Die Europäische Kommission hat schon vor einer Weile angekündigt, dass sie manche Bestimmungen der Datenschutz-Grundverordnung (DSGVO) abschwächen will. Ein Brief der EU-Datenschutzbehörden gibt nun Einblicke darin, was genau Justizkommissar Michael McGrath plant. Offiziell vorgestellt werden soll das Vorhaben schon in der kommenden Woche.
Das große Motto der EU-Kommission in der zweiten Amtszeit von Ursula von der Leyen ist die Wettbewerbsfähigkeit und, damit verbunden, das „Vereinfachen“ von EU-Gesetzen. Dabei besteht sie sehr auf ihrer Wortwahl: Es gehe nicht ums Deregulieren, sondern nur darum, die bestehenden Gesetze für Unternehmen einfacher umsetzbar zu machen, heißt es immer wieder.
Ausweitung von Ausnahmen
Der Brief der Datenschutzbehörden zeigt nun, was das in einem ersten Schritt für die DSGVO bedeuten soll. Sie antworten darin auf die Kommission, die in einem eigenen Brief, der nicht öffentlich ist, ihre Vorschläge dargelegt hatte. Die drehen sich hauptsächlich um das sogenannte Datenverarbeitungsverzeichnis aus Artikel 30 der DSGVO.
Dieser Artikel regelt, wie Organisationen dokumentieren müssen, welche Daten sie wie verarbeiten. Sie müssen etwa festhalten, welche Daten sie wofür verarbeiten, welche Kategorien von Personen von einer Datenverarbeitung betroffen sind und auch, an welche Empfänger:innen Datenübermittelt werden. Zudem soll technische und organisatorische Maßnahmen dokumentiert werden, mit denen die Daten geschützt werden.
Organisationen mit weniger als 250 Beschäftigten sind von diesen Regeln ausgenommen – außer, die Verarbeitung könnte ein Risiko für Rechte und Freiheiten der Betroffenen bergen. Die Kommission will diese Ausnahme nun anscheinend auf Organisationen mit bis zu 500 Beschäftigten ausdehnen, die unter einer bestimmten Umsatzgrenze bleiben. Sie würde dann nicht mehr nur für kleine und mittelständische Unternehmen gelten, sondern auch für sogenannte Midcap-Unternehmen mit mittlerer Marktkapitalisierung.
Außerdem soll die Ausnahme von der Ausnahme nur noch gelten, wenn die verarbeiteten Daten ein „hohes Risiko für Rechte und Freiheiten“ bedeuten könnten. Darüber hinaus sollen Organisationen von der Dokumentationspflicht befreit werden, wenn sie Daten verarbeiten, weil Sozial- oder Beschäftigungsgesetze das vorschreiben.
Datenschutzbehörden stimmen vorläufig zu
Diesem Vorschlag stehen der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss vorsichtig optimistisch gegenüber. Man könne „vorläufige Zustimmung“ zu dem Vorhaben äußern, heißt es im Antwortbrief der Datenschützer. Sie erinnern jedoch daran, dass mit dem Wegfall der Dokumentationspflicht keine Entbindung von Vorgaben zum tatsächlichen Datenschutz sei. Zudem fordern sie die Kommission auf, zu prüfen, ob der Entwurf einen angemessenen und fairen Ausgleich zwischen dem Schutz personenbezogener Daten und den Interessen der Organisationen gewährleistet.
Wesentlich kritischer äußert sich Itxaso Domínguez de Olazábal von EDRi, dem europäischen Dachverband der digitalen Zivilgesellschaft. In einer Analyse auf TechPolicy.Press warnt sie davor, dass auch die Verarbeitung sensibler Daten künftig nicht mehr zwingend dokumentiert werden müsste. „Diese Änderungen könnten einfach nur ein aufgrund der Größe und des Umsatzes eines Unternehmens weitreichende Ausnahmen schaffen“, so Domínguez de Olazábal. Dabei werde ignoriert, dass datenbezogene Risiken nicht unbedingt proportional zur Anzahl von Mitarbeiter:innen seien.
Auch Elisabeth Niekrenz vom Verein Digitale Gesellschaft ist skeptisch. Die Rechtsanwältin berät Unternehmen beim Datenschutz und berichtet von der praktischen Bedeutung des Datenverarbeitungsverzeichnisses für einen funktionierenden Datenschutz: „Gerade im Mittelstand ist der erste Schritt, um Datenschutz im Unternehmen in den Griff zu bekommen, oft schlichtes Aufräumen: Welche Datenbestände haben wir überhaupt? Was davon brauchen wir wirklich und was kann weg? Welche IT-Dienstleister hängen daran?“
Wer keinen Überblick über die eigenen Verarbeitungen habe, werde an der Einhaltung des Rechts scheitern. „Dem Bürokratieabbau würde man mit der Abschaffung einen Bärendienst erweisen.“
“Das würde die Büchse der Pandora öffnen“
Itxaso Domínguez de Olazábal von EDRi warnt zudem davor, dass die Mini-Reform im derzeitigen politischen Klima nur ein Türöffner für weitere Deregulierung sein könnte. Für das Jahresende hat die EU-Kommission ein größeres „Digitalpaket“ angekündigt, das viele Digital-Gesetze der EU vereinfachen soll. Davon könnte auch die Datenschutzgrundverordnung betroffen sein, fürchtet Domínguez de Olazábal. Wer sie jetzt für vermeintlich kleine Änderungen aufmache, würde die „Büchse der Pandora öffnen“.
