Expertenrunde - Evaluierung der DSGVO

Begrüßung - Michael Hinterdobler, Leiter der Bayerischen Vertretung (rechts), und Johannes Hauner, IHK-Vizepräsident (links)

Die Politik steht vor der Aufgabe, die rechtlichen Rahmenbedingungen für ein digitales Europa zu gestalten. Ein Meilenstein ist hierbei die DSGVO. Diese steht gerade im Mai 2024 auf dem Prüfstand. Denn alle vier Jahre legt die EU-Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung der DSGVO vor. Die Wirtschaft fordert, dieses Regelwerk und seine konkrete Anwendung zu prüfen.

Dies haben die bayerischen Industrie- und Handelskammern (BIHK) zum Anlass genommen und in Kooperation mit

• dem Bayerischen Staatsministerium des Innern, für Sport und Integration (BayStMI),
• der Wirtschaftskammer Österreich (WKÖ) und
• dem Enterprise Europe Network (EEN)

sowie mit freundlicher Unterstützung

• der Deutschen Industrie- und Handelskammer (DIHK) und
• der Vertretung des Freistaates Bayern bei der Europäischen Union

am 14.05.2024 in einer Expertenrunde über die im Mai 2024 anstehende Evaluierung der DSGVO gesprochen.

Die Expertenrunde war hochkarätig besetzt. Gemeinsam mit der Europäischen Kommission, dem Bundesministerium des Innern und für Heimat (BMI), dem Sekretariat des Europäischen Datenschutzausschusses (EDPB) und Vertretern von Datenschutzaufsichtsbehörden sowie mit Wirtschaftsvertretern und der Rechtsanwaltschaft haben die Teilnehmer mit Blick auf den angekündigten Bericht der EU-Kommission über die Bewertung und Überprüfung der DSGVO Folgendes erörtert:

• Wie gelingt Digitalisierung?
• Erfolgreiche Regulierung statt Bürokratie im Bereich des Datenschutzes?
• Welche Aufgaben stellen sich hier für die neue Europäische Kommission 2024-2029?

© Iris Haidau Christina Rölz, Moderation, BayStMI, im Gespräch mit Olivier Micol, Europäische Kommission

Christina Rölz, BayStMI, stellte als Moderatorin einleitend die Frage, ob die Datenschutz-Grundverordnung innerhalb der EU zu unterschiedlich ausgelegt werde. Außerdem plädierte sie dafür, die Hersteller bzw. Anbieter von Produkten und Services in die datenschutzrechtliche Verantwortung zu nehmen – gerade bei großen Anbietern - analog zum Cyber Resilience Act. Im Hinblick auf die vielen neuen Rechtsakte der EU-Digitalstrategie mahnte sie Hilfestellung bei der Umsetzung an. Es müsse klar sein, wie die DSGVO mit den neuen Rechtsakten zusammenpasse. Sie verwies auf die Stellungnahme des Bundesrats zur Evaluierung der DSGVO, die auf Antrag Bayerns angenommen worden war.

"Digitale Geschäftsmodelle brauchen transparente Kommunikation im Umgang mit Daten – aber auch verständliche", betonte Johannes Hauner, Vizepräsident der IHK für München und Oberbayern und ergänzt: „Und ich kenne kaum ein Geschäft, das heute ohne digitale Komponente auskommt.“ Hauner unterstützt deshalb nachdrücklich einen risikobasierten Ansatz: „Durch die neu hinzugekommenen Regulierungen zum Umgang mit Daten (AI Act, DMA, DAS) bedarf es meines Erachtens einer Anpassung der DSGVO in Richtung explizit risikobasiertem Ansatz.“

