Goldstandard DSGVO: Zu hohe Datenschutzanforderungen für Vereine und kleine Unternehmen?
Es ist mittlerweile über zwei Jahre her, dass die Datenschutz-Grundverordnung (DSGVO) durch ihre Geltung ab dem 25. Mai 2018 nicht nur in Deutschland, sondern auch international einen Lichtpunkt in Sachen Datenschutz gesetzt hat. Obwohl sie schon 2016 in Kraft trat, traf die Verordnung nach Ablauf der Übergangsfrist im Mai 2018 viele Stellen unvorbereitet. Gerade mittelständische und kleine Unternehmen, aber auch Vereine wurden durch die Umsetzungsmaßnahmen – in Relation zu ihrer Größe – stark belastet. Nun ist die Verordnung zwar noch nicht in die Jahre gekommen, dennoch stand bereits ihre erste Evaluierung an. Gesetzesevaluierungen dienen der Identifizierung von Systemfehlern sowie Anwendungs- und Umsetzungsproblemen. Die Gesetze werden dabei in Bezug auf Angemessenheit und praktische Wirksamkeit überprüft. Eine gut durchgeführte, umfassende Überprüfung bietet die Chance, gesetzliche Regelungswerke strukturell zu verbessern und ihre Anwendung zu effektivieren.
A. Der Prozess der ersten Evaluierung der DSGVO
Gemäß Artikel 97 Absatz 1 DSGVO sollte die Europäische Kommission dem Europäischen Parlament und dem Rat bis zum 25. Mai 2020 – exakt zwei Jahre nach Geltungsbeginn – einen Bericht über die Bewertung und Überprüfung der Grundverordnung vorlegen.i Der Termin wurde von der Europäischen Kommission auch nahezu eingehalten, die Europäische Kommission veröffentlichte ihren Bericht am 24. Juni 2020.ii Der Bericht der Europäischen Kommission trägt den Titel „Datenschutz als Grundpfeiler der Teilhabe der Bürgerinnen und Bürger und des Ansatzes der EU für den digitalen Wandel – zwei Jahre Anwendung der Datenschutz-Grundverordnung“. Bereits dieser Titel veranschaulicht, welch hoher Stellenwert der Ausübung der Rechte durch die von der Verarbeitung betroffenen Personen für das Funktionieren unserer freiheitlichen demokratischen Gesellschaft zukommt.
Ein gesetzlicher Evaluierungsprozess ist üblicherweise mit weitreichenden Befragungen der anwendenden Stellen und Anhörungen der betroffenen Verbände verbunden. Gemäß Artikel 97 Absatz 3 DSGVO können auch jeweils die Datenschutzaufsichtsbehörden um Informationen über die Erfahrungen in der Anwendung der Verordnung befragt werden. Hierauf wollten die deutschen Datenschutzaufsichtsbehörden vorbereitet sein und haben proaktiv einen Bericht mit den wichtigsten Erfahrungen aus der aufsichtsbehördlichen Praxis und konkreten Vorschlägen zur Überarbeitung der DSGVO erstellt. Dazu wurde im Rahmen der „Datenschutzkonferenz der unabhängigen Aufsichtsbehörden des Bundes und der Länder (DSK)“ ein spezieller Unterarbeitskreis eingerichtet, in dem der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) den Vorsitz führte. Dieser hat im Rahmen seiner Evaluierungsbemühungen auch deutsche Vereinigungen und Verbände angehört.iii
B. Die Evaluierung im Mehrebenensystem der Europäischen Union
Bei einem so komplex aufgebauten Staatenverbund wie der Europäischen Union sind im Rahmen von Evaluierungsprozessen immer verschiedene Perspektiven abzufragen und zu einem Gesamtergebnis zu vereinen. Einerseits hat die Europäische Kommission als Organ der Europäischen Union eine autonom europäisch geprägte Perspektive, welche die Anwendung der DSGVO in allen Mitgliedstaaten im Blick hat. Andererseits liegen bei den nationalen Aufsichtsbehörden wertvolle Praxiserfahrungen in der nationalen Umsetzung der Verordnung vor. Die Evaluation der DSGVO könnte diese Perspektiven bzw. Systemebenen miteinander verzahnen, etwa durch eine Anhörung der anwendenden Behörden. Eine solche Anhörung ist im Evaluationsverfahren (bisher) nicht verpflichtend normiert. Sie würde den Praxisbezug der Evaluationsergebnisse jedoch deutlich verbessern. Deshalb sollten die nationalen Aufsichtsbehörden in künftigen Evaluierungsprozessen angehört werden, sodass an dieser Stelle eine normierte Beteiligungspflicht durchaus Sinn ergäbe.
