Datenschutz
Die EU strebt an, mit ihrer DSGVO Vorreiter und Vorbild für ein fortschrittliches Datenschutzrecht und ein entsprechend hohes Datenschutzniveau zu sein. Bei der Umsetzung der ambitionierten Vorgaben stoßen jedoch viele Unternehmen an ihre Grenzen, zudem hat das Vorgehen auch international zu erheblichen Rechtsunsicherheiten geführt, welche die Datenwirtschaft teilweise gefährden und neue Geschäftsmodelle teilweise verhindern. Bei der Entwicklung des Datenschutzrechts innerhalb Europas und auf internationaler Ebene sollte daher verstärkt auch die Praktikabilität und Umsetzbarkeit der Datenschutzbestimmungen in den Blick genommen werden.
Folgende Leitlinien müssen das wirtschaftspolitische Handeln bestimmen:
Folgende Leitlinien müssen das wirtschaftspolitische Handeln bestimmen:
- DSGVO-Evaluierung zum Anlass nehmen, um Ausnahmen für KMU von den umfangreichen Dokumentations- und Nachweispflichten verbindlicher zu auszugestalten
- Mehr Rechtssicherheit durch klarere Voraussetzungen für Schadensersatzersatzansprüche nach DSGVO schaffen
- Internationale Datenschutzvereinbarungen vorantreiben. Schneller über Datenschutzniveau in Drittstaaten informieren und Angemessenheitsbeschlüsse bearbeiten
- E-Privacy-VO praxisnah und kohärent zur DSGVO ausgestalten
- Datenschutz und Datenökonomie in Einklang bringen
- DSGVO-Evaluierung zum Anlass nehmen, um KMU-Ausnahmen von den umfangreichen Dokumentations- und Nachweispflichten verbindlicher auszugestalten.
- Mehr Rechtssicherheit durch klarere Voraussetzungen für Schadensersatzersatzansprüche nach DSGVO schaffen.
- Internationale Datenschutzvereinbarungen vorantreiben. Schneller über Datenschutzniveau in Drittstaaten informieren und Angemessenheitsbeschlüsse bearbeiten.
- E-Privacy-VO praxisnah und kohärent zur DSGVO ausgestalten.
- Datenschutz und Datenökonomie in Einklang bringen
DSGVO-Evaluierung zum Anlass nehmen, um Ausnahmen für KMU von den umfangreichen Dokumentations- und Nachweispflichten verbindlicher zu auszugestalten
Die EU-Kommission muss 2024 dem Europäischen Parlament einen Bericht „über die Bewertung und Überprüfung“ der Datenschutz-Grundverordnung (DSGVO) vorlegen. Diese Evaluierung sollte zum Anlass genommen werden, um Regelungen anzupassen und nachzubessern; insbesondere die Praxisrealität der KMU stärker zu berücksichtigen und Erleichterungen bzw. Ausnahmen für KMU vorzusehen.
Datenschutz ist angesichts einer rasant fortschreitenden Digitalisierung des privaten und öffentlichen Lebens für die Wirtschaft ein wesentliches und wichtiges Element des europäischen Binnenmarkts. Die bisherige Umsetzung der DSGVO hat allerdings gezeigt, dass die hohen Anforderungen an die Unternehmen - besonders KMU - große Schwierigkeiten bereiten. KMU werden durch die Regelungen überproportional stark belastet. Zudem stellen sie einen hohen finanziellen und bürokratischen Aufwand dar.
Es besteht weiterhin ein großes Bedürfnis nach Rechtssicherheit. Die durch die DSGVO angestrebte EU-weit einheitliche Anwendung hat sich bisher noch nicht verwirklicht. Ein EU-weit tätiges Unternehmen muss sich an unterschiedliche, teilweise widersprüchliche Auslegungen und Rechtsprechungen in unterschiedlichen Mitgliedsstaaten anpassen. Ähnliches gilt sogar in der föderalen Struktur Deutschlands. Muster, Checklisten, Leitlinien, Standardvorgaben können hier Abhilfe schaffen, die Abstimmung und das einheitliche Auftreten der Aufsichtsbehörden national und EU-weit bleiben aber prioritär.
Die für KMU geregelte Ausnahme in Art. 30 Abs. 5 DSGVO findet in der Praxis kaum Anwendung. Auch der Erwägungsgrund 13, nach dem die besonderen Bedürfnisse der KMU bei der Anwendung der Verordnung berücksichtigt werden sollen, wird ebenso wenig beachtet. Daher sollte eine Überprüfung der DSGVO Ausnahmen für die KMU vorsehen, etwa durch vereinfachte Vorschriften oder Ausnahmeregelungen, insbesondere was die Informations-, Nachweis- und Dokumentationspflicht betrifft.
