Die Datenschutz-Grundverordnung (DSGVO) ist seit ihrer Geltung im Mai 2018 das zentrale Element des europäischen Datenschutzrechts. Anlässlich ihrer zweiten Evaluierung 2024 werden zahlreiche Diskussionen zur Effektivität und den Auswirkungen dieser Verordnung geführt. Einige dieser Punkte möchten wir für Sie hier festhalten.
Die Rolle des Datenschutzbeauftragten hat sich als unerlässlich für Unternehmen erwiesen. Die damit verbundene Querschnittskompetenz wird vor allem von KMU geschätzt, da er in vielen Bereichen teure Fachberater ersetzen kann. Er berät den Verantwortlichen bei der gesetzeskonformen Planung und Durchführung im gesamten Lebenszyklus der Verarbeitung personenbezogener Daten und prüft die Effektivität der getroffenen Schutzmaßnahmen, beispielsweise durch interne Audits.
Die DSGVO schreibt Verantwortlichen, insbesondere in den Art. 5, 24 und 32 DSGVO, beträchtliche Pflichten vor, die sie bei der Verarbeitung personenbezogener Daten einzuhalten haben. Diese Pflichten beinhalten präventive technische und organisatorische Maßnahmen (TOM) sowie die stetige Prüfung und Aktualisierung dieser Maßnahmen. Überschießende Bürokratie und risikounabhängige Auflagen erschweren die Wahrnehmung dieser Aufgaben. Hinzu kommt, dass die Entwickler digitaler Lösungen von der DSGVO weitgehend unberührt bleiben, was zu einer (oft nicht verhältnismäßigen) Verlagerung der Belastungen zum Verantwortlichen führt.
Die mit der Umsetzung der DSGVO verbundene Bürokratie schlägt sich in verschiedenen Dokumentations-, Organisations- und Hinweispflichten nieder. Sie erhöhen Aufwand und Kosten, da auch typische, weit verbreitete Verarbeitungen personenbezogener Daten eine Kette an Pflichten auslösen.
Nehmen wir als Beispiel die Verarbeitung von Personalstammdaten in einem Unternehmen: Für eine rechtmäßige Verarbeitung ist zunächst eine Rechtsgrundlage nach Art. 6 DSGVO zu wählen. Diese Verpflichtung wird durch die Dokumentation nach Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht), die Informationspflichten nach Art. 13-14 DSGVO und die Erfassung der Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO erweitert. Jede dieser Verpflichtungen unterliegt eigenen Modalitäten, da jedes Mal Zweck und Adressat wechseln.
Diese Anforderungen stellen für Unternehmen oft eine erhebliche finanzielle Belastung dar. Besonders für KMU erscheinen die Herausforderungen aus der DSGVO oft überwältigend. Sie verfügen im Allgemeinen nicht über die Ressourcen und das notwendige Fachwissen, um den komplexen Vorgaben gerecht zu werden. Dies kann auch zu einem Wettbewerbsnachteil gegenüber größeren Unternehmen führen. Es wäre daher wünschenswert, dass zukünftige Anpassungen eine differenziertere Betrachtung der Unternehmensgröße und angemessene Erleichterungen für KMU vorsehen.
Ein weiterer bedeutender Aspekt in Zeiten der zunehmenden Digitalisierung ist die Haftung der Hersteller digitaler Anwendungen und Lösungen. Die DSGVO legt fest, dass sowohl Verantwortliche als auch Auftragsverarbeiter zur Einhaltung der Verordnung verpflichtet sind. Datenschutzrechtliche Probleme dort zu lösen, wo sie häufig entstehen, nämlich beim Hersteller, hat der EU-Gesetzgeber bei der Formulierung des Art. 25 DSGVO verabsäumt.
Die Problematik zeigt sich deutlich anhand von Art. 25 Abs. 2 DSGVO: Verantwortliche stehen vor der praktischen Herausforderung, angemessene technische und organisatorische Maßnahmen zu implementieren, oft fehlt es aber an geeigneter Hard- bzw. Software. Diese wird von externen Herstellern bereitgestellt, die nur bestimmte Konfigurationsmöglichkeiten zur Verfügung stellen. In Bezug auf diese Konfigurationen gilt selbstverständlich die Verpflichtung aus Art. 25 Abs. 2 DSGVO, datenschutzfreundliche Optionen zu wählen. Insgesamt führt dies dennoch zum mangelhaften Schutz personenbezogener Daten, da der Verantwortliche, auch aufgrund seiner benachteiligten Verhandlungsposition gegenüber dem Hersteller, nur über begrenzte Einflussmöglichkeiten verfügt.
Zusammenfassend lässt sich sagen, dass die DSGVO seit ihrem Inkrafttreten überwiegend positive Veränderungen bewirkt hat. Dennoch verbleiben Herausforderungen, insbesondere im Hinblick auf die damit verbundene Bürokratie und die oft unverhältnismäßige Belastung der KMU. Die kontinuierliche Überprüfung und Anpassung der Verordnung, klare Leitlinien und Haftungsverpflichtungen für Entwickler könnten dazu beitragen, die DSGVO effizienter und praxistauglicher zu gestalten.
EDSA-Bericht zur Rolle des Datenschutzbeauftragten
Im Laufe des vergangenen Jahres haben sich 25 Datenschutzbehörden im gesamten Europäischen Wirtschaftsraum (EWR) an einer Untersuchung zum Thema Benennung und Position des Datenschutzbeauftragten beteiligt. Mehr als 17.000 Antworten von verschiedenen Organisationen und Datenschutzbeauftragten sowohl aus dem öffentlichen als auch dem privaten Sektor wurden analysiert. Der Bericht verleiht einen interessanten Einblick in Arbeit und Position von Datenschutzbeauftragten fünf Jahre nach Geltung der DSGVO.
Die geäußerten Bedenken und Herausforderungen betreffen unter anderem unzureichende Ressourcen oder Fachkenntnisse der Datenschutzbeauftragten, mangelnde Unabhängigkeit, fehlende Berichtsmöglichkeiten an die Unternehmensführung oder gar das Unterlassen der Bestellung eines Datenschutzbeauftragten trotz gesetzlicher Verpflichtung. Dabei variieren die Ausprägung und Intensität dieser Herausforderungen zwischen den Mitgliedstaaten der EU. Ebenfalls einen Unterschied macht es, ob der Datenschutzbeauftragte im privaten oder öffentlichen Sektor, wo vor allem die Freigabe finanzieller Ressourcen komplexer sein kann, tätig ist.
Zusätzlich enthält der Bericht Empfehlungen, die Organisationen und Datenschutzbeauftragten bei der Bewältigung der festgestellten Herausforderungen unterstützen können.