Nach einem Jahr: die Welt blickt auf die EU-DSGVO

[IITR – 6.5.19] Am 2. und 3. Mai 2019 fand in Washington der IAPP Global Privacy Summit 2019, das weltweit größte Treffen der Datenschützer statt. Ausrichter dieser Veranstaltung war die IAPP, die zu diesem Anlass das 50.000 Mitglied willkommen heißen konnte. Zahlreiche Unternehmen sowie 4200 angemeldete Besucher waren registriert, darunter auch des Bundesdatenschutzbeauftragte Herr Kelber sowie Frau Thiel, die Landesbeauftragte für den Datenschutz Niedersachsen.

Unter Leitung von Frau Ruth Boardman, Bird&Bird, war bereits die erste Podiums-Diskussion dieser Veranstaltung der EU-DSGVO gewidmet. Den Fragen stellten sich Frau Helen Dixon, Irish Data Protection Commissioner, Frau Elizabeth Denham, U.K. Information Commissioner, sowie Frau Andrea Jelinek, Vorsitzende der Österreichischen Datenschutzbehörde und Zugleich Vorsitzende des Europäischen Datenschutz-Ausschusses.

Die erste Frage, an Frau Dixon gerichtet lautete, ab wann in Europa mit der Verhängung hoher Bußgelder zu rechnen sei.

Weiter erläuterte Frau Denham als Vertreterin Großbritanniens die Optionen, die nach einem Brexit zur Verfügung stehen würden. Unerwähnt blieb, dass die EU den Briten bereits kommuniziert hat, im Falle eines „harten Brexit“ nicht zeitnah mit einem Angemessenheitsbeschluss rechnen zu dürfen. Allerdings ist die DSGVO bereits Großteils in englisches Recht übertragen worden. Und so war ihr Hinweis interessant, wonach wir es nach einem wie auch immer ausgestalteten Brexit-Verfahren in jedem Fall auf beiden Seiten mit der DSGVO zu tun haben dürften.

Es folgte die Darlegung der Verfahrensweise, die einer Bußgeldverhängung vorangestellt wird. Eine hervorgehobene Rolle spiele dabei künftig das Gebot der „Fairness“. Es blieb offen, wie dies rechtlich zu verorten sein soll.

Zur Rolle des Datenschutzbeauftragten äußerte Frau Jelinek : „The importance of having a data protection officer role can’t be overstated.” Sinngemäß führte sie aus, dass dieser eine Scharnierfunktion zwischen der DSGVO-Gesetzgebung und den ausführenden Unternehmen einnehme. Weiter hob sie hervor: der GDPR’s status as an EU-wide law “makes it easier” for companies to comply because there’s just “one set of rules.”

Dies konnte man als Ermunterung in Richtung USA interpretieren, welche sich derzeit anschicken, ein eigenes Bundesgesetz für den Bereich Datenschutz zu entwickeln. Abschließend um eine Empfehlung an die USA gebeten äußerten die Teilnehmerinnen dieser Diskussionsrunde, vor allem für genügend Mittel und ausreichend Personal zu sorgen.

Ein vorletzter Blick auf die USA

Der Vorteil der Einheitlichkeit einer Datenschutz-Gesetzgebung wird mittlerweile auch in den USA erkannt. Dies gilt vor allem für große US-Firmen wie Apple und Facebook, deren Firmenleiter sich unlängst in Brüssel und Berlin als Fans der einheitlich in der EU gültigen DSGVO outeten. Allerdings steht bei denen wohl nicht der Datenschutz als Schutzgut des Individuums im Vordergrund, sondern der kostenwirksame Wunsch einer Vereinheitlichung von Verarbeitungs-Vorschriften, unter denen Unternehmen ihr Interesse an einer möglichst lukrativen Datenauswertung vorantreiben können.

In einer Nachmittags-Veranstaltung äußerte Joseph Simons, Vorsitzender der Federal Trade Commission, eine vage Vermutung, es könne daraus ein “narrow preemption focused on laws that look like CCPA.” werden. In den USA kündigt sich eine Diskussion unter Politikern an, ob und in welchem Umfang US Federal Law das Recht von Bundesstaaten, wie z.B. den „ California Consumer Privacy Act“ ausstechen können soll.

Entsprechend groß war das Interesse an dem Vortrag zur CCPA, gehalten von Herrn Professor Dr. Lothar Determann, Baker&McKenzie. Der Saal konnte den Andrang seiner Zuhörer nicht aufnehmen.

Ein Jahr ist vergangen…

In den USA haben wir wenn auch nur indirekt gehört, dass es unseren Datenschutz-Behörden möglicherweise an Mitteln, vor allem jedoch an Personal mangelt. Die Datenschutz-Aufsichtsbehörden der Länder drohen inzwischen unter der Last der Beschwerden, Meldungen und Beratungsanfragen zu implodieren. Seit Jahren sind sie personell chronisch unterbesetzt, mit Einführung der Datenschutz-Grundverordnung haben sich Arbeitsbedingungen seit Mai 2018 noch einmal dramatisch verschlechtert.

