Implementierung der EU-Datenschutz-Grundverordnung

Zweieinhalb Jahre nach Inkrafttreten der EU-Datenschutz-Grundverordnung stehen viele Unternehmen noch immer vor enormen Compliance-Herausforderungen.

von Dr. Axel Freiherr von dem Bussche

Seit zweieinhalb Jahren ist die DSGVO nun in Kraft und, obwohl ihre Durchsetzung durch Datenschutzaufsichtsbehörden im vollen Gange ist und teilweise schonungslos hohe Bußgelder infolge von Verstößen verhängt worden sind, bestehen in vielen Unternehmen immer noch datenschutzrechtliche Unzulänglichkeiten. Diese sind im Betrieb oft strukturell verankert und damit nicht ohne weiteres aufzulösen. Das Problem stellt sich bei der Umsetzung: zwar haben sich viele Unternehmen pünktlich zur Geltung der DSGVO auf deren Vorgaben eingestellt. Dies jedoch oftmals nur oberflächlich durch Erstellung von Richtlinien und Mustervorlagen, also lediglich in Form einer DSGVO-„Papier-Compliance“. Von einer vollumfänglichen Umsetzung dagegen kann nur selten die Rede sein. Die Beseitigung dieser strukturellen datenschutzrechtlichen Probleme ist eine Herausforderung, die die Praxis mit Sicherheit noch einige Jahre beschäftigen wird.

Die DSGVO hat zu deutlich erhöhten datenschutzrechtlichen Compliance-Anforderungen sowie einer erheblichen Erhöhung der Geldbußen auf bis zu 20 Mio. EUR bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes einer Unternehmensgruppe geführt. So können selbst Compliance-Verstöße kleinerer und weniger wichtiger Niederlassungen eines Konzerns schwerwiegende Konsequenzen haben.

„Unternehmen, die die DSGVO bereits umgesetzt haben sollten sich bewusst sein, dass dies kein einmaliges Unterfanden ist und darauf achten, dass ihre Umsetzungsmaßnahmen sorgfältig dokumentiert und regelmäßig aktualisiert und angepasst werden.“

Dr. Axel Freiherr von dem Bussche

Die europäischen Datenschutzaufsichtsbehörden haben den Unternehmen nach Inkrafttreten der DSGVO 2016 eine über zweijährige Schonfrist bis zum 25. Mai 2018 eingeräumt. Nach Ablauf dieser Frist wurden die Behörden aktiv. Laut einer Erhebung des Handelsblattes sind in Deutschland seit Geltung der DSGVO bis Ende 2019 bundesweit insgesamt 225 Bußgelder auf Grundlage der DSGVO verhängt worden und davon 187 allein im Jahr 2019.[1] Zu den prominentesten Sanktionierungen von Datenpannen in Deutschland zählen das Bußgeld gegen die Deutsche Wohnen SE in Höhe von 14,5 Mio. Euro sowie 9,5 Mio. Euro gegen 1&1 Drillisch. Letzteres wurde aktuell vom Landgericht Bonn zwar auf 900.000 EUR nach unten korrigiert. Jedoch kam es erst kürzlich im Oktober 2020 zu dem deutschen Bußgeld-Rekord: 35 Mio. Euro gegen H&M aufgrund einer – durchaus signifikanten – Verletzung des Mitarbeiterdatenschutzes. Es kann aber auch noch in ganze andere Dimensionen gehen: die britische Datenschutzaufsicht hatte der Fluggesellschaft British Airways Ende 2019 ein Bußgeld in Höhe von ca. 200 Mio. Euro in Aussicht gestellt, dieses wurde aufgrund der wirtschaftlichen Schieflage des Unternehmens in Folge der Covid19-Pandemie zwar nach unten korrigiert – auf jetzt „nur noch“ rund 22 Mio. Euro – aber immerhin!

Schon allein aufgrund der aufsichtsrechtlichen Sanktionsmöglichkeiten sind Unternehmen also gut beraten, die Umsetzung der DSGVO ernst zu nehmen und nicht auf eine bloße „Papier-Compliance“ zu vertrauen. Denn die vorbenannten Bußgelder setzen fast ausnahmslos bei systemischen Defiziten an, wie fehlendes Löschkonzept oder keine ausreichenden technischen und organisatorischen Maßnahmen. Außerdem werden die Aufsichtsbehörden mobil und nehmen immer häufiger technische Audits vor Ort selbst vor. Solche Hausbesuche sollte man sich möglichst ersparen.

