Kei-Lin Ting-Winarto ist die Datenschutzbeauftragte der DIHK und leitet zudem das Referat Datenschutz.
ZD 2024, 181 Im Jahr 2016 nahm die EU die DS-GVO nach hartem Ringen an. Diese galt als eine enorme Errungenschaft. Sie sollte Vorreiter und sogar weltweit Vorbild für ein modernes Datenschutzrecht sein. Ab Mai 2018 sollten EU-weit die gleichen datenschutzrechtlichen Vorgaben für alle gelten. Doch wie sieht die Praxis heute, fast 6 Jahre nach Beginn ihrer Gültigkeit, tatsächlich aus? Um dies herauszufinden sowie anlässlich der vierjährlichen Evaluation der DS-GVO durch die EU-Kommission hat die Deutsche Industrie- und Handelskammer (DIHK) mit Unterstützung der Industrie- und Handelskammern eine breit angesetzte Umfrage bei Unternehmen aller Branchen und Größenordnungen durchgeführt.
An dieser Umfrage nahmen nahezu 5.000 Unternehmen teil. Ein wichtiges Ergebnis: Bei der Umsetzung der ambitionierten politischen Vorgaben stoßen weiterhin viele Unternehmen an ihre Grenzen. So gaben knapp vier von fünf der befragten Unternehmen (77%) an, dass ihnen die Umsetzung der DS-GVO hohen oder extremen Aufwand bereitet - und das über alle Unternehmensgrößen hinweg.
Fast jeder vierte Betrieb mit bis zu 19 Beschäftigten (24%) verzeichnet sogar einen extremen Aufwand. Die DS-GVO bleibt daher ein zentraler Bürokratietreiber. Um der Rechenschaftspflicht nach der DS-GVO nachzukommen, müssen die Unternehmen umfassende Dokumentations-, Informations- und Nachweispflichten einhalten. Den höchsten Aufwand bereiten die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (45%), der Datenschutzinformation/-erklärung (44%), die technischen- und organisatorischen Maßnahmen (41%) und die Erstellung und Umsetzung des Löschkonzepts (36%). Dabei ist die andauernde Herausforderung, die Dokumente aktuell zu halten. Bei Datenverarbeitungen mit geringem oder normalem Risiko sind die umfassenden Pflichten unverhältnismäßig und dem Risiko nicht angemessen. Das Datenschutzniveau steigt nicht mit dem Aufwand.
Ein Beispiel, das wir alle kennen, ist der allseits bekannte Cookie-Banner. Die Unternehmen müssen sich an die hohen Vorgaben der DS-GVO und auch des TTDSG halten, und die Nutzer klicken die Banner entnervt weg.
Die EU-Kommission sollte die Evaluierung der DS-GVO als Chance nutzen und Erleichterungen insbesondere für kleine und mittelständische Unternehmen (KMU) schaffen. Konkret könnte man zB auf Informationspflichten im B2B-Bereich verzichten, wenn nur die zur Durchführung des Vertrags tatsächlich erforderlichen Daten verarbeitet werden. Auch sollten Dokumentationspflichten heruntergeschraubt werden bei Datenverarbeitungen mit einem normalen Risiko. Zudem könnte das Erfordernis einer Datenpannenmeldung an die Datenschutzaufsichten zB reduziert werden auf Fälle, in denen voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht.
Insgesamt sollte der risikobasierte Ansatz, der in der DS-GVO verankert ist, mehr Beachtung finden und die Verhältnismäßigkeit gewahrt werden. Erleichterungen für KMU, die in der DS-GVO vorgesehen sind, haben sich bisher in der Praxis nicht realisiert. Art. 30 Abs. 5 DS-GVO sieht konkret eine Erleichterung vor: Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, sind von der Pflicht, ein Verarbeitungsverzeichnis zu führen, unter bestimmten Bedingungen ausgenommen. Diese Ausnahme konnte bislang kein Unternehmen für sich beanspruchen. Der risikobasierte Ansatz sollte auch von den Aufsichtsbehörden mehr verfolgt werden; denn ein One-Size-Fits-All trifft nicht die Unternehmenswirklichkeit.