I. Die Anwendungserfahrungen der deutschen Aufsichtsbehörden – Der Bericht der Datenschutzkonferenz
Der Erfahrungsbericht der deutschen Aufsichtsbehördeniv enthält folgende Schwerpunkte:
Alltagserleichterung & Praxistauglichkeit,
Datenpannenmeldungen,
Zweckbindung,
Data Protection by Design,
Befugnisse der Aufsichtsbehörden & Sanktionspraxis,
Zuständigkeitsbestimmungen, Zusammenarbeit & Kohärenz,
Direktwerbung,
Profiling und
Akkreditierung.
Zum Bericht gehört ferner die angehängte, von der DSK am 3. April 2019 beschlossene „Hambacher Erklärung zur künstlichen Intelligenz“.v Der Bericht wurde kontinuierlich fortentwickelt, sodass sich in der Endversion unter dem Abschnitt „Alltagserleichterung & Praxistauglichkeit“ nun viele relevante Ausführungen zu den Transparenzanforderungen der Verordnung finden.vi Dieser und auch der Abschnitt zu „Data Protection by Design“ sind besonders relevant für kleine Organisationen, die als verantwortliche Stellen von der Verordnung betroffen sind. Diese beiden Abschnitte sollen daher im Folgenden schwerpunktmäßig diskutiert werden. Daneben spielen auch die Fragen der Zuständigkeit, Zusammenarbeit und Kohärenz für die zu erwartenden aufsichtsbehördlichen Entscheidungen eine wichtige Rolle.
Dass Alltagserleichterungen und Praxistauglichkeit der DSGVO als erste Punkte im Erfahrungsbericht der Datenschutzkonferenz besprochen werden, zeigt bereits den hohen Stellenwert, den die deutschen Aufsichtsbehörden diesen Themen zuordnen. Insgesamt sehen sie im Bereich von Artikel 13 und 14 DSGVO aufgrund der weitreichenden Verpflichtungen Umsetzungsprobleme in der Praxis. Es wird daher der Vorschlag gemacht, dass allgemeine Informationen über die jeweiligen Datenverarbeitungsprozesse und deren Gegenstand und Zweck an allgemein zugänglichen Orten wie der Unternehmensinternetseite ausreichen sollen, wenn konkrete Informationen auf Nachfrage bereitgestellt werden.vii
Daneben werden Klarstellungen bezüglich des Rechts auf Kopie aus Artikel 15 Absatz 3 DSGVO verlangtviii und erhebliche Belastungen für kleine und mittelständische Unternehmen wie auch Vereine, etwa durch die sehr weitreichende Pflicht zur Meldung eines Datenschutzbeauftragten, gesehen. Hier schlagen die deutschen Aufsichtsbehörden vor, dass die Meldung der bestellten Datenschutzbeauftragten komplett entfallen soll.ix Dies ist insbesondere zu unterstützen, da sich die Person der Datenschutzbeauftragten kurzfristig ändern kann und so nicht bei jeder Neuzuweisung von Aufgabengebieten eine neue Datenschutzbeauftragte gemeldet werden muss.