Wir empfehlen die folgenden Schritte zur Implementierung der DSGVO:

Schritt 1: „Gap Analysis“

Zur Feststellung des datenschutzrechtlichen Handlungsbedarfs eines Unternehmens sollte zuerst eine „Lückenanalyse“ durchgeführt werden, bei der die tatsächliche Datenschutz-Compliance mit den Anforderungen der DSGVO verglichen wird. Hilfreich in diesem Schritt kann es sein, sich bei der Analyse nicht allein auf die gegenwärtigen Vorgaben der DSGVO zu konzentrieren, sondern vielmehr auch eine mögliche Non-Compliance im Hinblick auf ihre Vorgängerregelung, die europäische Datenschutzrichtlinie 95/46/EG, zu berücksichtigen. In der Regel wird davon auszugehen sein, dass bekannte Datenpannen und Unzulänglichkeiten im Zusammenhang mit der Richtlinie auch oder gar erst Recht einen DSGVO-Verstoß begründen, da Letztere die Rechtslage verschärft und damit die Anforderungen an datenverarbeitende Verantwortliche erhöht hat.

Die Gap Analysis besteht aus einem Dreischritt.

1. In einem ersten Schritt sind die aktuellen datenschutzrechtlichen Praktiken des Unternehmens festzustellen und zu sammeln – eine Art „Reality-Check“ also (z. B. (i) welche Abteilungen welche Arten von Daten für welchen Zweck verarbeiten, (ii) wie die internen Verantwortlichkeiten verteilt sind, (iii) wie die Rechte betroffener Personen geschützt werden,  (iv) ob Datenschutzbeauftragte eingesetzt werden,  (v) welche IT-Sicherheitsmaßnahmen vorhanden sind; gemeinsam kann dies als die „existierende Datenschutz-Struktur“ bezeichnet werden).

2. In einem zweiten Schritt müssen diejenigen Anforderungen der DSGVO identifiziert werden, die speziell für das vorliegende Unternehmen gelten („unternehmensspezifische DSGVO-Anforderungen“).

3. Im letzten Schritt werden die unternehmensspezifischen DSGVO-Anforderungen mit der bestehenden Datenschutz-Struktur verglichen. Die „Lücke“ zwischen beiden zeigt den Handlungsbedarf des Unternehmens auf.

Konkrete Fragen, die sich Unternehmen im Rahmen ihrer Gap Analysis stellen sollten, sind:

  • Gibt es ein funktionierendes, technisch umgesetztes Löschkonzept?
  • Gibt es klare Datenschutz-Verantwortlichkeiten?
  • Ist die Verarbeitungsübersicht auf dem aktuellen Stand? Wer ist für die Pflege (zentral und dezentral) zuständig?
  • Werden Datenschutzfolgeabschätzungen für risikobehaftete Systemeinführungen durchgeführt?
  • Sind die Mitarbeiter ausreichend geschult?
  • Funktioniert der bestehende Prozess bei Datenschutzvorfällen?
  • Überprüfung Datentransfers: Qualifizierung als Auftragsverarbeitung oder Gemeinsame Verantwortlichkeit? Auswirkung EuGH Schrems IIEntscheidung?
  • Gibt es einen „Change“ Prozess (werden die bestehenden Vorgaben also bei internen Änderungen entsprechend angepasst)?
  • Werden Kurz-Audits zur Überprüfung der Compliance durchgeführt (selbst wenn die Anforderungen der DSGVO erfolgreich innerhalb eines Unternehmens umgesetzt werden, bedarf es fortwährender Aktualisierung und Evaluierung der Compliance-Maßnahmen, etwa in Anbetracht einer neuen Risikobewertung oder des fortgeschrittenen Stands der Technik)?

