Susanne Mentel

Vor der Verabschiedung der Datenschutz-Grundverordnung - Erwartungen der Wirtschaft an die EU-Datenschutzreform


Am 16.11.2015 fand in den Räumen des Bayerischen Industrie- und Handelskammertags e.V. (BIHK e.V.) in Kooperation mit dem Bayerischen Staatsministerium des Innern und der Zeitschrift für Datenschutz (ZD) eine Fachtagung zu den Erwartungen der Wirtschaft an die EU-Datenschutzreform statt.

ZD-Aktuell 2015, 04166    Ziel des Nachmittags war die Erörterung der Frage, ob die Reform ihr Ziel erreicht und ob die Erwartungen der Wirtschaft, die an den Entwurf der Datenschutzgrundverordnung (DS-GVO) gestellt wurden, erfüllt werden.

 

Peter Driessen, Hauptgeschäftsführer der IHK für München und Oberbayern, eröffnete die Vortragsreihe in der Hoffnung auf eine ertragreiche Auseinandersetzung mit dem Entwurf. Neben den für die Wirtschaft durchaus positiven Neuerungen wie dem One-Stop-Shop-Prinzip und der geplanten Abschaffung des Fristformerfordernisses erwähnte er die starke Orientierung des Entwurfs an Unternehmen der Neuen Medien. Kleine und mittlere Unternehmer könnten die an sie gestellten Anforderungen oftmals nicht erfüllen und bräuchten insoweit klarere Regelungen, vor allem hinsichtlich neuer Technologien wie Big Data und Cloud Computing.

 

Als Vertreter des verhinderten Joachim Herrmann, Staatsminister des Innern, für Bau und Verkehr, sprach Michael Will, Leiter des Sachgebiets Datenschutz und Bundesratsvertreter für die DS-GVO, in seiner Einführung den Stellenwert der DS-GVO in Bayern an. Obwohl die Reform des Datenschutzrechts aus bayerischer Sicht zunächst mit Skepsis betrachtet wurde, ist ein Abschluss des Trilogs bis Weihnachten aus seiner Sicht realistisch. Der Veröffentlichung der Verordnung werden zwar noch längere Übersetzungs- und Abstimmungszeiten vorangehen, einer Veröffentlichung Ende des zweiten Quartals 2016 stünde dies jedoch nicht im Wege. Skeptisch sah er die Fragen, die hinsichtlich der Anwendbarkeit und dem Bestand von nationalen Datenschutzregeln bisher ungeklärt sind. Durch die Konzentration auf eine Vielzahl an materiellem Recht in dem Entwurf, anstelle der in den nationalen Datenschutzregeln vorkommenden Detailregelungen, befürchtet Will einen Verlust an Rechtssicherheit.

 

Noch mehr Verluste zeichnen sich in den darauf folgenden Ausführungen von Prof. Dr. Kai von Lewinski, Professor an der Universität Passau, der den Entwurf der DS-GVO aus der Perspektive seines professoralen „Elfenbeinturms“ betrachtete, ab. So führe die neue DS-GVO seiner Ansicht nach zwangsläufig zu Abschieden, sei es von nationalen Regelungen oder der Möglichkeit des Gangs nach Karlsruhe. Auch eine begriffliche Neuerung werde sich in den Lehrbüchern der Universitäten und Unterlagen der Datenschutzbeauftragten (DSB) vollziehen. Das durch deutsche Rspr. entwickelte Recht auf informationelle Selbstbestimmung wird dem europaweit geltenden Grundrecht auf Datenschutz weichen müssen. Größere Bedenken hegt von Lewinski dabei, den EuGH für zukünftige Auseinandersetzungen im Bereich Datenschutz in der Entscheidungsposition zu sehen. Auch die DS-GVO erntet ein hartes Urteil, indem es, im Vergleich zu dem BDSG, auf „Rohbauniveau“ eingestuft wird. Seinem Fazit nach wird sich das Datenschutzrecht gesamthafter, marktförmiger und gesellschaftlicher entwickeln und Teil eines allgemeinen Informationsrechts werden.

