischen Kommission:

• 1 x „geeignete Maßnahmen“
• 1 x „besondere Maßnahmen für Kleinstunternehmen sowie kleine und mittlere Unternehmen“

Auch die EU wird einmal mit einer „Maßnahme“ in Verbindung gebracht:

• 1 x „Maßnahme auf Unionsebene“

Was unter einer „Maßnahme“ konkret zu verstehen ist, lässt die DSGVO größtenteils offen.

7. Von Nachweisen und Dokumentationen

Die DSGVO ist geradezu nachweis- und dokumentationsversessen. Sie enthält zahlreiche allgemeine und spezielle Nachweispflichten, die sich dem Grundsatz der Rechenschaftspflicht (Art. 5 II) zuordnen lassen.

Generalklauselartig formuliert sind die folgenden Nachweispflichten des Verantwortlichen:

• Der Verantwortliche muss die Einhaltung der Grundsätze der DSGVO „nachweisen können“ (Art. 5 II).
• Der Verantwortliche muss technische und organisatorische Maßnahmen ergreifen, um den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt (Art. 24 I).
• Der Verantwortliche muss die Wirksamkeit seiner Maßnahmen nachweisen können (EG 74 Satz 2).

Hinzu kommen die folgenden spezialgesetzlichen Nachweispflichten:

• Einwilligung (Art. 7 I; EG 42 S. 1)
• Identitätsfeststellung (Art. 11 II, 12 II 2)
• Widerspruch (Art.  21 I 2; EG 69 S. 2)
• Datenschutz „by design“ und „by default“ (Art.  25 I; EG 78 S. 2)
• Verzeichnis von Verarbeitungstätigkeiten (Art. 30; EG 82 S. 1 )
• Datensicherheit (Art. 32 I d und III)
• Datenschutzverletzung (Art. 33 V; EG 85 S. 2  87 S. 1)
• Datenschutz-Folgenabschätzung (Art. 35 VII d; EG 84 Satz 2)
• Drittstaatentransfer (Art. 49 I 2 und VI)
• Haftung (Art. 82 III)

Dann verwendet die DSGVO auch noch den Begriff der „Dokumentation“:

• Art. 28 III a: dokumentierte Weisung des Verantwortlichen
• Art. 30 I lit. e und II c: Dokumentierung geeigneter Garantien bei Drittstaatsübermittlungen
• Art. 33 V: Dokumentation von Datenschutzverletzungen
• Art. 46 II a: Die Garantie für eine Drittstaatenübermittlung kann in einem rechtlich bindenden und durchsetzbaren Dokument zwischen Behörden bestehen.
• Art. 49 VI: Der Verantwortliche/Auftragsverarbeiter muss seine Garantien für Drittstaatsübermittlungen in einer Dokumentation erfassen.

Das EDPB leitet aus dem Grundsatz der Rechenschaftspflicht sogar noch weitere ungeschriebene Nachweispflichten ab (vgl. WP 260 rev.01).

Auch das modifizierende deutsche Datenschutzrecht enthält weitere Nachweispflichten (z.B. §§ 22 II 2 Nr. 2, 25 II Nr. 2, 26 I 2 und II 3, 31 I Nr. 2 und Nr. 4, 32 II 2, 33 II 2, 34 II 1 BDSG).

Die Nachweispflichten sind recht gedankenlos über die gesamte DSGVO verteilt. Grund dafür scheint auch hier zu sein, dass es einfach gut klingt, wenn ein Verantwortlicher etwas nachweisen muss. Dass die Nachweispflichten so erratisch sind, trägt zu den vielen Rechtsunsicherheiten im Umgang mit ihnen bei. Umfang und Grenzen der Rechenschaftspflicht sind weitgehend unklar:

• Das Verhältnis der spezialgesetzlichen Nachweispflichten zu den allgemeinen Nachweispflichten der Art. 5 II und 24 I ist ungeklärt.
• Es ist unklar, welche Form die Nachweise haben müssen, welche zeitliche Grenze für die Aufbewahrung der Nachweise besteht, wie feingranular der Nachweis geführt werden muss und welche rechtlichen Folgen ein fehlender Nachweis hat.
• Impossibilium nulla est obligatio: Es ist faktisch unmöglich, jedes einzelne Datum, jeden einzelnen Verarbeitungsschritt und jede einzelne technische und organisatorische Maßnahme zu dokumentieren. Es ist unklar, wann die Grenze der Unmöglichkeit erreicht wird und ob erst diese Grenze maßgeblich ist oder ob es auch eine Unverhältnismäßigkeitsgrenze gibt.
• Unverhältnismäßigkeit: Eine umfassend zu verstehende Meta-Nachweispflicht wäre ein unverhältnismäßiger Eingriff in die grundrechtlich geschützte Handlungsfreiheit des Einzelnen oder anderer Grundrechte, die durch die Verarbeitung in Anspruch genommen werden.
• Risikobasierter Ansatz: Ob und inwieweit die Nachweispflichten durch den risikobasierten Ansatz eingeschränkt werden, ist unklar.
• Grundsatz der Selbstbelastungsfreiheit: Ein enormes Spannungsverhältnis besteht zwischen dem Nachweisenkönnenmüssen einerseits und dem Grundsatz der Selbstbelastungsfreiheit andererseits, der sowohl im Verwaltungsrecht als auch im Strafrecht gilt.
• Fraglich ist, ob und inwieweit die Nachweispflichten der DS-GVO Einfluss auf die Darlegungs- und Beweislast in zivilrechtlichen Verfahren haben.

8. Fazit

Jedenfalls die Begriffe Grundrechte, Grundfreiheiten, Rechte, Freiheiten, Interessen, Fairness, Treu und Glauben, Geeignetheit, Erforderlichkeit, Angemessenheit, Verhältnismäßigkeit, Kompatibilität, Risiko, Spezifizierung, Beschränkung, Abweichung, Ausnahme, In-Einklang-Bringen, Präzisierung, Garantie, Vorkehrung, Maßnahme, Nachweis, Nachweisenkönnenmüssen und Dokumentation werden von der DSGVO eindeutig uneindeutig verwendet.

Kürzlich schrieb Christian Franz hier in anderer Sache: „Der EuGH meißelt nichts in Stein, er malt flüchtig in die Wolken.“ Die Aussage trifft nicht nur auf den EuGH, sondern auch auf den EU-Normgeber zu.

Die Gründe für die sprachliche Schlamperei sind natürlich vielfältig und zum Teil sogar verständlich. Es liegt auch an der Komplexität der Entscheidungsfindung in der EU und am Übersetzungsregime. Die EU-Verhandlungen zwischen den jetzt 26 EU-Mitgliedstaaten mit ihren 24 Amtssprachen ähneln oft dem Turmbau zu Babel. Die Entscheidungsfindung ist gekennzeichnet von vielfältigen Kompromissen, von Nichtentscheidung und Verlagerung strittiger Fragen (zeitlich nach hinten und kompetenziell auf die Mitgliedstaaten), von Vernebelung (insbesondere Präsentation von Unwesentlichem) und der Schaffung von Symbolen (vgl. Nikolaus Forgo, Datenschutz in der EU: Nach dem Spiel ist vor dem Spiel).

Eine Erklärung, warum die DSGVO ihre Absichten zu vernebeln oder zu verdunkeln sucht, kommt noch hinzu:

„Dunkelheit [des Ausdrucks] hat werbende Kraft. […] Sie trägt auf ihren Schwingen das Echte und das Falsche ins Land und raubt uns so die Möglichkeit, den Schwindel von der Wahrheit zu scheiden.“ (Ludwig Reiners)

Deshalb kann für uns nur gelten: „Wer Klarheit fordert, setzt auf der einen Seite der Bequemlichkeit, auf der andern dem Schwindel eine unübersteigliche Schranke.“ (Ludwig Reiners)

Jedenfalls die Rechtssprache der DSGVO ist keine Blaupause für gute Gesetzgebung.