„Um allen Verpflichtungen mit dem geringsten zeitlichen und organisatorischen Aufwand nachzukommen, müssen Unternehmen ein robustes und standardisiertes Datenschutzkonzept einführen.“

Schritt 2: Risikoanalyse

Startet ein Unternehmen bei „Null“ oder bestehen tiefgreifende und strukturelle datenschutzrechtliche Mängel, wird es in aller Regel nicht möglich sein, die vielfältigen Anforderungen der DSGVO zeitgleich vollständig zu erfüllen. Das Unternehmen muss daher abschätzen, welche Datenverarbeitungstätigkeiten das größte Risiko für (i) den Geschäftsbetrieb des Unternehmens und/oder (ii) die Rechte der betroffenen Personen darstellen sowie (iii) welche Risiken am wahrscheinlichsten zu hohen Geldbußen führen. Im Anschluss an diese Einschätzung sind die Ressourcen entsprechend zu verteilen.

Der Datenschutz-Compliance für risikoreiche Verarbeitungstätigkeiten sollte dabei größere Aufmerksamkeit geschenkt werden als der in weniger riskanten Bereichen. Hierbei bieten die gesetzlichen Bestimmungen Orientierung. Die DSGVO selbst unterscheidet zwischen besonders risikoreichen Verarbeitungstätigkeiten und weniger risikoreicher Verarbeitung und folgt grundsätzlich einem risiko-basierten Ansatz. Dies spiegelt sich in diversen Regelungen wieder, angefangen mit der Unterteilung personenbezogener Daten in besondere Kategorien gem. Art. 9 DSGVO und „einfache“ personenbezogene Daten, über die Risiko-Abhängigkeit der erforderlichen technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO, bis hin zur Bestimmung der Höhe von Geldbußen im Sinne des Art. 83 DSGVO, welche auch an Eintrittswahrscheinlichkeiten, Risiken und Schwere der Verstöße anknüpft.

Eine Risikoanalyse sollte sich an diesem Schema und dessen Gewichtungen orientieren. Herangezogen werden kann auch das Bußgeldkonzept der Konferenz der Datenschutzaufsichtsbehörden der Länder, welches bei der Bestimmung der Bußgeldhöhe beispielsweise auch die Anzahl betroffener Personen berücksichtigt.[2] So wären ausgehend davon Mängel an Verarbeitungstätigkeiten des Unternehmens die einen besonders großen und unüberschaubaren Kreis von Personen oder Gesundheitsdaten betreffen, etwa von Mitarbeitern, vorrangig zu beheben.

Schritt 3: Projektsteuerung und Ressourcen-/Budgetplanung

Die Umsetzung der DSGVO erfordert zum einen die Zusammenarbeit sämtlicher europäischer Niederlassungen des Unternehmens, zum anderen die Kenntnis der noch ausstehenden Aufgaben auf Management-Ebene. Das Unternehmen sollte Verantwortlichkeiten für das Projekt an Schlüsselpersonen in den Niederlassungen übertragen und einen leitenden Projektmanager ernennen. Dieser kann auch ein externer Berater sein. Das Unternehmen muss die notwendigen Ressourcen zur Verfügung stellen. Die Budgetplanung sollte insbesondere (i) interne Ressourcen, wie für die Umsetzung benötigtes internes Personal, (ii) rechtliche Kosten sowie (iii) IT-Kosten (z. B. für unterstützende Software; IT-Überprüfungen etc.) berücksichtigen.

Schritt 4: Umsetzung eines Datenschutzkonzepts

Folgende, wesentliche Änderungen hat die DSGVO im Verhältnis zu den Datenschutz-Anforderungen des bis Mai 2018 geltenden Rechts mit sich gebracht::

