News

Zwei Jahre DSGVO  – sind Anpassungen in Sicht?

Kategorie: Datenschutz

Zwei Jahre DSGVO  – sind Anpassungen in Sicht?

Vorrausschauend hat der europäische Gesetzgeber eine Evaluierung der DSGVO regelmäßig vorgegeben. In Art. 97 DSGVO wird eine zweijährige Evaluierung durch die EU-Kommission verpflichtend vorgeschrieben. Zur Überprüfung und Bewertung hat die Kommission auch Informationen und Einschätzungen von den nationalen Aufsichtsbehörden und den Mitgliedstaaten angefordert. Aber auch zahlreiche weitere Organisationen und Gremien haben ihrerseits Vorschläge und Einschätzungen zur Wirkung bzw. zur Verbesserung der DSGVO publiziert. 
Erfahren Sie nachfolgend, welche Änderungen/Anpassungen im Raum stehen und wie die EU-Kommission generell die DSGVO nach 2 Jahren in Kraft bewertet. 

Vorwiegend positive Bilanz der Kommission

Die EU-Kommission zieht in Ihrem veröffentlichten Bericht (https://ec.europa.eu/commission/presscorner/detail/de/ip_20_1163) durchweg eine positive Bilanz. 

Die DSGVO stärkt die Transparenz und verleiht den Einzelnen durchsetzbare Rechte, wie das Recht auf Auskunft, Berichtigung, Löschung, Widerspruch und Datenübertragbarkeit. Aktuell haben 69 % der über 16-Jährigen in der EU von der Datenschutz-Grundverordnung und 71 % der Gesamtbevölkerung von ihrer jeweiligen nationalen Datenschutzbehörde gehört. So ist davon auszugehen, dass die natürlichen Personen/Bürger der EU in Ihren Rechten gestärkt wurden.

Aber auch eine selbstkritische Auffassung war zu vernehmen, als es vor allem um kleine und mittlere Unternehmen (KMU) und deren Anwendung der DSGVO ging.  
„Die DSGVO hat bei allen ihren Zielen Erfolge verzeichnet und ist inzwischen weltweit eine Referenz für Länder, die ihren Bürgerinnen und Bürgern ein hohes Datenschutzniveau bieten wollen“, so Didier Reynders, Kommissar für Justiz. „Der heutige Bericht zeigt aber auch, dass wir noch mehr tun können. So brauchen wir beispielsweise EU-weit mehr Einheitlichkeit bei der Anwendung der Vorschriften: Dies ist für Bürgerinnen und Bürger ebenso wichtig wie für Unternehmen und insbesondere KMU. Wir müssen ferner sicherstellen, dass die Bürgerinnen und Bürger ihre Rechte uneingeschränkt wahrnehmen können. Um dies zu erreichen, wird die Kommission in enger Zusammenarbeit mit dem Europäischen Datenschutzausschuss sowie im regelmäßigen Austausch mit den Mitgliedstaaten Fortschritte genau überwachen, damit sich das volle Potenzial der DSGVO entfalten kann.“

Die wichtigsten Ergebnisse der Überprüfung laut Bericht

  • Die Datenschutzvorschriften sind zeitgemäß: 
    In der heutigen Zeit des digitalen Wandels können die Menschen dank der DSGVO inzwischen aktiver mitbestimmen, was mit ihren Daten geschieht. Die Verordnung trägt ferner zur Entwicklung vertrauenswürdiger Innovationen bei, und zwar durch einen Ansatz, der risikobasiert ist und sich an Grundsätzen wie ‚Datenschutz durch Technik‘ und ‚datenschutzfreundliche Voreinstellungen‘ orientiert.
     
  • Datenschutzbehörden nutzen ihre erweiterten Abhilfebefugnisse:
    Von Verwarnungen und Verweisen bis hin zu Bußgeldern gibt die DSGVO den nationalen Datenschutzbehörden die richtigen Instrumente zur Durchsetzung des Datenschutzrechts an die Hand. Hierzu müssen sie jedoch mit angemessenen personellen, technischen und finanziellen Mitteln ausgestattet werden. Viele Mitgliedstaaten tun dies bereits, indem sie deutlich höhere Budget- und Personalzuweisungen vornehmen. Zwischen 2016 und 2019 war für alle nationalen Datenschutzbehörden in der EU zusammengenommen ein Anstieg von 42 % beim Personalbestand und von 49 % bei der Mittelausstattung zu verzeichnen. Allerdings gibt es hier bei den Mitgliedstaaten noch große Unterschiede.
     