2. Data Protection by Design
Unter den Themenschwerpunkt „Data Protection by Design“ fällt die Problematik, dass beispielsweise Hersteller von Software-Produkten von der DSGVO nicht hinreichend adressiert werden. Hersteller von Anwendungsprogrammen, in denen personenbezogene Daten verarbeitet werden, werden durch die DSGVO insgesamt nicht ausreichend in die Pflicht genommen. Darunter leidet die praktische Wirksamkeit der Verordnung. Hersteller, Lieferanten, Importeure, Verkäufer und ähnliche sollten im Datenschutzrecht so stark in die Pflicht genommen werden wie im Produkthaftungsrecht (vgl. ProdHaftG bzw. RL 85/374/EWG). Nach der RL 85/374/EWG (harmonisiertes Produkthaftungsrecht) haften Hersteller für Schäden, die durch ihre Produkte entstanden sind. Diese Regelung wäre auf den Bereich des Datenschutzrechtes übertragbar. Die Datenschutzkonferenz schlägt daher eine Änderung der Verordnung vor, in der der Begriff des „Herstellers“ definiert und dieser auch zum Adressat des Pflichtenkatalogs der DSGVO gemacht wird. Zudem soll die Verordnung um Haftungsregelungen ergänzt werden.x
3. Zuständigkeit, Zusammenarbeit und Kohärenz
Die Aufsichtsbehörden fordern zur sinnvollen Wahrnehmung ihrer Aufgaben eine Verlängerung der Fristen in den Kapiteln V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen) und VII (Zusammenarbeit und Kohärenz) der DSGVO. Das ist auch für die davon betroffenen Unternehmen relevant. Im Kooperations- und Kohärenzverfahren fordert die DSK einerseits eine Verlängerung aller Fristen um 50 %. Auf der anderen Seite wird aber auch eine Verfahrensbeschleunigung dadurch angestrebt, dass auf einen Beschlussentwurf nach Artikel 64 Absatz 7 DSGVO nicht automatisch eine Stellungnahme des Europäischen Datenschutzausschusses erfolgt. Die DSK fordert hier eine Vier-Wochen-Frist. Sollte keine Äußerung des Ausschusses erfolgen, soll von einer Zustimmung ausgegangen werden.xi
Auch die weiteren Schwerpunkte des DSK-Berichts enthalten konkrete Vorschläge zur Optimierung der DSGVO und geben die Erfahrungen der Aufsichtsbehörden wieder. Das Prüfprogramm unterscheidet sich aber durchaus von dem der Europäischen Kommission, was an den unterschiedlichen Stellungen der Akteure im europäischen System liegt.
II. Der Evaluierungsbericht der Europäischen Kommission
Artikel 97 Absatz 2 DSGVO gibt der Europäischen Kommission vor, im Rahmen ihrer Bewertungen und Überprüfungen der Verordnung insbesondere die Anwendung und Wirkungsweise der soeben genannten Kapitel V und Kapitel VII zu prüfen. Auf diesen Prüfauftrag ist sie aber nicht beschränkt, er beschreibt nur das Mindestprüfprogramm der Europäischen Kommission.
1. Was bereits passiert ist
In ihrem Evaluierungsbericht lobt die Kommission die Datenschutzaufsichtsbehörden für ihren ausgewogenen Gebrauch von Aufsichtsbefugnissen, inklusive der Verhängung von Bußgeldern. Positiv bewertet sie auch, dass viele Fälle mit grenzüberschreitendem Bezug (also solche, die mehr als einen EU-Mitgliedsstaat betreffen) mithilfe des sogenannten „One-Stop-Shop“-Mechanismus über das Binnenmarktinformationssystem der EU (IMI) bearbeitet werden konnten.xii
Zudem hebt sie die Tätigkeiten des Europäischen Datenschutzausschusses (EDSA) und die von ihm erstellten Leitlinien hervor, die von entscheidender Bedeutung für den Austausch zwischen dem EDSA und den Interessenträgern seien.xiii Ende 2019 hatte der EDSA 67 Dokumente, darunter zehn neue Leitlinien und 43 Stellungnahmen, angenommen. Bis zur Plenarsitzung des Ausschusses am 15. Dezember 2020 kamen noch einmal zehn Leitlinien und 28 Stellungnahmen hinzu.xiv