  • Stärkere Rechte der betroffenen Personen in Art. 12 ff. DSGVO (z. B. auf Information, Auskunft und Berichtigung / Löschung; das Recht auf Datenübertragbarkeit; das Recht auf Widerspruch gegen bestimmte Datenverarbeitungstätigkeiten; das „Recht auf Vergessenwerden“ – die Verpflichtung, Auskunfts- oder Löschanträge an dritte Datenempfänger weiterzuleiten; strengere Anforderungen an Einwilligungserklärungen etc.),
  • strengere organisatorische Anforderungen (z. B. die Verpflichtung, ein die internen Datenverarbeitungstätigkeiten zusammenfassendes Verzeichnis von Datenverarbeitungstätigkeiten zu erstellen; die Notwendigkeit, in verschiedenen Fällen eine Datenschutz-Folgeabschätzung durchzuführen und einen Datenschutzbeauftragten zu ernennen; Datenschutz durch Technik („privacy by design“) und Datenschutz durch datenschutzrechtliche Voreinstellungen („privacy by default“);  die Verpflichtung zur Verknüpfung personenbezogener Daten mit dem Zweck ihrer Erhebung und der Ermächtigungsgrundlage für ihre Verarbeitung; die Dokumentation von Datenübermittlungen; Löschungskonzepte etc.),
  • strengere Meldepflichten (z.B. die Verpflichtung, im Falle einer Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden die Datenschutzbehörden sowie ggf. die betroffenen Personen zu informieren),
  • höhere IT/Cyber-Sicherheitsanforderungen,
  • strengere vertragliche Anforderungen (mit externen Service-Providern und unter Umständen auch innerhalb der Unternehmensgruppe müssen strengere Datenverarbeitungsverträge geschlossen werden)
  • hohe Anforderungen an internationale Datentransfers außerhalb des EWR.

Um allen Verpflichtungen mit dem geringsten zeitlichen und organisatorischen Aufwand nachzukommen, müssen Unternehmen ein robustes und standardisiertes Datenschutzkonzept einführen:

4.1 Datenschutz-Management-System

Die DSGVO sieht eine Reihe von Anforderungen vor, die ohne ein umfassendes Datenschutz-Management-System schwierig zu bewältigen sind. Ein solches System sollte konzernweit eingeführt werden, da datenschutzrechtliche Verstöße selbst kleiner Niederlassungen zu hohen Geldbußen für die gesamte Unternehmensgruppe führen können.

(a) Festlegung von Rollen und Verantwortlichkeiten
Unternehmen sollten Datenschutzstrukturen in allen EU-Niederlassungen schaffen und einen verantwortlichen Leiter in der Muttergesellschaft bestimmen. Die entsprechende Struktur sollte (i) eine einfache Erteilung datenschutzbezogener Anweisungen und/oder Empfehlungen an die beteiligten Stellen ermöglichen („Top-down-Ansatz“) sowie (ii) die Mitteilung datenschutzbezogener Angelegenheiten an den Leiter gewährleisten („Bottom-up-Kommunikation“).

Darüber hinaus sollte immer die Möglichkeit der Benennung eines Datenschutzbeauftragten gem. Art. 37 DSGVO erwogen werden. Ab einer Anzahl von 20 dauerhaft mit Datenverarbeitungen beschäftigten Mitarbeitern ist dies für Unternehmen in Deutschland ohnehin verpflichtend gem. § 38 Abs. 1 BDSG.[3] Allerdings kann dies durchaus auch für kleinere Unternehmen sinnvoll und vorteilhaft sein, da dies jedenfalls haftungsmildernd im Falle eines Verstoßes zu Gunsten der Unternehmen berücksichtigt werden kann. Im Ergebnis kann durch die Benennung eines Datenschutzbeauftragten damit die Senkung des abstrakten datenschutzrechtlichen Haftungsrisikos, aber auch ganz konkret im Fall der Fälle eine Reduktion von Bußgeldhöhen oder Entschärfung von Abhilfemaßnahmen der Aufsichtsbehörden bewirkt werden.

Insbesondere kleine und mittelständische Unternehmen, die trotz der begrenzten Mitarbeiteranzahl besonders risikoreiche Verarbeitungstätigkeiten durchführen, bspw. mit besonderen Datenkategorien arbeiten, sollten sich daher nicht vorschnell von ihrer Pflicht verabschieden, einen Datenschutzbeauftragten zu benennen.

(b) Verfahren und Konzepte
Viele der Verpflichtungen aus der DSGVO können in der Praxis nur implementiert werden, wenn entsprechende Konzepte, Richtlinien und Standardvorgehensweisen (kumulativ sog. „Standard Operating Procedures“ (SOP)) eingeführt werden. Dies betrifft insbesondere die Ausübung der Rechte betroffener Personen und den Umgang hiermit, die Meldepflichten bei der Verletzung des Schutzes personenbezogener Daten, Durchführung von Datenschutz-Folgeabschätzungen etc.

