Über viereinhalb Jahre DSGVO - eine Bilanz
Die Einführung der Datenschutz-Grundverordnung (DSGVO) enthielt zahlreiche Änderungen und Vereinheitlichungen im europäischen Datenschutzregime. Damit verbunden war auch die Ungewissheit, wie die Beteiligten – Unternehmen wie Behörden, Beschäftigte wie Privatpersonen – das neue Regelwerk anwenden würden. Praktisch mit dem Inkraftsetzen der Reform setzte auch der Evaluationsprozess ein, mit dem die Anwendungspraxis der DSGVO ausgewertet werden sollte. Der folgende Beitrag von Werner Hülsmann beschreibt den Diskussions- und Konsultationsprozess, der dem im Juni vorgelegten Evaluationsbericht der Kommission vorausging – und benennt zentrale Befunde des Berichts.
Ja, Sie haben richtig gelesen: Die EU-Datenschutz-Grundverordnung (DSGVO) ist bereits seit über viereinhalb Jahren in Kraft. Sie ist – wenn auch manche Verantwortliche in Unternehmen und Institutionen das zu glauben schienen – mitnichten am 25. Mai 2018 vom Himmel gefallen. Bereits mit dem Inkrafttreten der DSGVO am 25. Mai 2016 (in Worten: zweitausendsechzehn) begann der zweijährige Umsetzungszeitraum bevor am 25. Mai 2018 die DSGVO Geltung erlangte und von allen Unternehmen, Vereinen, Institutionen, FreiberuflerInnen, (Solo-)Selbständigen, vielen Behörden und sonstigen Institutionen anzuwenden war. Der Veröffentlichung der DSGVO am 4. Mai 2016 im Amtsblatt ging ein über sechs Jahre langer Diskussions- und Gesetzgebungsprozess voraus, der auch öffentliche Konsultationen auf EU- wie auch auf nationaler Ebene beinhaltete.i
Wie wir heute wissen hat ein beträchtlicher Teil der zur Umsetzung Verpflichteten bis zum 25. Mai 2018 seine Hausaufgaben allerdings nicht gemacht. Das gilt und galt leider auch für die Datenschutzaufsichtsbehörden wie für den Gesetzgeber. Und wie sieht es heute, mehr als zweieinhalb Jahre später aus? Der Bundesrat hat bis dato die bzw. den deutscheN StellvertreterIn für den Europäischen Datenschutzausschuss immer noch nicht gewählt. DieseR ist gemäß § 17 Abs. 1 Satz 2 BDSG vom Bundesrat aus der Gruppe der LeiterInnen der Datenschutzaufsichtsbehörden der Länder zu wählen. Bereits im Gesetzgebungsverfahren zur Umsetzung der DSGVO im Bundesdatenschutzgesetz (BDSG) wurde seitens der Datenschutz-Community kritisiert, dass die Datenschutzaufsichtsbehörden der Länder dieseN VertreterIn nicht selbst wählen dürfen.
Auch zahlreiche Unternehmen, Vereine, FreiberuflerInnen, (Solo-)Selbständige, Behörden und sonstigen Institutionen haben ihre Hausaufgaben in Sachen Datenschutz noch nicht oder noch nicht vollständig erledigt. Wie sonst ist die Forderung von Wirtschaftsverbänden zu verstehen, dass wegen der Corona-Krise die Vorgaben der DSGVO gelockert werden sollen.ii Wer in den letzten viereinhalb Jahren die DSGVO umgesetzt hat, hat doch im letzten dreiviertel Jahr kaum noch zusätzlichen Aufwand.
Die rechtlich vorgeschriebene Evaluation der DSGVO
Eine regelmäßige Evaluation der DSGVO durch die EU-Kommission war bereits im ursprünglichen Entwurf enthalten. Im Rahmen des Gesetzgebungsverfahrens wurden die Anforderungen noch konkretisiert. Insbesondere wurde die Beteiligung des EU-Parlaments und des Rates festgeschrieben. Einen ersten Evaluationsbericht hätte die Kommission am 25. Mai 2020 – also vier Jahre nach dem Inkrafttreten der DSGVO – vorlegen müssen. Danach ist der Bericht alle vier Jahre vorzulegen:
„Art. 97 Berichte der Kommission
(1) Bis zum 25. Mai 2020 und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Verordnung vor.
