Datenschutz-Grundverordnung: Die EU-Kommission zieht Bilanz – der Umsetzungsaufwand für Unternehmen bleibt

14. August 2020

© BBH

Wie bereits Anfang Juni angekündigt (wir berichteten) hat die EU-Kommission erstmalig einen Bericht zur Bewertung der Datenschutz-Grundverordnung (DS-GVO) veröffentlicht. Nach etwas mehr als zwei Jahren seit Inkrafttreten zieht die Kommission im Wesentlichen eine positive Bilanz: Die DS-GVO habe die meisten ihrer Ziele erreicht und den Schutz personenbezogener Daten sowie die Gewährleistung freien Verkehrs personenbezogener Daten innerhalb der EU gestärkt. Auch bei der Unterstützung digitaler Lösungen im Rahmen der Corona-Pandemie habe sich die DS-GVO als flexibel erwiesen. Allerdings gebe es in einigen Bereichen noch Nachbesserungsbedarf.

Datenschutzbehörden nutzen erweiterte Befugnisse

Von Verwarnungen und Verweisen bis hin zu Bußgeldern gibt die DS-GVO den nationalen Datenschutzbehörden eine Vielzahl an Instrumenten zur Durchsetzung des Datenschutzrechts an die Hand. Allerdings müssen sie hierzu mit entsprechenden personellen, technischen und finanziellen Mitteln ausgestattet werden. Viele Mitgliedstaaten, auch die Bundesrepublik, tun dies bereits, indem sie deutlich höhere Budget- und Personalzuweisungen vornehmen. Auch in Deutschland steigt die Zahl der Überwachungsverfahren und die Höhe der verhängten Bußgelder kontinuierlich an.

In den Mitgliedstaaten gibt es aber noch große Unterschiede. Insbesondere Länder wie Luxemburg und Irland, in denen viele der internationalen IT-Konzerne ihre europäischen Firmensitze haben, sollen nach Auffassung der Kommission mehr Ressourcen zur Verfügung stellen.

Zusätzlich mahnt die Kommissionen eine kontinuierliche Weiterentwicklung im europäischen Datenschutz an. So sollen die Datenschutzbehörden im Europäischen Datenschutzausschuss (EDSA) bei bestimmten Themen zukünftig noch enger zusammenarbeiten, um eine echte gemeinsame Datenschutzkultur zu entwickeln. Dies gilt insbesondere in Bezug auf Themen wie die Leitlinien für besondere Schutzmaßnahmen bei der Datenübermittlung in Drittstaaten oder die inhaltliche Abstimmung bei der Genehmigung von Binding Corporate Rules.

Mehr Hilfestellungen für KMU gefordert

Insbesondere für kleine und mittlere Unternehmen (KMU) stellt die Umsetzung der DS-GVO eine Herausforderung dar. Wegen des risikobasierten Ansatzes der DS-GVO lassen sich nach Auffassung der Kommission Ausnahmen jedoch nicht allein auf die Unternehmensgröße stützen, da sich daraus keine Rückschlüsse auf die mit der Datenverarbeitung verbundenen Risiken für die betroffene Person ergeben. Zwar haben mehrere Datenschutzbehörden bereits neue Instrumente für KMU zur Umsetzung der DS-GVO (z.B. Vorlagen für Verarbeitungsverträge oder die Einrichtung von Beratungshotlines) entwickelt. Allerdings müssten den Unternehmen weitere Hilfestellungen angeboten werden – die Kommission erkennt hier also den sehr erheblichen Umsetzungsaufwand gerade für KMU.

Die Beachtung der DS-GVO bei der Entwicklung neuer Technologien

Zukünftige Herausforderungen sieht die Kommission bei der Anwendung der DS-GVO im Zusammenhang mit Technologien wie Künstlicher Intelligenz, Blockchain oder Internet of Things, die eine kontinuierliche Überwachung erfordern. Offensichtlich geht die Kommission davon aus, dass sich neue Technologien an der DS-GVO orientieren und nicht umgekehrt.

Internationaler Datenschutz

Die Kommission betont, dass sie ihre Arbeit mit Drittländern fortsetzen und weiter prüfen werde, ob in diesen Ländern ein angemessenes Datenschutzniveau bestätigt werden kann. Zudem werde sie prüfen, wie auch andere Mechanismen für die Datenübermittlung, z.B. Standardvertragsklauseln, überarbeitet und modernisiert werden können, um ein angemessenes Datenschutzniveau zu garantieren.

In Hinblick auf den internationalen Datentransfer hat die von der Kommission angekündigte Modernisierung der Standardvertragsklauseln seit dem Schrems-II-Urteil (Rs. C-311/18) des Europäischen Gerichtshofs (EuGH) vom 16.7.2020 an Bedeutung und Dringlichkeit gewonnen. In seinem Urteil erklärte der EuGH das zwischen der Kommission und der USA verhandelte EU-US-Privacy Shield für ungültig, urteilte jedoch zugleich, dass die Standardvertragsklauseln grundsätzlich weiter gültig bleiben. Die Kommission bekräftigte nach der Urteilsverkündung, dass sie zusammen mit dem EDSA und den Mitgliedstaaten intensiv an einer Modernisierung der Standardvertragsklauseln arbeite und diese – im Einklang mit dem Schrems-II-Urteil – so schnell wie möglich auf den Weg bringen werde.

Fazit und Ausblick

Der Evaluationsbericht der Kommission zeigt, dass die Kommission keinesfalls bereit ist, vom Datenschutzniveau der DS-GVO abzurücken. Es wird vielmehr zu weiteren legislativen Maßnahmen in diesem Bereich kommen. Betroffene Unternehmen sind daher nach wie vor gut beraten, die Umsetzung der Vorgaben der DS-GVO weiter voranzutreiben und ein aktives „Datenschutz-Management-System“ zu implementieren.

Konkrete Änderungsvorschläge der DS-GVO-Vorschriften macht die Kommission in ihrem Evaluationsbericht (derzeit noch) nicht. Die nächste Evaluierung durch die Kommission steht für das Jahr 2024 an.

Ansprechpartner: Dr. Jost Eder/Alexander Bartsch/Thomas Schmeding/Dr. Maximilian Festl-Wietek

Share
Weiterlesen

22 April

Interviewreihe: Marcel Malcher, BBH-Partner und Vorstand BBH Consulting AG

Am 24.4.2024 findet die BBH-Jahreskonferenz in der Französischen Friedrichstadtkirche in Berlin statt. Im Mittelpunkt steht das Thema Energie in seiner Gesamtheit, seiner systemischen Verknüpfung und seiner Entwicklungsperspektive. „Energie heute & morgen“ ist daher auch der Titel der Veranstaltung. Zu den...

Weiterlesen

18 April

Missbrauchsverfahren nach den Energiepreisbremsengesetzen: Bundeskartellamt nimmt Energieversorger unter die Lupe

Die Energiepreisbremsengesetze sollten Letztverbraucher für das Jahr 2023 von den gestiegenen Strom-, Gas- und Wärmekosten entlasten. Um zu verhindern, dass Versorger aus der Krise auf Kosten des Staates Kapital schlagen, wurden in den dazu erlassenen Preisbremsengesetzen besondere Missbrauchsverbote implementiert, über...

Weiterlesen