Datenschutz-Grundverordnung stärkt Schutz persönlicher Daten

Wie vorgesehen, überprüfte die Europäische Kommission zwei Jahre nach Inkrafttreten der Datenschutz-Grundverordnung der EU (DSGVO) die nationale Einführung und Anwendung des Gesetzes. In ihrem jetzt vorgelegten Evaluierungsbericht zieht sie den Schluss, dass die übergreifenden Ziele – die Stärkung des Rechts des Einzelnen auf Schutz personenbezogener Daten und die Gewährleistung des freien Verkehrs personenbezogener Daten innerhalb der EU – erreicht wurden.

Die in acht Jahren vorbereitete und verhandelte Verordnung sollte erstmals nach zwei Jahren Implementierung bewertet werden, sieht die Rechtsgrundlage vor. Danach ist ein regelmäßiger Realitätscheck für alle vier Jahre vorgesehen.

alysha-rosly-ZUz6bDD_Rag-unsplash.jpg

Dem Bericht „Datenschutz als Grundpfeiler der Teilhabe der Bürgerinnen und Bürger und des Ansatzes der EU für den digitalen Wandel – zwei Jahre Anwendung der Datenschutz-Grundverordnung“ zufolge wird die Datenschutzregelung in den EU-Staaten grundsätzlich zufriedenstellend angewendet. Dazu beigetragen hat nach Auffassung der Kommission die Einrichtung nationaler Datenschutzbehörden und deren Zusammenarbeit im Europäischen Datenschutzausschuss (EDSA), wie es auf EU-Ebene gemeinsam beschlossen wurde. Dass es nun Regeln für den grenzübergreifenden Datenaustausch gibt, sei wichtig für Bürger*innen und Unternehmen, meint sie. So haben beispielsweise Unternehmen, die Daten grenzüberschreitend verarbeiten, heute nur eine Datenschutzbehörde als Ansprechpartnerin anstatt mehrere. Die Behörde des Mitgliedstaats, in dem sich seine Hauptniederlassung befindet, ist auch für grenzübergreifende Angelegenheiten zuständig. Die DSGVO trägt auch dazu bei, dass die Menschen mehr mitbestimmen würden, was mit ihren Daten geschieht. Die Beschwerdemöglichkeiten sowie Verwarnungen und Verweise haben sich als richtige Mittel für die Datenschutzbehörden erwiesen, die Schutzbestimmungen durchzusetzen. Deshalb hat und fordert die EU-Behörde von den Staaten noch heute, die Behörden angemessen personell, technisch und finanziell auszustatten. Sie stellt fest, dass in den meisten Dienststellen das Personal und die Mittel zwischen 2016 und 2019 aufgestockt wurden. Für Irland und Luxemburg gibt sie zu Bedenken, dass deren Ämter möglicherweise mehr Ressourcen bräuchten, als die Bevölkerungszahl dieser Länder vermuten ließe. Da dort die größten multinationalen Technologieunternehmen niedergelassen sind, müssen die Behörden dieser Staaten in vielen wichtigen grenzüberschreitenden Fällen die Federführung übernehmen.

Die Zusammenarbeit der Datenschutzbehörden im Europäischen Datenschutzausschuss (EDSA) hält sie für verbesserungswürdig. Diese würden noch nicht in vollem Umfang von den Instrumenten Gebrauch machen, die die DSGVO bietet. Bisweilen würden die Bemühungen, einen gemeinsamen Ansatz zu finden, bei dem kleinsten gemeinsamen Nenner enden. Das sind verpasste Chancen für eine stärkere Harmonisierung, meint die europäische Verwaltung. Der Bericht kommt trotzdem zu dem Schluss, dass die Harmonisierung zunimmt, auch wenn es unterschiedliche fragmentiere Regelungen gibt. Die Unterschiedlichkeit führen die Autor*innen auf zwei Tatsachen zurück, die national festzulegenden fakultativen spezifischen Klauseln und ein ungleich ausgeprägter Hang zu Überregulierung. Die Kommission warnt erneut davor, mehr als die von der Verordnung gesetzten Spielräume zu regeln und zusätzliche Anforderungen vorzuschreiben. Unnötige Hürden für Unternehmen seien zu vermeiden, mahnt sie. So wird die Pflicht in Deutschland, Datenschutzbeauftragte in Unternehmen mit mehr als 20 Beschäftigten zu schaffen, als negatives Beispiel genannt.

Die spezifischen Regeln für die Verarbeitung besonderer Kategorien von personenbezogenen Daten, wie für Gesundheits- und Forschungszwecke, sind in den EU-Ländern vielfältig. Deshalb will sich die EU-Verwaltung einen Überblick über die verschiedenen nationalen Konzepte verschaffen, um im Anschluss Verhaltenskodizes vorzuschlagen. Ihr Ziel ist ein einheitlicherer Umgang mit den Daten, auch um die grenzüberschreitende Verarbeitung personenbezogener Daten zu erleichtern.

Seitens verschiedener Interessengruppen auf EU-Ebene waren immer wieder die optionalen Regulierungen spezifischer Fälle kritisiert worden, weil diese einer Harmonisierung entgegenstehen. Die Unterschiede bei der Anwendung und Auslegung des Datenschutzgesetzes treiben für Unternehmen und Organisationen die Kosten in die Höhe, klagen die Verbände.

Der oben zusammengefassten Analyse folgend, empfiehlt die Kommission den Ländern

jesus-kiteque-wn-KYaHwcis-unsplash.jpg

  • die Angleichung ihrer sektorspezifischen Rechtsvorschriften an die DSGVO abzuschließen

  • den Einsatz von solchen Spezifikationsklauseln einzuschränken, die zu Fragmentierung führen und den freien Datenverkehr innerhalb der EU gefährden

  • zu prüfen, ob die nationalen Rechtsvorschriften auch innerhalb des für die Rechtsvorschriften der Mitgliedstaaten vorgesehenen Spielraums liegen.

Sie selbst wird sich weiterhin um die Beobachtung, den grenzüberschreitenden Austausch und die Entwicklung konkreter Leitlinien und Hilfsmittel für eine passgenauere Umsetzung des Gesetzes kümmern. Darüber hinaus wird sie die Ausarbeitung von EU-Verhaltenskodizes im Bereich Gesundheit und Forschung – auch finanziell – unterstützen. Außerdem wird sie den Datenschutz in Zusammenhang mit neuen Technologien, Künstlicher Intelligenz und beim Aufbau des Europäischen Datenraumes im Auge behalten, wozu auch die Covid-19-Trackingapps gehören.

Ulrike Wisser