Wer besonders viele oder besonders schützenswerte Daten verarbeitet oder in besonderem Maße neue Technologien einsetzt, wird einen erhöhten Aufwand haben, den Anforderungen der Datenschutz-Grundverordnung gerecht zu werden. Könnten sich diese immer höheren Anforderungen vielleicht als Wettbewerbsnachteil der Wirtschaft im internationalen Vergleich erweisen?

A. Voßhoff: Das lässt sich nicht mit einem einfachen Ja oder Nein beantworten. Durch die DSGVO wird für alle Teilnehmer am europäischen Markt das gleiche Recht gelten, ganz gleich ob sie innerhalb oder außerhalb der EU ihren Sitz haben. Alle Marktteilnehmer müssen daher daran arbeiten, diesen neuen Anforderungen gerecht zu werden. Hinzu kommt, dass es sich durch die Größe des europäischen Marktes auch wirtschaftlich auszahlen kann, Datenschutz bei der Entwicklung und dem Vertrieb von Produkten und Dienstleistungen von vornherein zu berücksichtigen. So kann das europäische Datenschutzrecht mittelbar sogar Auswirkungen auf andere Weltregionen haben.

Die Gesetzgebung muss sich den weiteren technischen Entwicklungen selbstverständlich anpassen. Kann der Gesetzgeber überhaupt mithalten, wenn sich die Informationstechnologie immer schneller weiterentwickelt? Welche Lösungen bieten sich an, damit bei diesen Rahmenbedingungen effektiver Datenschutz noch stattfinden kann?

A. Voßhoff: Auch unter den Bedingungen einer ständig schneller werdenden technischen Entwicklung kann durch die technikneutrale Ausgestaltung der Datenschutz-Grundverordnung weiterhin ein effektiver Datenschutz gewährleistet werden. Wollte der Gesetzgeber durch Detailregelungen bei der technologischen Entwicklung Schritt halten, wäre er immer nur der Hase, nie der Igel. Der Rahmen, der durch die technikneutrale Ausgestaltung entsteht, ist dann durch die Aufsichtsbehörden in Zusammenarbeit mit den Unternehmen auf die jeweils aktuellen Datenverarbeitungsstandards anzulegen und mit Leben zu füllen.

Für die Unternehmen lohnt es sich daher, von vornherein den Datenschutz mitzudenken, insbesondere, da in der DSGVO die Forderung nach Privacy by Design und Default verankert sind. Auch freiwillige Verhaltensregeln der Industrie, sogenannte „Codes of Conduct“, werden mit der DSGVO wichtiger, um proaktiv die Einhaltung der datenschutzrechtlichen Regelungen zu unterstützen.

Mit der Datenschutz-Grundverordnung ist ein erweiterter Sanktionskatalog in Kraft getreten. Wie wird überprüft, dass die neuen datenschutzrechtlichen Anforderungen eingehalten werden? Wie werden Verstöße gegen den Datenschutz gemeldet?

A. Voßhoff: Wie bisher können die Aufsichtsbehörden in ihrem Zuständigkeitsbereich Kontrollen bei Unternehmen und Behörden durchführen – auch ohne konkreten Anlass. Dementsprechend sieht auch die DSGVO vor, dass Aufsichtsbehörden von der zu prüfenden Stelle alle notwendigen Informationen einfordern oder sogar Zugang zu den Geschäftsräumen erhalten. Die Meldung von datenschutzrechtlichen Verstößen erfolgt dabei direkt bei den jeweiligen Aufsichtsbehörden. Neu ist dabei die EU-weite Harmonisierung bei grenzüberschreitender Datenverarbeitung, also wenn Bürgerinnen und Bürger in mehreren EU-Staaten von Datenschutzproblemen betroffen sind. Hier sieht die DSGVO eine enge Zusammenarbeit der federführenden Behörde am EU-Sitz des verantwortlichen Unternehmens und den Aufsichtsbehörden anderer EU-Staaten vor, in denen ebenfalls betroffene Bürger leben oder Niederlassungen vorhanden sind. Sollte dabei kein gemeinsamer Standpunkt gefunden werden, kann der Europäische Datenschutzausschuss eine für Europa verbindliche Vorgehensweise festsetzen. Zusätzlich sind Unter-nehmen verpflichtet, von sich aus bestimmte Datenschutzverletzungen umgehend bei der für sie zuständigen Aufsichtsbehörde zu melden.

Zurück zu Seite 1 | Seite 2 | Weiter zu Seite 3