(2) Im Rahmen der Bewertungen und Überprüfungen nach Absatz 1 prüft die Kommission insbesondere die Anwendung und die Wirkungsweise
des Kapitels V über die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen insbesondere im Hinblick auf die gemäß Artikel 45 Absatz 3 der vorliegenden Verordnung erlassenen Beschlüsse sowie die gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassenen Feststellungen,
des Kapitels VII über Zusammenarbeit und Kohärenz.
(3) Für den in Absatz 1 genannten Zweck kann die Kommission Informationen von den Mitgliedstaaten und den Aufsichtsbehörden anfordern.
(4) Bei den in den Absätzen 1 und 2 genannten Bewertungen und Überprüfungen berücksichtigt die Kommission die Standpunkte und Feststellungen des Europäischen Parlaments, des Rates und anderer einschlägiger Stellen oder Quellen.
(5) Die Kommission legt erforderlichenfalls geeignete Vorschläge zur Änderung dieser Verordnung vor und berücksichtigt dabei insbesondere die Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft.“
Der Evaluationsbericht der EU-Kommission
Der erste Evaluationsbericht wurde von der EU-Kommission mit einem Monat Verspätung vorlegt.iii
Die Entstehung
Auch im Rahmen der Erstellung dieses Berichts gab es Beteiligungsverfahren und eine öffentliche Konsultation. So wurde am 24. Juli 2019 seitens der EU-Kommission eine erste „Bilanz“ der DSGVO vorgelegt.iv Die Mitglieder der bereits Mitte des Jahres 2017 von der EU-Kommission initiierten „multistakeholder expert group to support the application of the GDPR 2016/679“v wurden im März und im November 2019 um Antworten auf konkrete Fragestellungen der EU-Kommission gebeten. Die entsprechenden Antworten wurden in jeweils einem Bericht im Juni 2019vi und im Juni 2020vii veröffentlicht.
Die Bilanz der EU-Kommission gehörte ebenfalls zu den Materialien, die Grundlage für die im April 2020 durchgeführte öffentliche Konsultationviii zur Erstellung des DSGVO-Evaluationsberichts 2020 waren. Insgesamt wurden im Rahmen dieser Konsultation 130 Stellungnahmen abgegeben. Darunter sind Stellungnahmen von einzelnen Unternehmen, Wirtschaftsverbänden, Datenschutzorganisationix, wissenschaftlichen Einrichtungen und auch Einzelpersonen innerhalb und außerhalb der EU. Es würde den Rahmen dieses Artikels sprengen, auch nur zu versuchen, eine Zusammenfassung dieser Stellungnahmen darzustellen.
Ergebnisse der Evaluation
Auch wenn die Meinungen zur DSGVO bei den verschiedenen Gruppen und AkteurInnen im Detail verständlicherweise mehr oder weniger weit auseinandergehen, bestand doch die grundsätzliche Auffassung, dass angesichts von erst zwei Jahren Gültigkeit der DSGVO im Rahmen der Evaluation keine grundlegenden Änderungen von der EU-Kommission vorgeschlagen werden sollten. Vielmehr müsse sich die Anwendung der DSGVO noch einspielen und auch die Rechtsprechung solle die Möglichkeit haben, zumindest in einigen Bereichen für eine gewisse Rechtssicherheit zu sorgen, bevor die rechtlichen Grundlagen wieder geändert werden. Im Folgenden werden einige Kritikpunkte, die im Evaluationsprozess deutlich wurden, mehr oder weniger ausführlich dargestellt.
Hausaufgaben der EU-Kommission und der Datenschutzaufsichtsbehörden
Ein häufiger Kritikpunkt, der sowohl im Rahmen des Konsultationsverfahrens zum Evaluationsbericht aber auch von Datenschutzbeauftragten in der betrieblichen Praxis genannt wurde, war, dass die EU-Kommission wie auch die nationalen Datenschutzaufsichtsbehörden mitsamt ihrem Europäischen Datenschutzausschuss (EDSA) ihre „Hausaufgaben“ zur Umsetzung der DSGVO spät oder zum Teil noch gar nicht erledigt haben.