 

Nach einer kurzen Stärkung mit Kaffee und Kuchen erwartete die Teilnehmer eine erste Bestandsaufnahme aus Sicht der Unternehmen sowie der Datenschutzaufsicht. Den Anfang machte Werner Herrmann, Betrieblicher DSB der UniCreditBank AG, mit seinem optimistisch vorgetragenen „Wunschzettel“ und den Erwartungen, die er an den Entwurf der DS-GVO gestellt hatte. Anstelle der erhofften konkreten Regelungen für neue Technologien und einheitlichen Regelungen zum Beschäftigtendatenschutz existieren zwar Erleichterungen bei Formerfordernissen oder den Auskunftsrechten bei der Berechnung von Scoringwerten, die gerade Banken enorm entlasten, viele Erwartungen blieben jedoch unbefriedigt. Bei neuen formalen Anforderungen wie der Daten-Portabilität sieht Herrmann einen hohen Implementierungsaufwand und weitreichende Dokumentationspflichten auf die Unternehmen zukommen.

 

Ähnliche Bedenken äußerte auch Thomas Lehnert, Daten Privacy Compliance Officer der Airbus Group, wenn er an das Auskunftsrecht des Einzelnen über die im Unternehmen gespeicherten Daten denkt. Die Vorstellung, dass ein DSB annähernd vollständig mit der Bearbeitung solcher Anfragen blockiert wäre, ist nicht abwegig. Aus Sicht der europaweit ansässigen Airbus Group sind einheitliche Lösungen wie das des One-Stop-Shop-Prinzips genauso wichtig wie eine Harmonisierung als höchstes Gut eines europäischen Datenschutzrechts. Positiv sieht der Verantwortliche für Daten Privacy Compliance das im Entwurf enthaltene Konzernprivileg, das vorbehaltlich der Wahrung eines angemessenen Datenschutzniveaus gewährleistet wird. Ein kritischer Blick wird dagegen auf das Thema Auftragsdatenverarbeitung, insb. hinsichtlich klarer Regelungen für Software as a Service (SaaS) geworfen. Insgesamt sieht der DSB die DS-GVO als positiv und wünscht sich eine Einfügung seiner Kollegen im Unternehmen, unabhängig davon, ob diese zukünftig auf freiwilliger oder verpflichtender Basis tätig sind.

 

Die Bestandsaufnahme beendete Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht, mit einem strukturellen Überblick über die Aufsichtsbehörden der EU und innerhalb Deutschlands. Die Entwicklung eines neuen Gesetzes weise stets Unsicherheitsmerkmale auf, weshalb es für alle Beteiligten wichtig ist, sehr bald ein Verständnis davon zu erhalten, was die DS-GVO einem sagen will. Hierfür ist auch ein Abstandnehmen von dem deutschen BDSG-Denken erforderlich.

 

In der anschließenden Podiumsdiskussion brachten die Teilnehmer ihre Bedenken bei der Umsetzung für kleine und mittlere Unternehmen zum Ausdruck. Die Ratlosigkeit bei dem Umgang mit Datenübermittlungen in die USA, die nach dem Safe Harbor-Urteil des EuGH herrscht, wurde auch von den Diskutanten geteilt. Eine Konstante bliebe jedoch die Beibehaltung von Grundsätzen, wie das Verbot mit Erlaubnisvorbehalt und die Behandlung von personenbezogenen Daten. Auf Grund der Voranschreitung von Digitalisierung und Vernetzung ist ein modernes Datenschutzrecht unabwendbar. Mit diesem schon in der Begrüßung von Peter Driessen verfolgten Ansatz endete die Veranstaltung nach einer konstruktiven Auseinandersetzung mit der EU-Datenschutzreform und wertvollen Ein- und Ausblicken auf allen Seiten.

 

 

Susanne Mentel ist Doktorandin am Institut für Informations-, Telekommunikations- und Medienrecht (ITM) der Universität Münster.