Am 25. Mai 2020 feierte die Datenschutz-Grundverordnung (DSGVO) den zweiten Jahrestag ihres Wirksamwerdens. Harmonisierung in Europa, neue Begriffe, Betroffenenrechte, höhere Geldbußen sind nur einige der Neuerungen.
Trotz großer anfänglicher Sorgen, Verwirrung und Mythen hat sich die DSGVO als grundsätzlich taugliches Regulierungsinstrument etabliert. Sie verdeutlicht die Eigenverantwortlichkeit der Verarbeiter und die Pflicht zur Rechenschaft darüber, was mit den Daten Betroffener geschieht, sei es durch
- die Erfüllung der Informationspflichten in transparenter und verständlicher Form
- das aktuelle und möglichst vollständige Verzeichnis der Verarbeitungstätigkeiten,
- konforme Verträge mit allen Dienstleistern,
- und stabile, prüffähige Prozesse für z.B. für den Umgang mit Datenpannen oder Auskunftsersuchen.
Alle Staaten Europas einigten sich in sehr kurzer Zeit in einem hochdynamischen Verfahren auf eine in nahezu allen Bestandteilen verständliche Regelung. Kommissionsvizepräsidentin Věra Jourová, zuständig für Werte und Transparenz, und EU-Justizkommissar Didier Reynders, zogen in einer am 20.05.2020 veröffentlichten Erklärung Bilanz:
„Innerhalb der letzten zwei Jahre haben diese neuen Regeln nicht nur den Umgang mit personenbezogenen Daten in Europa revolutioniert, sondern sich auch zu einem weltweiten Vorbild im Bereich des Datenschutzes entwickelt. In einer Welt, in der die Datenverarbeitung eine immer größere Rolle spielt, sorgt die Datenschutz-Grundverordnung dafür, dass die Bürger mehr Kontrolle über ihre personenbezogenen Daten haben. Gleichzeitig schafft sie einen Rahmen für vertrauenswürdige Innovation. Die Datenschutz-Grundverordnung ist ein Eckpfeiler des digitalen Wandels in Europa.“
Die DSGVO hat in Europa und darüber hinaus viel verändert. Die Einhaltung der Vorschriften ist jedoch ein dynamischer Prozess und geschieht nicht über Nacht.
Entgegen hartnäckiger Kritiken ist die DSGVO nicht angetreten, Innovation zu verhindern. Dies zeigt ein Blick in Artikel 1 Abs.1 DSGVO – Gegenstand und Ziele:
„Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.“
So auch Erwägungsgrund 4 DSGVO: „Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden.“
Und auch Erwägungsgrund 13 Satz 2 macht das deutlich:
„Das reibungslose Funktionieren des Binnenmarkts erfordert, dass der freie Verkehr personenbezogener Daten in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird.“
Die DSGVO gibt dem Datenschutz neuen Sinn und Ziel – vom Abwehrrecht gegen den „sammelwütigen“ Staat zum Verbraucherschutzrecht gegen große Internet-Konzerne und damit einen Rahmen für vertrauenswürdige Innovation. Das zeigen gerade die in Art. 25 DSGVO genannten Grundsätze für Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.
In der letzten Zeit haben sowohl Wirtschaftsverbände und Datenschutz-Vereinigungen als auch die Aufsichtsbehörden für den Datenschutz zu ihren Erfahrungen und Wünschen geäußert, was an der DSGVO geändert werden sollte. Einiges davon hätte man bereits in den Mitgliedsländern angehen können, anderes müsste den langen Weg der EU-Gesetzgebung gehen.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber äußerte: „Meine Kollegen und ich halten groß angelegte gesetzliche Änderungen an der DSGVO für verfrüht. Wir sehen aber Bedarf für Verbesserungen bei der praktischen Umsetzung.“
Trotz umfangreicher Aufklärungsangebote und Hilfestellungen gebe es bei den Rechtsanwendern noch immer zahlreiche Fragen und Unsicherheiten, beklagt etwa Bayerns Innenminister Joachim Herrmann. Auch würden einige der neu eingeführten Instrumente bisher in der Praxis nur vereinzelt genutzt. Als Beispiele nannte er die Verhaltensregeln, die Zertifizierung, die Einführung eines Europäischen Datenschutzsiegels oder auch das Kohärenz-Verfahren. Er fordert daher die Kommission auf, die Gründe für die Zurückhaltung in diesem Bereich zu analysieren und Vorschläge für eine Abhilfe vorzulegen. Die Datenschutzaufsicht in Baden-Württemberg orientiert sich an folgendem Leitsatz: „Wenn es nicht sinnvoll ist, dann ist es kein Datenschutz“. Insgesamt lässt sich feststellen, dass die Aufsichtsbehörden auch im zweiten Jahr der DSGVO weitgehend vom Prinzip „Beratung vor Sanktion“ leiten ließen.
Der Digitalverband Bitkom kritisiert: „Nach der geplanten Evaluierung der Datenschutzregeln muss die EU den grundsätzlichen Geburtsfehler beseitigen“. Bitkom-Präsident Achim Berg beklagt: „Die DSGVO reglementiert jeden einzelnen Datenverarbeitungsvorgang und jede Datenerhebung. Vereine, Startups und Großkonzerne werden über denselben Kamm geschoren und nicht differenziert behandelt.“
Bei aller Kritik, die an der DSGVO im Vorfeld und seit ihrer Anwendung geübt wurde, wäre es erstaunlich gewesen, wenn die Evaluation keinen Änderungsbedarf ergäbe. Diese sieht die DSGVO in Art. 97 auch selbst vor:
„Bis zum 25. Mai 2020 und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Verordnung vor. Die Berichte werden öffentlich gemacht.“
Nach einer Information des EU-Parlaments könnte sich die Evaluierung sich allerdings leicht verzögern. Die Kommission wird voraussichtlich im Juni einen Bericht über die bisherige Anwendung der Datenschutz-Grundverordnung vorlegen.
Es versteht sich, dass nicht alle offenen Punkte kurzfristig zu realisieren sind. Wie lange der Weg der EU-Gesetzgebung sein kann, zeigt sich zum Beispiel gegenwärtig an der E-Privacy-Verordnung (ePVO).
Daher lohnt es sich umso mehr, den Datenschutz voranzubringen und die Umsetzung der DSGVO im eigenen Verantwortungsbereich zu optimieren. Dafür sollten die Verantwortlichen alle vorhandenen Möglichkeiten und Instrumente der DSGVO betrachten und wirklich nutzen.