Suchen

Zwei Jahre Datenschutz-Grundverordnung Was an der DSGVO geändert werden soll und kann

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Die letzten Wochen und Monate haben sich sowohl Wirtschaftsverbände und Datenschutz-Vereinigungen als auch die Aufsichtsbehörden für den Datenschutz zu ihren Erfahrungen und Wünschen geäußert, was an der Datenschutz-Grundverordnung (DSGVO / GDPR) geändert werden sollte. Einiges davon hätte man bereits angehen können, anderes müsste den langen Weg der EU-Gesetzgebung gehen.

Firmen zum Thema

Die aktuelle Form der DSGVO kann mehr und bietet mehr, als bisher genutzt wird.
Die aktuelle Form der DSGVO kann mehr und bietet mehr, als bisher genutzt wird.
(Bild: gemeinfrei / Pixabay )

Bei der Kritik, die an der Datenschutz-Grundverordnung im Vorfeld und seit ihrer Anwendung geübt wurde, wäre es erstaunlich gewesen, wenn die Evaluation der DSGVO durch Wirtschaftsverbände keinen Änderungsbedarf ergeben hätte. Doch auch die Politik, verschiedene Datenschutz-Vereinigungen und die Aufsichtsbehörden für den Datenschutz sehen Bedarf für Veränderungen an der DSGVO.

Die DSGVO sieht auch selbst eine Evaluierung vor: „Bis zum 25. Mai 2020 und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Verordnung vor. Die Berichte werden öffentlich gemacht“, findet man in Artikel 97 DSGVO.

Die Evaluierung könnte sich allerdings leicht verzögern. „Die Kommission wird voraussichtlich am 10. Juni einen Bericht über die bisherige Anwendung der Datenschutz-Grundverordnung vorlegen“, so eine Information des EU-Parlaments.

Spannend ist es in jedem Fall, sich den bereits angemeldeten Handlungsbedarf anzusehen, denn so manches davon könnte man ohne langwieriges EU-Gesetzgebungsverfahren angehen.

Was die Aufsichtsbehörden sagen

Insgesamt hat sich gezeigt, dass die Verantwortlichen in Baden-Württemberg sich in vielen Bereichen alltagstauglichere Lösungen wünschen und einige Vorschriften nur schwer auf datenverarbeitende Tätigkeiten kleiner Unternehmen oder ehrenamtlicher Arbeit anwendbar sind, erklärte zum Beispiel der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg.

Im Vordergrund stehen demnach vor allem Fragen rund um eine mögliche Entlastung bei den Informations-, Transparenz- und Auskunftspflichten, aber auch bei Fragen der Gemeinsamen Verantwortlichkeit und der Auftragsverarbeitung.

Interessant ist dabei auch diese Aussage der Aufsichtsbehörde: Die Datenschutzaufsicht in Baden-Württemberg orientiert sich am Leitsatz „Wenn es nicht sinnvoll ist, dann ist es kein Datenschutz“.

Betrachten wir die EU-Ebene: Am 18. Februar 2020 hatte der Europäische Datenschutzausschuss (EDSA) einen gemeinsamen Antwortbeitrag zur Evaluierung der Datenschutz-Grundverordnung (DSGVO) beschlossen. Die Europäische Kommission hatte den EDSA um einen Beitrag zum Evaluierungsverfahren gebeten. Der Ausschuss betont in seiner Antwort die Bedeutung der DSGVO für den Schutz und die Stärkung des Grundrechts auf Datenschutz innerhalb der EU.

Dazu sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber: „Meine Kollegen und ich halten groß angelegte gesetzliche Änderungen an der DSGVO für verfrüht. Wir sehen aber Bedarf für Verbesserungen bei der praktischen Umsetzung. Das gilt insbesondere im Bereich der Zusammenarbeit der Datenschutzaufsichtsbehörden in grenzüberschreitenden Verfahren. Unterschiede in den nationalen Verwaltungsverfahren dürfen nicht dazu führen, dass die Effektivität der Durchsetzung der DSGVO gegenüber Unternehmen, die Datenschutzverstöße begangen haben, beeinträchtigt wird.“

Im Hinblick auf den internationalen Datenverkehr betont der EDSA die Bedeutung der Angemessenheitsbeschlüsse der Europäischen Kommission. Er fordert die Kommission auf, die Beschlüsse über EU-Standardvertragsklauseln für Datenübermittlungen in Drittstaaten zu überarbeiten.

Verbände beklagen Bürokratiehürden

Trotz großer anfänglicher Sorgen hat sich die DSGVO nach rund zwei Jahren als grundsätzlich taugliches Regulierungsinstrument etabliert, so der Verband der Internetwirtschaft eco. Gleichzeitig ergeben sich für den Verband der Internetwirtschaft bei der Umsetzung noch zu viele ungelöste Rechtsfragen und praktische Probleme. Dies gilt insbesondere für Entwickler und Anbieter KI-basierter Systeme.

