Fünf Jahre DSGVO: Was hat sich getan und was bringt die Zukunft?


Nach einem mehrjährigen Gesetzgebungsverfahren ist die Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 in Kraft getreten und entfaltet seitdem einen umfassenden Schutz für die personenbezogenen Daten innerhalb der Europäischen Union (EU). Sie gilt weltweit als „Goldstandard“ und sollte u.a. dafür sorgen, dass der Datenschutz trotz des rasanten technologischen Fortschritts gewahrt bleibt. Ob die DSGVO diesen Erwartungen nach fünf Jahren noch gerecht wird, haben wir die Rechtsanwälte Dr. Christian Lenz und Joshua Kniesburges gefragt. Sie beraten mittelständische Unternehmen in den Bereichen IT- und Datenschutzrecht und fungieren in vielen Organisationen als externe Datenschutzbeauftragte.

Wieso brauchte es die DSGVO?

Lenz: Die DSGVO war das Ergebnis einer langen Debatte über die Zukunft des europäischen Datenschutzes. Die schnelle Entwicklung des Internets und die Digitalisierung in allen Lebensbereichen stellten den europäischen Gesetzgeber vor die Herausforderung, effektive Lösungen zum Schutz personenbezogener Daten innerhalb der EU zu finden. Mit der DSGVO, die die Datenschutzrichtlinie aus dem Jahr 1995 ablöste, schuf die EU ein modernes Gesetz, das in den letzten Jahren viele Stärken offenbarte, teilweise aber nicht pragmatisch umgesetzt wurde.

Welchen konkreten Nutzen hat die DSGVO?

Kniesburges: Zunächst stellt die DSGVO jede Verarbeitung personenbezogener Daten unter einen Erlaubnisvorbehalt. Das bedeutet, eine Datenverarbeitung ist grundsätzlich verboten, außer der Datenverarbeitende kann sie auf eine Rechtsgrundlage stützen. Mit diesem Grundsatz bringt die Verordnung zum Ausdruck, welchen Stellenwert der Schutz personenbezogener Daten hat. Einzelne werden somit nicht zum Objekt der Verarbeitung ihrer Daten.

Lenz: Außerdem hat die DSGVO betroffenen Personen die Möglichkeit gegeben, aktiv und effektiv die Nutzung ihrer personenbezogenen Daten durch Dritte zu gestalten und zu überwachen. Sie können ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit oder Widerspruch gegen die Verarbeitung gegenüber Datenverarbeitenden geltend machen und so den rechtmäßigen Umgang mit ihren Daten kontrollieren. Im Falle einer rechtswidrigen Nutzung können sie sich bei einer Aufsichtsbehörde beschweren, die weitere Verarbeitung untersagen und Schadensersatz geltend machen.

Wo gibt es aktuell noch Nachbesserungsbedarf?

Kniesburges: Die Aufsichtsbehörden sind mit effektiven Mitteln ausgestattet. Sie haben die Möglichkeit, Kontrollen durchzuführen und bei Verstößen Bußgelder in Höhe von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes zu verhängen. Dieses Jahr wurde das bislang höchste Bußgeld in Höhe von 1,2 Milliarden € gegen Meta wegen der rechtswidrigen Übermittlung von Facebook-Nutzerdaten in die USA verhängt. Derartige empfindliche Strafzahlungen sind starke Anreize für z.B. große Technologie-Unternehmen, unsere europäischen Gesetze einzuhalten. Allerdings ist noch ein Weg zu gehen. Eine Schwäche ist hier vielleicht, dass Kontrollen oft erst nach einer Beschwerde durch Privatpersonen oder Datenschutzorganisationen stattfinden und die Verfolgung der Verstöße durch die Datenschutzbehörden oft sehr langwierig ist. Grund hierfür sind deren oftmals eingeschränkten Kapazitäten und bestehenden Ermessensspielräume.

Lenz: Ich finde es wichtig, dass rechtssichere Wege durch die Aufsichtsbehörden aufgezeigt werden. Ein Beispiel sind Videokonferenz-Tools, die teilweise fast durchgängig kritisch beurteilt wurden, insbesondere seit der Pandemie aber für Unternehmen unverzichtbar sind. Gefragt sind hier wieder die großen Technologie-Unternehmen, die rechtssichere Lösungen schaffen müssen. Zudem muss die Politik ihre Hausaufgaben machen und z.B. rechtssichere Abkommen für den Datentransfer in die USA schaffen. Nach den Urteilen „Schrems I und II“ stellt sich die Frage, ob das jetzige Abkommen hält.

