Die Datenschutzgrundverordnung (DSGVO) sollte an mehreren Stellen nachgebessert werden. Zu diesem Schluss kommt die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) in einem Erfahrungsbericht zur Umsetzung der DSGVO.
In dem im November verabschiedeten Papier zeigen die Aufsichtsbehörden zum einen Möglichkeiten auf, wie das EU-Gesetz an manchen Stellen klarer formuliert werden könnte, um strittige Auslegungsfragen zu klären. Zum anderen machen sie konkrete Vorschläge für neue oder veränderte Regelungen. Dabei geht es sowohl darum den bürokratischen Aufwand, der sich mit Datenschutz bisweilen verbindet, zu verringern, als auch um teilweise Verschärfungen. Außerdem bemängeln die Behörden Kontrolldefizite, die sich durch ihre schlechte Ausstattung ergeben.
Die deutsche Datenschutzaufsicht bringt sich damit in die Debatte um die Evaluation des 2016 verabschiedeten EU-Gesetzes ein. Wenn auch nicht ganz freiwillig: Aus unerklärlichen Gründen hatte die Datenschutzkonferenz entschieden, ihren Bericht nicht zu veröffentlichen. Wir haben das Papier durch eine Informationsfreiheitsanfrage beim baden-württembergischen Datenschutzbeauftragten befreit. In der Folge haben dieser und auch die Behörde in Rheinland-Pfalz das Papier dann ins Netz gestellt.
Software-Hersteller in die Pflicht nehmen
Die DSGVO wurde 2016 nach mehrjährigen Verhandlungen mit dem Anspruch verabschiedet, eine Zeitenwende einzuleiten: Mit der Möglichkeit, Sanktionen in Millionenhöhe zu verhängen bekamen die Aufsichtsbehörden erstmalig ein scharfes Schwert in die Hand. Dazu kamen gestärkte Rechte für Betroffene, einheitliche Regeln für die gesamte EU und die Klarstellung, dass diese für alle Unternehmen gelten, die in Europa Dienste anbieten.
Auch wenn sie zu einem grundsätzlich positiven Fazit kommen, machen die Aufsichtsbehörden mehrere Vorschläge, wie das Gesetz nachgebessert werden sollte. Insgesamt werden in dem Papier neun strittige Felder thematisiert. Neben einer Neuregelung von Profilbildungen schlägt die DSK auch eine Nachschärfung beim Thema Privacy by Design vor.
Diese mit der DSGVO neu etablierte Regel schreibt vor, dass Software von Beginn so gebaut sein sollte, dass sie datenschutzfreundlich ist. Das Gesetz bezieht sich bisher aber nur auf diejenigen, die Daten verarbeiten – nicht auf diejenigen, die die dafür genutzten Programme herstellen. Dies wollen die Datenschutzbehörden ändern.
Entlastung: Ja. Ausnahmen: Nein
Den längsten Abschnitt widmen die Behörden dem viel diskutierten Thema der Praxistauglichkeit. Sie nehmen hier zur Kenntnis, dass insbesondere kleinere und mittelständische Unternehmen sowie ehrenamtliche Vereine die Dokumentations- und Transparenzpflichten der DSGVO häufig als Belastung empfinden.
Die Datenschutzkonferenz spricht sich gegen die von Wirtschaftsvertretern immer wieder geforderte generelle Ausnahme etwa für Betriebe mit weniger als 250 Mitarbeitenden aus. Trotzdem schlägt sie einige Erleichterungen vor. So gebe es Kontexte, in denen die vorgeschriebene umfassende datenschutzrechtliche Aufklärung unpraktikabel sei, etwa bei einer telefonischen Bestellung. Wenn die Datenverarbeitung in einem Rahmen anfalle, der vom Betroffenen erwartbar sei und einige andere Voraussetzungen erfüllt werden, könne auf die Information verzichtet werden.
Auch die Pflicht, den betrieblichen Datenschutzbeauftragten bei der Aufsichtsbehörde zu melden, könne entfallen. Außerdem solle klarer geregelt werden, welchen Umfang das Recht auf eine Kopie der vorliegenden Daten hat.
Datenethikkommission forderte Verschärfung
Die DSGVO sieht vor, dass die EU-Kommission spätestens zwei Jahre nach ihrem ersten Geltungstag, also bis zum 25. Mai 2020, einen Bericht zur Bewertung und Überprüfung des Gesetzes vorlegt. Der Erfahrungsbericht der Aufsichtsbehörden soll in die Evaluation einfließen. Immer mehr Organisationen bringen sich mit Stellungnahmen für diese Evaluation in Stellung. Beobachter rechnen jedoch nicht damit, dass die Kommission das hart umkämpfte Gesetz so kurz nach seiner Verabschiedung in größerem Stil überarbeiten werden.
Lobbyorganisationen von Industrie und Wirtschaft haben sich bereits vor dem Wirksamwerden der DSGVO im Mai 2018 vehement dafür ausgesprochen, die Regeln abzuschwächen, um Unternehmen zu entlasten. Auf der anderen Seite empfahl der Verbraucherzentrale Bundesverband vor wenigen Wochen in einem Gutachten, das Regelwerk an einigen Stellen zu verschärfen.
Auch die Datenethikkommission der Bundesregierung hatte im Oktober neben einer besseren Durchsetzung teilweise Verschärfungen gefordert. Auch sie hatte die Themen Profiling und Privacy by Design thematisiert. Außerdem forderte sie konkrete Regeln zum Datenhandel.
Firmen stöhnen unter teilweise völlig überzogenen Dokumentationsvorschriften, gleichzeitig können Privatpersonen personenbezogene Daten anderer Personen verarbeiten, ohne dass diese eine praktikable gesetzliche Handhabe dagegen haben, Beispiel: Bildarchive, Kommunikationsinhalte, Termine. Diese Daten sind in oft viel kritischer als Daten, die Unternehmen verarbeiten.
Die DSGVO sollte komplett überarbeitet werden, und dabei sollte man sich das wesentlich praxisnähere Konzept des kalifornischen Datenschutzgesetzes zum Vorbild nehmen.