Die Datenschutz-Grundverordnung hat laut Kommission zu einer erhöhten Kenntnis der Datenschutzrechte durch die Bevölkerung und einer verstärkten Geltendmachung ihrer Rechte geführt. Dazu leisteten vor allem diejenigen Datenschutzaufsichtsbehörden einen großen Beitrag, die es auch nach Inkrafttreten der DSGVO als eine ihrer Aufgaben erachten, Bürger*innen, Unternehmen und öffentlichen Stellen beratend zur Seite zu stehen. Allerdings hängt die Möglichkeit einer Beratung (wie auch die übrige Arbeit) von den Ressourcen ab, welche den Aufsichtsbehörden zur Verfügung gestellt werden. Hier blickt die Kommission auf eine Personal- und Mittelaufstockung seit 2016 zurück, von der die meisten Behörden profitiert hätten. Angesichts der Tatsache, dass die größten multinationalen Technologieunternehmen in Irland und Luxemburg niedergelassen sind, fungieren die dortigen Behörden in vielen der oben angesprochenen grenzüberschreitenden Fälle als federführende Behörden.xv Aufgrund der langen Verfahrensdauern dieser paneuropäischen Fälle ist jedoch fraglich, ob zum Beispiel die von der Kommission betonte große Personalaufstockung bei der irischen Aufsichtsbehörde bis 2019 ausreichend war, wenn die finanzielle Aufstockung verhältnismäßig dahinter zurückbleibt. Für das Jahr 2020 erhielt die irische Data Protection Commission etwa weniger als ein Drittel des beantragten Budgets.xvi
Als große Praxishilfe sieht die Kommission das Betroffenenrecht auf Datenübertragbarkeit an und lobt die Möglichkeiten für Datenverarbeitende, durch Verhaltensregeln, Standardvertragsklauseln und künftig die Zertifizierung wirksame Instrumente für Datenschutzkonformität nutzen zu können.xvii
Über die Evaluierung der Angemessenheitsbeschlüsse für Datentransfers in Drittstaaten erstattet die Kommission gesondert Bericht, da sie das mittlerweile in der Rechtssache C-311/18 ergangene Urteil („Schrems II“) des Europäischen Gerichtshofsxviii abwarten wollte.
Weiteren Handlungsbedarf sieht die Kommission zum einen bei der Harmonisierung. Eine derartige Verbesserung bei der Arbeit der Aufsichtsbehörden fordert sie zum Beispiel beim Begriff der Beschwerde, den Bearbeitungsfristen und dem Recht auf rechtliches Gehör. Zum anderen sollen weitere Leitlinien des Ausschusses für die Praxis erarbeitet und die Anforderungen an die Technikgestaltung erhöht werden.xix
Dem Ruf nach einer möglichen generellen Lockerung der datenschutzrechtlichen Anforderungen für kleine und mittelständische Unternehmen erteilt die Kommission in ihrem Evaluierungsbericht eine klare Absage. Aus dem risikobasierten Ansatz gehe hervor, dass Abweichungen auf der Grundlage der Größe des Wirtschaftsteilnehmers ungeeignet wären, da allein die Unternehmensgröße keine Aussage über die Risiken für Verbraucher*innen hinsichtlich der von den Unternehmen durchgeführten Verarbeitung personenbezogener Daten zulasse.xx In der Tat macht es für betroffene Personen regelmäßig keinen Unterschied, ob ein ihre Daten berührender Verstoß nun von einem kleineren Unternehmen oder einem großen Konzern begangen wurde.
Allerdings kündigt die Kommission eine Prüfung an, ob es – im Lichte weiterer Erfahrungen und der einschlägigen Rechtsprechung – angebracht sein könnte, künftige gezielte Änderungen bestimmter Regelungen der DSGVO vorzuschlagen. Als Beispiel werden insbesondere Verzeichnisse von Verarbeitungstätigkeiten von KMU (Kleinen und Mittleren Unternehmen) genannt, deren Kerngeschäft nicht die Verarbeitung von personenbezogenen Daten ist.xxi
2. Wo noch Handlungsbedarf besteht
Weiteren Handlungsbedarf der Aufsichtsbehörden identifiziert die Kommission bei den bisher ungenutzt gebliebenen gemeinsamen Maßnahmen nach Artikel 62 DSGVO.xxii Diese gestatten den Datenschutzbehörden unter anderem gemeinsame Untersuchungen und Durchsetzungsmaßnahmen. Auch solle der Austausch auf internationalem Level weiter gestärkt werden. Entscheidend für den Schutz der Bevölkerung sei zudem eine strenge und wirksame Durchsetzung der DSGVO gegenüber großen digitalen Plattformen.xxiii
Zu Recht betont die Kommission, dass der Schutz personenbezogener Daten Alleinstellungsmerkmal auf dem Weltmarkt ist und von vielen Unternehmen bereits als Verkaufsargument genutzt wird.xxiv Dies ist ein Faktor, der auch kleinen und mittelständischen Unternehmen durchaus zugutekommen kann – sieht man von den unter Umständen hohen Entwicklungskosten ab. Vereine haben jedoch keinen Bedarf, sich auf dem Weltmarkt zu behaupten. Auf die häufig noch höheren Herausforderungen der DSGVO-Umsetzung für ehrenamtlich Engagierte geht die Kommission in ihrem Bericht bedauerlicherweise an keiner Stelle ein.
