Datenschutzgrundverordnung: Die deutsche Umsetzung ist ein laufender Prozess

Während die EU-Kommission prüft, wie die Mitgliedstaaten die Datenschutzgrundverordnung national umgesetzt haben, plant Deutschland bereits erste Änderungen. Unter anderem will die Große Koalition Vorschriften zu betrieblichen Datenschutzbeauftragten lockern. Ein Überblick.

An der Umsetzungen der Datenschutzgrundverordnung wird ständig gearbeitet. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Christopher Burns

Seit ziemlich genau 13 Monaten gilt die Datenschutzgrundverordnung der EU. Im ersten Jahr wurde viel um die Umsetzung des wegweisenden Gesetzes und korrekte Auslegungen gerungen. Zum Jubiläumstag machten zwölf Vertreter:innen der Zivilgesellschaft auf netzpolitik.org deutlich, dass sie vor allem bei der Durchsetzung des Rechts gegenüber notorischen Datensündern und große Datenkonzernen noch viel Handlungsbedarf sehen. Doch auch an den Gesetzen zur nationalen Umsetzung wird noch gearbeitet. Wir geben einen Überblick über die verschiedenen legislativen Initiativen rund um die DSGVO.

Endlich Entlastung für kleinere Betriebe?

Industrie- und Wirtschaftsverbände forderten Entlastungen für kleinere und mittelgroße Organisationen. Dabei ging es vor allem darum, welche Betriebe eigene Datenschutzbeauftrage (bDSB) bestellen müssen. Nach dem Bundesdatenschutzgesetz müssen Organisationen, bei denen zehn oder mehr Personen regelmäßig personenbezogene Daten elektronisch verarbeiten, einen Datenschutzbeauftragten haben. In vielen anderen europäischen Ländern gilt diese Pflicht nicht, da die DSGVO hier nationale Regelungen ermöglicht. Den Schwellenwert zur Bestellung des bDSB wollen Union und SPD nun auf 20 Beschäftigte hochsetzen – sehr zum Leidwesen der Datenschutzbehörden.

Auf einem Datenschutzkongress in Berlin Ende Mai sprach sich zwar auch der Bundesdatenschutzbeauftragte Ulrich Kelber für die Entlastung kleinerer Organisationen aus. Bei den betrieblichen Datenschutzbeauftragten anzusetzen, sei allerdings genau der falsche Weg, kritisierte der frühere SPD-Politiker. Wer sie als bürokratisches Hindernis betrachte, habe ihre Funktion nicht verstanden. Sie sollten in Organisationen ja schließlich dafür sorgen, dass die ohnehin bestehenden Pflichten beim Datenschutz richtig umgesetzt werden. In einem Tweet kritisierte Kelber den Plan großen Koalition:

Mit der Verwässerung der Anforderung zur Ernennung eines betrieblichen Datenschutzbeauftragten wird den Unternehmen nur Entlastung suggeriert. Datenschutzpflichten bleiben, Kompetenz fehlt ohne bDSB. Folge werden mehr Datenschutzverstöße und Bußgelder sein :(

Stattdessen empfahl Kelber Ende Mai, bei den umfassenden Dokumentations- und Informationspflichten für kleine Datenverarbeiter anzusetzen. Sie würden viel Aufwand mit sich bringen, aber wenig tatsächlichen Datenschutz.

Medienfreiheit: Aufforderung zur Klarstellung

Das zweite Datenschutzanpassungsgesetz, mit dem Union und SPD die Änderung beim Thema Datenschutzbeauftragte beschließen wollen, wird vermutlich noch in dieser Sitzungswoche, der letzten vor der Sommerpause, verabschiedet. Mit dem Omnibus-Gesetz sollen etwa 150 Gesetze an die DSGVO angepasst werden. Dabei geht es im Wesentlichen um Begriffsbestimmungen und Rechtsgrundlagen.

Mehrere Sachverständige kritisierten bei einer Anhörung im Dezember, dass die Bundesregierung diese Formsache mit einschneidenderen Änderungen verbindet. Unter anderem ist für den Digitalfunk eine Vorratsdatenspeicherung geplant.

Über die jetzt in letzter Minute verabredeten Änderungen am Gesetzesvorschlag – inklusive denen bei den betrieblichen Datenschutzbeauftragten – wurde die Opposition im Bundestag erst am Montag informiert. Das PDF mit den Änderungsvorschlägen umfasst 14 Seiten. Die Abstimmung ist für die Nacht von Donnerstag auf Freitag angesetzt. Offenbar ist keine Anpassung der deutschen Regelung zum Thema Videoüberwachung geplant, die ein Gericht erst kürzlich für nicht vereinbar mit der DSGVO erklärte.