Den nachvollziehbaren Bedenken der Aufsichtsbehörden könne dadurch begegnet werden, dass diese Regelungen vorgeben, die sie gemeinsam mit Wirtschaftsvertretern erarbeiten. „Ein Dialog zwischen Datenschutzbehörden und der Wirtschaft, wie wir ihn in Bayern etabliert haben, kann dabei beispielgebend sein“, ergänzt Hauner. Am Ende würde ein risikobasierter Ansatz auch den immer wieder vorgebrachten Bürokratiebedenken gegenüber der DSGVO den Wind aus den Segeln nehmen, „denn mit dem risikobasierten Ansatz nach dem Grundsatz einer Verhältnismäßigkeitsabwägung, könnten bürokratische Hürden abgebaut werden.“

Der gewählte Zeitpunkt für dieses Gespräch, so Olivier Micol, Europäische Kommisson, ist richtig. Der Evaluationsbericht werde Stellungnahmen des EU Rates, des Europäischen Datenschutzausschusses, der Datenschutzaufsichtsbehörden und von Wirtschaftsvertretern enthalten. Kernelemente hierbei sind die Implementierung und der Vollzug der DSGVO. Ihm sei eine differenzierte Betrachtung wichtig. Denn zum einen fordern die Mitgliedsstaaten, die DSGVO nicht anzufassen. "Don't touch it!". Zum anderen sei in der DSGVO der Datenschutz in einem ausbalancierten Verhältnis berücksichtigt. "Wir benötigen mehr praxisbezogene wie branchenspezifische Guidelines", fordert Micol. Der Bericht, welchen die Europäische Kommission dem Europäischen Parlament und dem Rat, in Kürze vorlegen wird, wird einen sehr weiten Blick auf die DSGVO werfen und hierbei insbesondere auf die Belange der KMU.

„Die Haltung des Rates der Mitgliedstaaten zur Evaluierung der DSGVO enthält die wesentlichen Punkte, die auch Deutschland wichtig sind“ resümierte Elsa Mein, die im BMI für Datenschutz zuständig ist und Deutschland in der Ratsarbeitsgruppe Datenschutz vertritt. Die DSGVO werde als Erfolg gesehen, es gebe aber durchaus Verbesserungsbedarf, wie beispielsweise Erleichterungen für KMU oder das Verhältnis der DSGVO zu den neuen Rechtsakten der EU-Datenstrategie.

Der Europäische Datenschutzausschuss (EDPB) veröffentlichte im Dezember 2023 einen Bericht über die Anwendbarkeit der DSGVO, erläutert Isabelle Vereecken, Leiterin des Sekretariats des Europäschen Datenschutzausschusses. Der EDPB betonte, dass die DSGVO die Datenschutzgrundsätze in der EU gestärkt, modernisiert und harmonisiert hat. Das Bewusstsein für Datenschutzrechte und -pflichten, sowie die Anzahl der Beschwerde- und Rechtsmittelverfahren wurden in allen Bevölkerungsgruppen deutlich erhöht. Die DSGVO diente zudem als Grundlage für die neuen Regulierungen zum Umgang mit Daten und des AI Acts.

Der EDPB hat in seinem neuen Arbeitsprogramm für die neue Amtsperiode - EDPB Strategy 2024 - 2027 - die Notwendigkeit einer Zusammenarbeit zwischen den Datenschutzbehörden und anderen Regulierungsbehörden festgestellt, die im Rahmen dieser Rechtsvorschriften zuständig sein werden. Frau Vereecken verweist zudem auf den Verordnungsentwurf zur Ergänzung der DSGVO in Bezug auf Verfahrensaspekte, welcher auf Wunsch des EDPB eingeführt wurde. Bezogen auf die unterschiedlichen Rechtsauffassungen der Datenschutzaufsichtsbehörden weist sie darauf hin, dass die DSGVO die Situation im Vergleich zu den vorherigen rechtlichen Gegebenheiten wesentlich verbessert hat. Zusätzlich hat der EDPB durch zahlreiche Leitlinien, Stellungnahmen und verbindliche Beschlüsse hier schon für mehr Klarheit und mehr Harmonisierung gesorgt und wird dies weiter tun.