3. Weitere Schritte
Als weitere Schritte nennt der EU-Evaluierungsbericht schließlich die Identifizierung divergierender nationaler Regelungen und die Bewertung möglicher Folgen dieser Divergenz. Insbesondere müsse eine Balance zwischen Datenschutz und Meinungs- bzw. Informationsfreiheit gefunden werden.xxv Hierbei handelt es sich um einen recht deutlichen Hinweis in Richtung derjenigen Mitgliedsstaaten, deren Regierungen in den letzten Jahren verstärkt durch eine Unterdrückung von Personen aus Opposition, Nichtregierungsorganisationen und Medien auf sich aufmerksam gemacht haben.
Eine weitere Harmonisierung des Datenschutzrechts solle durch Schaffung einer europäischen Datenschutzkultur erreicht werden. Zudem fordert die Kommission die Aufsichtsbehörden auf, alle Instrumente für eine effiziente Anwendung der DSGVO für Betroffene und Unternehmen zu nutzen. Schließlich sollen Standardvertragsklauseln, Zertifizierungsmechanismen, etc. überarbeitet werden.xxvi
C. Vergleich der Evaluierung in den verschiedenen Rechtsebenen
Wie bereits angesprochen wirken sich die unterschiedlichen Funktionen der beteiligten Akteure auf deren Standpunkte im Rahmen des Evaluierungsprozesses aus.
I. Vergleich der verschiedenen Perspektiven
Vergleicht man die verschiedenen Perspektiven, springt zunächst folgendes Statement des Kommissionsberichts ins Auge: „Wie die meisten Interessenträger und Datenschutzbehörden ist die Kommission der Ansicht, dass es in diesem Stadium verfrüht wäre, endgültige Schlussfolgerungen in Bezug auf die Anwendung der DSGVO zu ziehen.“xxvii
Dies sieht man jedenfalls in Deutschland, und erst recht in Baden-Württemberg anders.xxviii Wie oben ausgeführt blickt die Datenschutzkonferenz aus aufsichtsbehördlicher und praxisorientierter Sicht auf die DSGVO. Unabhängig von der Abfrage der Kommission zur Evaluierung an die Aufsichtsbehörden über den Europäischen Datenschutzausschuss identifiziert die DSK bereits jetzt konkreten Anpassungsbedarf und sandte entsprechende Änderungsvorschläge nach Brüssel,xxix die aber nicht aufgegriffen wurden.
Während die Datenschutzkonferenz in ihrem Bericht auch einen kritischen Blick auf die letzten zwei Jahre wirft und sich dabei nicht scheut, einige Änderungsvorschläge zu äußern, beschränkt sich die Kommission vor allem darauf, Forderungen an die Mitgliedsstaaten und deren Aufsichtsbehörden zu stellen. So fordert sie die Staaten auf, ihren Aufsichtsbehörden gemäß den Vorgaben der Verordnung angemessene Ressourcen zur Verfügung zu stellen.xxx Die Aufsichtsbehörden werden angeregt, die Instrumente der DSGVO in vollem Umfang zu nutzen, um eine wirklich gemeinsame europäische Datenschutzkultur zu entwickeln.xxxi Den Europäischen Datenschutzausschuss und die nationalen Aufsichtsbehörden ersucht man, neben der Verabschiedung weiterer Leitlinien praktische Instrumente wie einheitliche Formulare für Datenpannen und vereinfachte Verarbeitungsverzeichnisse für KMU mit geringem Risiko zu entwickeln.xxxii