Domínguez de Olazábal zieht hier eine Parallele zum aktuellen Vorgehen der EU beim Lieferkettengesetz. Auch hier hatte Ursula von der Leyen ursprünglich nur kleinere Maßnahmen zum Bürokratieabbau versprochen, nun soll das Gesetz weitgehend entkernt werden. „Es scheint ein allgemeiner Drang zu bestehen, regulatorische Schutzmaßnahmen aufzuheben – eine Bereitschaft, vermeintliche Hindernisse für das Wirtschaftswachstum zu beseitigen, ungeachtet der möglichen Folgen für soziale Gerechtigkeit und Menschenrechte.“
Bürokratie Abbau ist richtig und wichtig um wieder mehr Wachstum und damit Wohlstand für die Bevölkerung zu ermöglichen. Zumal die ganze Bürokratie und Dokumentationswut ja auch nix zum technischen Datenschutz mit beigetragen hat. Genauso wie der Verlust an Lebenszeit der drauf geht um unsinnige DSGVO Datenschutz Banner weg zu klicken.
Die Idee das Bürokratie Daten schützt fand ich jedenfalls schon immer sehr absurd. Wird Zeit mehr zu verschlüsseln und Werbe Tracking vollständig zu verbieten. Das würde Datenschutz bedeuten, echten Datenschutz.
Ich finde ja, dass es schon gut ist, wenn sich Firmen bei der Dokumentation mal überlegen müssen, welche Daten sie wo sammeln, bei wem speichern, wo weiterverarbeiten – und wo sie Daten sparen könnten. Ganz im Sinne des Bürokratieabbaus.
> Bürokratie Abbau ist richtig und wichtig um wieder mehr Wachstum und damit Wohlstand für die Bevölkerung zu ermöglichen.
„Bürokratieabbau“ wird gerne überschätzt. Außerdem ist die DSGVO dafür da, damit Unternehmen nicht alles speichern (dürfen) was ihnen vor die Flinte läuft. Die USA dienen in dem Kontext eher als abschreckendes Beispiel.
> Genauso wie der Verlust an Lebenszeit der drauf geht um unsinnige DSGVO Datenschutz Banner weg zu klicken.
Die Banner sind nicht unsinnig und aufgrund der von Unternehmen in ihnen verwendeten Dark Patterns lohnt es sich, sich mit ihnen zu befassen und die richtige Schaltflächen anzuklicken. Beim Verbot von Werbetracking bin ich aber ganz bei dir. Eine Supermarktkette, die noch vor den Angehörigen von der Schwangerschaft einer Frau weiß ( https://archive.ph/LHryO ) ist gruselig, widerwärtig und grenzt IMHO an Stalking.
Wenn man ein untaugliches bürokratisches Konvolut erschaffen hat, dass offensichtlich seinen Zweck nicht erfüllt – dann ist die Lösung ein weiteres bürokratisches Konvolut.
Das Kernproblem der DSGVO sind der mangelnde Wille und die ungeklärten Zuständigkeiten bei der Umsetzung. Mag sein, dass es im Sinne der EU-Kommission ist, ein scharfes Schwert zu haben, mit dem man willkürlich auserkorene Ziele zerhacken kann.
Mit Demokratie und Datenschutz hat das allerdings nichts zu tun.
Was wir statt der DSGVO brauchen, sind wenige, klar verständliche Regeln, die konsequent und gegen jeden durchgesetzt werden. Nicht ein Konvolut, an dem Mittelständler verzweifeln, während die großen Plattformen einfach ihre AGB ändern und weiter machen wie zuvor. Und sich im Zweifelsfall darauf verlassen können, dass die irische Datenschutzbehörde jedes Verfahren ziemlich sicher im Sande verlaufen läßt.
Nun da Problem ist aber das niemand erkennt weshalb wir diese kleinteiligen Regeln überhaupt haben. Weil offenbar bis ins kleinste formulierte Gesetze und Moral keine Wirkung mehr haben. Es wird immer nach eine Lücke gesucht, „das steht aber so da nicht drin“. Mit dem Abbau fallen dann Regeln weg die der Lobby lästig sind. Siehe was hier in der Landwirtschaft unter Bürokratieabbau verstanden wird. Es ist er ein gesellschaftliches Problem in allen immer die Lücke zu suchen wenn sie nicht schon durch gute Lobbyarbeit in Gesetzen hinein formuliert wurden. CumEx war ein gutes Beispiel dafür das manche keine Moral mehr haben, bis weit in die Politik hinein.
„Sie müssen etwa festhalten, welche Daten sie wofür verarbeiten, welche Kategorien von Personen von einer Datenverarbeitung betroffen sind und auch, an welche Empfänger:innen Datenübermittelt werden. Zudem soll technische und organisatorische Maßnahmen dokumentiert werden, mit denen die Daten geschützt werden.“
Das soilte doch eine Selbstverständlichkeit sein, genauso wie die Dokumentation von Maßnahmen zum Brandschutz oder der Ersthelfer in einem Unternehmen.
Ich denke die Festlegung von Untergrenzen in Bezug auf Umsatz oder Angestellte ist überhaupt nicht zeitgemäß bei dem hohen Automatisierungsgrad in der IT. WhatsApp hatte 55 Angestellte als sie für 19 Milliarden US$ von Facebook gekauft wurden.
Noch dazu lässt die Ausnahme bei einem „hohe[n] Risiko für Rechte und Freiheiten“ so viel Spielraum für Interpretation, dass sie auch gleich weggelassen werden könnte.
Ich kann die Sorge der EDRi jedenfalls gut nachvollziehen.