Die Datenschutz-Grundverordnung eröffnet einen weiten Spielraum

Im AWV-Arbeitskreis 4.3 „Datenschutz und Informationssicherheit“ war im ersten Halbjahr 2022 viel los. Zu Beginn des Jahres trat Rudi Kramer (DATEV eG) seinen Posten als neuer Leiter des Arbeitskreises an, dann beteiligte sich der AK an einem Konsultationsverfahren zur Telemedienrichtlinie 2021 und nun wird die Publi­kation „Die DSGVO. Hinweise für kleine und mittlere Unternehmen“ neu veröffentlicht. Im Interview sprachen wir mit Rudi Kramer unter anderem über seine Pläne für den Arbeitskreis sowie die Auswirkungen der Corona-Pandemie auf den Datenschutz.

Herr Kramer, Sie sind seit November 2021 Leiter des AWV-Arbeitskreises 4.3 „Datenschutz und Informationensicherheit“, der sich schwerpunktmäßig mit der europäischen Datenschutz-Grundverordnung (DSGVO) beschäftigt. Im Dezember 2021 haben die deutschen staatlichen Datenschutzaufsichtsbehörden in der Datenschutzkonferenz (DSK) eine neue Fassung ihrer „Orientierungshilfe für Anbieter:innen von Telemedien“ veröffentlicht. Eine Ihrer ersten Tätigkeiten als neuer Arbeitskreisleiter war, im Rahmen eines Konsultationsverfahrens zu den Telemedienrichtlinien 2021 Stellung zu nehmen. Welchen Mehrwert hat der Arbeitskreis aus Ihrer Sicht mit der Stellungnahme geschaffen?

Wir versuchten, die Orientierungshilfe aus der Sicht von KMUs und kleinen Einrichtungen zu bewerten, die sich keine umfangreiche rechtliche Apparatur zu dieser Thematik leisten können und die nicht nur Aussagen, was nicht geht, sondern auch konkrete Tipps erwarten, was noch zulässig ist und was nicht. Die Orientierungshilfe für Telemedienanbieter:innen ist an alle Einrichtungen adressiert, die Webseiten oder Apps anbieten. Es ist kaum ein Bereich davon auszunehmen, weil sich gerade Webseiten als Standardpräsentationsmittel z. B. auch für Vereine und den öffentlichen Bereich bewährt haben. Unsere Stellungnahme konzentrierte sich auf die aus unserer Sicht wesentlichsten Merkmale, die relevant sind, etwa wann eine Einwilligung für die Verarbeitung von Daten erforderlich ist und wie diese Einwilligung gestaltet sein sollte. Dabei versuchten wir bereits erfolgte Veröffentlichungen einzelner Aufsichtsbehörden einzubeziehen, um Missverständnisse und Widersprüche aufzuzeigen und eine einheitliche Interpretation zu unterstützen.

Eine Orientierungshilfe der Datenschutzkonferenz sollte Unsicherheiten beseitigen und nicht neue Fragen aufwerfen. In unserer Stellungnahme gingen wir etwa darauf ein, dass die DSGVO in Art. 12 Abs. 7 vorsieht, auch standardisierte Bildsymbole für die Umsetzung der Transparenzvorgaben einzusetzen. Hier gaben wir den Impuls, einen Vorschlag in der Orientierungshilfe mitzugeben – Überlegungen zur Ausgestaltung liegen bereits von mehreren Seiten vor. Dies könnte die Transparenz für die Nutzerinnen und Nutzer erleichtern, wäre sprachlich neutral, und die Erläuterungen zu den Symbolen könnten in den Datenschutzerklärungen leicht zugänglich hinterlegt werden.

Die DSGVO soll darüber hinaus den freien Datenverkehr fördern. Wir sollten uns davon verabschieden, sie nur als rechtliche Vorgabe zum Verhindern von Datenschutzverstößen zu kommunizieren. Sie eröffnet auch einen weiten Spielraum, der genutzt werden sollte.

Infolge der Corona-Pandemie wurden kurzfristig mehrere neue Vorschriften eingeführt und Maßnahmen zur Eindämmung des Corona-Virus (SARS-CoV-2) ergriffen. Einige dieser Vorschriften haben die Erhebung und Verarbeitung personenbezogener Daten zur Folge. Welche Auswirkungen hat die Corona-Krise auf die Umsetzung der Datenschutzvorschriften?

Die Maßnahmen zur Infektions­eindämmung überraschten die meisten Unternehmen, die noch kein eingespieltes Konzept zum mobilen Arbeiten hatten, als die Homeoffice-Pflicht für die meisten Büroberufe kam. Hierbei sind konsequente Konzepte zum Schutz der Datenschutzziele wie Zweckbindung und Vertraulichkeit, aber auch zum Schutz der Informationssicherheit wie Integrität und Verfügbarkeit, einzuführen und zu beachten. Soweit ich es beurteilen kann, haben hier die Datenschutzaufsichtsbehörden sehr verständnisvoll reagiert, wenn KMUs oder auch öffentliche Einrichtungen dabei gerade im ersten Lockdown noch nicht perfekt aufgestellt waren. Mittlerweile kann man davon ausgehen, dass Zeit genug war, sich auf die rechtlichen Anforderungen auszurichten, z. B. dass es für die Beschäftigten Anweisungen gibt, welche Schutzmaßnahmen für Tätigkeiten außerhalb der eigenen Geschäftsräume zu beachten sind und welche technischen Hilfsmittel dafür bereitgestellt werden. Ob eine gesetzliche Vorgabe zu einem Anspruch auf Homeoffice außerhalb von Infektionsschutzmaßnahmen innerhalb der Ampel-Koalition tatsächlich kommen wird, kann ich derzeit nur mutmaßen. Das Thema wird aber aktuell bleiben, weil gerade durch die Pandemie Vorurteile auf Arbeitnehmer- und Arbeitgeberseite nicht bestätigt wurden und sich mittlerweile unter dem Stichwort „New Work“ neue Arbeitsplatz- und Arbeitszeitmodelle zu etablieren beginnen. Diese werden aber auch nur dann Erfolg haben, wenn alle Aspekte der Informationssicherheit, aber auch der Zweckbindung bereits bei der Konzeption berücksichtigt werden.

Ob wir uns diesen Herbst wieder mit weiteren Maßnahmen zur Infektionseindämmung befassen müssen, hängt von vielen Faktoren wie Mutationen, Impfquoten, Krankheitsverläufen etc. ab. Es ist zu hoffen, dass – sollten wieder im Rahmen von Infektionsschutzmaßnahmen Daten verarbeitet werden müssen – Gesetzgeber und Aufsichtsbehörden frühzeitig klare Grundlagen für die Unternehmen und Behörden schaffen und diese auch kommunizieren.

Seite 1 | Weiter zu Seite 2

Bild: AdobeStock, Billionphotos_com