II. Wie geht es jetzt weiter?
Im Evaluierungsbericht der Kommission stellt diese selbst fest, dass einige Bereiche ermittelt wurde, in denen weitere Verbesserungen erforderlich sind.xxxiii Zum Teil können diese Verbesserungen aber nicht durch Änderungen oder Hilfestellungen bei der Anwendung der DSGVO herbeigeführt werden. Auch aus der Anwendungsperspektive ist die deutliche Absage der Kommission hinsichtlich einer möglichen „kleinen“ DSGVO-Reform daher zu bedauern, wenngleich sie nicht überraschend kommt.
Fraglich ist, wie lange es dauern soll, bis die erforderlichen Änderungen an der DSGVO vorgenommen werden. Die Kommission beruft sich unter anderem auf die bislang fehlende Rechtsprechung.xxxiv Bedenkt man jedoch die lange Verfahrensdauer alleine vor deutschen Gerichten, bei denen der Zug durch die Instanzen mitunter länger als ein Jahrzehnt dauert, so steht bei einem Warten auf „gefestigte Rechtsprechung“ zu befürchten, dass es in der angebrochenen Dekade keine Änderung der DSGVO mehr geben wird. Die Urteile, welche der Europäische Gerichtshof seit Inkrafttreten der DSGVO im Rahmen von Vorabentscheidungsverfahren zwischen Juni 2018 und Oktober 2019 gefällt hat (zum Beispiel Wirtschaftsakademie, Fashion ID, Planet49), betrafen noch überwiegend das alte Recht nach der Datenschutzrichtlinie.xxxv Immerhin geht der EuGH dabei am Rande auch auf das aktuelle Recht ein. Erst das Urteil Schrems II aus dem Sommer 2020 beschäftigt sich dagegen ausführlich mit der Datenschutzgrundverordnung.xxxvi
Aus der Perspektive der Anwender betrachtet ist es fraglich, ob die von der Kommission angesprochene Gefahr einer Fragmentierungxxxvii nicht viel größer ist, wenn die Mitgliedsstaaten in Ermangelung nötiger, allgemeingültiger Änderungen der DSGVO auf eigene Faust beginnen, Regelungen zu lockern. Offen bleibt auch, wie dem Ziel der DSGVO nach einer Harmonisierung Rechnung getragen werden kann, wenn die Kommission eine Entlastung zwar begrüßt, es sich dabei in Wirklichkeit aber um einen „Flickenteppich von Entlastungen“ auf Ebene der Aufsichtsbehörden der Mitgliedsstaaten bzw. deren Bundesländer handelt.
Einzelne nationale Regelungen, welche die Chance einer Vorbildfunktion beim Hineintragen datenschutzrechtlichen Wissens in die Unternehmen gehabt hätten, wurden bereits wieder gelockert. Dazu zählt in Deutschland allen voran die Verdopplung der Personenzahl, die regelmäßig personenbezogene Daten verarbeitet, damit Datenschutzbeauftragte zu benennen sind (nunmehr zwanzig statt zehn, § 38 BDSG). Hierbei handelt es sich um eine Regelung des deutschen Gesetzgebers, die gerade nicht von der DSGVO vorgegeben wird. Die DSGVO verpflichtet in Artikel 35 in weitaus weniger Fällen zur Benennung. Dennoch hätte eine Stärkung der Rolle der Datenschutzbeauftragten die von der Kommission gewünschte europäische Datenschutzkultur stärken können. Datenschutzbeauftragte sind die ersten Ansprechpartner*innen bei der datenschutzrechtlichen Bewertung bestehender und der Einführung neuer Systeme und Produkte. Unternehmen wie Vereine stehen bereits bei häufigen Wechseln der Datenschutzbeauftragten vor Herausforderungen, da ihnen dann Wissen verloren geht. Ebenso stellt sich für Datenschutzbeauftragte die nicht immer einfache Aufgabe, Geschäftsführung oder Vorsitzende von notwendigen Maßnahmen zu überzeugen. Auf die Änderung des Bundesdatenschutzgesetzes reagierten einige Unternehmen, indem sie ihre internen Datenschutzbeauftragten abberiefen bzw. die Verträge mit externen Dienstleistungsunternehmen für Datenschutz kündigten. Selbst wenn die Datenschutzbeauftragten seit Inkrafttreten der DSGVO alle Dokumentationen wie Verarbeitungsverzeichnisse und Löschkonzepte erstellt hätten, ist die Annahme illusorisch, danach sei ihre Arbeit abgeschlossen. Datenschutz ist eine Daueraufgabe, die nicht durch Abheften der Dokumente erledigt ist. Die Aufsichtsbehörden sind, auch wenn sie der Beratung einen hohen Stellenwert einräumen, nicht in der Lage, das im Unternehmen verloren gehende Wissen aufzufangen.
