Datenschutz-Grundverordnung: Die EU-Kommission zieht Bilanz – der Umsetzungsaufwand für Unternehmen bleibt

© BBH

Wie bereits Anfang Juni angekündigt (wir berichteten) hat die EU-Kommission erstmalig einen Bericht zur Bewertung der Datenschutz-Grundverordnung (DS-GVO) veröffentlicht. Nach etwas mehr als zwei Jahren seit Inkrafttreten zieht die Kommission im Wesentlichen eine positive Bilanz: Die DS-GVO habe die meisten ihrer Ziele erreicht und den Schutz personenbezogener Daten sowie die Gewährleistung freien Verkehrs personenbezogener Daten innerhalb der EU gestärkt. Auch bei der Unterstützung digitaler Lösungen im Rahmen der Corona-Pandemie habe sich die DS-GVO als flexibel erwiesen. Allerdings gebe es in einigen Bereichen noch Nachbesserungsbedarf.

Datenschutzbehörden nutzen erweiterte Befugnisse

Von Verwarnungen und Verweisen bis hin zu Bußgeldern gibt die DS-GVO den nationalen Datenschutzbehörden eine Vielzahl an Instrumenten zur Durchsetzung des Datenschutzrechts an die Hand. Allerdings müssen sie hierzu mit entsprechenden personellen, technischen und finanziellen Mitteln ausgestattet werden. Viele Mitgliedstaaten, auch die Bundesrepublik, tun dies bereits, indem sie deutlich höhere Budget- und Personalzuweisungen vornehmen. Auch in Deutschland steigt die Zahl der Überwachungsverfahren und die Höhe der verhängten Bußgelder kontinuierlich an.

In den Mitgliedstaaten gibt es aber noch große Unterschiede. Insbesondere Länder wie Luxemburg und Irland, in denen viele der internationalen IT-Konzerne ihre europäischen Firmensitze haben, sollen nach Auffassung der Kommission mehr Ressourcen zur Verfügung stellen.

Zusätzlich mahnt die Kommissionen eine kontinuierliche Weiterentwicklung im europäischen Datenschutz an. So sollen die Datenschutzbehörden im Europäischen Datenschutzausschuss (EDSA) bei bestimmten Themen zukünftig noch enger zusammenarbeiten, um eine echte gemeinsame Datenschutzkultur zu entwickeln. Dies gilt insbesondere in Bezug auf Themen wie die Leitlinien für besondere Schutzmaßnahmen bei der Datenübermittlung in Drittstaaten oder die inhaltliche Abstimmung bei der Genehmigung von Binding Corporate Rules.

Mehr Hilfestellungen für KMU gefordert

Insbesondere für kleine und mittlere Unternehmen (KMU) stellt die Umsetzung der DS-GVO eine Herausforderung dar. Wegen des risikobasierten Ansatzes der DS-GVO lassen sich nach Auffassung der Kommission Ausnahmen jedoch nicht allein auf die Unternehmensgröße stützen, da sich daraus keine Rückschlüsse auf die mit der Datenverarbeitung verbundenen Risiken für die betroffene Person ergeben. Zwar haben mehrere Datenschutzbehörden bereits neue Instrumente für KMU zur Umsetzung der DS-GVO (z.B. Vorlagen für Verarbeitungsverträge oder die Einrichtung von Beratungshotlines) entwickelt. Allerdings müssten den Unternehmen weitere Hilfestellungen angeboten werden – die Kommission erkennt hier also den sehr erheblichen Umsetzungsaufwand gerade für KMU.

Die Beachtung der DS-GVO bei der Entwicklung neuer Technologien

Zukünftige Herausforderungen sieht die Kommission bei der Anwendung der DS-GVO im Zusammenhang mit Technologien wie Künstlicher Intelligenz, Blockchain oder Internet of Things, die eine kontinuierliche Überwachung erfordern. Offensichtlich geht die Kommission davon aus, dass sich neue Technologien an der DS-GVO orientieren und nicht umgekehrt.

Internationaler Datenschutz

Die Kommission betont, dass sie ihre Arbeit mit Drittländern fortsetzen und weiter prüfen werde, ob in diesen Ländern ein angemessenes Datenschutzniveau bestätigt werden kann. Zudem werde sie prüfen, wie auch andere Mechanismen für die Datenübermittlung, z.B. Standardvertragsklauseln, überarbeitet und modernisiert werden können, um ein angemessenes Datenschutzniveau zu garantieren.

In Hinblick auf den internationalen Datentransfer hat die von der Kommission angekündigte Modernisierung der Standardvertragsklauseln seit dem Schrems-II-Urteil (Rs. C-311/18) des Europäischen Gerichtshofs (EuGH) vom 16.7.2020 an Bedeutung und Dringlichkeit gewonnen. In seinem Urteil erklärte der EuGH das zwischen der Kommission und der USA verhandelte EU-US-Privacy Shield für ungültig, urteilte jedoch zugleich, dass die Standardvertragsklauseln grundsätzlich weiter gültig bleiben. Die Kommission bekräftigte nach der Urteilsverkündung, dass sie zusammen mit dem EDSA und den Mitgliedstaaten intensiv an einer Modernisierung der Standardvertragsklauseln arbeite und diese – im Einklang mit dem Schrems-II-Urteil – so schnell wie möglich auf den Weg bringen werde.

Fazit und Ausblick

Der Evaluationsbericht der Kommission zeigt, dass die Kommission keinesfalls bereit ist, vom Datenschutzniveau der DS-GVO abzurücken. Es wird vielmehr zu weiteren legislativen Maßnahmen in diesem Bereich kommen. Betroffene Unternehmen sind daher nach wie vor gut beraten, die Umsetzung der Vorgaben der DS-GVO weiter voranzutreiben und ein aktives „Datenschutz-Management-System“ zu implementieren.

Konkrete Änderungsvorschläge der DS-GVO-Vorschriften macht die Kommission in ihrem Evaluationsbericht (derzeit noch) nicht. Die nächste Evaluierung durch die Kommission steht für das Jahr 2024 an.

Ansprechpartner: Dr. Jost Eder/Alexander Bartsch/Thomas Schmeding/Dr. Maximilian Festl-Wietek

Share
Weiterlesen

24 Mai

Werbung mit „Klimaneutralität“: Jetzt ist besondere Vorsicht geboten!

Die Vorgaben der Rechtsprechung an eine rechtssichere Werbung mit „grünen Begriffen“, insbesondere dem Schlagwort „klimaneutral“, sind zwar anspruchsvoll, aber durchaus umsetzbar. Trotz der unternehmerischen Chancen, die sich daraus ergeben, wäre es jedoch falsch, die Augen vor den Gefahren zu verschließen,...

21 Mai

Der Erste seiner Art: Der AI Act kommt

Nach der Zustimmung durch das Europäische Parlament vom 13.3.2024 hat nun der Rat der Europäischen Union am 21.5.2024 das Gesetz über künstliche Intelligenz („AI Act“) als weltweit ersten umfassenden Rechtsrahmen für das Thema künstliche Intelligenz (KI) verabschiedet. Unternehmen sollten sich...