DSGVO und BDSG-Evaluierung: Detail-Anpassungen der Datenschutz-Regeln auf europäischer und deutscher Ebene
18.04.2024
Zusammenfassung
Das EU-Parlament hat Bedenken bezüglich der inkonsistenten Durchsetzung der Datenschutz-Grundverordnung (DSGVO) durch nationale Datenschutzbehörden geäußert und warnt vor langwierigen Verfahren, die das Vertrauen der Bürger untergraben könnten. Die Europäische Kommission weist in ihrem ersten Evaluierungsbericht auf die Notwendigkeit hin, grenzüberschreitende Fälle effizienter und einheitlicher zu gestalten. Auch in Deutschland soll das Bundesdatenschutzgesetz an einigen Stellen angepasst werden.
5 Minuten Lesezeit
Die EU-Datenschutz-Grundverordnung wird oft als „Goldstandard“ im Datenschutzrecht bezeichnet. Um diesen Standard halten zu können, muss sie jedoch ständig verbessert werden. Vor allem bei der Durchsetzung des Erlassenen gibt es oft noch Luft nach oben. Dies haben auch die Mitglieder des Europäischen Parlaments erkannt und haben nun – aufbauend auf dem Kommissionsvorschlag – einen Entwurf eingebracht.
Was helfen die besten Regeln…
Um in länderübergreifenden Verfahren effektiver und effizienter agieren zu können, soll die Zusammenarbeit durch einen besseren Informationsaustausch – beispielsweise durch gemeinsame „Fallakten“ – geschaffen werden: „(…) supervisory authorities should have ‚instant, unrestricted and continuous‘ access to the joint case file.“
Die Abgeordneten wollen außerdem Fristen im Rahmen der DSGVO vereinheitlichen. Dem Vorschlag einer einheitlichen Fristenregelung zufolge soll eine Aufsichtsbehörde innerhalb von zwei Wochen nach Eingang einer Beschwerde diese entweder als zulässig oder unzulässig klassifizieren und den Beschwerdeführer entsprechend informieren. Die Behörde hat dann drei Wochen Zeit, um zu bestimmen, ob der Fall grenzüberschreitende Elemente aufweist und welche Behörde die Leitung übernehmen soll. Ein Entscheidungsentwurf ist den beteiligten Parteien dann innerhalb von neun Monaten nach Beschwerdeeinreichung zu übermitteln, sofern keine spezifischen Ausnahmesituationen vorliegen. So soll das Beschwerdeverfahren effizienter und transparenter werden und die Rechtssicherheit für betroffene Individuen und Unternehmen verbessert werden.
Das würde Verfahren im Vergleich zu heute deutlich beschleunigen, doch drängt sich dabei die Frage der tatsächlichen Umsetzbarkeit in der Praxis nahezu auf.
„The GDPR Enforcement Procedures Regulations brings more legal certainty for businesses and citizens. The Parliament today stregthens the rights of complainants and gives parties under investigation clarity in the procedure. We strengthen the fundamental right to data protection in the EU.“ – fasst es Berichterstatter Sergey Lagodinsky zusammen.
Auf ein Neues: Lex SCHUFA
Blickt man von Brüssel weiter auf Berlin, so finden sich auch dort neue Vorschläge zur Überarbeitung der Datenschutzgesetze. Die nationale Gesetzgebung in Form des Bundesdatenschutzgesetzes (BDSG) ist in Folge der Rechtsprechung des Europäischen Gerichtshofs anzupassen. Es benötigt insbesondere eine neue Rechtsgrundlage für Scoring à la SCHUFA.
Ein erster Entwurf der Bundesregierung wurde vor kurzem vorgestellt, der zu „Scoring“ in einem neu zu schaffenden § 37a Abs. 1 folgendes vorsähe:
„Das Recht gemäß Artikel 22 Absatz 1 [DSGVO] (…) keiner ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, besteht (…) nicht, wenn zu einer natürlichen Person Wahrscheinlichkeitswerte erstellt oder verwendet werden über
- ein bestimmtes zukünftiges Verhalten der Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person oder
- ihre Zahlungsfähig- und -willigkeit durch Auskunfteien und unter Einbeziehung von Informationen über Forderungen.“
Es dauerte nicht lange bis erste Kritik an dem neuen Gesetzesvorhaben verlautbart wurde. Dr. Patrick Breyer – in Datenschutzkreisen unter anderem bekannt durch das EuGH-Urteil „Breyer“ – zeigte in einer kurzen Stellungnahme auf seiner Webseite auf, worunter das Vorhaben aus seiner Sicht leider: Keine Qualitätsanforderungen an Scoring-Algorithmen und dadurch ungenaue und unsichere Scorewerte zu Lasten deutscher Bürger.
Auch die Datenschutzkonferenz („DSK“) als Zusammenkunft deutscher Datenschutz-Aufsichtsbehörden hat sich zu der Thematik geäußert und verschiedene Aspekte aufgezeigt, die einer genaueren Überprüfung der Vereinbarkeit insbesondere mit Art. 22 DSGVO erforderlich machen: Klärung verwendeter Begrifflichkeiten, Präzisierung maßgeblicher Kriterien und fehlende Anforderungen vor allem an die bereits von Patrick Breyer kritisierte Datenqualität.
Es wird also relativ schnell klar, dass auch dazu das letzte Wort – eigentlich – noch nicht gesprochen sein dürfte.
Apropos Datenschutzkonferenz
Zu guter Letzt sei noch kurz auf die geplante Institutionalisierung der Datenschutzkonferenz eingegangen. Mittlerweile sei diese als wichtiges national und international geachtetes Datenschutz-Gremium anerkannt, unbeschadet fehlender gesetzlicher Kompetenzen. Durch Verankerung im BDSG und durch Aufsetzen einer Geschäftsordnung soll sich dies nun ändern.
Doch auch dies bleibt nicht unkommentiert. Man möge doch beispielsweise Zielvorgaben für die DSK festhalten, wie „Die Datenschutzkonferenz fördert die Koordinierung und Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder sowie eine einheitliche Anwendung des Datenschutzrechts.“
Summa summarum: Es gibt fortlaufend kleinere und größere Anpassungen. Wie diese letztlich genau ausfallen und wann sie erlassen werden, bleibt abzuwarten.