Standardvertragsklauseln
Eine in der DSGVO enthaltene Regelung erlaubt den nationalen Datenschutzaufsichtsbehörden wie auch der EU-Kommission, Standarddatenschutzklauseln für Datenverarbeitung im Auftrag innerhalb der EU zu erstellen. Vor Einführung der DSGVO gab es zwar Muster von verschiedenen Verbänden, aber keine offiziell bereitgestellten Standarddatenschutzklauseln. Für Datenübermittlungen in Drittländer (das sind alle Länder außerhalb der EU und des EWR) gab es bereits vor der DSGVO solche Standarddatenschutzklausen (die damals noch „Standardvertragsklauseln“ genannt wurden). Allerdings hätten diese eigentlich bis zum 25. Mai 2018 an die DSGVO angepasst werden müssen, was bis dato aber noch nicht passiert ist.
Derartige Standarddatenschutzklauseln können von Unternehmen genutzt werden, verpflichtend sind sie aber nicht. Die Nutzung solcher Standarddatenschutzklausen schafft zum einen für die Unternehmen eine höhere Rechtssicherheit und vereinfacht zum anderen die Aushandlung der für die genannten Fälle erforderlichen Datenschutzvereinbarungen. Hier ist nun endlich Abhilfe in Sicht. Am 12.11.2020 wurden sowohl für die Auftragsdatenverarbeitung innerhalb der EUx und als auch für Datenübermittlungen in Drittländer (s.u.) Entwürfe vorgelegt und eine öffentliche Konsultation gestartet.
Datenschutz-Folgenabschätzung
Im Bereich der Datenschutz-Folgenabschätzung, die Unternehmen und andere Verantwortliche bei Datenverarbeitungen mit hohem Risiko für die davon betroffenen Personen durchführen müssen, sind die von den Datenschutzaufsichtsbehörden zu erstellenden sogenannten „Musslisten“ in Deutschland und auf EU-Ebene erst sehr spät erstellt worden.
Piktogramme zur Umsetzung der Informationspflichten
Gerade aus Sicht der betroffenen Personen wäre es hilfreich, wenn die in Art. 12 Abs. 8 vorgesehenen Regelungen zur Nutzung von Bildsymbolen (Piktogrammen) zur Darstellung von Datenschutzinformationen umgesetzt worden wären. Bislang ist hier leider nichts passiert.
Datenschutz-Zertifizierung
Leider gibt es auch über viereinhalb Jahre nach dem Inkrafttreten und über zweieinhalb Jahre nach dem Wirksamwerden der DSGVO noch keine nach Art. 42 DSGVO zugelassenen Zertifizierungsverfahren und keine nach Art 43 DSGVO zugelassenen Zertifizierungsstellen. Somit können weder VerbraucherInnen noch Unternehmen die Vorteile einer freiwilligen Datenschutz-Zertifizierung nutzen. Hier sind zwar bereits seit längerem entsprechende Verfahren zur Anerkennung von Kriterienkatalogen im Gange, es ist aber noch nicht abzusehen, wann die ersten Zertifizierungsstellen DSGVO-konforme Zertifizierungen anbieten können.
DSGVO und internationale Datenübermittlungen
Die alten Standarddatenschutzklauseln für Datenübermittlungen in Drittländer aus den Jahren 2004 und 2010 gelten gemäß einer Regelung in der DSGVO zwar noch, müssen aber von den sie nutzenden Unternehmen ergänzt werden, damit Auftragsverarbeitungen oder Datenübertragungen im Rahmen von multinationalen Konzernen DSGVO-konform durchgeführt werden können. Hier hätten sich alle Beteiligten gewünscht, dass die EU-Kommission diese alten Standardvertragsklauseln rechtzeitig zum Zeitpunkt der Geltung der DSGVO durch an diese angepasste neue Standarddatenschutzklauseln ersetzt.
Zwar hat nur 22 Tage nach der Veröffentlichung des DSGVO-Evaluationsberichts der Gerichtshof der Europäischen Union (EuGH) mit seinem Urteil Schrems-II das EU-US-Privacy-Shield für ungültig erklärtxi und damit – wieder einmal – der Übermittlung personenbezogener Daten in die USA eine bis dahin wesentliche Grundlage entzogen. Aber die EU-Kommission hat auf die zum Zeitpunkt der Veröffentlichung des Berichts noch bevorstehende Urteilsverkündung bereits Rücksicht genommen. So schreibt sie:
„Angesichts der Tatsache, dass der Gerichtshof in seinem Urteil, das am 16. Juli verkündet werden soll, Klarstellungen liefern könnte, die für bestimmte Elemente des Angemessenheitsstandards relevant sein könnten, wird die Kommission über die Evaluierung der bestehenden Angemessenheitsbeschlüsse gesondert Bericht erstatten, nachdem der Gerichtshof sein Urteil in dieser Rechtssache erlassen hat.“ (DSGVO-Evaluationsbericht 2020, S. 14)
Immerhin hat die EU-Kommission in diesem Evaluationsbericht bestätigt, dass sie nun endlich an die DSGVO angepasste Standarddatenschutzklausen für Datenübermittlungen in Drittländer erstellen werde. Dieses Vorhaben wurde inzwischen angegangen. So hat die EU-Kommission am 12.11.2020 einen Entwurf für „Standarddatenschutzklauseln für Übertragungen in ein Drittland“ zur öffentlichen Konsultationxii bereitgestellt. Da diese am 10.12.2020 endete ist zu hoffen, dass die Endfassung zeitnah bereitgestellt wird.