Mehr Rechtssicherheiten schaffen und so Haftungsrisiken verringern
Weiter belastet eine enorme Rechtsunsicherheit die Unternehmen. Die von der EU bewusst als Kompromiss eingeführte Vielzahl an unbestimmten Rechtsbegriffen führt in der Praxis zu einer enormen Verunsicherung. Nur 5% der Unternehmen gaben an, dass sie keine Rechtsunsicherheiten in der DS-GVO sehen.
Rechtsunsicherheiten bestehen insbesondere auf Grund von divergierenden Ansichten der Datenschutzaufsichtsbehörden (49%). Häufig als Hindernis genannt wird auch, dass die Grenzen, wann personenbezogene Daten vorliegen, nicht eindeutig sind (44%). Gleichzeitig ist für viele Betriebe unklar, wann Daten als anonymisiert gelten (39%). Diese Rechtsunsicherheiten bremsen die Betriebe dabei aus, neue Geschäftsmodelle und Innovationen weiterzuverfolgen.
Große Unsicherheiten bestehen im Zusammenhang mit dem Schadensersatzrecht. Obwohl der EuGH mittlerweile einzelne Fragen geklärt hat, ist in der Praxis weiterhin unklar, unter welchen Voraussetzungen und mit welchem Umfang bei Verstößen gegen die DS-GVO Schadensersatz geltend gemacht werden kann. Über die Hälfte der Unternehmen, die die Frage zum Schadensersatz beantworten konnten, gaben an, dass es ihrer Meinung nach Probleme beim Schadensersatz nach Art. 82 DS-GVO gibt. Davon wiederum gaben 69% der Unternehmen an, dass der Schadensbegriff nicht eindeutig definiert ist.
Gerade im Zusammenhang mit Sammelklagen droht wegen der ausufernden Rechtsunsicherheit eine Situation, in der strategische Innovationspotenziale gehemmt werden. 59% der Unternehmen, die Probleme beim Schadensersatz sehen, sehen ein Risiko zukünftiger Kollektivklagen nach Inkrafttreten des Verbraucherrechte-Durchsetzungsgesetzes (VDuG). Daher sollte in der DS-GVO eindeutig geregelt werden, unter welchen - nur strikten - Voraussetzungen eine Verbandsklagebefugnis gegeben sein kann. Allein die Bedeutung des Datenschutzrechts kann eine solche Verbandsklagebefugnis nach Ansicht der breiten Wirtschaft noch nicht rechtfertigen.
Erfreulich in diesem Zusammenhang: Der EuGH hat u.a. in seiner Saturn-Entscheidung (C-687/21) der ausufernden Forderung nach Schadensersatz eine Absage erteilt. Eine betroffene Person, die nach Art. 82 DS-GVO Schadensersatz verlangt, muss nicht nur nachweisen, dass ein Verstoß gegen die DS-GVO vorliegt, sondern auch, dass ihr dadurch tatsächlich ein Schaden entstanden ist. Mit der Evaluierung sollten Klarstellungen zB bei den Regelungen zum Schadensersatz (Voraussetzungen, Definition Schaden, Verschulden, Erheblichkeitsschwelle) und zum Auskunftsrecht (Was muss beim „Recht auf Kopie“ herausgegeben werden?) erfolgen, in dem Artikel selbst oder in den Erwägungsgründen.
Harmonisierung stringenter verfolgen
Die durch die DS-GVO angestrebte EU-weite einheitliche Anwendung hat sich bisher noch nicht verwirklicht. Die Möglichkeit der Öffnungsklausel führt in der Praxis zu einer Rechtszersplitterung, die wiederum zu unterschiedlichen Marktbedingungen innerhalb der EU für die Unternehmen führt. Zudem muss ein EU-weit tätiges Unternehmen sich an unterschiedliche, teilweise widersprüchliche Auslegungen und Rechtsprechungen in unterschiedlichen Mitgliedstaaten anpassen. Dies führt zu einem erhöhten Aufwand bei den Unternehmen.