Bei einem anderen Streitpunkt scheinen sich Union und SPD geeinigt zu haben: Dem Spannungsverhältnis von Datenschutz und Meinungsfreiheit. Die datenschutzpolitische Sprecherin der SPD-Fraktion Saskia Esken verkündete, man wolle die Bundesregierung bitten, hierzu eine konkrete Regelung vorzunehmen. Bisher gibt es eine entsprechende allgemeine Klarstellung auf Bundesebene nicht, sondern nur für journalistische Medien in den Mediengesetzen der Bundesländer.

In der DSGVO sind die Mitgliedstaaten explizit aufgefordert, zum Verhältnis von Datenschutz und journalistischer Arbeit eine nationale Regelung vorzunehmen. Deutschland hatte darauf bisher verzichtet, Kritiker sehen hier eine Regelungslücke. Das Innenministerium und die große Koalition waren der Meinung, eine explizite Regelung sei nicht nötig, da die bestehende Rechtsprechung weiter gelte.

Abmahngefahr: Abhilfe in Aussicht

Eine Sorge in Zusammenhang mit der DSGVO waren seit dem Stichtag im Mai 2018 Abmahnungen. Das Szenario: Nach dem deutschen Wettbewerbsrecht könnten tatsächliche oder vermeintliche Konkurrenten Unterlassungsaufforderungen an andere Unternehmen schicken und sie dazu auffordern, Datenschutzverstöße abzustellen. Vor allem bei leicht sichtbaren Verstößen wie etwa Fehlern in der Datenschutzerklärung auf der Unternehmenswebsite könnten solche kostenbewährten Schreiben – besser bekannt als Abmahnungen – von zwielichtigen Geschäftsleuten schnell verfasst und auch im großen Stil verschickt werden.

Tatsächlich gab es schon im Mai 2018 erste solcher Abmahnschreiben. Der Großteil stellte sich als schlecht gemachte Betrugsversuche heraus. Nicht die Wettbewerber verschickten sie, sondern findige Anwälte. Auch die Vertreter von Industrie- und Wirtschaftsverbänden räumen inzwischen ein: Die als Horrorszenario heraufbeschworene Abmahnwelle ist ausgeblieben. Gleichzeitig betonen sie, dass kostenpflichtige Abmahnungen weiter möglich seien und so für Verunsicherung sorgen.

Ob Datenschutzverstöße überhaupt nach dem deutschen Gesetz gegen unlauteren Wettbewerb abgemahnt werden können, ist juristisch noch umstritten. Gerichte haben in dieser Frage unterschiedlich entschieden. Klarheit könnte ein Gesetzentwurf von Noch-Justizministerin Katarina Barley [PDF] bringen, den das Bundeskabinett im Mai verabschiedet hat. Der Vorschlag soll „Kleinstunternehmen, kleine Unternehmen und vergleichbare Vereine“ von der Pflicht entbinden, der Gegenseite für Abmahnungen wegen Datenschutzverstößen Aufwandsentschädigungen zu zahlen.

Barley folgt damit den Empfehlungen aus der digitalen Zivilgesellschaft, wirtschaftliche Anreize für massenhafte und unberechtigte Abmahnungen abzuschaffen. Mit dem Gesetz wäre einerseits klargestellt, dass wettbewerbsrechtliche Unterlassungsaufforderungen durch die Konkurrenz tatsächlich möglich sind. Unternehmen hätten also weiter die Möglichkeit, Konkurrenten in ernsten Fällen von Wettbewerbsvorteilen durch nicht eingehaltene Datenschutzvorgaben zur Verantwortung zu ziehen. Gleichzeitig würde die Verunsicherung aber deutlich abnehmen, weil der erste Hinweis kostenlos wäre. Das Gesetz wird voraussichtlich frühestens im Herbst 2019 verabschiedet.

Die EU-Kommission prüft

Unterdessen überprüft die EU-Kommission, wie die einzelnen EU-Mitgliedstaaten die DSGVO umgesetzt haben. Noch vor der offiziellen Evaluation der DSGVO im kommenden Jahr will sie sicherstellen, dass die Fragmentierung durch nationale Alleingänge nicht zu groß wird. „Das ist derzeit unsere Hauptaufgabe“, erklärte die scheidende EU-Justizkommissarin Věra Jourová Ende Mai auf einer Pressekonferenz.

Allerdings haben immer noch nicht alle Mitgliedstaaten die DSGVO überhaupt umgesetzt. Portugal, Griechenland und Slowenien haben noch keine nationalen Regelungen vorgenommen. Jourová forderte die drei Länder auf, „so schnell wie möglich“ nachzuliefern. Auf Spekulationen über Vertragsverletzungsverfahren wollte sie sich aber nicht einlassen.

0 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.