Evaluation der Datenschutz-Grundverordnung: Stellungnahme Deutschlands zur Positionierung des EU-Rats

Die europäische Datenschutz-Grundverordnung (DSGVO) ist am 24. Mai 2016 in Kraft getreten und gilt seit dem 25. Mai 2018. Die intensivierten Regelungen der DSGVO haben zu Umsetzungs- und Anwendungsfragen geführt und weitgefächerte Unsicherheiten verursacht. Mittlerweile ist ein wenig Ruhe eingekehrt und mit ersten datenschutzrechtlichen Urteilen wird der Weg der neuen datenschutzrechtlichen Vorgaben ein wenig klarer.

In der DSGVO selbst ist für Mai 2020 eine Bewertung und Überprüfung der DSGVO durch die EU-Kommission vorgesehen. Die EU-Kommission muss dem Euro­päischen Rat und dem Europäischen Parlament einen Bericht zur DSGVO vorlegen. Die für alle vier Jahre angesetzte Überprüfung dient dazu, die Verwirklichung der in der DSGVO verankerten Ziele und Regelungen im Zeitablauf prä­zise verfolgen zu können.

Mit der Festlegung einer Evaluation in 2020 (Artikel 97 DSGVO) wird nicht explizit benannt, welche Artikel oder Kapitel von der Überprüfung betroffen sind bzw. überprüft werden sollen. Teile der Untersuchungen werden sich aber auf die Kapitel V „Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen“ und Kapitel VII „Zusammenarbeit und Kohärenz“ der DSGVO beziehen. Damit wird zum einen die Übermittlung von personenbezogenen Daten in Drittländer unter Berücksichtigung der Angemessenheitsbeschlüsse betrachtet und zum anderen die innereuropäische Zusammenarbeit in der Durchsetzung der DSGVO geprüft.

Neben dieser „reinen“ Bewertung und Überprüfung der DSGVO ist die EU-Kommission zudem verpflichtet, bei festgestelltem Anpassungsbedarf auch geeignete Anpassungsvorschläge zu unterbreiten. Damit die EU-Kommission diese Aufgabe erfüllen kann, bedient sie sich der von den Mitgliedstaaten und Aufsichtsbehörden bereitgestellten Informationen. Diese Informationen kann die EU-Kommission auch explizit verlangen. Ergänzend zu diesen Informationen muss die EU-Kommission auch die vom EU-Parlament, dem EU-Rat und weiteren einschlägigeren Quellen erfassten Auslegungen und Beurteilungen der DSGVO berücksichtigen.

Vor dem Hintergrund der Bewertung und Überprüfung der DSGVO haben Verbände, Ministerien, Aufsichtsbehörden und andere bereits im Sommer 2019 Ihre Anmerkungen zur DSGVO zusammengetragen. Die einzelnen nationalen Dokumente wurden in eine konsolidierte Stellungnahme überführt und bei deutschen Vertretern auf EU-Ebene platziert. Deutschland nimmt in seiner Stellungnahme nicht ausschließlich Bezug zu den Kapitel V und VII, sondern geht auch auf verschiedenste Aspekte der DSGVO ein.

Es heißt in der Stellungnahme, dass seit Gültigkeit der DSGVO eine verstärkte Wahrnehmung des Datenschutzes in Deutschland spürbar ist. Auch hat die  DSGVO zu einer intensivierten Zusammenarbeit mit den Aufsichtsbehörden geführt. Ein Teilziel der Zusammenarbeit müsse  es demnach sein, die DSGVO einheitlich auszulegen. Dies führe insbesondere für Unternehmen zu einer zügigeren Beantwortung von Fragen und ermögliche einen fachgerechten Informationsaustausch.

Mit der DSGVO müssen auch kleine und mittlere Unternehmen (KMU) erhöhte rechtliche Anforderungen erfüllen. Während für größere Unternehmen die positiven Aspekte der DSGVO überwiegen und sie diese zum Anlass genommen haben, um unternehmenseigene Prozesse anzupassen und zu optimieren, empfindet ein Großteil der Unternehmen die DSGVO als erhöhten Bürokratieaufwand, der auch zu einem gesteigerten finanziellen und personellen Aufwand führt.