Muster, Checklisten, Leitlinien, Standardvorgaben sowie praxisnahe, lösungsorientierte Beratung können zwar Abhilfe schaffen. Die Abstimmung und das einheitliche Auftreten der Aufsichtsbehörden bleiben aber prioritär. Zwar haben in der Umfrage nur 7% der Unternehmen Erfahrungen mit datenschutzrechtlichen Regelungen in anderen EU-Mitgliedstaaten gemacht. Die Unternehmen mit DS-GVO-Erfahrung in anderen EU-Mitgliedstaaten erleben die dortigen Datenschutzbehörden aber mehrheitlich als weniger streng als die deutschen Behörden (63%), 25% als gleichartig und 12% als strenger als in Deutschland.
Internationaler Datentransfer
Global vernetzte Wirtschaftsbeziehungen sind für Unternehmen in Deutschland und Europa von fundamentaler Bedeutung. Dafür sind internationale Datentransfers essenziell. Die ganz überwiegende Zahl der Unternehmen, die die datenschutzrechtlichen Herausforderungen beim internationalen Datentransfer sehen, können das Datenschutzniveau in Drittstaaten jedoch nicht selbstständig beurteilen (88%).
Da häufig keine Angemessenheitsbeschlüsse der EU bestehen oder diese wie mit den USA nicht dauerhaft sind, bestehen hohe Haftungsrisiken zu Lasten der Unternehmen. Soweit es an einem Angemessenheitsbeschluss fehlt, bedarf es einheitlicher Informationen zum Datenschutzniveau von Drittstaaten, die von der EU-Kommission/den Aufsichtsbehörden zur Verfügung gestellt werden.
Datenschutz und Datenökonomie in Einklang bringen
Hinsichtlich der Datenökonomie bedarf es eines verlässlichen Rechtsrahmens mit klaren und international wettbewerbsfähigen Bedingungen, innerhalb dessen Datenverarbeitung möglich ist und gleichzeitig die berechtigten Schutzinteressen von Bürgern und Unternehmen gesichert werden. Hierbei sind Kohärenz und Konsistenz mit bestehenden Regelungen wie der DS-GVO dringend erforderlich.
Viele neue EU-Rechtsakte verwenden die Formulierung „Die DS-GVO bleibt unberührt“. Dies führt zu vielfacher Rechtsunsicherheit. Wenn Regelungen der Datenökonomie auf die DS-GVO aufsetzen, müssen Rechtsunsicherheiten zunächst in der DS-GVO bereinigt werden. Datenschutzregeln - über die Maßen ausgeweitet - gefährden die Wettbewerbsfähigkeit und bergen das Risiko einer Abwanderung in Drittländer. 59% der Unternehmen, die Rechtsunsicherheiten in der DS-GVO sahen, können die Regelungen zur Datenökonomie, die zum Teil widersprüchlich zur DS-GVO sind, nicht mehr überschauen. Dies führt letztlich zu einer Hemmung der Digitalisierung und Innovation in Europa.
Positiv zu berichten ist, dass sich eine Datenschutzkultur etabliert hat. Das Inkrafttreten der DS-GVO wurde von den Unternehmen zum Anlass genommen, die eigenen Prozesse und Strukturen zu überprüfen und zu optimieren sowie zu professionalisieren. Bei einer Mehrheit der Unternehmen über alle Branchen hinweg (61%) hat das Thema Datenschutz in den letzten drei Jahren an Bedeutung gewonnen.
Fazit: Die Evaluation sollte als Chance genutzt werden, um einen praktikablen und rechtssicheren Datenschutz zu gestalten. Rechtssicherheit und Klarheit müssen in der DS-GVO geschaffen und nicht langwierigen behördlichen oder gerichtlichen Verfahren überlassen werden.
Informationen zur DIHK-Umfrage sind abrufbar unter: https://www.dihk.de/de/aktuelles-und-presse/aktuelle-informationen/dsgvo-birgt-nach-wie-vor-erhebliche-rechtsunsicherheiten-113658.
Die Ergebnisse der landesweiten Umfragen finden sich auf den Webseiten der jeweiligen regionalen IHK, in Bayern zB unter: www.bihk.de/dsgvo.