Es ist eigentlich kaum zu glauben, mit was der europäische Gesetzgeber, einen Monat vor Anwendbarkeit der DSGVO, nun um die Ecke kommt.
In einem 386 Seiten starken Dokument (Ratsdokument vom 19.4.2018, pdf, ab S. 47 beginnt die deutsche Fassung) nimmt er umfassende Anpassungen an allen Sprachfassungen der DSGVO vor.
Eigentlich soll es bei diesen Anpassungen nur um offensichtliche Fehler innerhalb der DSGVO gehen. Also etwa um Rechtschreibfehler oder auch um Verweisfehler auf Absätze, die nicht existieren.
Ich halte selbst solche Änderungen eines in Kraft getretenen Gesetzestextes für kritisch. Zumindest muss man hier wirklich mit der gebotenen Umsicht und Sorgfalt agieren. Denn wir Juristen wissen, dass es bei der Auslegung und Anwendung von Gesetzen gerade auf einzelne Wörter und ihre Bedeutung ankommen kann. Nun mag man nachträgliche Änderungen von Gesetzen noch gutheißen, wenn es tatsächlich um Rechtschreibfehler und auch offensichtliche Fehler in einer Sprachfassung geht, die in anderen Sprachfassungen nicht vorhanden sind. Es geht ja um die Schaffung von Rechtssicherheit für die Anwender.
Das ist bei diesen Vorschlägen zur Anpassung der DSGVO aber nicht immer der Fall. Betrachtet man die Änderungen etwas genauer, wird schnell klar, dass einige Änderungen sich tatsächlich auch auf den Sinn und den Aussagegehalt einer Vorschrift erstrecken.
Das bedeutet, dass eine Regelung, mit der Unternehmen seit Inkrafttreten im Mai 2016 arbeiten und auf die sie ihre Datenverarbeitungsprozesse anpassen, nun im schlimmsten Fall einen anderen Sinn und eine andere Regelungsvorgabe enthält. Als Berater zur Umsetzung der DSVGO fehlt mir da tatsächlich das Verständnis und lässt mich doch etwas sprachlos zurück.
Ich möchte diese Kritik an einigen Beispielen verdeutlichen:
ErwG 71 befasst sich mit den Vorgaben für das Profiling (Art. 22 DSGVO). Es geht dort u.a. auch darum, welche Maßnahmen der Verantwortliche zum Schutz der Betroffenen treffen muss.
„… und mit denen verhindert wird, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu Maßnahmen kommt, die eine solche Wirkung haben“.
Die Berichtigung wird nun „oder zu Maßnahmen kommt“ durch „oder zu einer Verarbeitung kommt“ ersetzen. Meines Erachtens wird durch Einfügung des Begriffs „Verarbeitung“ durchaus der Sinn der Vorschrift geändert. Denn „Maßnahmen“ würde ich persönlich weiter verstehen als eine „Verarbeitung“; diese bezieht sich allein auf den Umgang mit personenbezogenen Daten, wohingegen „Maßnahmen“ umfassender zu verstehen ist.
Ein weiteres Beispiel:
In ErwG 145 geht es um die Klagemöglichkeit Betroffener gegen Verantwortliche und Auftragsverarbeiter. Derzeit wird hier noch, zum Ort, an dem Klage eingereicht werden kann, vorgegeben: „des Mitgliedstaats, in dem die betroffene Person ihren Aufenthaltsort hat“. In der offiziellen Berichtigung wird nun „Aufenthaltsort“ durch „in dem die betroffene Person wohnt“ ersetzt. Auch dies ist meines Erachtens nach nicht nur eine marginale sprachliche Anpassung. Denn den „Aufenthaltsort“ wird man weiter verstehen können als den reinen „Wohnort“. Der Knaller ist aber, dass der entsprechende Artikel, Art. 79 Abs. 2, nicht angepasst wird. Dort heißt es „in dem die betroffene Person ihren Aufenthaltsort hat“. Also ändert der Gesetzgeber nun den ErwG 145 abweichend zu der Vorgabe in dem entsprechenden Artikel.
Und ein letztes Beispiel:
Art. 25 Abs. 2 S. 1 heißt momentan: „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden“. Die offizielle Berichtigung löscht nun das Wort „grundsätzlich“. In Zukunft heißt es also: „…die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung…“. Als Juristen wissen wir, dass das Wort „grundsätzlich“ eine durchaus relevante Bedeutung hat, nämlich dass es noch Ausnahmen gibt bzw. die jeweilige Regelung nicht unbedingt abschließend ist. Diese Interpretation des Art. 25 Abs. 2 S. 1 wird nun aber gänzlich unmöglich, denn „grundsätzlich“ wird gelöscht. Die Vorgabe ist mithin als abschließend und zwingend anzusehen. Auch dies stellt, finde ich, nicht allein nur eine sprachliche Anpassung des Textes dar, sondern verändert den Inhalt der gesetzlichen Regelung.
Ich frage mich wirklich, was nun Unternehmen denken, die zwei Jahre lang mit dem Text der DSGVO gearbeitet, Geld und Zeit investiert haben, und nun, einen Monat vor Anwendbarkeit eine textlich und auch inhaltlich angepasste DSGVO serviert bekommen.
Nun mag man argumentieren, dass ja die einzelnen Sprachfassungen ohne Bedeutung seien und die englische Fassung stets die entscheidende war und dort entsprechende Fehler auch nicht enthalten sind. Das sin der englischen Fassung manche der oben genannten Anpassungen nicht vorgenommen werden, mag zutreffen. Jedoch ist es ständige Rechtsprechung des EuGH, dass grundsätzlich allen Sprachfassungen einer Gemeinschaftsvorschrift der gleiche Wert beizumessen ist (z.B. C-152/01). Die englische Fassung ist also per se nicht richtiger oder besser als die deutsche.
Ich für meinen Teil finde es leider abstrus, dass nun, so kurz vor Anwendbarkeit der DSGVO, tatsächlich auch noch inhaltliche Änderungen an der DSGVO vorgenommen werden.