Dr. Matthias Schmidl, Leiter der Österreichischen Datenschutzaufsicht, und Alexander Filip vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), berichten von den Herausforderungen für ihre Ämter. Die Bearbeitung von Beschwerden wegen Datenschutzverletzungen sei bisher prioritäre Aufgabe aus der DSGVO und sehr personalintensiv. Es geht darum, mit vorhandenen Personalkapazitäten die Vielzahl an Aufgaben zu meistern und hierbei die technologische Entwicklung datenschutzrechtlich zu begleiten sowie offen und kompromissbereit Rechtsfragen EU-einheitlich zu klären. "Sometimes it takes time", so Alexander Filip. "Over the last years we've getting better and better and learned a lot from each others".

Die Wirtschaftsvertreter forderten den Abbau bürokratischer Belastungen, insbesondere für KMU, und mehr Rechtssicherheit. In der Diskussion mit dem EU-Kommissionsvertreter Olivier Micol hob Kei-Lin Ting-Winarto, Leiterin des Referats Datenschutz, DIHK, die Ergebnisse der DIHK-Umfrage zur Evaluierung der DSGVO hervor. Über drei Viertel der Unternehmen haben auch sechs Jahre nach Inkrafttreten der DSGVO "hohen bis extremen" Aufwand mit der Umsetzung beklagt - und das über alle Branchen hinweg. Damit bleibe die DSGVO ein zentraler Bürokratietreiber. Klemens Gutmann, regiocom SE, hob positiv hervor, dass vieles wie z. B. Massendatenverarbeitungen oder auch die Pseudonymisierung mittlerweile gut klappten. Die Belastung aller durch den Datenschutz sei sehr groß. Selbst große Unternehmen stießen hier an ihre Grenzen. Die rechtlichen Anforderungen erreichten manchmal absurde Züge, beispielsweise wenn KMU Datenschutz-Folgenabschätzungen durchführen müssten. Rita Bottler, Datenschutzbeauftragte des BIHK e.V., ergänzte, dass KMU in der Praxis auch nicht in der Lage sind, für umfangreiche und komplexe Datenverarbeitungen die Datenschutzdokumentationen zu erstellen. Hier müsse man überlegen, ob die DSGVO die Pflichten richtig zuweist.

Julia Czipzirsch, Versicherungskammer Bayern, forderte Erleichterungen beim Drittstaatentransfer. Vielfach seien in der Verarbeitungskette Subunternehmer eingesetzt. Die Pflicht, das Datenschutzniveau weltweit in allen Drittstaaten einschätzen zu können, sei in der Praxis eine Herausforderung. Sie forderte zudem ein Überdenken der für Datenvorfälle geltenden Meldepflicht von 72 Stunden für Sachverhalte, die kein hohes Risiko für die Daten Betroffener mit sich bringen. Denn diese laufe auch über das Wochenende und über Feiertage, wenn Aufsichtsbehörden geschlossen haben. Prof. Dr. Sibylle Gierschmann, in Deutschland und in den USA zugelassene Rechtsanwältin, forderte ebenfalls Erleichterungen. KMU, welche keine Daten mit hohem Risiko verarbeiten, sollten kein Verzeichnis von Verarbeitungstätigkeiten führen müssen. Informationspflichten im B2B-Bereich hätten keinen Mehrwert und sollten abgeschafft werden. Sie sprach sich u. a. dafür aus, das Recht auf Datenkopie abzuschaffen und Verträge zur Auftragsverarbeitung - soweit möglich - zu standardisieren.

Alle waren sich einig, dass Fragen zur Anonmyisierung und Pseudonymisierung in einer digitalen Welt geklärt werden müssen. "Wir müssen über das Urteil des EuGH vom 07.03.2024 zu IAB Europe diskutieren", so Johannes Hauner. Er dankte allen Vertretern aus der Europäischen Kommission, den Ministerien und Datenschutzaufsichtsbehörden sowie den Wirtschaftsvertretern für die offene Diskussion sowie den Kooperationspartnern für die sehr konstruktive und effektive Zusammenarbeit und bot an, diesen wichtigen Dialog fortzusetzen.