Beschäftigtendatenschutz
Es ist zu begrüßen, dass in der DSGVO in Art. 88 Abs. 1 ausdrücklich geregelt ist, dass durch Kollektivvereinbarungen (wie Betriebsvereinbarungen und Tarifverträge) „spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“ festgelegt werden können. Das erprobte Verfahren, in Betriebsvereinbarungen und Tarifverträgen auch Regelungen zum Beschäftigtendatenschutz aufzunehmen, blieb erhalten. Zudem können nationale Gesetzgeber ebenfalls „spezifischere Vorschriften“ zum Beschäftigtendatenschutz erlassen. Alle diese Regelungen müssen aber die nur sehr abstrakten Vorgaben beachten, die sich derzeit in Art. 88 Abs. 2 DSGVO finden. Es wäre gerade für Beschäftigte in multinationalen Unternehmen wünschenswert und hilfreich, wenn bereits in der DSGVO konkretere Vorgaben für den Beschäftigtendatenschutz enthalten wären, als sie es jetzt sind. Derzeit wird der Beschäftigtendatenschutz in den einzelnen Mitgliedstaaten sehr unterschiedlich geregelt. Wechseln Beschäftigte auch nur von einem Standort eines Konzerns zu einem Standort des gleichen Konzerns in einem anderen Mitgliedstaat, so können hier für die Beschäftigten gänzlich andere datenschutzrechtliche Regelungen in Bezug auf die Verarbeitung ihrer Daten durch den Arbeitgeber gelten. Dies ist unter dem Gesichtspunkt der Arbeitnehmerfreizügigkeit kontraproduktiv.
Automatisierte Entscheidungsfindung und Profiling
Der Anwendungsbereich des Artikel 22 DSGVO, der Regelungen zur automatisierten Entscheidungsfindung und zum Profiling enthält, ist – gerade mit Blick auf Big Data und KI – zu eng gefasst. Bisher lautet Abs. 1:
„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“
Dies bedeutet: Solange ein Mensch an der Entscheidung beteiligt ist, greift diese Regelung nicht, da dann die Entscheidung nicht auf einer ausschließlich automatisierten Verarbeitung beruht. Die Regelung ist der aktuellen Formulierung nach auch dann nicht anzuwenden, wenn mithilfe des Profiling Entscheidungsvorschläge erstellt werden, die der entscheidende Mensch kaum auf ihre Plausibilität oder ihre Richtigkeit überprüfen kann, da der angewandte Algorithmus für den entscheidenden Menschen nicht nachvollziehbar ist.
Diese Regelung sollte deshalb dahingehend erweitert werden, dass sie bereits auch für solche Entscheidungen gilt, bei denen die zugrundeliegende automatisierte Verarbeitung (einschließlich Profilerstellung) wahrscheinlich ein Risiko für die Rechte und Freiheiten natürlicher Personen beinhaltet, insbesondere wenn die Entscheidung rechtliche Auswirkungen auf die betroffene Person hat oder sie in ähnlicher Weise erheblich beeinträchtigt. Eine derart erweiterte Regelung sollte also zum einen auch bereits dann gelten, wenn der Mensch der die Entscheidung trifft, die auf der vorhergehenden ausschließlich automatisierten Verarbeitung basiert, den vom Algorithmus vorgegebenen Entscheidungsvorschlag zwar noch bestätigen muss, diesen aber nicht wirksam prüfen kann. Zum anderen würde eine derartig geänderte Regelung bedeuten, dass für solche automatisierten Entscheidungsverfahren eine Risikoabschätzung erforderlich wäre. Dies entspräche dem in vielen anderen Regelungen der DSGVO enthaltenen risikobasierten Ansatz.
