CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

DS-GVO 2024 - Chance für Entlastungen?

Thomas Spaeing ist Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD), Präsident der European Federation of Data Protection Officers (EFDPO) und Inhaber der ds2-Unternehmensberatung.

ZD 2023, 641   Seit ihrem Inkrafttreten ist die DS-GVO die Grundlage für ein einheitliches Datenschutzrecht im gesamten Europäischen Wirtschaftsraum - eine Errungenschaft, um die uns viele - Wirtschaft wie auch Staaten - beneiden. Wir in der EU haben dadurch in den letzten Jahren viele Vorteile erfahren, Europa ist als einheitlicher Datenraum zusammengerückt. Damit wurde auch die Möglichkeit geschaffen, unsere europäische Vorstellung vom Umgang mit Daten selbstbewusst in der Welt zu vertreten.

Doch auch wenn die Einführung der DS-GVO ein bedeutender Meilenstein war - perfekt ist sie nicht. Als Datenschutzbeauftragte sehen wir in unserer täglichen Arbeit unnötige bürokratische Hemmnisse, ein Zuviel an Pflichten, Aufwand und auch Dokumentation. Auch die Frage der unterschiedlichen Auslegungen auf europäischer Ebene ist immer wieder Grund für Diskussionen. In der zweiten Evaluation der DS-GVO, die für 2024 vorgesehen ist, ist also einiges anzumerken. Und wir als Datenschutzbeauftragte wollen unsere Praxissicht in den Evaluationsprozess einbringen. Auf EU-Ebene sind wir dazu in enger Abstimmung mit der EFDPO, der Dachorganisation der Datenschutzbeauftragten in der EU.

Wie kaum eine andere Funktion nehmen die Datenschutzbeauftragten als Schnittstelle zwischen den Verantwortlichen, den Betroffenen und der Datenschutzaufsicht eine ausgewogene und gleichzeitig lösungsorientierte Stellung ein. Die DS-GVO ist gut und wichtig, aber die Regeln müssen verständlich und praxisnah sein. Dazu möchten wir beitragen.

Unsere Wünsche an die DS-GVO-Evaluierung

Wir sehen deutliches Entlastungspotenzial insbesondere für kleine und mittelständische Unternehmen, die sog. KMU, bei der Erfüllung datenschutzrechtlicher Anforderungen im Kontext der Digitalisierung. Wir wollen Entflechtung und Harmonisierung in der DS-GVO, insbesondere im Bereich der Transparenzpflichten. Auch gemilderte Sanktionen, wenn Unternehmen bei der Erfüllung dieser Pflichten einen Datenschutzbeauftragten aktiv eingebunden haben, wären eine denkbare Entlastung.

Etwas detaillierter ausführen möchte ich einen konkreten Entlastungsvorschlag hinsichtlich der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Datenschutzaufsichtsbehörde. Dieser Vorgang produziert bei Unternehmen, aber auch Aufsichtsbehörden regelmäßig erhebliche Aufwände. In einem überwiegenden Teil geht es um Vorfälle wie Offenlegung von E-Mail-Adressen durch offene Verteiler, Infektionen mit Schadsoftware auf einfachen Arbeitsplätzen oder Verlust von Datenträgern oder Geräten.

Für die Verantwortlichen bestehen erhebliche Unsicherheiten hinsichtlich der Meldepflicht, und damit geht oft ein Bußgeldrisiko einher. Die Befassung des Datenschutzbeauftragten zur Beurteilung des Vorfalls und zur Einleitung der weiteren Schritte ist schon auf Grund seiner Kompetenzen in der Sache erforderlich. Datenschutzbeauftragte sind im Unternehmen, verfügen über die Fachkunde und können die Risiken besser einschätzen.

Insbesondere zur Entlastung von Unternehmen, aber auch der Aufsichtsbehörden, schlägt der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) daher die Option vor, die Meldepflicht einfacher zu gestalten: Sämtliche Fälle sind zunächst unverzüglich dem Datenschutzbeauftragten zu melden. Dieser erstellt die erforderliche Dokumentation der Vorgänge, fertigt eine Risikobewertung und legt diese Dokumente dem Verantwortlichen zur Entscheidung über die Meldung vor. Das Kernproblem für die Unternehmen besteht nämlich in erster Linie nicht in der Entscheidung über die Meldung oder Nicht-Meldung, sondern in der Zusammenstellung und Bewertung, ob ein meldepflichtiger Vorfall vorliegt.