(c) Training
Mitarbeiter sollten in Bezug auf ihre sich aus der DSGVO ergebenden Verpflichtungen und Verantwortlichkeiten geschult werden. Das Unternehmen sollte die Schulung an den Aufgabenbereich des Mitarbeiters anpassen. Insofern ist es sinnvoll, den Schulungsbedarf in einem Schulungskonzept abzubilden.

Dieses Konzept sollte auch den Schulungszyklus festlegen (regelmäßige Schulung, Schulung bei gesetzlichen Änderungen (z.B. aufgrund neuer Vorschriften, abweichender Rechtsprechung, aktueller Richtlinien der Aufsichtsbehörden)). Im Falle der Benennung eines Datenschutzbeauftragten werden solche Personalschulungen grundsätzlich ihrem oder seinem Verantwortungsbereich zugeordnet.

(d)  Dokumentation
Das Unternehmen muss angemessene Maßnahmen ergreifen, um die Einhaltung der Anforderungen der DSGVO nachzuweisen. Im Zweifel müssen Unternehmen nachweisen können, dass sie ihren Verpflichtungen aus der DSGVO nachgekommen sind. Dies ergibt sich aus der in der DSGVO vorgesehenen Rechenschaftspflicht. Diese Maßnahmen sollten regelmäßig überprüft und aktualisiert werden.

4.2 Datenverarbeitungsverträge

Aufgrund der hohen Anzahl von Vereinbarungen, die konzernintern sowie mit Dritten geschlossen werden müssen, ist eine durchdachte Strategie speziell für das Management von Datenverarbeitungsverträgen erforderlich.

      Der Einsatz von Auftragsverarbeitern (Stellen, die personenbezogene Daten im Auftrag des Unternehmens entsprechend dessen Anweisungen verarbeiten) erfordert zwingend den Abschluss von Datenverarbeitungsverträgen. In diesem Zusammenhang macht Art. 28 DSGVO klare Vorgaben für Elemente und Bestimmungen, die in solchen Vereinbarungen enthalten sein müssen. Verträge und Muster, die bereits vor Inkrafttreten der DSGVO bestanden haben, müssen daher zwingend überprüft werden, um festzustellen, ob sie den Voraussetzungen der DSGVO entsprechen oder ob Änderungsbedarf besteht; neue Vereinbarungen müssen den hohen Standards der DSGVO genügen. Dies kann auch für den unternehmensinternen Datenaustausch relevant sein, z.B. im Falle des Daten-Hostings einer Gruppengesellschaft für andere Gruppengesellschaften.

      In einigen Fällen können verschiedene Unternehmensteile als gemeinsam für die Verarbeitung Verantwortliche qualifiziert werden, wenn sie zusammen den Zweck und die Mittel der Datenverarbeitung festlegen. Grundsätzlich müssen auch in diesen Fällen zwischen den involvierten Stellen Datenverarbeitungsverträge geschlossen werden, die näher durch die DSGVO konkretisiert werden (Art. 26 DSGVO).

      Werden personenbezogene Daten aus Europa an ein Land außerhalb der EU übermittelt, ist besondere Achtsamkeit geboten. Grundsätzlich bedürfen sämtliche Datentransfers an Drittländer einer eigenen Rechtfertigungsgrundlage. Hierfür müssen regelmäßig zusätzliche Datenübermittlungsverträge geschlossen und Garantien vereinbart werden, mit denen sichergestellt wird, dass das durch die DSGVO gebotene erforderliche Schutzniveau auch in den Zielländern der Datentransfers eingehalten wird.

