Datenschutz-Akademie
Aktuelle Berichte zum Thema Datenschutz

Fachleute ziehen Bilanz zur DSGVO

Podiumsdiskussion Datenschutz

Photo by Dylan Gillis on Unsplash

27.01.2020 | Lesezeit: 3 min

Bis zum 25.05.2020 muss die EU-Kommission die DSGVO evaluieren. Am gleichen Tag zwei Jahre zuvor trat diese in Kraft. Die Pflicht zu dieser Bewertung ist in Artikel 97 DSGVO normiert. Die anstehende Überprüfung nahm die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin zum Anlass, mehrere Fachleute bei einer Podiumsdiskussion am 27.01.2020 ein Fazit zu diesem grundlegenden Gesetzeswerk für den Datenschutz ziehen zu lassen.


Im Vorfeld der Überprüfung haben bereits einige Organisationen zur DSGVO Stellung genommen. „Der Rat äußerte sich im Dezember 2019 erstaunlich zahm“, sagte Peter Schaar, EAID-Vorsitzender und Ex-Bundesdatenschutzbeauftragter. Er gab zu Beginn eine Übersicht über die Hauptforderungen der vorwiegend aus Deutschland stammenden Stellungnahmen.

Danach werden mehr Harmonisierung und weniger Öffnungsklauseln, eine bessere Zusammenarbeit der Aufsichtsbehörden sowie Erleichterungen für kleine Unternehmen und Vereine bei den Dokumentations- und Meldepflichten gefordert. Das grassierende Profiling werde in der DSGVO zu wenig thematisiert und es gebe keine Regeln für Haftung oder zumindest Verantwortung der Hersteller von Hard- und Software, kritisierten die Organisationen.

„Vereinsschatzmeister müssen DSGVO einhalten, Facebook nicht“

 

Die Podiumsteilnehmer bekräftigten großteils diese Forderungen. Moritz Körner, Mitglied der Liberalen Fraktion im Europaparlament, erklärte in seinem Statement die Brüsseler Perspektive. Dort sei die Evaluation noch kein Diskussionsthema. Die DSGVO wirkt zwar im Gegensatz zur früheren EU-Datenschutzrichtlinie von 1995 unmittelbar, wurde aber bisher von Griechenland, Portugal und Slowenien noch nicht einzelstaatlich umgesetzt.

Die höchsten Bußgelder hat Frankreich verhängt, Deutschland rangiert dahinter auf Platz zwei. Problematisch sei, dass die EU-Kommission über die Bußgelder keine Übersicht habe. Die Perspektive der Bürger sei dagegen geprägt vom „Gefühl, als Vereinsschatzmeister muss man die DSGVO einhalten, Facebook aber nicht“, sagte Körner. Der FDP-Politiker forderte daher, die Verordnung müsse effizienter und unbürokratischer werden.

DSGVO als Weltrecht und Kritik an der irischen Datenschutzaufsichtsbehörde

 

Der Bundesdatenschutzbeauftragte Professor Ulrich Kelber betonte, dass sich bereits über 100 Länder Datenschutzregeln gegeben hätten, viele davon in Afrika. Für besondere Aufmerksamkeit in der IT-Welt sorgte, dass sich Kalifornien dabei an der DSGVO orientiert hat. „Die DSGVO ist zum Weltrecht geworden“, folgerte Kelber. Das stehe im Gegensatz zu den gezielten Fehlinformationen im Vorfeld des Mai 2018 und dem damaligen Panik schüren vor einer Abmahnwelle durch Anwaltskanzleien. „Mehr Willkommenskultur wäre auch für den Datenschutz wünschenswert“, sagte er. Mit großen Änderungen am Gesetzestext nach der Evaluation rechnete weder Kelber noch die anderen Podiumsteilnehmer. Handlungsbedarf sah er bei Profiling und Scoring: „Beide sind rechtlich auf dem Stand der 90er Jahre und technisch auf dem der 80er. Sie sind übrigens auch dann gegeben, wenn ein Mensch daran zum Beispiel durch seine Unterschrift teilnimmt.“

Kelber kritisierte die irische Datenschutzaufsichtsbehörde für ihre Untätigkeit im Umgang mit IT-Konzernen. Immer noch gebe es keinen Entscheidungsentwurf zu großen Fällen wie WhatsApp, Facebook und Microsoft. „Der Druck auf die irische Behörde ist wie der auf das Kraftfahrt-Bundesamt in der Dieselgate-Affäre“, sagte er. Man müsse daher überlegen, ob das One-Stop-Shop-Prinzip so bleiben könne. Danach ist gemäß der DSGVO bei der grenzüberschreitenden Datenverarbeitung die federführende Aufsichtsbehörde alleiniger Ansprechpartner für Verantwortliche. Kelber wünscht sich mehr Handlungsspielraum für deutsche Aufsichtsbehörden.

 

Deutschland will Datenschutz in der EU vorantreiben

 

Der Parlamentarische Staatssekretär im Bundesinnenministerium, Stephan Mayer, prognostizierte, dass die EU-Kommission an einem positiven Evaluationsbericht interessiert sein werde. Änderungen werde es vor allem in den Anwendungshinweisen zu Öffnungsklauseln und zu Erleichterungen für Vereine geben. Er wünschte sich eine Harmonisierung der Bußgeldhöhen. In Bezug auf den Brexit sprach er sich für einen Beschluss aus, das britische Datenschutzniveau als angemessen zu beurteilen. „Sonst kommen die bürokratischen Standardvertragsklauseln.“ Für die deutsche Ratspräsidentschaft im zweiten Halbjahr 2020 forderte er: „Es stünde uns gut an, wenn wir da den Datenschutz als Thema setzen. Die DSGVO wurde nicht überall mit der gleichen Verve vorangetrieben wie in Deutschland. Sie stärkt aber als role model die Marktmacht der EU.“

"DSGVO [...] stärkt als role model die Marktmacht der EU"

Parlamentarische Staatssekretär im Bundesinnenministerium, Stephan Mayer

Nach Ansicht von Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands (vzbv), zeigt schon die hohe Zahl an Beschwerden von Nutzern, dass die DSGVO „ein wichtiger und richtiger Schritt“ für besseren Datenschutz war. Doch ihre Durchsetzung müsse effizienter werden. „In manchen Staaten werden die Aufsichtsbehörden erst nach Jahren tätig. Oft ist die schlechte Personalausstattung der Grund“, sagte Müller. In diese Kerbe schlug auch Kelber und wies darauf hin, dass die geringe Personalzahl in den Landesbehörden auch dazu führe, dass sie die Unternehmen zu wenig beraten könnten, wie sie die Vorschriften einhalten und Sanktionen vermeiden.

Rebekka Weiß, Leiterin der Abteilung Vertrauen und Sicherheit im Bitkom, appellierte: „Wir müssen die Evaluation und alle anstehenden Datenregeln zusammen denken, zum Beispiel die e-Privacy-Verordnung. Alles muss miteinander schlüssig sein.“ Man müsse auch fragen, wann es unethisch sei, Daten nicht zu nutzen. Das sei bei Gesundheitsdaten der Fall. Als großes Problem der DSGVO nannte sie die Rechtsunsicherheit der Unternehmen, die nicht wüssten, wie die abstrakten Regeln von den Behörden und Gerichten ausgelegt würden. „Jedes sechste datengetriebene Projekt von Unternehmen bleibt deswegen liegen“, kritisierte sie.

 

Autor dieses Beitrages ist Ulrich Hottelet, freier IT-Journalist mit Schwerpunkt Datenschutz, IT-Sicherheit und Künstliche Intelligenz.