Dazu sagt eco Geschäftsführer Alexander Rabe: „Die Schaffung eines einheitlichen europäischen Rechtsrahmens mit der Datenschutzgrundverordnung war der richtige Schritt hin zu einer verantwortungsvollen Datenpolitik: Bürokratische Hemmnisse und Rechtsunsicherheiten im Datenschutz können nur durch einen ganzheitlichen europäischen Ansatz überwunden werden. Die DSGVO kann jedoch nur dann zum Game-Changer für Europa werden, wenn ein präziser und einheitlicher Rechtsrahmen besteht. Unsicherheiten, wie sie aktuell noch bei der Verarbeitung von KI-Trainingsdaten sowie Transparenz- und Informationsverpflichtungen bei automatisierten Entscheidungsfindungen auftreten, müssen beseitigt werden. Zu viele bürokratische Hemmnisse sorgen derzeit dafür, dass die DSGVO in ihrer jetzigen Form weder innovationsfreundlich noch marktgerecht ist.“

Auch der Digitalverband Bitkom hat eine Bewertung abgegeben: „Nach der geplanten Evaluierung der Datenschutzregeln muss die EU den grundsätzlichen Geburtsfehler beseitigen“, so Bitkom-Präsident Achim Berg. „Die DSGVO reglementiert jeden einzelnen Datenverarbeitungsvorgang und jede Datenerhebung. Vereine, Startups und Großkonzerne werden über denselben Kamm geschoren und nicht differenziert behandelt. Die in der DSGVO vorgesehenen Ausnahmen für kleinere Unternehmen kommen in der Praxis so gut wie nie zum Tragen. Dabei sollten Art und Umfang der Datenverarbeitungen ausschlaggebend für die Verpflichtungen sein, auch sollte man die Regeln grundsätzlich vereinfachen. In der Forschung sollten der Datennutzung weniger Hürden in den Weg gestellt werden – insbesondere für EU-weite Projekte im Gesundheitsbereich.“

Unklarheiten beseitigen, Vorgaben schärfen

Trotz umfangreicher Aufklärungsangebote und Hilfestellungen gebe es bei den Rechtsanwendern noch immer zahlreiche Fragen und Unsicherheiten, so auch Bayerns Innenminister Joachim Herrmann bei einer Konferenz mit den bayerischen Industrie- und Handelskammern und der Wirtschaftskammer Österreich.

Es gebe in der Anwendung noch grundsätzlichen Klärungsbedarf. So werden laut Herrmann beispielsweise einige der neu eingeführten Instrumente bisher in der Praxis nur vereinzelt genutzt. Als Beispiele nannte er die Verhaltensregeln, die Zertifizierung, die Einführung eines Europäischen Datenschutzsiegels oder auch das Kohärenz-Verfahren. „Die Kommission muss dringend analysieren, woran die Zurückhaltung in diesem Bereich liegt und Vorschläge für eine Abhilfe vorlegen“, forderte der Minister.

Vorhandene Werkzeuge sollten besser genutzt werden

Der von dem Bayerischen Innenminister vorgebrachte Punkt, einige der neu eingeführten Instrumente würden bisher in der Praxis nur vereinzelt genutzt, ist sehr angebracht und wichtig. Betrachtet man die Änderungswünsche, die von verschiedenen Stellen genannt werden, sind durchaus Punkte darunter, die sich ohne jede Änderung an der EU-Verordnung angehen ließen.

Es versteht sich, dass alle Punkte, die tatsächlich die DSGVO verändern würden, nicht kurzfristig zu realisieren sind. Wie lange der Weg der EU-Gesetzgebung sein kann, zeigt sich zum Beispiel gegenwärtig an der E-Privacy-Verordnung (ePVO).

Es ist deshalb sinnvoll, alle Erfahrungen und Änderungswünsche zu überprüfen, ob sich denn nicht schon heute etwas verändern lassen würde, ohne weitere Gesetzgebungsinitiativen, also im Rahmen der bestehenden DSGVO.

Wenn zum Beispiel konkretere Vorgaben zur Umsetzung der Datenübertragbarkeit gewünscht werden, dann könnte dies auch heute schon geschehen, über Verhaltensregeln.

Verbände und andere Vereinigungen, die „Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten“, können Verhaltensregeln ausarbeiten oder ändern oder erweitern und der zuständigen Aufsichtsbehörde zur Genehmigung vorlegen, so Artikel 40 DSGVO. Dazu gehören Bereiche wie „Ausübung der Rechte betroffener Personen“. Genau hierunter fällt das Recht auf Datenübertragbarkeit. Es ist also in der heutigen DSGVO bereits vorgesehen, dass es dazu Verhaltensregeln geben könnte, ebenso zu den besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen, auf die ebenfalls von den Wirtschaftsverbänden hingewiesen wird.

Es lohnt sich, alle bisherigen Möglichkeiten und Instrumente der DSGVO zu betrachten und wirklich zu nutzen, um den Datenschutz voranzubringen und die Umsetzung der DSGVO zu optimieren. Die Ausarbeitung und Genehmigung von Verhaltensregeln zum Beispiel werden einige Zeit in Anspruch nehmen, doch man kann sich vorstellen, dass hier schneller Erfolge zu sehen sind als im Rahmen der komplexen EU-Gesetzgebung. Die gegenwärtige DSGVO kann mehr und bietet mehr, als bisher genutzt wird.

(ID:46617610)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research