Die DSGVO widmet ihr gesamtes fünftes Kapitel den Drittlandtransfers. Zu unterscheiden ist grundsätzlich zwischen Drittländern für die ein Angemessenheitsbeschluss der Kommission besteht und Drittländern ohne Angemessenheitsbeschluss. Gibt es einen solchen Beschluss, sind Datentransfers relativ sicher, da mit diesem Beschluss gerade festgestellt wird, dass die datenschutzrechtliche Situation im Zielland mit dem Schutz der DSGVO vergleichbar und vereinbar ist.
Allerdings sind solche Beschlüsse, wie das viel beachtete Schrems II-Urteil des EuGH gezeigt hat, nicht unanfechtbar. Neben den Angemessenheitsbeschlüssen besteht die Möglichkeit, von der Kommission verabschiedete Standardvertragsklauseln zu vereinbaren, die grundsätzlich für die Schaffung eines angemessenen Datenschutzniveaus im Drittland geeignet sind. Allerdings ist auch dies, nach Ansicht des EuGH, kein Automatismus für ein hinreichendes Datenschutzniveau – die europäischen Unternehmen bleiben grundsätzlich dafür verantwortlich, dass die vereinbarten Klauseln und Garantien im Drittland auch tatsächlich eingehalten werden und die dortige Rechtslage eine Einhaltung auch erlaubt (das wird regelmäßig eine Prüfung der ausländischen Rechtsordnung durch Verantwortliche erfordern).
Ist dies nicht der Fall, bestehen umfassende Abhilfe- und Sanktionsmöglichkeiten der zuständigen Aufsichtsbehörden, trotz vermeintlich sicherer und abgesegneter Standardvertragsklauseln.

Schritt 5: Zusätzliche landesspezifische Voraussetzungen

Das Unternehmen sollte des Weiteren regelmäßig prüfen, ob neben den EU-weit einheitlichen Voraussetzungen der DSGVO darüber hinausgehende nationale Vorschriften existieren, die zu berücksichtigen sind.

Die Mitgliedsstaaten der EU verfügen über einen weiten Ermessensspielraum für den Erlass zusätzlicher nationaler Vorschriften, welche die DSGVO ergänzen und/oder präzisieren.

So kann es in Mitgliedstaaten beispielsweise zusätzliche arbeitsrechtliche Vorschriften für die Verarbeitung von Daten im Personalbereich geben und vielerorts gibt es diese auch (etwa die Einbeziehung eines Betriebsrates in Deutschland und Frankreich oder behördlicher Stellen in Italien).


Kernaussagen

Aufgrund der deutlich erhöhten Compliance-Anforderungen, des erweiterten räumlichen Anwendungsbereichs und der drastischen Bußgeldandrohungen ist die Bedeutung der DSGVO kaum zu überschätzen. Unternehmen, die die DSGVO bereits umgesetzt haben sollten sich bewusst sein, dass dies kein einmaliges Unterfanden ist und darauf achten, dass ihre Umsetzungsmaßnahmen sorgfältig dokumentiert und regelmäßig aktualisiert und angepasst werden – beispielsweise an ein sich veränderndes Verarbeitungsrisiko oder fortschreitenden Stand der Technik bei technischen und organisatorischen Maßnahmen.

Zur Implementierung empfehlen wir ein Vorgehen in fünf Schritten:

  • Schritt 1: „Gap Analysis“
  • Schritt 2: Risikoanalyse
  • Schritt 3: Projektsteuerung und Ressourcen-/Budgetplanung
  • Schritt 4: Umsetzung einer Datenschutz-Struktur
  • Schritt 5: Zusätzliche landesspezifische Regelungen beachten


Der Umgang mit dem Brexit

Viele internationale Unternehmensgruppen haben Niederlassungen im Vereinigten Königreich („UK“), welches kein Teil der EU mehr ist. Am 31. Dezember 2020 läuft die Übergangsphase ab, die UK und die EU im Austrittabkommen zum Brexit vereinbart haben. Bis dahin gelten noch die Bestimmungen der DSGVO unmittelbar in UK. Aufgrund britischer Gesetzgebung sind auch nach Ablauf der Übergangsphase die Bestimmungen der DSGVO entsprechend anwendbar auf dortige Niederlassungen – allerdings wird UK nach Fristablauf offiziell Drittland im Sinne der DSGVO.

Unmittelbare Anwendung auf dortige Niederlassungen finden die Anforderungen der DSGVO dann nicht mehr, wodurch Datentransfers aus anderen europäischen Unternehmensteilen zu rechtlichen Problemen führen könnten. Das Unternehmen wird sich daher überlegen müssen, wie es aus datenschutzrechtlicher Perspektive mit dem Brexit umgehen will. Grundsätzlich sieht das Austrittsabkommen mit UK vor, dass ein Angemessenheitsbeschluss für UK bis zum Ablauf der Übergangsphase erlassen wird. Dies würde Datentransfers erheblich erleichtern und Unternehmen diesbezüglich Sicherheit bieten, allerdings ist nicht damit zu rechnen, dass der angestrebte Zeitrahmen eingehalten wird.