Die in Art. 33 Abs. 5 DS-GVO vorgesehene Dokumentation einer jeden Verletzung des Schutzes personenbezogener Daten könnte zur Entlastung des Unternehmens so ausgestaltet werden, dass der Datenschutzbeauftragte dieses Register der „Datenpannen“ führt und die vom Verantwortlichen festgelegten Abhilfemaßnahmen überwacht.

Auf Grund der verpflichtenden Einbindung des Datenschutzbeauftragten kann für die Unternehmen, die einen solchen benannt haben, die Meldepflicht angepasst werden, sodass diese nicht bereits bei einem geringen Risiko, sondern erst bei einem hohen Risiko an die Datenschutzaufsichtsbehörden melden müssen. Das ist dieselbe Schwelle wie bei der Benachrichtigung der betroffenen Personen. Diese wird vom Datenschutzbeauftragten empfohlen. Nach Zustimmung führt er die Meldung durch und ist im Weiteren Ansprechpartner der Aufsichtsbehörden. Die Risikobeurteilung mit Blick auf Betroffene liegt so in der Hand des dafür qualifizierten Datenschutzbeauftragten.

Für die Aufsichtsbehörden ergibt sich hierdurch ebenfalls eine Entlastung, weil die ohnehin weiter bearbeiteten Bagatellfälle nicht an sie gemeldet werden müssen. Eine Einbuße in Bezug auf ein „Lagebild“ entsteht für die Aufsichtsbehörden ebenfalls nicht, weil sie die Dokumentation nach Art. 33 Abs. 5 DS-GVO schon heute verlangen können.

Während wir als BvD die genannten Aspekte bereits bei der DS-GVO-Evaluation 2020 ins Spiel gebracht haben (https://www.bvdnet.de/presse/bvd-fordert-anlaesslich-der-evaluierung-der-dsgvo-buerokratieabbau-zur-entlastung-von-kmu/), kommen in unserer Stellungnahme zur aktuellen Evaluation (https://www.bvdnet.de/presse/dsgvo-evaluation-2024/) noch weitere Punkte hinzu:

1. Wir wollen ... die Querschnittskompetenz von Datenschutzbeauftragten stärken und - insbesondere in KMU - auch für bessere Datensicherheit nutzen:

In Zeiten akuter Ransomware-, Hacking- und Cyberangriffe entsteht gesamtwirtschaftlich beträchtlicher Schaden. In diesem Kontext nehmen die Datenschutzbeauftragten eine zentrale Funktion ein. Denn Datenschutzbeauftragte übernehmen auch Beratungsfunktionen hinsichtlich der Sicherheit der Verarbeitung der personenbezogenen Daten. Durch interne Audits können Datenschutzbeauftragte die Wirksamkeit der ergriffenen Schutzmaßnahmen überwachen und auf Verbesserungen hinwirken. Insbesondere in KMU stellt die Querschnittskompetenz der Datenschutzbeauftragten, welche sich aus den vielseitigen fachlichen Anforderungen an ihre Qualifizierung ergibt, einen erheblichen Vorteil dar. Gerade KMU haben oft nicht die Möglichkeiten, diese Kompetenzen im Unternehmen aufzubauen oder mehrere verschiedene Fachberater „einzukaufen“. Hierzu muss der gesetzliche Rahmen gestärkt werden.

2. Wir wollen ... bürokratische Pflichten zum Schutz personenbezogener Daten risikoabhängig ausgestalten:

Die DS-GVO weist eine ausgeprägte Compliance-Methodik auf. Jede Zulässigkeitsbewertung - auch die Bewertung von üblichen und alltäglichen Prozessen - ist durch Dokumentations- und Hinweispflichten flankiert, und jede Handlungspflicht ist organisatorisch zu gewährleisten. Hinzu kommt, dass diese Pflichten nicht harmonisiert sind, sondern jeweils eine eigene Ausprägung hinsichtlich des Was und Wie der Dokumentation bedeuten.