Verständlich ist dagegen der im Rahmen der durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg durchgeführten Anhörung vielfach geäußerte Wunsch nach einer Ausnahme von der Benennungspflicht für Datenschutzbeauftragte für ausschließlich ehrenamtlich, nicht wirtschaftlich tätige Vereine.xxxviii An jene sollten in dieser Frage nicht derart hohe Anforderungen gestellt werden.
Eine tatsächlich identifizierte „Lücke“ der DSGVO, die alle Verantwortlichen betrifft und zu unterschiedlichen Maßstäben für große und kleine Unternehmen führt, ist die mangelnde Herstellerhaftung. Mit den Grundsätzen „data protection by design“ (in der deutschsprachigen DSGVO-Version etwas unglücklich mit „Datenschutz durch Technik“ übersetzt) und „data protection by default“ (datenschutzfreundliche Voreinstellungen) stellt die Verordnung Forderungen auf, die Verantwortliche in die Pflicht nehmen, jedoch bereits durch die für die Herstellung Zuständigen in deren Produkte integriert werden müssten. Entsprechend der erhaltenen Rückmeldungen aus der Anhörung vertritt der baden-württembergische LfDI noch über die Position der Datenschutzkonferenz hinausgehend die Auffassung, dass die Kontrollbefugnis der Aufsichtsbehörden auch auf jene Unternehmen ausgeweitet werden sollte, die datenverarbeitende Produkte herstellen, und sich nicht auf die Kontrolle derjenigen beschränken sollte, die diese Produkte nutzen.xxxix
D. Fazit
Auch wenn Akteure auf allen Rechtsebenen festgestellt haben, dass kleine und mittelständische Unternehmen durch die DSGVO teilweise über die Maßen belastet werden, ist eine Reform ihrer rechtlichen Pflichten aus der DSGVO derzeit nicht in Sicht. Lockerungen darf man in diesem Bereich in den nächsten Jahren höchstens durch die Vorgaben des Europäischen Datenschutzausschusses – oder durch die Datenschutzaufsichtsbehörden auf nationaler und Länderebene erwarten. Auch die Frage der Herstellerhaftung müsste dringend angegangen werden, um das datenschutzrechtliche System ausgeglichener und gerechter auszugestalten. Der Verweis auf die Aufsichtsbehörden und deren überaus lange Bearbeitungsdauer bei länderübergreifenden Verfahren gegen globale Datenverarbeiter sollte als eine Chance zur Effektivierung der bestehenden Prozesse verstanden werden. Dies wird aber kein Allheilmittel zur Optimierung eines teilweise asymmetrisch ausgestalteten Systems sein. Es steht zu hoffen, dass wenigstens einige dieser Probleme bis zur nächsten Evaluierung in vier Jahren überwunden werden.
MARIA WILHELM ist Leiterin der Stabsstelle Europa beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) in Baden-Württemberg. Sie lehrte als Honorardozentin an der Fachhochschule für öffentliche Verwaltung (FHöV) des Landes Nordrhein-Westfalen und der Hochschule des Bundes im Fachbereich Finanzen Europarecht. Neben ihrer hauptberuflichen Tätigkeit im Bereich des europäischen Datenschutzrechts wirkt sie an mehreren Fachpublikationen mit.
KIRA VOGT LL.M., E.MA, ist Referentin der Stabsstelle Europa beim LfDI Baden-Württemberg. Zuvor war sie als Rechtsanwältin und externe Datenschutzbeauftragte tätig. Sie ist Lehrbeauftragte im Datenschutz an der Hochschule für Wirtschaft und Umwelt (HfWU).
