© DIHK / Adobe Express, Firefly Image 3
Datenschutz: Umsetzung vereinfachen, Durchsetzung vereinheitlichen
Die EU strebt an, mit der Datenschutzgrundverordnung (DSGVO) weltweites Vorbild für ein fortschrittliches Datenschutzrecht und ein entsprechend hohes Datenschutzniveau zu sein. Bei der Umsetzung der ambitionierten Vorgaben stoßen jedoch viele Unternehmen an ihre Grenzen. (Eine DIHK-Umfrage zur DSGVO hat 2024 ergeben, dass knapp vier von fünf der Unternehmen auch sechs Jahre nach Inkrafttreten der DSGVO hohen oder extremen Aufwand bei der Umsetzung der DSGVO haben – und das über alle Unternehmensgrößen hinweg.) Die von der EU bewusst als Kompromiss eingeführte Vielzahl an unbestimmten Rechtsbegriffen führt in der Praxis zu Verunsicherung. Die Rechtsunsicherheiten bremsen die Unternehmen dabei aus, neue Geschäftsmodelle und Innovationen weiterzuverfolgen. Datenschutzrechtliche Regelungen sollten daher übersichtlich, verständlich, transparent und systematisch verfasst sein.
Die global vernetzten Wirtschaftsbeziehungen sind für Unternehmen in Deutschland und Europa von fundamentaler Bedeutung. Dafür ist der internationale Datentransfer essenziell. Aber nur für wenige Drittstaaten gibt es Angemessenheitsbeschlüsse der EU. In allen anderen Fällen sollten die Unternehmen das Datenschutzniveau in einem Drittland selbstständig beurteilen – was häufig nicht möglich ist.
Bei der Entwicklung des Datenschutzrechts innerhalb Europas und auf internationaler Ebene sollten daher Praktikabilität und Umsetzbarkeit der Datenschutzbestimmungen im Fokus stehen. Dazu gehört auch, dass Forschung und Entwicklung als Grundlage unternehmerischer Entscheidungen nicht durch einen fehlverstandenen Datenschutz ausgebremst werden. Das durch die DSGVO angestrebte Ziel einer Harmonisierung und Rechtsvereinheitlichung sollte zudem stringenter verfolgt werden. Unklarheiten zwischen neuen Regulierungen in der Datenökonomie und der DSGVO sollten ausgeräumt werden, damit Europa einen Spitzenplatz bei den Zukunftsthemen KI und Datenökonomie einnehmen kann.
Folgende Leitlinien sollten das wirtschaftspolitische Handeln bestimmen:
Datenschutz ist angesichts einer rasant fortschreitenden Digitalisierung des privaten und öffentlichen Lebens für die Wirtschaft ein wesentliches und wichtiges Element des europäischen Binnenmarkts. Die bisherige Umsetzung der DSGVO hat allerdings gezeigt, dass die hohen Anforderungen an die Unternehmen große Schwierigkeiten bereiten. Künftig sollte der Gesetzgeber daher auf "One size fits all"-Lösungen verzichten und stattdessen weitere KMU-Ausnahmen vorsehen.
Die für KMU bereits geregelte Ausnahme von der Pflicht, ein Verarbeitungsverzeichnis zu erstellen, findet in der Praxis kaum Anwendung. Denn sie greift nicht, wenn KMU "nicht nur gelegentlich" personenbezogene Daten verarbeiten. Gerade kleinere Unternehmen, die die Lohnabrechnung selbst vornehmen, verarbeiten regelmäßig personenbezogene Daten. Das Kriterium der nur gelegentlichen Verarbeitung sollte daher gestrichen werden. Auch die Regelung, dass die besonderen Bedürfnisse der KMU bei der Anwendung der Verordnung berücksichtigt werden sollen, wird in der Praxis nicht beachtet. Es sollte mit eindeutigen Erleichterungen beziehungsweise Ausnahmen für KMU nachgebessert werden, wie sie bereits in der DSGVO vorgesehen sind. Bei datenarmen Verarbeitungen oder Datenverarbeitungen mit geringem oder normalem Risiko sind die umfassenden Dokumentations-, Informations- und Nachweispflichten unverhältnismäßig und nicht angemessen. Gleichzeitig steigt dadurch das Datenschutzniveau nicht. Der risikobasierte Ansatz sollte daher zukünftig durchgehend beachtet werden.
Daneben sollte bei Dokumentations-, Informations- und Nachweispflichten auch danach differenziert werden, ob eine Datenverarbeitung freiwillig erfolgt oder gesetzlich vorgeschrieben ist. Bei der Überprüfung dieser Pflichten durch die Aufsichtsbehörden sollte künftig stärker auf anlassbezogene Einzelfallprüfungen als auf umfassende Rechenschaftspflichten der Unternehmen gesetzt werden.
Um der Rechtsunsicherheit zu begegnen, bedarf es textlicher Klarstellungen unmittelbar in der DSGVO oder zumindest in Erwägungsgründen. Dies betrifft zum Beispiel Unsicherheiten in Zusammenhang mit der Pflicht zur Herausgabe von Datenkopien. Durch textliche Klarstellung wird ein notweniger Schritt zur dringend erforderlichen Vereinheitlichung getan. Musterformulare und Checklisten sowie Leitlinien und Empfehlungen, die praxisnah sind und auch unternehmerische Gestaltungsspielräume ermöglichen, können dann verbliebene Rechtsunsicherheiten eindämmen.
