Das Datenschutzrecht fiel nicht vom Himmel

Das neue „Regime“ der Datenschutzrechts, die Datenschutz-Grundverordnung, ihre Herangehensweise und Lösungen sind nicht neu, sondern reichen weit zurück. Tatsächlich war es Hessen, das bereits 1970 – beschränkt auf ein Bundesland – das erste Datenschutzgesetz Europas schuf. Die erste landesweit geltende nationale Regelung kam dann 1972 aus Schweden. 1977 trat das deutsche Bundesdatenschutzgesetz in Kraft. Der zentrale Meilenstein im deutschen, und damit auch im europäischen Datenschutzrecht, war jedoch die Grundsatzentscheidung des Bundesverfassungsgerichts vom 15. Dezember 1983 im berühmten „Volkzählungsurteil“.

In dieser Entscheidung wurde das Grundrecht auf „informationelle Selbstbestimmung“ als Ausfluss des allgemeinen Persönlichkeitsrechts und der Menschenwürde etabliert. Das ungarische Verfassungsgericht übernahm 1991 diese Rechtsauffassung, teilweise bis in die Formulierungen. Auch deutsches Recht ist durchaus „exportfähig“, die Verbindung zwischen deutschen und ungarischen Juristen war und ist traditionell stark. Der berichterstattende Verfassungsrichter in der ungarischen Entscheidung 1991 war der damalige Präsident des Verfassungsgerichts und spätere Staatspräsident Dr. László Sólyom höchstpersönlich. Sólyom verfügte über exzellente Kenntnisse der deutschen Sprache und noch bessere (rechts-)wissenschaftliche Verbindungen in deutsche Stiftungen und Verbände.


Antworten aus Europa

Die rasante Entwicklung der Informationstechnologie zwang auch die internationalen Organisationen zu einer Reaktion. Der Europarat schuf 1981 „das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ und damit den wohl wichtigsten völkerrechtlich verbindlichen Vertrag zu diesem Thema. Hier wurde auch erstmals die grenzüberschreitende Übermittlung personenbezogener Daten geregelt. Heute scheinen solche Vorschriften selbstverständlich, aber in den 80zigern fehlten selbst im deutschen Recht brauchbare Vorschriften für den internationalen Austausch personenbezogener Daten.

Für international agierende Unternehmen wurde das zu einer zunehmenden Belastung. Die grenzüberschreitende Datenverarbeitung nahm immer mehr zu, vernünftige Regeln gab es nicht, und so halfen sich die Unternehmen mit „internationalen datenschutzrechtlichen Verträgen“ untereinander und mit ihren Kunden. Ein teurer Spaß, rechtlich unzuverlässig und immer angreifbar.

Abhilfe schuf erst 1995 die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG). Mit der Richtlinie ändert sich jedoch auch die Perspektive ganz entscheidend: Datenschutzrecht wurde hier nicht nur mehr allein als Instrument zum Schutz des „Datenbürgers“ verstanden („Mindestmaß an Datenschutz für Alle“), sondern jetzt auch explizit als Hindernis für den nationalen und internationalen Datenverkehr. Erste Prämisse der Kommission war es, den freien Warenverkehr – und damit den gemeinsamen Markt – zu fördern, und daher jede Einschränkung für den Markt der Daten durch nationales Datenschutzrecht genauso wenig zu tolerieren wie einschränkende Regelungen für jedes andere „marktfähige Gut“.


Nicht nur ungarische Stilblüten

Der besondere Charme einer sogenannten EU-Richtlinie liegt darin, dass sie nur einen rechtlichen Rahmen vorgibt, den der nationale Gesetzgeber zwar umsetzen muss, aber die Details mit eigenen Vorstellungen füllen kann. Die Richtlinie wirkt nicht direkt und unmittelbar. Auch Ungarn hat natürlich von diesem Recht 2011 mit dem sog. Informationsgesetz, genauer Infotörvény 2011. évi CXII., reichlich Gebrauch gemacht und ganz eigene „ungarische Besonderheiten“ eingefügt.