Grundsätzlich stehen die Chancen gut, dass langfristig ein Angemessenheitsbeschluss für UK ergeht, allerdings lässt sich aufgrund vor allem jüngster Tendenzen nicht ausschließen, dass dem Gesetzesänderungen in UK vorausgehen werden müssen. So äußerte sich der EuGH zuletzt kritisch hinsichtlich geheimdienstlicher Befugnisse in UK in Anbetracht des Datenschutzes.[4]

In jedem Fall ist es bis zum Erlass eines Angemessenheitsbeschlusses erforderlich und selbst darüber hinaus empfehlenswert für Unternehmen, zusätzliche datenschutzrechtliche Garantien, wie etwa durch Standardvertragsklauseln, zu vereinbaren und umzusetzen, sofern Datentransfers nach UK beabsichtigt sind.  Auch nach vollzogenem „datenschutzrechtlichen Brexit“ sollten Unternehmen versuchen, die strengen Voraussetzungen der DSGVO auch in UK – unabhängig von etwaigen gesetzgeberischen Entwicklungen in UK – vollumfänglich einzuhalten, um den internen Bürokratieaufwand einzugrenzen und eine europaweit einheitliche Datenschutz-Struktur zu ermöglichen.

„Man kann in einem solch lebendigen Rechtsbereich wie dem Datenschutz- und Technologierecht nicht auf alles vorbereitet sein, es wird fortwährender Anpassungen bedürfen.“

Dr. Axel Freiherr von dem Bussche

Ausblick – Ausreguliert?

Die DSGVO ist zweifellos ein Groundbreaker in ihrem Bereich und genießt zu Recht auch außerhalb der EU einen hohen Stellenwert. Dies liegt zum einen daran, dass ihr Wirkungsbereich aufgrund des marktorientierten Anwendungsbereichs nicht allein auf die geografischen Grenzen der EU beschränkt ist. Zum anderen ist die DSGVO eines der ersten, umfangreichen und grenzüberschreitend geltenden Datenschutz-Gesetze, welches als Vorbild für regulatorische Entwicklungen überall auf dem Globus dient. So lassen sich beispielsweise viele Parallelen in dem neuen kalifornischen CCPA feststellen. Weltweit werden Datenschutzniveaus an dem europäischen Standard gemessen.

Wer allerdings glaubt, in Europa sei mit dem Inkrafttreten der DSGVO mit dem Regelungsgegenstand des Datenschutzes erfolgreich abgeschlossen worden, der irrt.

Es sind weiterhin viele Fragen offen auf der gesetzgeberischen Agenda (wie beispielsweise die Regulierung elektronischer Kommunikation; Stichwort „ePrivacy Regulation“, die vom europäischen Gesetzgeber bis heute verschleppt wird). Und viele Fragen, die uns in den kommenden Jahren und Jahrzehnten im Zusammenhang mit dem Datenschutz beschäftigen werden, sind wohl nach gar nicht gestellt worden.

Die fortschreitende Technologisierung und Digitalisierung der Gesellschaft und Märkte wird Wirtschaft und Gesetzgebung weiterhin fordern und vor neue Herausforderungen stellen. Wie unvorbereitet und unbeholfen wir noch sein können, hat uns die Covid19-Pandemie nicht nur im Zusammenhang mit dem Infektionsschutz, sondern auch im Bereich der Technologie und Kommunikation und ihrer Regulierung drastisch vor Augen geführt.

Die nächste Baustelle, die wohl im Zusammenhang mit dem Datenschutz und der DSGVO zu klären sein wird ist die Industrie 4.0 und der Problemkreis der künstlichen Intelligenz. Wie sieht hier das Zusammenspiel mit dem Datenschutz aus? Wie ist ein sinnvoller, ethischer und datenschutzkonformer Umgang mit fortschreitenden Entwicklungen im Zusammenhang mit künstlicher Intelligenz zu gewährleisten? Die EU strebt eine ausgewogene Balance zwischen Exzellenz und Vertrauenswürdigkeit an und veröffentliche hierzu jüngst ein WhitePaper, welches v.a. erkennen lässt, dass es noch viel Handlungs- und Regulierungsbedarf gibt.

