EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

Verheißung der Modernisierung auf EU-Ebene durch Beharrungsvermögen auf nationaler Ebene bedroht

[datensicherheit.de, 17.03.2018] Eine vom CAST-Forum und Forum Privatheit organisierte Tagung am 15. März 2018 in Darmstadt mit Vertretern aus Politik, Wirtschaft, Wissenschaft und Aufsichtsbehörden widmete sich der Frage, wohin sich der Datenschutz entwickeln wird, wenn ab dem 25. Mai 2018 die europäische Datenschutz-Grundverordnung (EU-DSGVO) endgültig in Kraft tritt. „Das künftige Datenschutzrecht wird nicht nur von der Datenschutz-Grundverordnung, sondern durch eine Ko-Regulierung der europäischen und deutschen Gesetzgeber geprägt“, erläuterte Prof. Dr. Alexander Roßnagel, Jurist an der Universität Kassel und Sprecher des Forums Privatheit. Die EU-Mitgliedstaaten nutzten die 70 Öffnungsklauseln der DSGVO, um die bisherigen nationalen Datenschutzregelungen beizubehalten und nur sprachlich der DSGVO anzupassen.

EU-DSGVO: einheitliches Recht vs. 27 verschiedene nationale Auslegungen

Das derzeit im Bund vorbereitete „Omnibus-Gesetz“, das vermutlich im Sommer 2018 in den Gesetzgebungsprozess eingebracht werde, sehe in über 140 Gesetzen mit Datenschutzregelungen meist nur formale Anpassungen an den Sprachgebrauch der DSGVO vor.
Keines dieser Gesetze werde aber durch die DSGVO überflüssig oder gestrichen. Vielmehr blieben alle bestehenden nationalen Gesetze erhalten, ohne Innovationsimpulse der DSGVO – wie z.B. Privacy-by-Design und Privacy-by-Default – zu konkretisieren.
Zu einem ähnlichen Ergebnis kam demnach auch der Landesbeauftragte für Datenschutz und Informationsfreiheit in Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, der von den Anpassungsbemühungen auf Länderebene berichtete. Auch dort würden sehr viele Gesetze angepasst, ohne dass ein einziges entfiele. Sein Fazit: Es werde weniger modernisiert, es bleibe eher bei einer Beibehaltung des Alten.
Bernd Adams von T-Systems begrüßte grundsätzlich die Zielsetzung der Vereinheitlichung des Datenschutzes. Die Ausgestaltung bereite ihm allerdings Bauchschmerzen: „Haben wir ein EU-weit einheitliches Datenschutzrecht – oder haben wir 27 verschiedenen nationale Auslegungen?“

Innovation der DSGVO in den Regelungen zum Vollzug…

Laut Prof. Dr. Johannes Caspar, dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, gibt es „kaum einen Bereich, in dem Sein und Sollen so weit auseinander liegen wie bei im Datenschutz.“ Daher sehe er die wirkliche Innovation in der DSGVO in den Regelungen zum Vollzug. Erstmals würde die Vollzugsbehörden mit wirksamen Vollzugs- und Sanktionsinstrumenten ausgestattet. So hätten die Aufsichtsbehörden nun auch die Möglichkeit, signifikante Bußgelder zu verhängen: Hätten sie noch beim BDSG bei max. 300.000 Euro gelegen, könnten nun bis zu 20.000.000 Millionen Euro verhängt werden – oder vier Prozent des jährlichen Umsatzes eines Unternehmens. Caspar: „Früher war ein Verstoß gegen Datenschutzauflagen ein Kavaliersdelikt. Das ist künftig anders.“
Die DSGVO bringe für die Aufsichtsbehörden viele neue Aufgaben. Diese entspreche allerdings nicht ihrer personellen Ausstattung. In einem Gutachten zum notwendigen Personalbedarf der Aufsichtsbehörden habe Professor Roßnagel festgestellt, dass aufgrund dieser neuen Aufgaben im Durchschnitt jede Landesdatenschutzbehörde um 20 Stellen aufgestockt werden müsste; dies sei in den Ländern allerdings nicht erfolgt. „Die Aufsichtsbehörden sind eigentlich die Garanten des Rechtsvollzugs – werden aber damit allein gelassen“, warnte Caspar.
Für wichtig hält er nach eigenen Angaben auch die Regelungen, nach denen die Aufsichtsbehörden unionsweit koordiniert würden. Dabei komme dem Europäischen Datenschutz-Ausschuss eine besondere Rolle zu. Mit ihm sei „Datenschutz keine Sache mehr des einzelnen Behördenleiters, der tapfer allein in die Sonne reitet.“ Die Themen könnten nur auf europäischer Ebene einheitlich entschieden und in der gesamten Union umgesetzt werden. Datenschutz sei nicht nur ein Garant für die Datenschutzrechte der Betroffenen in Europa, sondern auch für einen fairen Wettbewerb von Unternehmen im EU-Binnenmarkt. „Wir brauchen einen fairen Wettbewerb – und den bekommen wir nur über den europäischen Datenschutz-Ausschuss. Denn: Nichts ist so europäisch wie der Datenschutz“, betonte Caspar.

Innovation und Datenschutz müssen kein Gegensatz sein

Einen hoffnungsvollen Ausblick gab Dr. Michael Friedewald, Projektkoordinator des Forums Privatheit vom Fraunhofer-Institut für System- und Innovationsforschung (ISI): „Wir befinden uns vor einer Zeitenwende. Hier kann der Datenschutz vom Umweltschutz lernen. Es hat hier auch eine Weile gedauert, bis sich gezeigt hat, dass Regulierungen in diesem Bereich nicht nur für die Gesellschaft nützlich sind, sondern, dass sie auch zu Innovationen und wirtschaftlicher Profitabilität führen.“
Wie so etwas aussehen könnte, zeige die künftige E-Privacy-Verordnung. Diese regele den Datenschutz für die elektronische Kommunikation nicht abstrakt und technikneutral wie die DSGVO, sondern bereichs- und risikobezogen. Auch wende sie sich an die richtigen Adressaten, nämlich auch an Hersteller von IT und nicht nur an ihre Anwender.
Die E-Privacy-Verordnung sollte ursprünglich mit der DSGVO am 25. Mai 2018 Geltung erlangen. Rolf Bender, Vertreter des Bundesministeriums für Wirtschaft und Energie (BMWi), rechnet jedoch damit, dass diese „nicht vor Ende 2018“ verabschiedet wird.
Ihr Kernanliegen sei der Schutz der Vertraulichkeit der Kommunikation. Doch auch hierbei gebe es noch viele offene Fragen. Unklar sei zum Beispiel: Wann gilt die DSGVO und wann die E-Privacy-Verordnung? Als Innovationshemmnis für Unternehmen sollte sich aber für Bender keine ihrer Regelungen erweisen: „Wir wollen ein hohes Datenschutzniveau – aber wir wollen auch, dass innovative Geschäftsmodelle nicht kaputt gemacht werden.“

Weitere Informationen zum Thema:

datensicherheit.de, 16.03.2018
Unternehmen hinken bei EU-DSGVO-Anpassung hinterher

datensicherheit.de, 12.01.2018
EU-DSGVO: Neue Anforderungen an Organisation und Technik