Um es kurz zu machen, diese Form der Umsetzung war wahrlich kein Erfolg. Ob es an den konzeptionellen Defiziten der Richtlinie lag oder schlicht am explosiven Wachstum der verarbeiteten Datenmenge, das ungarische Datenschutzrecht vor der Einführung der Datenschutz-Grundverordnung 2018 war faktisch gescheitert. Die Unternehmen ignorierten die Vorschriften des Infotörvény weitgehend, Sanktionen der zuständigen Datenschutzbehörde waren selten, viele Akteure kannten die Behörde nicht einmal. Oft waren eine Fülle der Vorschriften des Infotörvény auch schlicht unpraktisch und ihre Anwendung teuer.

Unter anderem waren die Verarbeiter personenbezogener Daten, und damit faktisch alle Unternehmen in Ungarn, gezwungen, jeden datenschutzrechtlich relevanten Vorgang der Datenschutzbehörde zu melden (!), wobei mangels klarer rechtlicher Grundlagen schon die Bestimmung eines solchen „Vorgangs“ schwierig war. Einen Datenschutzbeauftragten kannte man freilich nicht, und auch Form und Verfahren um eine datenschutzrechtliche Verletzung und deren Folgen waren mehr als unklar.

Ungarn stand damit aber nicht alleine. Die EU-Datenschutzrichtlinie hatte die gebotene Rechtsvereinheitlichung in Europa nicht hergestellt. Sie konnte der zunehmenden Bedeutung und Komplexität der digitalen Revolution im Interesse der Verbraucher und – gerade auch – der Unternehmen schlicht nicht gerecht werden.


Regeln schaffen Sicherheit

Unternehmen brauchen ein stabiles rechtliches Umfeld. Die Kosten für „legal compliance“ sind ein wichtiger Standortfaktor. Nicht ohne Grund werben viele Volkswirtschaften im internationalen „Vorschriftenwettbewerb“ mit einem geringen Regelungsniveau oder einer geringen Regelungsdichte. Überfrachtete Vorschriften oder häufige kurzfristige Änderungen behindern erfolgreiches Wirtschaften. Ebenso stellt es einen erheblichen Kostenfaktor dar, sich in jedem Markt neuen, materiell anderen Vorschriften zu stellen. Vor dem Hintergrund der EU-Datenschutzrichtlinie 1995 hieß das für ein europaweit operierendes Unternehmen praktisch Anpassung an das nationale Datenschutzrecht jedes einzelnen der 28 EU-Mitgliedstaaten.

Mit der Datenschutz-Grundverordnung 2016 – in Kraft seit Mai 2018 – ist das jetzt vorbei. Die Verordnung muss anders als die Richtlinie nicht umgesetzt werden, sie ist allgemein gültig und wirkt unmittelbar. Sie hat Anwendungsvorrang und verdrängt widersprechendes nationales Recht. Und die Verordnung gilt auch für alle Unternehmen außerhalb der EU, die in die Union Waren liefern oder Dienstleistungen erbringen. Im Kern stärkt die Grundverordnung die Binnenmarktdimension durch Verringerung des Verwaltungsaufwands und die Gewährleistung gleicher Rahmenbedingungen. Rechtliche Harmonisierung durch Vereinheitlichung und Konsistenz schafft wiederum Verlässlichkeit und damit Rechtssicherheit.


GDPR als Chance zur Innovation

Trotz der so wichtigen Rechtssicherheit sehen viele Unternehmen die Datenschutz-Grundverordnung nach wie vor eher als ein Hindernis bei der Digitalisierung. Ihre Umsetzung und tägliche Beachtung binde erhebliche Mittel und damit gerade genau die Ressourcen, die für die digitale Transformation so dringend gebraucht würden. Strenge EU-Regeln könnten europäische Unternehmen im internationalen Wettbewerb benachteiligen.

Es stimmt, die Umsetzung und tägliche Beachtung der Grundverordnung ist sehr aufwendig, aber sie schafft auch die wichtigste Voraussetzung für innovative digitale Produkte und Leistungsangebote: „Vertrauen“. Nach einer Studie von McKinsey sagen weltweit 64 Prozent der Konsumenten, sie würden nicht bei einem Unternehmen kaufen, deren Finanzdaten entwendet wurden, 49 Prozent würde sich nicht an Unternehmen wenden, bei denen es zu Datenverletzungen kam, die personenbezogene Daten (Diebstahl) betrafen.

