[Translation coming soon]
Im Ergebnis bewirkt die DS-GVO, dass Bürger und Unternehmen von ihren Grundrechten weniger Gebrauch machen, auch wenn sie weiterhin dazu berechtigt wären. Dies liegt zum einen an den (vermutlich unbeabsichtigten) chilling effects der DS-GVO [Kachel K.19], zum anderen an der vom Normgeber intendierten Abschreckungswirkung:
Das Datenschutzrecht wird vom “Verbotsprinzip” beherrscht. Jede Verarbeitung personenbezogener Daten ist verboten, es sei denn, der Datenverarbeiter kann sich auf einen Erlaubnistatbestand berufen. Dieses Regelungskonzept ist prinzipiell verarbeitungsfeindlich. Es bedeutet, dass ein personenbezogenes Datum „by default“ nicht verarbeitet werden darf. Zwar gibt es Ausnahmen und für viele Konstellationen Erlaubnistatbestände. Es macht aber einen großen Unterschied, ob ein Verhalten grundsätzlich erlaubt oder grundsätzlich verboten ist. Der generelle Widerspruch zur allgemeinen Handlungsfreiheit ist vom Datenschutzrecht intendiert:
Hinweis- und Warnfunktion:
Jeder Datenverarbeiter soll sich, schon bevor er mit der Datenverarbeitung beginnt, Gedanken darüber machen, ob er überhaupt zur Datenverarbeitung berechtigt ist. Hier offenbart sich der Präventivcharakter des Datenschutzrechts. Nicht erst ein konkreter Datenmissbrauch, sondern schon die Möglichkeit des Datenmissbrauchs soll verhindert werden.
Begründungszwang:
Das Verbotsprinzip führt zu einem Begründungszwang. Wer personenbezogene Daten verarbeitet, muss sich rechtfertigen – und zwar sowohl vor den Betroffenen als auch vor den staatlichen Aufsichtsbehörden.
Formell-rechtlich: Jeder Datenverarbeiter muss
► seine Datenverarbeitung nachvollziehbar machen,
► Informationen darüber in präziser, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache zur Verfügung stellen,
► seine berechtigten Interessen erklären,
► die Rechtsgrundlage seiner Datenverarbeitung benennen (Zitiergebot),
► ein Verzeichnis von Verarbeitungstätigkeiten vorhalten, in dem er zahlreiche Angaben zur Datenverarbeitung (u.a. zu den Zwecken) macht, und
► die Ergreifung technischer und organisatorischer Maßnahmen nachweisen können.
Materiell-rechtlich: Jeder Datenverarbeiter muss
► Interessenabwägungen,
► Kompatibilitätsprüfungen,
► Geeignetheitsprüfungen,
► Erforderlichkeitsprüfungen,
► Angemessenheitsprüfungen,
► Verhältnismäßigkeitsprüfungen,
► Risikoprüfungen und
► Risikofolgenabschätzungen vornehmen,
die allesamt Auswirkungen auf die Rechtmäßigkeit der Datenverarbeitung und/oder auf die zu ergreifenden technischen und organisatorischen Maßnahmen haben.
Bußgeldrisiko:
Mit bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des Weltjahresumsatzes enthält die DSGVO die – soweit ersichtlich – höchste Bußgelddrohung im gesamten Ordnungswidrigkeitenrecht. Auch unter Berücksichtigung der wohl weiterhin geringen Wahrscheinlichkeit, von den Datenschutzaufsichtsbehörden mit Bußgeld belegt zu werden, soll gerade diese exorbitant hohe Bußgelddrohung natürlich Abschreckungswirkung haben. Eine Begrenzung auf die wirtschaftliche Leistungsfähigkeit des mit einem Bußgeld Bedrohten ist dabei nicht zwingend vorgesehen: Die mögliche Gefährdung der wirtschaftlichen Existenz ist durchaus intendiert und soll den Aufsichtsbehörden „scharfe Zähne“ geben.
Übermaß an Pflichten:
Je nach Zählung treffen den datenschutzrechtlich Verantwortlichen zwischen 68 und 100 Pflichten. Es liegt auf der Hand, dass die Hypertrophie dieser Pflichten für einen Datenverarbeiter nicht gerade ein günstiges Umfeld zur Förderung von Datenverarbeitungen darstellt. Zu der Bußgelddrohung treten mit Abschreckungswirkung auch noch die Ausweitung der Betroffenenrechte und eigene Klagemöglichkeiten der Verbraucherverbände hinzu. Der Versuch einer gewissenhaften Erfüllung der ihn betreffenden Pflichten ist daher jedem Datenverarbeiter anzuraten.
Das Rechtsregime der DS-GVO hat Abschreckungswirkung und es soll auch Abschreckungswirkung haben.