Auch in Hinblick auf das mögliche Profiling sollten die Rechte der betroffenen Personen gestärkt werden. Die aktuellen Regelungen sind hier gerade aus Sicht von VerbraucherInnen, aber auch aus Sicht von Beschäftigten nicht ausreichend. Zumindest sollte aber eine – im Konsultationsverfahren konkret vorgeschlagene – Verbesserung der Formulierung in der deutschen Übersetzung des Art. 22 ernsthaft ins Auge gefasst werden.
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Die Anforderungen des Art. 25 DSGVO an Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sind derzeit nur an die Verantwortlichen, nicht aber an die Entwicklung und Herstellung von Software und IT-Systemen adressiert. Zwar enthält Erwägungsgrund 78 folgenden Satz 4:
„In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.“
Allerdings führt dies – insbesondere wegen noch fehlender Datenschutz-Zertifizierungsverfahren (s.o.) – nicht dazu, dass wenigstens Hersteller mit Sitz in der EU oder dem EWR nur noch solche Produkte, Dienstleistungen und Anwendungen auf den Markt bringen würden, die datenschutzkonform einsetzbar sind; ganz zu schweigen von datenschutzfreundlichen Voreinstellungen oder einer Berücksichtigung der Datenschutz-Grundsätze aus Art. 5 DSGVO, wie die Datenminimierung. Es gibt tatsächlich Softwaresysteme, bei denen das Löschen von Daten nicht vorgesehen ist und nur äußerst mühsam umgesetzt werden kann. Die Hersteller sollten daher dadurch in die Pflicht genommen werden, dass sie zumindest für den EU-Markt nur solche Produkte, Dienste und Anwendungen anbieten dürfen, die es den Verantwortlichen ermöglichen, ihre Pflichten aus der DSGVO mit einem verhältnismäßigen Aufwand umzusetzen.
Datenschutzbeauftragte
Es ist zu begrüßen, dass mit dem Wirksamwerden der DSGVO zum einen alle Behörden eine oder einen Datenschutzbeauftragten zu benennen haben und zum anderen diese Person – wie es in Deutschland auch schon vor dem Wirksamwerden der DSGVO für Unternehmen und andere nichtöffentliche Stellen geregelt war – auch eine externe Person sein kann. Die Erfahrung zeigt, dass es häufig schwierig ist, in den eigenen Reihen eine oder einen Datenschutzbeauftragten zu finden. Auch ist die geforderte Unabhängigkeit der Datenschutzbeauftragten bei externen Personen einfacher zu gewährleisten.
Die Regelungen des Art. 37 Abs. 1 Buchst. b) und c) DSGVO für andere Verantwortliche als Behörden und öffentliche Stellen sind allerdings so weit gefasst, dass auf dieser Grundlage viele Unternehmen keine Datenschutzbeauftragte benennen müssen. Zwar erlaubt Art. 37 Abs. 4 zum einen den Mitgliedstaaten, weitere Regelungen für die Pflicht zur Benennung von Datenschutzbeauftragten zu erstellen und zum anderen auch den Unternehmen, freiwillig Datenschutzbeauftragte zu benennen. Diese Möglichkeiten wurden aber nur in den wenigsten Mitgliedstaaten genutzt und werden auch nur von den wenigsten Unternehmen wahrgenommen. Auch Deutschland, dessen diesbezügliche Regelung eine lange Praxiserprobung vorweisen konnte, hat die entsprechenden Benennungspflichten aufgeweicht. Hier wären EU-weite strengere Regelungen für die Pflicht zur Benennung von Datenschutzbeauftragten – gerade auch aus der Sicht der betroffenen Personen – wünschenswert. Diese würden zudem einer Wettbewerbsverzerrung innerhalb der EU und des EWR entgegenwirken.
