Expertenrunde - Evaluierung der DSGVO

Die Politik steht vor der Aufgabe, die rechtlichen Rahmenbedingungen für ein digitales Europa zu gestalten. Ein Meilenstein ist hierbei die DSGVO. Diese steht gerade im Mai 2024 auf dem Prüfstand. Denn alle vier Jahre legt die EU-Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung der DSGVO vor. Die Wirtschaft fordert, dieses Regelwerk und seine konkrete Anwendung zu prüfen.

Dies haben die bayerischen Industrie- und Handelskammern (BIHK) zum Anlass genommen und in Kooperation mit

• dem Bayerischen Staatsministerium des Innern, für Sport und Integration (BayStMI),
• der Wirtschaftskammer Österreich (WKÖ) und
• dem Enterprise Europe Network (EEN)

sowie mit freundlicher Unterstützung

• der Deutschen Industrie- und Handelskammer (DIHK) und
• der Vertretung des Freistaates Bayern bei der Europäischen Union

am 14.05.2024 in einer Expertenrunde über die im Mai 2024 anstehende Evaluierung der DSGVO gesprochen.

Die Expertenrunde war hochkarätig besetzt. Gemeinsam mit der Europäischen Kommission, dem Bundesministerium des Innern und für Heimat (BMI), dem Sekretariat des Europäischen Datenschutzausschuss beim Europäischen Datenschutzbeauftragten (EDPB) und Vertretern von Datenschutzaufsichtsbehörden sowie mit Wirtschaftsvertretern und der Rechtsanwaltschaft haben die Teilnehmer mit Blick auf den angekündigten Bericht der EU-Kommission über die Bewertung und Überprüfung der DSGVO Folgendes erörtert:

• Wie gelingt Digitalisierung?
• Erfolgreiche Regulierung statt Bürokratie im Bereich des Datenschutzes?
• Welche Aufgaben stellen sich hier für die neue Europäische Kommission 2024-2029?

Christina Rölz, BayStMI, stellte als Moderatorin einleitend die Frage, ob die Datenschutz-Grundverordnung innerhalb der EU zu unterschiedlich ausgelegt werde. Außerdem plädierte sie dafür, die Hersteller bzw. Anbieter von Produkten und Services in die datenschutzrechtliche Verantwortung zu nehmen – gerade bei großen Anbietern - analog zum Cyber Resilience Act. Im Hinblick auf die vielen neuen Rechtsakte der EU-Digitalstrategie mahnte sie Hilfestellung bei der Umsetzung an. Es müsse klar sein, wie die DSGVO mit den neuen Rechtsakten zusammenpasse. Sie verwies auf die Stellungnahme des Bundesrats zur Evaluierung der DSGVO, die auf Antrag Bayerns angenommen worden war.

"Digitale Geschäftsmodelle brauchen transparente Kommunikation im Umgang mit Daten – aber auch verständliche", betonte Johannes Hauner, Vizepräsident der IHK für München und Oberbayern und ergänzt: „Und ich kenne kaum ein Geschäft, das heute ohne digitale Komponente auskommt.“ Hauner unterstützt deshalb nachdrücklich einen risikobasierten Ansatz: „Durch die neu hinzugekommenen Regulierungen zum Umgang mit Daten (AI Act, DMA, DAS) bedarf es meines Erachtens einer Anpassung der DSGVO in Richtung explizit risikobasiertem Ansatz.“

Den nachvollziehbaren Bedenken der Aufsichtsbehörden könne dadurch begegnet werden, dass diese Regelungen vorgeben, die sie gemeinsam mit Wirtschaftsvertretern erarbeiten. „Ein Dialog zwischen Datenschutzbehörden und der Wirtschaft, wie wir ihn in Bayern etabliert haben, kann dabei beispielgebend sein“, ergänzt Hauner. Am Ende würde ein risikobasierter Ansatz auch den immer wieder vorgebrachten Bürokratiebedenken gegenüber der DSGVO den Wind aus den Segeln nehmen, „denn mit dem risikobasierten Ansatz nach dem Grundsatz einer Verhältnismäßigkeitsabwägung, könnten bürokratische Hürden abgebaut werden.“

Der gewälte Zeitpunkt für dieses Gespräch, so Olivier Micol, Europäische Kommisson, ist richtig. Der Evaluationsbericht werde Stellungnahmen des EU Rates, des Europäischen Datenschutzausschusses, der Datenschutzaufsichtsbehörden und von Wirtschaftsvertretern enthalten. Kernelemente hierbei sind die Implementierung und der Vollzug der DSGVO. Ihm sei eine differenzierte Betrachtung wichtig. Denn zum einen fordern die Mitgliedsstaaten, die DSGVO nicht anzufassen. "Don't touch it!". Zum anderen sei in der DSGVO der Datenschutz in einem ausbalancierten Verhältnis berücksichtigt. "Wir benötigen mehr praxisbezogene wie branchenspezifische Guidelines", fordert Micol. Der Bericht, welchen die Europäische Kommission dem dem Europäischen Parlament und dem Rat, in Kürze vorlegen wird, wird einen sehr weiten Blick auf die DSGVO werfen und hierbei insbesondere auf die Belange der KMU.

