Recht Digital

Kommt Bewegung in die DS-GVO?
Recht Digital
datenschutz_chat_CR_VideoFlow_adobe
© VideoFlow/adobe
datenschutz_chat_CR_VideoFlow_adobe

Ein Digitalpolitiker und ein Datenschutzaktivist, die ansonsten eher konträre Positionen vertreten, präsentieren gemeinsam eine Reformidee für die DS-GVO. Das lässt aufhorchen, zumal die EU-Kommission ihre Digitalgesetze auf den Prüfstand stellen will.

25. Mrz 2025

Vor neun Jahren, am 14.4.​2016, wurde die DS-GVO vom Europäischen Parlament verabschiedet. Sie gilt als „Goldstandard“ und wurde zur weltweiten Blaupause für Datenschutzregulierung. Neue Technologien wie Blockchain oder KI tun sich mit der nicht wirklich technologieneutralen Regulierung schwer. Kleine Unternehmen klagen über zu viel Bürokratie, während sich viele eine strengere Durchsetzung bei großen Plattformen wünschen. Die EU-Kommission sah in ihrer zweiten Evaluierung Mitte 2024 keinen materiellen Änderungsbedarf. Bedenken bei KMU etwa seien unbegründet und mit Vorlagen, Checklisten und Anleitungen lösbar.

Vorstoß von Max Schrems und Axel Voss

Die bemerkenswerte Einigkeit zwischen dem Datenschutzaktivisten Max Schrems, bekannt durch seine Klagen gegen Safe Harbour und Privacy Shield, und dem eher wirtschaftsfreundlichen Digitalpolitiker im EU-Parlament Axel Voss (CDU), spricht für breiten Reformkonsens. Die beiden schlagen eine abgestufte Regulierung vor. Der Sportverein von nebenan soll nicht dieselben Datenschutzpflichten wie Tech-Konzerne mit Milliarden Nutzern haben. Daher sollen Mini-DS-GVO für kleinere Unternehmen, Normal-DS-GVO für größere Unternehmen und Plus-DS-GVO für große Plattformen den „one size fits all“-Ansatz ablösen.

Doch der Teufel steckt im Detail. Die Mini-DS-GVO soll für 90 % aller Unternehmen gelten, sofern keine Daten besonders geschützter Kategorien nach Art. 9 verarbeitet werden. Praktisch verarbeiten aber alle Unternehmen mit eigenem Personal solche Datenkategorien – Arztpraxen, Optiker und auch Sportvereine sowieso. Ausnahmen für kleine Unternehmen bei der Pflicht zu Datenschutzbeauftragten (soweit nationales Recht nicht striktere Vorschriften macht) und Dokumentationspflichten gibt es bereits in Art. 30 V, 37 DS-GVO. Diese Ausnahmen gelten allerdings nicht, wenn nicht nur gelegentlich bzw. umfangreich „Art. 9-Daten“ verarbeitet werden. Unklar bleibt daher, wo diese Vorschläge über den Status quo hinausgehen.

Darüber hinaus wird eine Beschränkung auf Kernpflichten vorgeschlagen, wobei aber auf Art. 5 DS-GVO verwiesen wird, der die Grundsätze regelt. Sollen hiermit spezifische Rechtsgrundlagen für die Datenverarbeitung in Art. 6 und Art. 9 DS-GVO durch Generalklauseln ersetzt werden? Das Schweizer Datenschutzgesetz kennt beispielsweise kein generelles Verbot mit Erlaubnisvorbehalt, sondern verlangt Rechtfertigungsgründe wie eine Einwilligung nur bei Datenverarbeitung entgegen der Grundsätze wie Verhältnismäßigkeit oder Treu und Glauben. Zwar gibt es in der Schweiz gute Erfahrungen mit diesem pragmatischen Ansatz, aber eine Umstellung der Mini-DS-GVO in diese Richtung könnte zu anfänglicher Rechtsunsicherheit führen, bis Gerichte die Maßstäbe geklärt haben.

Very Large Online Platforms (VLOP), die Daten von mehr als 10 Mio. Personen oder mehr als 50 % der Bevölkerung eines Mitgliedstaats verarbeiten, sollen über die Plus-DS-GVO strenger reguliert werden. Vorgeschlagen wird ein verpflichtendes Datenschutzaudit und die Publikation des Verzeichnisses der Verarbeitungstätigkeiten. Die Plattformen müssten zudem die Datenschutz-Compliance selbst nachweisen, nicht die Aufsichtsbehörden Verstöße. Doch Art. 5 II DS-GVO kennt den Grundsatz der Rechenschaftspflicht bereits.

Der Begriff der VLOP entstammt dem DSA, der Social Media und andere digitale Dienste ebenfalls abgestuft reguliert. Der DSA weist jedoch zwei rechtsstaatliche Schwächen auf. Er überträgt die Durchsetzung des DSA gegenüber VLOP keiner neutralen Behörde, sondern der EU-Kommission. Zum anderen führt er in Art. 71 DSA ein Verhandlungsverfahren ein, welches über Selbstverpflichtungen zu fragwürdigen, politisch motivierten Kompromissen führen könnte. Die Datenschutzaufsichtsbehörden müssen nach Art. 52 DS-GVO unabhängig sein – das sollte auch weiterhin für die Aufsicht der VLOPs gelten.

Der Ansatz von Max Schrems und Axel Voss ist begrüßenswert. Allerdings wiederholt er bereits bestehende Regelungen, bleibt vage und lässt echte Neuerungen zu einem großen Teil vermissen. Entscheidend wird sein, dass kleine Betriebe tatsächlich von Bürokratie entlastet werden und die Datenschutzaufsicht von VLOPs unabhängig bleibt. 

Dieser Inhalt ist zuerst in der NJW erschienen. Sie möchten die NJW kostenlos testen? Jetzt vier Wochen gratis testen inkl. Online-Modul NJWDirekt.

Dr. Jörn Erbguth ist Diplom-Informatiker und Diplom-Jurist sowie Mitglied im Vorstand des EDV-Gerichtstags e.V.