Jedenfalls sieht es nur zwei Jahre nach Inkrafttreten der DSGVO bereits Änderungen dieser jungen Verordnung vor. Man kann in einem solch lebendigen Rechtsbereich wie dem Datenschutz- und Technologierecht nicht auf alles vorbereitet sein, es wird fortwährender Anpassungen bedürfen. Das ist der Natur der Sache geschuldet und grundsätzlich auch richtig so, denn die Alternative hierzu wären möglichst unkonkrete, flexible und technologie-neutrale Gesetze, was allerdings zu Lasten der Rechtssicherheit, Bestimmtheit und schließlich auch ihrer Effektivität gehen würde. Allerdings fehlt es dem Gesetzgeber oft noch an angemessener und zeitiger Reaktion.

Auch die Mühlen der Legislative mahlen langsam. Bemisst man den Rhythmus der Zukunft nach dem Takt der Vergangenheit jedenfalls, können wir wahrscheinlich nicht mit wesentlichen gesetzlichen Änderungen und Zäsuren in den kommenden fünf bis zehn Jahren rechnen. Das heißt nicht, dass selbst weitestgehend „DSGVO-compliant“ Unternehmen sich hierauf ausruhen können. Ebenso wie es im Vorfeld zum Inkrafttreten der DSGVO lohnenswert war sich bereit zu halten um die Reaktionszeit möglichst gering zu halten, ist dies auch im Zusammenhang mit zukünftiger Regulierungen in diesem Bereich der Fall. //

Nehmen Sie Kontakt zum Autor auf:
https://handbuch-hr.de/autoren/a-vondembussche/

Quellen:
[1] Artikel vom 1. Januar 2010 von Heike Anger und Dietmar Neuerer, verfügbar auf https://www.handelsblatt.com/politik/deutschland/dsgvo-datenschutz-verstoesse-zahl-der-bussgelder-ist-drastisch-gestiegen/25364576.html?ticket=ST-10288279-4EtJVR3fgmH0nBBIUfLq-ap3 (letzter Abruf am 11. November 2020).
[2] Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen, 14. Oktober 2019.
[3] Mit dem Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz wurde die ausschlaggebende Anzahl von zehn auf 20 Mitarbeiter erhöht.
[4] Vgl. EuGH, Entscheidung vom 6. Oktober 2020 in der Rechtssache C‑623/17.
(1)  Die DSGVO gilt gem. Art. 3 für alle Unternehmen, die personenbezogene Daten verarbeiten,
• soweit diese Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet
• von betroffenen Personen, die sich in der Union befinden (unabhängig vom Sitz des Unternehmens), wenn die Datenverarbeitung im Zusammenhang damit steht:
–     betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten (auch bei Entgeltlosigkeit);
–     das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
(2)                Zu den Konsequenzen bei Datenschutzverstößen: von dem Bussche/Voigt, Data Protection in Germany, C. IV.
(3)                Zu den Betroffenenrechten weiterführend: von dem Bussche/Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 7.
(4)                Ausführlicher zum Datenschutzbeauftragten: von dem Bussche/Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 1.
(5)                Zum Datenschutzmanagement, insbesondere in Konzernstrukturen: von dem Bussche/Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 2.
(6)                Zu „privacy by design“ und „privacy by default“: Plath, in: Plath, BDSG/DSGVO, Art, 25 DSGVO.
(7)                Zur Auftragsverarbeitung in Konzernen: von dem Bussche/Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 3 Kapitel 3.
(8)                Weiterführende Informationen zur Auftragsverarbeitung in Drittländern, insbesondere ein Mustervertrag: von dem Bussche, in: Moos, Datennutzungs- und Datenschutzverträge, Teil 5 Kapitel 3.
(9)                Zur Möglichkeit arbeitsrechtlicher Sonderregelungen: Stamer/Kuhnke, in: Plath, BDSG/DSGVO, Art. 88 DSGVO.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.