Es dürfte anspruchsvoll werden, diesen Mangel beheben zu wollen. Die Politik wird darauf verweisen wollen, dass im öffentlichen Dienst bis 2030 ohnehin insgesamt 730.000 Fachkräfte fehlen werden, vor allem auf der mittleren Führungsebene.

Beratungsleistungen bei Datenschutz-Anfragen werden von den Behörden reduziert. Es existiert inzwischen eine Eingabe an den Bundesrat, sowie ergänzende Überlegungen anderer Landesbehörden, die Datenschutz-Anforderungen gegenüber Unternehmen zurückzuschrauben.

Vielleicht ist hierzu ein Blick in die Schweiz aufschlußreich. Aufgrund der bestehenden Vertragslage zwischen der Schweiz und der EU hinsichtlich der Übernahme der DSGVO-Bestimmungen besteht die Gefahr, dass die EU der Schweiz datenschutzrechtliche Auflagen erteilt oder aber ihr den Angemessenheitsbeschluss entzieht, wenn die Schweiz deutlich hinter die Regelungen der DSGVO zurückfällt. Hierzu zählt die EU auch eine ausreichende personelle Besetzung der Schweizer Datenschutz-Behörde.

Nicht nur den Behörden fehlen die Fachkräfte. Es fehlt auch an gut ausgebildeten Datenschutzbeauftragten. Versicherungen lehnen es inzwischen ab, für den Schaden aufgrund falscher rechtlicher Beratung durch Datenschutzbeauftragte aufzukommen. Datenschutzbeauftragte sollen und dürfen keine Rechtsberatung vornehmen. Das ist tatsächlich auch nicht ihre Aufgabe. Eine gute Ausbildung könnte dies klarstellen.

Derzeit sind etwas mehr als 160.000 Datenschutzbeauftragte bei den Behörden durch Unternehmen gemeldet worden. Diese Zahl ist bedeutend höher als die Zahl der tatsächlich zur Verfügung stehenden Datenschutz-Beauftragten. Wir haben es also mit (zulässigen) Mehrfach-Ernennungen zu tun. Dennoch wird in Deutschland nur ein Bruchteil der Firmen durch einen für diese erforderlichen Datenschutzbeauftragten betreut. Die richtige Antwort darauf ist nicht, Kriterien für die Bestellung des Datenschutzbeauftragten zu reduzieren. Wir haben es beim Datenschutz mit einem recht komplizierten Gesetzeswerk zu tun, mit welchem die allermeisten Unternehmen ohne Datenschutzbeauftragten objektiv überfordert sind. Wenn man tatsächlich etwas reduzieren müsste, dann sollten die gesetzlichen Vorgaben zurückgefahren werden. Das jedoch wäre womöglich gleichbedeutend damit, den Datenschutz nach und nach aufgeben zu müssen. Die Datenverarbeitung, die Erfassung von personenbeziehbaren Daten und die sich daraus ergebenden Schlussfolgerungen sind komplex und sie werden durch Themen wie z.B. KI (Künstliche Intelligenz) noch komplexer. Für jede Gesellschaft, die zunehmend ihre Produktionen zurückfahren und ersatzweise auf Dienstleistung setzen will, wäre die Reduzierung des Datenschutzes womöglich nicht die richtige Option.

Fazit

Man kann festhalten: die DSGVO ist ein Erfolg. Sie führt zu konkreten Vorgaben bei der Auswertung, sowie zu standardisierten Verfahren für einen Austausch von personenbeziehbaren Daten. Dergleichen bewirkt nicht nur einen Schutzeffekt zugunsten der von Verarbeitung ihrer Daten betroffenen Individuen. Es entsteht durch die Nominierung auch ein wirtschaftlicher Rationalisierungseffekt beim Austauschvorgang von Daten.

Dies erleichtert den internationalen Austausch, unter der Voraussetzung stehend, dass den Menschen eine gewisse Kontrolle über die Informationen, die über sie in Umlauf befindlich sind ab irgendeinem Stadium nicht mehr egal sein dürften. Diesbezügliche Regungen sind sowohl in Europa als auch in den USA zu beobachten. Diesen ist Rechnung zu tragen.

Die Umsetzung der Schutzvorschriften für den Datenschutz ist optimierungsfähig, speziell was die personelle Ausstattung der Behörden betrifft. Sonst droht der Datenschutz zu einem Instrument für Handels-Auseinandersetzungen mit anderen Staaten sowie jenen sozialen Groß-Konzernen zu verkommen, auf deren Zusammenarbeit man andererseits angewiesen sein dürfte, um im Raum stehende Staatssicherheitsinteressen wahrnehmen zu können.

Es wäre auch wünschenswert, die notwendigen Ressourcen für eine arbeitsfähige Aufsicht sicherzustellen, bevor man sich mit öffentlichen Förderungen weiteren datengetriebenen Problemfeldern zuwendet, die ebenfalls einen funktionierenden Datenschutz erfordern. Sonst könnte geschehen, dass die USA im Datenschutz der EU den Rang ablaufen.

Autor: Eckehard Kraska

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.