Mit der am 25.05.2018 wirksam gewordenen Datenschutz-Grundverordnung (DSGVO) wurde die zuvor in nationalen Datenschutzgesetzen zersplitterte Regulierung des Datenschutzrechts in einer zentralen europäischen Verordnung gebündelt, systematisiert und nach denselben Prinzipien aufgestellt. Die EU-Kommission hat erkannt, dass die bestehenden bürokratischen Hemmnisse und Rechtsunsicherheiten im Datenschutz nur durch einen ganzheitlichen europäischen Ansatz überwunden werden können.
Art. 97 DSGVO sieht vor, dass bis zum 25. Mai 2020 von der Europäischen Kommission ein „Bericht über die Bewertung und Überprüfung“ der DSGVO erfolgen soll. Von dem am 24.06.2020 erstmals vorgelegten Bericht der EU-Kommission zur Evaluierung der Datenschutz-Grundverordnung (DSGVO / GDPR) haben sich gerade die Interessenvertreter der Internet-Wirtschaft viel versprochen. Die Reaktionen reichen von Lob bis tiefer Enttäuschung. Für Unternehmen lautet die Botschaft: Auf allen Ebenen gibt es noch viel zu tun.
Für Änderungen an der DSGVO ist es zu früh
Wie die meisten Interessenträger und Datenschutzbehörden ist auch die EU-Kommission der Ansicht, dass es für endgültige Schlussfolgerungen über die Anwendung der DSGVO und Vorschläge für ihre Überarbeitung noch zu früh ist. Tatsächlich ist die DSGVO noch lange nicht so umgesetzt, wie man es sich für das Ziel eines einheitlichen europäischen Rechtsrahmens für den Datenschutz vorstellen würde. Das gilt nicht nur für Unternehmen, sondern auch für die Aufsichtsbehörden und die Mitgliedsstaaten der EU, wie auch der Kommissionsbericht zeigt.
Mehr Harmonisierung erforderlich
So erklärt die EU-Kommission zum Beispiel, dass die Harmonisierung in den Mitgliedstaaten zunimmt, auch wenn ein gewisses Maß an Fragmentierung bestehe, das ständig überwacht werden muss. Letztlich bedeutet dies, dass es Mitgliedsstaaten gibt, die die in einem Maß nutzen, das einen wirklich einheitlichen Datenschutz in der EU behindert. Didier Reynders, EU-Kommissar für Justiz, beschreibt dies so: „Der heutige Bericht zeigt (…), dass wir noch mehr tun können. So brauchen wir beispielsweise EU-weit mehr Einheitlichkeit bei der Anwendung der Vorschriften: Dies ist für Bürgerinnen und Bürger ebenso wichtig wie für Unternehmen und insbesondere KMU“.
Der Bericht legt (wie zu vermuten war) offen, dass noch mehr für eine echte gemeinsame Datenschutzkultur getan werden kann, insbesondere bei der Bearbeitung grenzüberschreitender Fälle durch die Aufsichtsbehörden.
Welche Maßnahmen den Unternehmen besonders helfen könnten
Aus der Vielzahl der Punkte, die für eine vollständige Umsetzung der DSGVO noch erforderlich sind, sollen deshalb nun die hervorgehoben werden, die besonders für die Unternehmenspraxis relevant sind:
- Mehrere Datenschutzbehörden haben neue Instrumente, wie Beratungsstellen für Einzelpersonen und Unternehmen oder Toolkits für Klein- und Kleinstunternehmen, geschaffen. Die EU-Kommission fordert, dass die auf nationaler Ebene bereitgestellten Hilfsangebote vollständig mit den Leitlinien des Europäischen Datenschutzausschusses in Einklang stehen müssen. Dies diene nicht nur der Harmonisierung, vielmehr müssten nun einheitliche Leitlinien zu praktischen Fragen ausgebaut werden, die gerade KMU unterstützen können, die DSGVO umzusetzen.
- Die EU-Kommission nennt auch Beispiele: Der Europäische Datenschutzausschuss arbeitet derzeit an speziellen Leitlinien für die Zertifizierung und an Verhaltenskodizes für die Datenübermittlung an Drittländer und internationale Organisationen, die so bald als möglich fertiggestellt werden müssen, wie die EU-Kommission betont. Zweifellos ist dies ein Bereich, in dem viele Unternehmen auf entsprechende Leitlinien warten, insbesondere vor dem Hintergrund des jüngsten EuGH-Urteils vom 16.07.2020 zum Datenexport in die USA („Schrems II“).
- Die EU-Kommission erwartet, das Instrumentarium der DSGVO in vollem Umfang einzusetzen, um die Anwendung der Vorschriften z. B. im Wege von Verhaltenskodizes zu fördern. Tatsächlich werden Instrumente wie die Verhaltensregeln bisher nur minimal bis gar nicht genutzt. Unternehmen würden hier aber wichtige Unterstützung finden, denn Unternehmensverbände könnten branchenspezifische Verhaltensregeln entwickeln und diese von der zuständigen Aufsicht genehmigen lassen. Dazu würden auch Verhaltensregeln gehören, die speziell die Besonderheiten der KMU in den Blick nehmen.
- Die EU-Kommission stellt zudem klar: Der zukunftssichere und risikobasierte Ansatz der DSGVO wird auch im künftigen EU-Rahmen für künstliche Intelligenz und bei der Umsetzung der europäischen Datenstrategie Anwendung finden. Das bedeutet für Unternehmen, dass nicht geplant ist, zum Beispiel für KI einen völlig anderen Datenschutz zu etablieren, sondern die DSGVO wird auch dort Anwendung finden.
Verbot der Verarbeitung oder die Aussetzung von Datenströmen sehr viel wirksamer als Bußgeld
Bemerkenswert und interessant ist der Hinweis der EU-Kommission, dass die DSGVO nicht nur Sanktionen wie z. B. die Verhängung von Bußgeldern, Verwarnungen und Verweisen vorsieht. Beispielsweise könne ein Verbot der Verarbeitung oder die Aussetzung von Datenströmen sehr viel wirksamer sein als ein Bußgeld. Für Unternehmen ein Grund mehr, die DSGVO so genau wie möglich umzusetzen, denn „ein Verbot der Verarbeitung oder die Aussetzung von Datenströmen“ kann im Zeitalter der Digitalisierung letztlich eine Betriebsunterbrechung nach sich ziehen, mit massiven Folgen für die Verantwortlichen.
Neben der Verabschiedung weiterer Richtlinien, die praktisch und leicht verständlich sind, klare Antworten liefern und Unklarheiten in Bezug auf Fragen im Zusammenhang mit der Anwendung der DSGVO vermeiden sowie die Rechtsprechung des Gerichtshofs der EU aufnehmen, fordert der Bericht die Entwicklung praktischer Instrumente wie harmonisierte Formulare für Datenschutzverletzungen und Vereinfachung bei den Aufzeichnungen über Verarbeitungsaktivitäten, um KMU mit geringem Risiko bei der Erfüllung ihrer Verpflichtungen zu unterstützen. Gerade hier decken sich die Postulate mit den Wünschen der Unternehmen.
Zweifellos hat die DSGVO auch schon jetzt viel Gutes erreicht und kann noch mehr erreichen, wenn sich alle gemeinsam für einen einheitlichen und praktikablen Datenschutz einsetzen.