Fazit
Die DSGVO kann mit Recht als ein wichtiger Schritt zu einer Vereinheitlichung des Datenschutzrechts in der EU und dem EWR (und sogar darüber hinaus) angesehen werden. Die Erfahrungen von nun über zweieinhalb Jahren nach dem Wirksamwerden zeigen, dass sowohl in der Bevölkerung als auch bei Unternehmen ein größeres Interesse am Datenschutz entstanden ist. Bei den Unternehmen liegt dies sicher an dem – gegenüber dem im alten Bundesdatenschutzgesetz (BDSG-alt) geltenden – deutlich höheren Bußgeldrahmen. Während zumindest in Deutschland bisher Datenschutzverstöße nach dem BDSG-alt häufig „aus der Portokasse“ bezahlt werden konnten, sind die nach den Regelungen der DSGVO möglichen Bußgelder inzwischen bei vielen Unternehmen in das unternehmerische Risikomanagement aufgenommen worden. Es wurden in Deutschland und auch EU-weit bereits deutlich höhere Bußgelder wegen Datenschutzverstößen verhängt als in Zeiten vor der DSGVO. Dies führt wenn auch nicht bei allen, so doch bei einer deutlichen Anzahl von Unternehmen dazu, dass der Datenschutz ernster genommen wird, was wiederum den betroffenen Personen – insbesondere als VerbraucherInnen und Beschäftigten – zugutekommt.
Wenn auch die DSGVO zu einer deutlichen Vereinheitlichung des Datenschutzrechts und des Datenschutzniveaus geführt hat, so enthält die DSGVO doch noch zu viele Konkretisierungs- und Regelungsklauseln, die von den Mitgliedstaaten genutzt werden müssen oder dürfen. Auch darüber hinaus besteht wie oben dargestellt noch Handlungsbedarf. Es bleibt spannend, wie sich der DSGVO-Evaluationsbericht 2020 der EU-Kommission und die dort enthaltenen Arbeitsaufträge auf die Umsetzung des Datenschutzes in den nächsten Jahren auswirken werden. Eine Stellungnahme des EU-Parlamentes zu dem Evaluationsbericht ist derzeit in Arbeit. Es bleibt zu hoffen, dass die dreieinhalb Jahre bis zur Veröffentlichung des DSGVO-Evaluationsbericht 2024 der EU-Kommission genutzt werden, um den Datenschutz im Sinne der VerbraucherInnen und Beschäftigten, aber auch aller betroffenen Personen zu stärken.
Werner Hülsmann geboren 1961; studierte 1982–1988 Informatik (Diplom) mit Schwerpunkt Datenschutzrecht; war von 1992–1999 Referatsleiter Technik und wissenschaftlicher Mitarbeiter beim Landesbeauftragten für Datenschutz der Freien Hansestadt Bremen; seit 2004 anerkannter Datenschutzsachverständiger; seit 2013 intensiv mit der DSGVO beschäftigt. Von 2003 bis 2009 und seit 2014 ist er Vorstandsmitglied der Deutschen Vereinigung für Datenschutz (DVD) e.V., seit 2015 stellv. Vorsitzender der DVD. Seit 09/2017 Member of the Commission Multistakeholder expert group to support the application of Regulation (EU) 2016/679 (GDPR), seit November 2018 geschäftsführender Gesellschafter der DaSchuWi GmbH https://daschuwi-gmbh.de.
Anmerkungen:
iVgl. etwas ausführlicher https://dsgvo.expert/wp/die-datenschutzgrundverordnung/entstehungs geschichte/.
iiVgl. DPA, Wirtschaft fordert Lockerungen bei Datenschutzverordnung wegen Coronakrise, heise.de v. 2.5.2020, https://heise.de/-4713366.
iiiEC, Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition – two years of application of the General Data Protection Regulation, COM/2020/264final v. 24.6.2020; in allen Amtssprachen: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=COM: 2020:264:FIN; auf Deutsch: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX: 52020DC0264&from=EN.
ivEC, Data protection rules as a trust-enabler in the EU and beyond – taking stock, COM (2019)374 final v. 24.7.2019; in allen Amtssprachen: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri= COM:2019:374:FIN.
viMultistakeholder Expert Group to support the application of Regulation (EU) 2016/679 , Report v. 13.6.2019, https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeeting Doc&docid=31527.
viiMultistakeholder Expert Group to support the application of Regulation (EU) 2016/679, Report v. 17.6.2020, https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeeting Doc&docid=41708.
viiiDokumentation unter https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12322-Datenschutz-Bericht-ber-die-Datenschutz-Grundverordnung.
ixU.a. von der Deutschen Vereinigung für Datenschutz (DVD) e.V.: https://ec.europa.eu/info/law/ better-regulation/have-your-say/initiatives/12322-Report-on-the-application-of-the-General-Data-Protection-Regulation/F514244.