  • Die Zusammenarbeit der Datenschutzbehörden im Europäischen Daten-schutzausschuss (EDSA) kann noch besser werden: 
    Mit der Datenschutz-Grundverordnung wurde ein innovatives Governance-System geschaffen. Bei der zentralen Anlaufstelle gingen 141 Entscheidungsentwürfe ein, von denen 79 in endgültige Entscheidungen mündeten. Dennoch kann noch mehr für eine echte gemeinsame Datenschutzkultur getan werden. Insbesondere die Bearbeitung grenzüberschreitender Fälle erfordert einen effizienteren, einheitlicheren Ansatz und einen wirksamen Einsatz aller in der Datenschutz-Grundverordnung vorgesehenen Mechanismen für die Zusammenarbeit der Datenschutzbehörden.
     
  • Möglichkeiten der freien und sicheren Datenübermittlung an Drittstaaten und internationale Organisationen optimal nutzen: 
    Das internationale Engagement der Kommission für eine freie und sichere Datenübermittlung in den letzten zwei Jahren hat sich bereits ausgezahlt. So bilden Japan und die EU inzwischen den weltweit größten Raum für einen freien und sicheren Datenver-kehr. Die Kommission wird ihre Arbeit zum Thema Angemessenheit mit ihren Partnern in der ganzen Welt fortsetzen. Darüber hinaus prüft die Kommission in Zusammenarbeit mit dem Europäischen Datenschutzausschuss, wie auch andere Mechanismen für die Datenübermittlung, z. B. Standardvertragsklauseln (das am häufigsten verwendete Datenübertragungsinstrument), modernisiert werden können. Der Europäische Datenschutzausschuss arbeitet derzeit an speziellen Leitlinien für die Zertifizierung und an Verhaltenskodizes für die Datenübermittlung an Drittländer und internationale Organisationen, die so bald als möglich fertiggestellt werden müssen. 
     

Deutliche Kritik wiederum von den Verbänden und nationalen Aufsichtsbehörden

Der vorgelegt Evaluationsbericht geht laut diversen Verbänden aber nicht auf Schwachstellen und Verbesserungsvorschläge ein, sondern befasse sich allein mit der Umsetzung der DSGVO in der Praxis. Damit ignoriere sie die vielen Vorschläge zur Verbesserung von Mitgliedstaaten, Unionsorganen und aus der Zivilgesellschaft. 

Rechtswissenschaftler haben Vorschläge eingereicht und veröffentlicht, wie die DSGVO – vor allem für die Bürger – mit kleinen Änderungen nachhaltig verbessert werden könnte. Auch wurde aber auch deutlich kritisiert, dass die gewünschte Neutralität der DSGVO (bezogen auf die Datenschutzgrundsätze, Zulässigkeiten der Datenverarbeitung und Rechte und Freiheiten der betroffenen Personen) ein einheitliches Datenschutzniveau geschaffen hat, dies jedoch alles andere als sinnvoll ist.
„Hier aber führt es dazu, dass Kleingärtner- oder Sportvereine denselben Datenschutzanforderungen unterliegen wie globale Großkonzerne, die über eine weitaus höhere Datenverarbeitungsmacht verfügen und damit natürlich auch für die Grundrechte der einzelnen Menschen ein höheres Risiko darstellen.“, so Professor Roßnagel, Sprecher des Forschungsverbunds und Professor für Technikrecht an der Universität Kassel.

Deutlicher den Bericht kritisiert hat der Hamburger Beauftragte für Datenschutz und Informationsfreiheit (HmbfDI), Prof. Dr. Caspar: „Ein wirksamer Schutz von Rechten und Freiheiten Betroffener aber auch ein fairer Wettbewerb auf dem digitalen Markt lassen sich so nicht herstellen. Eine kritische Analyse muss sich gerade hierzu verhalten, will man das Regelungsprojekt nicht aufs Spiel setzen. Auch wenn ein systemisches Umsteuern derzeit noch nicht ansteht: Der Anpassungsbedarf einiger Vorschriften der DSGVO steht außer Frage. Die Chance für ein Nachsteuern wurde im Rahmen dieses Evaluationsberichts leider nicht genutzt.“.

Der Wunsch nach Anpassung

Anpassungsbedarf wird vor allem in folgenden Regelungen gesehen:

  • Zweckändernde Weiterverarbeitung sachgerecht weiterentwickeln: 
    Die in Art. 6 Abs. 4 vorgenommene Konkretisierung der Zulässigkeit der zweckändernden Weiterverarbeitung ist im Ganzen misslungen: Die Norm fordert den Rechtsanwender zu unterschiedlichsten Interpretationen heraus. Das Zusammenspiel mit dem korrelierenden Erwägungsgrund ist inkonsistent und in Literatur und Lehre hochumstritten.
  • Widerruflichkeit der Einwilligung maßvoll begrenzen: 
    Dass eine maßvolle Begrenzung der Widerruflichkeit der Einwilligung angemessen sein kann, hatte das BAG bereits im Jahr 2015 deutlich gemacht und geurteilt, dass der Widerruf einer Einwilligung in die Aufnahme und Nutzung von Videoaufnahmen nur dann wirksam sei, wenn der Betroffene „plausible Gründe“ für die Erforderlichkeit seines Widerrufs vortrage. Nicht selten ist nämlich der Grund der Widerrufbarkeit einer Einwilligung, die Entscheidung eine Datenverarbeitung gänzlich zu unterlassen. So ist die Angst vor dem Aufwand, die Verarbeitung zu einem späteren zu unterlassen größer als der aktuelle Nutzen dieser Verarbeitung. Beispiel: Imagevideo für Unternehmen mit Bildern und Videosequenzen von Mitarbeitern.
     
  • Unterscheidung innerhalb der Pflichtinformationen aufgeben: 
    Über die Motive hinter der in Art. 13 und 14 vorgenommenen Differenzierung in obligatorische und „quasi-obligatorische“ Informationspflichten wird kaum mehr spekuliert. Mittlerweile herrscht weithin Einigkeit, echte Pflichtinformationen und solche, die nur dann zur Verfügung zu stellen sind, soweit diese „notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten“, unsinnig sind. Verantwortlichen auf der Ebene der Informationspflichten eine graduelle Abstufung und das damit verbundene Interpretationsrisiko aufzuerlegen, ist offensichtlich wertungswidersprüchlich und wirft angesichts der drakonischen Bußgeldandrohung (bis zu 20 Mio. Euro) Fragen zur Vereinbarkeit mit dem Bestimmtheitsgrundsatz auf.
     
  • Recht auf Auskunft maßvoll begrenzen: 
    Dabei ist die Ausübung des Auskunftsrechts per se nicht problematisch, erst recht nicht verwerflich. Im Gegenteil stellt das Auskunftsrecht das vornehmste aller Betroffenenrechte dar. Es erinnert den Verantwortlichen an die Notwendigkeit einer rechtskonformen Verarbeitung und bildet die Vorstufe für weitere Rechte des Betroffenen, etwa auf Einschränkung oder Löschung. Das seiner Reichweite nach tatbestandlich nicht begrenzte Recht auf Auskunft wirft in der Praxis jedoch zahlreiche Fragen auf. Wenige Beispiele: Sind handschriftliche Notizen vom Auskunftsersuchen erfasst? Ist die bloße Erwähnung des Petenten in einer Kommunikation zwischen Dritten als ein zu beauskunftendes personenbezogenes Datum einzuordnen? Kann ein Auskunftsersuchen über den allgemeinen Verhältnismäßigkeitsgrundsatz eingeschränkt werden? Die großen Unsicherheiten im Umgang mit Art. 15 und die „Angst“ vor einem Einschalten der Datenschutzaufsicht werden so nicht selten instrumentalisiert. Mehr noch: Das Recht auf Auskunft wird pervertiert und verkommt zunehmend zu einem Akt der Selbstjustiz gegenüber missliebigen Vertragspartnern oder dem ehemaligen Arbeitgeber.
     
  • Löschen und Sperren konsistent weiterentwickeln: 
    Wie auch im Falle des Auskunftsrechts ist auch die Verpflichtung zur Löschung von Daten einer Verhältnismäßigkeitsprüfung grundsätzlich nicht zugänglich. Kurzum: ja zum Löschen, aber nicht um jeden (wirtschaftlichen) Preis. Ganz gleich wie, betriebswirtschaftlich rundweg unsinnige Forderungen nach einer Löschung von Daten müssen als Korrektiv (wieder) anzuerkennen sein – wie auch unter dem Recht des BDSG a.F. als restriktiv auszulegende Ausnahme.
     

Fazit

So unverständlich die DSGVO geschrieben ist, so unverständlich auch der Evaluierungsbericht der Kommission. Es lässt sich viel Politik und selbst Beweihräucherung lesen. So ist man positiv gestimmt und das bisschen eigen Kritik, welches geäußert wird, ist ja gar nicht so schlimm.
Umso deutlicher die Kritik von den Praktikern, verantwortlichen Stellen und auch Aufsichtsbehörden. Hier wurden konkrete Änderungswünsche/-hinweise gegeben, welche aber erst in der nächsten Evaluierung berücksichtigt werden könnten, da die vorgeschlagen Änderungen bei der aktuellen Evaluierung gänzlich ignoriert wurden. Alles in allem bleibt wohl bei allen ein bisschen Enttäuschung hängen, dass das eigentlich gut gedachte Tool der Evaluierung nur halbherzig umgesetzt wurde.
 

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne Teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download