Die DSGVO besitzt extraterritoriale Wirkung und soll sich auch im Ausland durchsetzen. Gleiches wird für die Regelung der KI angestrebt. So wichtig das Ziel ist, in der EU generierte persönliche Daten auch in der weiteren Verarbeitung zu schützen, so zweifelhaft erscheint es, europäische Standards ausschließlich (strikte Konditionalität) und weltweit zwingend durchsetzen zu wollen. Die extraterritoriale Anwendung europäischen Rechts ist grundsätzlich abzulehnen damit europäische Unternehmen im internationalen Handel nicht umgekehrt mit entsprechendem Verlangen konfrontiert werden, soweit nicht im Einzelfall eine besondere Rechtfertigung möglich ist.
Mehr Rechtssicherheit durch klarere Voraussetzungen für Schadensersatzersatzansprüche nach DSGVO schaffen
Bisher ist unklar, unter welchen Voraussetzungen und mit welchem Umfang bei Verstößen gegen die DSGVO Schadenersatz geltend gemacht werden kann. Hier besteht große Rechtsunsicherheit zu Lasten aller Unternehmen, die verschärft wird durch stark fragmentierte und teilweise widersprüchliche Positionen von Datenschutzbeauftragten der Mitgliedstaaten – und teilweise auch der Bundesländer. Gerade im Zusammenhang mit Kollektivklagen droht eine Situation, in der wegen der andauernden Rechtsunsicherheit bei gleichzeitig zu erwartenden Sammelklagen strategische Innovationspotentiale gehemmt werden. Eine hinreichende Rechtssicherheit kann nur durch textliche Klarstellungen erreicht werden. In diesem Zusammenhang sollte auch eindeutig geregelt werden, unter welchen – nur strikten Voraussetzungen - eine Verbandsklagebefugnis gegeben sein kann. Allein die Bedeutung des Datenschutzrechtes kann eine solche Verbandsklagebefugnis nach Ansicht der Wirtschaft noch nicht rechtfertigen.
Internationale Datenschutzvereinbarungen vorantreiben. Schneller über Datenschutzniveau in Drittstaaten informieren und Angemessenheitsbeschlüsse bearbeiten
Datenschutzrechtliche Regelungen können wegen der globalen Datenströme nicht mehr von einzelnen Nationalstaaten beschlossen werden, sondern es bedarf Staaten-übergreifender Vorschriften. Die DSGVO kann aber nur ein Mosaikstein auf dem Weg zu internationalen Regelungen sein. Solange es keine verbindlichen internationalen Vereinbarungen gibt, muss die EU mit dem Instrument der Angemessenheitsbeschlüsse schneller agieren als das bisher der Fall war. Zudem müssen die Beschlüsse auch dauerhaft und belastbar sein. Soweit kein Angemessenheitsbeschluss vorliegt, sollten die EU-Kommission und die Datenschutzaufsichtsbehörden zeitnah einheitliche Informationen zum Datenschutzniveau in Drittstaaten herausgeben, damit nicht jede Behörde und jedes Unternehmen dies selbst ermitteln muss.
E-Privacy-VO praxisnah und kohärent zur DSGVO ausgestalten
Eine künftige E-Privacy Verordnung, die dem Schutz vor unerwünschtem Daten-Tracking dient, sollte einen verlässlichen, praktikablen und technikneutralen Rechtsrahmen bilden und moderne Informations- und Konsumbedürfnisse abbilden. Ausreichend zu berücksichtigen sind zudem Belange der Wirtschaft, insbesondere der KMU. Die Regelungen sollten konsistent und kohärent zur DSGVO sein
Datenschutz und Datenökonomie in Einklang bringen
Die rechtliche Gestaltung der Datenökonomie muss für die Unternehmen mindestens unionsweit einheitlich beantwortet werden. Es bedarf eines verlässlichen Rechtsrahmens mit klaren, wettbewerbsfähigen, international abgestimmten Rahmenbedingungen, innerhalb dessen Datenverarbeitung möglich ist und gleichzeitig die berechtigten Schutzinteressen von Bürgern und Unternehmern gesichert werden.
Bei der Schaffung der rechtlichen Rahmenbedingungen für die Datenökonomie bedarf es Kohärenz und Konsistenz mit den bestehenden Regelungen, z. B. der DSGVO. Insbesondere dürfen Datenschutzregeln nicht über maßen ausgeweitet werden. Auch eine weit überschießende Regelungstiefe (Gold-Plating) muss vermieden werden, denn es gefährdet die Wettbewerbsfähigkeit.