„Die Haltung des Rates der Mitgliedstaaten zur Evaluierung der DSGVO enthält die wesentlichen Punkte, die auch Deutschland wichtig sind“ resümierte Elsa Mein, die im BMI für Datenschutz zuständig ist und Deutschland in der Ratsarbeitsgruppe Datenschutz vertritt. Die DSGVO werde als Erfolg gesehen, es gebe aber durchaus Verbesserungsbedarf, wie beispielsweise Erleichterungen für KMU oder das Verhältnis der DSGVO zu den neuen Rechtsakten der EU-Datenstrategie.

Wir setzen uns für mehr Klarheit insbesondere mit Blick auf die neuen Rechtsakte der Datenökonomie und ihrem Verhältnis zur DSGVO ein, erläutert Isabell Vereecken, Leiterin des Sekretariats des Europäischen Datenschutzausschusses, mit Verweis auf das Arbeitsprogramm des EDPB für die neue Amtsperiode - EDPB Strategy 2024 - 2027. Zu unterschiedlichen Rechtsauffassungen der Datenschutzaufsichtsbehörden verweist sie darauf, dass der EDSA hier schon für mehr Klarheit und mehr Harmonisierung gesorgt habe und dies weiter tun werde. Beispielsweise habe der EDSA schon zu vielen Themen Leitlinien verabschiedet, u. a. zu Datenpannenmeldungen. Wir benötigen zudem praxiskonforme Handreichungen für die Wirtschaft.

Dr. Matthias Schmidl, Leiter der Österreichischen Datenschutzaufsicht, und Alexander Filip vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), berichten von den Herausforderungen für ihre Ämter. Die Bearbeitung von Beschwerden wegen Datenschutzverletzungen sei bisher prioritäre Aufgabe aus der DSGVO und sehr personalintensiv. Es geht darum, mit vorhandenen Personalkapazitäten die Vielzahl an Aufgaben zu meistern und hierbei die technologische Entwicklung datenschutzrechtlich zu begleiten sowie offen und kompromissbereit Rechtsfragen EU-einheitlich zu klären. "Sometimes it takes time", so Alexander Filip. "Over the last years we've getting better and better and learned a lot from each others".

Die Wirtschaftsvertreter forderten den Abbau bürokratischer Belastungen, insbesondere für KMU, und mehr Rechtssicherheit. In der Diskussion mit dem EU-Kommissionsvertreter Olivier Micol hob Kei-Lin Ting-Winarto, Leiterin des Referats Datenschutz, DIHK, die Ergebnisse der DIHK-Umfrage zur Evaluierung der DSGVO hervor. Über drei Viertel der Unternehmen haben auch sechs Jahre nach Inkrafttreten der DSVO "hohen bis extremen" Aufwand mit der Umsetzung beklagt - und das über alle Branchen hinweg. Damit bleibe die DSGVO ein zentraler Bürokratietreiber. Klemens Gutmann, regiocom SE, hab positiv hervor, dass vieles wie z. B. Massendatenverarbeitungen oder auch die Pseudonymisierung mittlerweile gut klappten. Die Belastung aller durch den Datenschutz sei sehr groß. Selbst große Unternehmen stießen hier an ihre Grenzen. Die rechtlichen Anforderungen erreichten manchmal absurde Züge, beispielsweise wenn KMU Datenschutz-Folgenabschätzungen durchführen müssten. Rita Bottler, Datenschutzbeauftragte des BIHK e.V., ergänzte, dass KMU in der Praxis auch nicht in der Lage sind, für umfangreiche und komplexe Datenverarbeitungen die Datenschutzdokumentationen zu erstellen. Hier müsse man überlegen, ob die DSGVO die Pflichten richtig zuweist.

Julia Czipzirsch, Versicherungskammer Bayern, forderte Erleichterungen beim Drittstaatentransfer. Vielfach seien in der Verarbeitungskette Subunternehmer eingesetzt. Die Pflicht, das Datenschutzniveau weltweit in allen Drittstaaten einschätzen zu können, sei in der Praxis eine Herausforderung. Sie forderte zudem ein Überdenken der für Datenvorfälle geltenden Meldepflicht von 72 Stunden für Sachverhalte, die kein hohes Risiko für die Daten Betroffener mit sich bringen. Denn diese laufe auch über das Wochenende und über Feiertage, wenn Aufsichtsbehörden geschlossen haben. Prof. Dr. Sibylle Gierschmann, in Deutschland und in den USA zugelassene Rechtsanwältin, forderte ebenfalls Erleichterungen. KMU, welche keine Daten mit hohem Risiko verarbeiten, sollten kein Verzeichnis von Verarbeitungstätigkeiten führen müssen. Informationspflichten im B2B-Bereich hätten keinen Mehrwert und sollten abgeschafft werden. Sie sprach sich u. a. dafür aus, das Recht auf Datenkopie abzuschaffen und Verträge zur Auftragsverarbeitung - soweit möglich - zu standardisieren.

Alle waren sich einig, dass Fragen zur Anonmyisierung und Pseudonymisierung in einer digitalen Welt geklärt werden müssen. "Wir müssen über das Urteil des EuGH vom 07.03.2024 zu IAB Europe diskutieren", so Johannes Hauner. Er dankte allen Vertretern aus der Europäischen Kommission, den Ministerien und Datenschutzaufsichtsbehörden sowie den Wirtschaftsvertretern für die offene Diskussion sowie den Kooperationspartnern für die sehr konstruktive und effektive Zusammenarbeit und bot an, diesen wichtigen Dialog fortzusetzen.