Kniesburges: Zudem fehlt es noch an Standards, z.B. für die Ausfüllung der Prinzipien „Privacy by design and by default“. Hiernach sind z.B. bei Softwareprodukten Datenschutzgrundsätze wie Datenminimierung bereits im Rahmen der Technikgestaltung und Voreinstellung zu verfolgen. Bei diesen Prinzipien ist es problematisch, dass direkt nur die Datenverarbeitenden und nicht die Hersteller:innen von Softwareprodukten verpflichtet werden. Setzen marktmächtige Unternehmen mit ihren Produkten einen Industriestandard, sodass kleine und mittelständische Unternehmen mangels Ressourcen an deren Einsatz nicht vorbeikommen, sind diese großen Unternehmen als Hersteller nicht unmittelbar zur Einhaltung dieser Prinzipien verpflichtet. So geht der „Schutz personenbezogener Daten von Beginn an“ zumindest teils unter. 

Gibt es Inhalte der DSGVO, die sich in den letzten fünf Jahren verschärft oder gar gelockert haben?

Lenz: Das ist schwierig zu sagen, da es ja zu Beginn nur den Gesetzestext, die Erwägungsgründe und die Verwaltungspraxis zum alten Bundesdatenschutzgesetz gab. Im Laufe der letzten Jahre haben wir durch die Verwaltungspraxis und einige Urteile zur DSGVO einfach mehr Klarheit bekommen.

Kniesburges: Durch dieses Mehr an Klarheit haben wir nun weniger Verteidigungspositionen, wenn es um Verstöße wie fehlende Vereinbarungen zur Auftragsverarbeitung oder einen fehlenden bzw. ungeeigneten Datenschutzbeauftragten geht. Ansonsten sehen wir, dass man behördliche Verfahren bei Datenschutzvorfällen auch glimpflich erledigt bekommt, wenn die grundsätzliche Datenschutzorganisation seriös aufgebaut ist.

Welche Datenschutzthemen halten Sie zukünftig für relevant?

Lenz: Neben dem Datentransfer in die USA halte ich vor allem Basisthemen wie die Datensicherheit für bedeutsam. Hier sollte sich jedes Unternehmen permanent um seine technischen und organisatorischen Maßnahmen (TOMs) kümmern, sprich diese prüfen und stetig verbessern. Wir sehen hier vor allem das IT-Risikomanagement, wie es für Banken und kritische Infrastrukturen teils schon verpflichtend ist, als eine gute Orientierung, ggf. in abgespeckter Form. Dies dient nicht nur dem Schutz personenbezogener Daten, sondern auch dem Schutz der Betriebs- und Geschäftsgeheimnisse. 

Kniesburges: Ein weiterer großer Bereich ist die Entwicklung der künstlichen Intelligenz (KI). Für das Training einer KI sind enorme Datenmengen nötig. Diese werden häufig aus frei zugänglichen Daten im Internet gesammelt. Ob hierfür immer eine passende Rechtsgrundlage vorliegt, ist jedenfalls fraglich. Außerdem bietet KI neue Möglichkeiten für automatisierte Entscheidungsfindungen. Sie kann die Kreditwürdigkeit einer Person berechnen oder von Staaten nach dem Beispiel von China für ein Social-Scoring-System eingesetzt werden. Diese neuen Gefahren hat die EU jedoch erkannt und arbeitet seit 2022 am Artificial Intelligence Act, der neben der DSGVO gelten und diese stärken soll. 

Lenz: Insgesamt ist das gesetzgeberische Handeln der EU im Bereich Daten deutlich besser als sein Ruf. Sinnvoll wären allerdings stärkere Abschichtungen zwischen großen, mittleren und kleinen Unternehmen und ein Einschreiten der Behörden, wenn Marktmacht im Zusammenhang mit Datennutzungen missbräuchlich eingesetzt wird. Außerdem ist es erforderlich, das Datenschutzrecht mit dem Datenwirtschaftsrecht rechtssicherer zusammenwirken zu lassen. Auf diese Weise kann das Datenpotenzial bestmöglich genutzt werden und der umfassende Schutz der Daten, insbesondere der Betriebs- und Geschäftsgeheimnisse, ist gewährt.

Ähnliche Beiträge

Zurück

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Joshua Kniesburges

Rechtsanwalt

Zum Profil von Joshua Kniesburges

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
YouTube Video laden
Permalink