Große Unsicherheiten bestehen in der Wirtschaft im Zusammenhang mit dem Schadensersatzrecht. Die gerichtliche Praxis in den Mitgliedstaaten ist bei nahezu identischen Sachverhalten überaus unterschiedlich. Trotz Rechtsprechung des EuGH, der mittlerweile einzelne Fragen geklärt hat, ist in der Praxis vielfach unklar, unter welchen Voraussetzungen und mit welchem Umfang bei Verstößen gegen die DSGVO Schadensersatz geltend gemacht werden kann.
Gerade im Zusammenhang mit Kollektivklagen droht eine Situation, in der wegen der andauernden Rechtsunsicherheit bei gleichzeitig zu erwartenden Sammelklagen strategische Innovationspotenziale gehemmt werden. Es sollte eindeutig geregelt werden, unter welchen strikten Voraussetzungen eine Verbandsklagebefugnis überhaupt gegeben sein kann. Allein die Bedeutung des Datenschutzrechtes kann eine solche Verbandsklagebefugnis nach Ansicht der Wirtschaft noch nicht rechtfertigen. Insbesondere auf das Erfordernis nachweisbaren persönlichen Verschuldens für einen Schadensersatzanspruch sollte nicht verzichtet werden. Zusätzlich sollte eine gesetzliche Erheblichkeitsschwelle für Schadensersatzansprüche nach der DSGVO eingeführt werden.
Datenschutzrechtliche Regelungen können wegen der globalen Datenströme nicht mehr von einzelnen Nationalstaaten beschlossen werden, sondern es bedarf staatenübergreifender Vorschriften. Die DSGVO kann aber nur ein Baustein auf dem Weg zu internationalen Regelungen sein. Der von der EU erhoffte "Brussels Effect", wonach sich viele Staaten den inhaltlichen Maßgaben der DSGVO anschließen, hat sich nicht eingestellt. Solange es auch keine verbindlichen internationalen Vereinbarungen gibt, sollte die EU mit dem Instrument der Angemessenheitsbeschlüsse schneller agieren. Zudem sollten die Beschlüsse auch dauerhaft und belastbar sein. Soweit kein Angemessenheitsbeschluss vorliegt, sollten die EU-Kommission und die Datenschutzaufsichtsbehörden zeitnah einheitliche Informationen zum Datenschutzniveau in Drittstaaten herausgeben, damit nicht jede Behörde und jedes Unternehmen dies selbst ermitteln muss.
Die durch die DSGVO angestrebte EU-weite einheitliche Anwendung hat sich bisher noch nicht verwirklicht. Die Möglichkeit der Öffnungsklauseln führt in der Praxis zur Rechtszersplitterung und damit unterschiedlichen Marktbedingungen. Die Öffnungsklauseln der DSGVO für EU-Staaten sollten nur restriktiv genutzt werden. Insbesondere dürfen nationale Regelungen nicht zu überschießender Regulierung (sogenanntem "Gold-plating") führen (vergleiche Kapitel "Bürokratieabbau und Besseres Recht"). In Deutschland wurden zum Beispiel Regelungen für die Benennung von betrieblichen Datenschutzbeauftragten sowie für den Beschäftigtendatenschutz geschaffen. Auf Länderebene sollten die Datenschutzbestimmungen vereinheitlicht werden. Es sollten mehr Checklisten und Muster veröffentlicht werden, um die bundesweit einheitliche Umsetzung des Datenschutzrechts zu fördern. Es sollte ein angemessener Ausgleich zwischen dem Datenschutz und der technischen Entwicklung in der Arbeitswelt gefunden werden. Ansonsten besteht die Gefahr, dass Deutschland auf dem Weg zur Digitalisierung stagniert beziehungsweise abgehängt wird. Datenschutz muss umsetzbar sein und eine Datenverarbeitung im Zuge des Fortschritts in der digitalen Welt zum Beispiel in Zusammenhang mit künstlicher Intelligenz ermöglichen.
Eine künftige E-Privacy Verordnung, die dem Schutz vor unerwünschtem Daten-Tracking dient, sollte einen verlässlichen, praktikablen und technikneutralen Rechtsrahmen bilden und moderne Informations- und Konsumbedürfnisse abbilden. Ausreichend zu berücksichtigen sind zudem Belange der Wirtschaft, insbesondere der KMU. Die Regelungen sollten konsistent und kohärent zur DSGVO sein und möglichst schlank gehalten werden.
Die rechtliche Gestaltung der Datenökonomie sollte für die Unternehmen mindestens unionsweit einheitlich beantwortet werden. Es bedarf eines verlässlichen Rechtsrahmens mit klaren, wettbewerbsfähigen, international abgestimmten Rahmenbedingungen, innerhalb dessen Datenverarbeitung möglich ist. Insoweit sollte sich die Auslegung der Normen daran orientieren, ob die Adressaten tatsächlich in der Lage sind, die Pflichten inhaltlich zu erfüllen. Bei Schaffung der rechtlichen Rahmenbedingungen für die Datenökonomie sind Kohärenz und Konsistenz mit bestehenden Regelungen wie zum Beispiel der DSGVO dringend erforderlich. Datenschutzregeln dürfen dabei jedoch nicht unverhältnismäßig ausgeweitet werden, denn dies gefährdet die Wettbewerbsfähigkeit und birgt das Risiko einer Abwanderung in das Ausland, wo Anforderungen gegebenenfalls besser erfüllbar sind.
© DIHK