Auch ehrenamtliche Vereine, die sich nicht originär der Verarbeitung personenbezogener Daten widmen, sind von diesen Regelungen betroffen. Verschiedenste Verbände haben daher erfolgreich darauf hingewirkt, in der Stellungnahme Deutschlands Erleichterungen und Ausnahmen für KMU zu verankern.

Eine Verarbeitung von personenbezogenen Daten ist laut Artikel 6 Abs. 1 lit. f DSGVO rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen, Grundrechte oder Grundfreiheiten der betroffenen Person, welche den Schutz personenbezogener Daten erfordern, nicht überwiegen. Die europäischen Mitgliedstaaten legen den Rechtsbegriff „berechtigtes Inter­esse“ unterschiedlich aus. Diese teils voneinander abweichenden Auffassungen des Rechtsbegriffs führen zu vielfältigsten Unsicherheiten. Die Herbeiführung von Rechtssicherheit unter Würdigung der Grundrechte wird gewünscht.

In einem weiteren Punkt geht die Stellungnahme Deutschlands auf die Informationspflichten des Verantwortlichen gegenüber dem Betroffenen ein. Konkret normieren Artikel 13 und 14 der DSGVO die Informationspflichten – zum einen bei der Erhebung von personenbezogenen Daten unmittelbar bei der betroffenen Person und zum anderen, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden. Unternehmen stehen somit in der Pflicht, den Betroffenen zum Zeitpunkt der Erhebung der Daten zu informieren und über die Rechte aufzuklären. Viele Unternehmen haben daher auf ihrer Homepage eine Datenschutz­erklärung aufgenommen, in welcher die erforderlichen Informationen in langer und oft unübersichtlicher Form enthalten sind. Dies führe zu einer Informationsüberflutung der betroffenen Personen. Deutschland fordert in seiner Stellungnahme Erleichterungen für die Informationspflichten, z. B. durch standardisierte Datenschutzerklärungen.

Eine Verletzung des Schutzes personenbezogener Daten erfordert laut Artikel 33 Abs. 1 S. 1 DSGVO eine Meldung der „Datenpanne“ an die zuständige Aufsichtsbehörde, wenn mit dieser Datenpanne Risiken in Bezug auf die Rechte und Freiheiten der betroffenen Person bestehen. Die Meldung muss innerhalb von 72 Stunden erfolgen, nachdem der Verantwortliche Kenntnis von der Verletzung des Schutzes personenbezogener Daten erlangt hat. Diese Regelung verursachte in Deutschland mehr als 22.000 Meldungen (europaweit über 86.000 Meldungen). Daher hat die Bundesrepublik Deutschland in ihrer Stellungnahme angeregt, die Anforderungen an die Meldung von Datenpannen zu erleichtern.

Die DSGVO lässt deutlich höhere Bußgelder zu als bisherige nationale Regelungen (Bundesdatenschutzgesetz, alte Fassung). Die Bußgelder können verhängt werden, wenn gegen die Grundsätze der DSGVO, die Regelungen der Rechtmäßigkeit der Datenverarbeitung oder die Rechte des Betroffenen verstoßen wird. Auch bei Missachtung einer Anweisung einer Datenschutzbehörde kann ein Bußgeld verhängt werden. Deutschland plädiert in seiner Stellungnahme dafür, verbindliche und einheitliche Kriterien für die Verhängung von Bußgeldern festzulegen.

In die Stellungnahme Deutschlands zur Evaluation der DSGVO ist auch die Bilanz des Bundesdatenschutzbeauftragten Ulrich Kelber geflossen. Dieser äußerte sich zuletzt positiv zur DSGVO: Die DSGVO ermögliche insgesamt Fortschritte für den Datenschutz. Gleichzeitig seien Detailregelungen der DSGVO anpassungsbedürftig. Auch Kelber plädiert für eine administrative Entlastung von Vereinen sowie kleinen und mittleren Unternehmen.

Es bleibt abzuwarten, zu welchen Schlüssen die EU-Kommission im Rahmen der Evaluation der DSGVO kommen wird und ob diese Schlüsse durch das Europäische Parlament und vom Rat bestätigt werden.

Quellen

Text: Rudi Kramer DATEV eG, Nürnberg │ Isabel Behre AWV-Fachreferentin, Eschborn
Veröffentlicht am 13.02.2020 / Bild: Fotolia, SK_Design