Dieser Zustand bedeutet einen aus unserer Sicht unnötigen bürokratischen und kostenintensiven Aufwand. Es ginge auch anders. Schon das alte BDSG zB stellte in Bezug auf die Frage nach der Zulässigkeit der Verarbeitung personenbezogener Daten keinen geringeren Schutz dar als die DS-GVO und kam dennoch ohne diese zusätzlichen Pflichten aus. Es lag damals in der Verantwortung des datenverarbeitenden Unternehmens, in Abhängigkeit von seiner Größe und des Risikos der ausgeführten Verarbeitung personenbezogener Daten entsprechende Vorkehrungen zu treffen. Das Mehr an Dokumentation schützt nicht, aber belastet die Unternehmen.

Einen wesentlichen Schritt zur Entlastung sehen wir daher darin, solche Dokumentationspflichten nur risikoangemessen vorzusehen und sie nicht - ausgehend vom höchsten Absicherungsbedürfnis - nach dem Gießkannenprinzip auf alle Unternehmen gleichermaßen anzuwenden. Gerade wenn die Umsetzung der Anforderungen am Risiko für die Rechte und Freiheiten der betroffenen Personen ausgerichtet wird, können Datenschutzbeauftragte den geeigneten „Kompass“ darstellen.

3. Wir wollen ... Hersteller von digitalen Lösungen und Leistungen nach dem Verursacherprinzip in die Regelungen der DS-GVO aufnehmen:

Die Bewertung der datenschutzrechtlichen Anforderungen bei digitalen Produkten liegt derzeit voll in der Verantwortung der Anwender. In der Praxis erweist es sich für einen Verantwortlichen - also den Anwender - allerdings als schwierig, der Verpflichtung zur Ergreifung geeigneter technischer und organisatorischer Maßnahmen (TOMs) oder zur Erfüllung der Transparenz- und Auskunftspflichten nachzukommen. Denn sowohl die dafür verwendete Hardware als auch die Software werden meist durch einen externen Hersteller bereitgestellt.

Die Maßnahmen, die der Verantwortliche beeinflussen kann, beschränken sich vielfach lediglich auf diejenigen Konfigurationen, die der Hersteller dem Verwender seiner Software, dem verantwortlichen Unternehmen, freiwillig ermöglicht. Hinsichtlich dieser Konfigurationen sind dann natürlich die datenschutzfreundlichsten zu wählen - wenn der Hersteller dies vorgesehen hat. Was innerhalb der Anwendungen oder bald auch der KI genau geschieht, bleibt für den Verantwortlichen idR eine Blackbox.

Die Lösung wäre, Hersteller zur Ergreifung von TOMs zu verpflichten. In Art. 25 DS-GVO wäre hierfür ein zusätzlicher Absatz anzufügen, welcher die Verantwortung der Hersteller explizit regelt. Dies würde es den Verantwortlichen erheblich erleichtern, ihrerseits der Pflicht, geeignete Maßnahmen zu ergreifen, nachzukommen.

Darüber hinaus sollte eine Unterstützungspflicht der Hersteller - gegenüber den Anwendern ihrer Produkte und Lösungen - vorgesehen werden, damit diese überhaupt erst in die Lage versetzt werden, ihren Auskunfts- und Transparenzpflichten nachkommen zu können. Hier steckt erhebliches Potenzial zur Entlastung der verantwortlichen Stellen, der Unternehmen und Behörden.

Datenschutzbeauftragte nehmen in diesem Kontext eine zentrale Position ein. Wir sehen uns in der Rolle des Lotsen im Umgang mit Daten und unterstützen mit unseren praxisnahen Erfahrungen und der Kenntnis um die Prozesse in den KMU bei der erfolgreichen Digitalisierung. Diese Vorschläge machen wir auch noch einmal in einem Positionspapier deutlich, welches auf der Webseite des BvD zu finden ist.

Ob es 2024 tatsächlich zu einer Evaluierung der DS-GVO kommt, ist fraglich. Wir glauben aber, dass es jetzt wichtig ist, diese Diskussion zu führen, damit im Falle einer Evaluierung 2028 ausgereifte abgestimmte Ergänzungen vorgenommen werden können.

Anzeigen:

ZD 4Wochen Testabonnement

beck-online DatenschutzR

Teilen:

Menü