Anmerkungen:
iZum Ablauf des Evaluationsverfahrens s. den Beitrag von Hülsmann in diesem Heft.
iiDer Evaluierungsbericht der Kommission ist abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A52020DC0264. Die in den Anmerkungen genannten Seitenzahlen beziehen sich auf die PDF-Version in der deutschen Fassung.
iiiErgebnisse der Anhörung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg vom 28. Juni 2019 bei der IHK Stuttgart zur Evaluierung der DSGVO: „Wenn es nicht sinnvoll ist, dann ist es kein Datenschutz. Für einen praxistauglichen Datenschutz in Baden-Württemberg“, abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/12/Evalierungsbericht-Stand-17.12.2019.pdf.
ivErfahrungsbericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Anwendung der DSGVO, abrufbar unter https://www.datenschutzkonferenz-online.de/media/ dskb/20191213_erfahrungsbericht_zur_anwendung_der_ds-gvo.pdf.
vHambacher Erklärung zur Künstlichen Intelligenz, abrufbar unter https://www.datenschutzkonferenz-online.de/media/en/20190405_hambacher_erklaerung.pdf.
viAusführlich zur Evaluierung auf deutscher Ebene s. Brink/Groß, RuP 2019, S. 105.
viiErfahrungsbericht der DSK (Anm. 4), S. 8.
viiiEbd., S. 9.
ixEbd., S. 10.
xEbd., S. 15-17.
xiEbd., S. 22.
xiiVgl. Evaluierungsbericht der EU-Kommission (Anm. 2), S. 6.
xiiiEbd., S. 7.
xivZum Zeitpunkt der Verfassung dieses Artikels befanden sich vier der zehn Leitlinien aus dem Jahr 2020 noch in der öffentlichen Konsultationsphase, die der endgültigen Annahme vorausgeht. Die Dokumente des EDSA sind unter https://edpb.europa.eu/edpb_de abrufbar.
xvS. Evaluierungsbericht der EU-Kommission (Anm. 2), S. 7. Welche Arbeitsbelastung und strukturellen Probleme das mit sich bringt s. den Beitrag von Roßnagel und Geminn in diesem Heft.
xviS. https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-statement-increased-funding-eu16-million-2020.
xviiVgl. Evaluierungsbericht der EU-Kommission (Anm. 2), S. 10, 12.
xviiiEuGH, Rs. C-311/18 vom 16.07.2020. Der Volltext des Urteils ist unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ= first&part=1&cid=11416727 abrufbar, die Pressemitteilung unter https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf.
xixVgl. Evaluierungsbericht der EU-Kommission (Anm. 2), S. 12 f., 20.
xxEbd., S. 12.
xxiEbd., S. 19.
xxiiEbd., S. 6, 20.
xxiiiEbd., S. 13.
xxivVgl. ebd., S. 3.
xxvEbd., S. 8 f.
xxviEbd., S. 18., 20 ff.
xxviiEbd., S. 5.
xxviiiVgl. Ergebnisse der Anhörung zur Evaluierung des LfDI BW (Anm. 3).
xxixErfahrungsbericht der DSK, Änderungsvorschläge (Anm. 4)auf S. 8, 10 f., 14, 16, 18 f., 19-26.
xxxEvaluierungsbericht der EU-Kommission (Anm. 2), S. 20.
xxxiVgl. ebd., S. 17.
xxxiiVgl. ebd., S. 20.
xxxiiiEbd., S. 5.
xxxivEbd., S. 18 f.
xxxvEuGH, Rs. C-210/16 vom 05.06. 2018 („Wirtschaftsakademie“), Rs. C-40/17 vom 29.07.2019 („Fashion ID“) und Rs. C-673/17 vom 01.10.2019 („Planet49“).
xxxviEuGH, Rs. C-311/18 vom 16.07.2020 („Schrems II“).
xxxviiVgl. Evaluierungsbericht der EU-Kommission (Anm. 2), S. 8, 18.
xxxviiiErgebnisse der Anhörung zur Evaluierung des LfDI BW (Anm. 3), S. 8 f.
xxxixEbd., S. 11.