Professionelles Datenmanagement beeinflusst Investitionen. Nach eine Studie der Brunswick Group sind 77 Prozent der Investoren in Europa der Meinung, eine größere Transparenz bei Datenschutzverletzungen würde das Investitionsklima verbessern. Unternehmen, die Verletzungen nicht effektiv kommunizieren, gefährden sich selbst bzw. den eigenen Unternehmenswert. Richtig durchgeführt, kann die Umsetzung der Grundverordnung digitale Kapazitäten freisetzen, etwa durch intelligente Systeme für das Management von Kundendaten. Alle digitalen Vorgänge müssen jetzt überprüft werden, und man kann sie neu und deutlich besser ordnen.


Digitaler Weckruf

Trotz dieser klaren strategischen Vorteile, die meisten Datenverarbeiter wurden durch „GDPR“ unsanft geweckt, insbesondere auch, weil sie in der Vergangenheit den Datenschutz sträflich vernachlässigt hatten. Die Grundverordnung wurde 2016 erlassen, trat aber 2018 in Kraft und ließ den Unternehmen damit ganze zwei Jahre für die Anpassung ihrer Prozesse. Für manche Verarbeiter war aber selbst diese Zeit zu knapp, und wohl eine erhebliche Zahl ist immer noch nicht „GDPR-compliant“.

Auch der ungarische Gesetzgeber steht nun unter Zugzwang und muss seine Hausaufgaben machen. Das Anpassungsgesetz zur Grundverordnung, das heisst das neue Infotörvény, wurde erst im August 2018 erlassen, und hat deutliche handwerkliche Mängel. Der 115seitige Entwurf zur erforderlichen Änderung weiterer Vorschriften in den verschiedenen Einzelgesetzen wurde jetzt erst im Februar 2019 dem Parlament zur Beratung vorgelegt.

Zur Erleichterung vieler kleinerer Unternehmen, hat die ungarische Datenschutzbehörde (NAIH) jedoch verfügt, dass der erste Verstoß gegen die Grundverordnung zunächst nur mit einer Art Verweis, also nicht mittels Bußgeld, geahndet werden soll. Insgesamt hat die Behörde für die Umsetzung wichtiger Vorschriften recht großzügige Fristen gewährt. Sie nutzt aber die Zeit, um fachlich und personell „aufzurüsten“.

Die wirkliche Gefahr scheint jedoch nicht von einem „Verfahren von Amts wegen“ auszugehen. Der Präsident der ungarischen Datenschutzbehörde, Dr. Attila Péterfalvi, bestätigte unlängst erneut, dass seit Mai 2018 immer häufiger Wettbewerber oder Arbeitnehmer Unternehmen anzeigen, bei denen sie Verstöße gegen die Datenschutzverordnung vermuten. Man kann konstatieren, nicht zuletzt auch wegen der erheblichen Bußgelder bei Verstößen, ist das Bewusstsein für Sensibilität und Bedeutung personenbezogener Daten auch in Ungarn erheblich gestiegen. Die Datenschutz-Grundverordnung wirkt.

Der Autor ist deutscher und ungarischer Rechtsanwalt

marc-tell.madl@mpk-partners.com

Konversation

WEITERE AKTUELLE BEITRÄGE
BIP

Die nächste positive Überraschung

Geschrieben von BZ heute

Den unbereinigten Daten nach erhöhte sich das ungarische BIP im II. Quartal im Jahresvergleich um…

Die Oppositionsseite / Kommentar zum Auftritt von Premier Orbán bei der 30. Tusványos-Sommeruniversität

Zukunftsaussichten

Geschrieben von László Haskó

Unser Staatsoberhaupt hat also – den Marschallstab schwingend – am vergangenen Samstag in Tusványos…

Budapest - Balaton

Hotelinvestitionen boomen

Geschrieben von BZ heute

Im I. Halbjahr dieses Jahres erhöhte sich das Angebot in Hotels um 590 Zimmer, geht aus der…