Es war ein wenig ruhig geworden um die EU-Datenschutzgrundverordnung (DSGVO). Die seit Mai 2018 geltende Verordnung gilt in allen EU-Mitgliedstaaten und regelt die Erhebung und Verarbeitung personenbezogener Daten. Unternehmen und öffentliche Stellen sind gleichermaßen an sie gebunden. Jetzt aber ist sie durch den Evaluationsbericht der EU-Kommission wieder in den Fokus gerückt. Doch durch die Corona-Tracing-Apps und künftige Regulierungsvorhaben im Technologiebereich könnte der Erfolg der DSGVO nochmal infrage gestellt werden. Für die EU-Kommission allerdings ist der Fall klar: Bei der Datenschutzverordnung handelt es sich um eine Erfolgsgeschichte.

Die wichtigsten Ergebnisse im Überblick

Worauf beruht diese Annahme? Die EU-Kommission befindet, dass die DSGVO in den ersten zwei Jahren bereits wesentlich zu einer europäischen Datenschutz-Kultur beigetragen habe. Denn die Rechte des Einzelnen seien gestärkt worden. Verstöße könnten schneller und härter durch Aufsichtsbehörden geahndet werden und Unternehmen profitierten von gleichen Wettbewerbsbedingungen hinsichtlich des Datenschutzes und -flusses im gemeinsamen Binnenmarkt. Es gebe allerdings auch Defizite insbesondere bei der Umsetzung der DSGVO:

  1. Bei größeren Verfahren mit grenzüberschreitender Bedeutung machten die Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten noch zu selten Gebrauch von „joint operations“ die auch in „joint investigations“ münden könnten. Wichtige Verfahren seien oftmals bei einer Datenschutzbehörde anhängig und würden zu lange dauern, was auch auf unterschiedliche Verwaltungsvorschriften (z.B. Fristen) der Länder zurückzuführen sei. Aus Deutschland gab es bereits im Vorfeld Forderungen, wichtige, ressourcenintensive Verfahren stärker auf EU-Ebene zu bündeln.
  2. Die Datenschutzaufsichtsbehörden würden unterschiedlich Gebrauch von den in der DSGVO vorgesehenen Sanktionsinstrumenten machen. Während einige Mitgliedstaaten viele und/oder hohe Bußgelder verhängten (z.B. Großbritannien und Frankreich), sei dies in anderen Ländern nicht der Fall. Eine zeitweise Untersagung der Datenverarbeitung wurde zum Beispiel noch nicht ausgesprochen. Auch der Rahmen bei Bußgeldern (bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens) wurde selten ausgeschöpft.
  3. Die personelle Ausstattung sowie die Unabhängigkeit der Datenschutzbehörden in bestimmten Mitgliedstaaten trage ebenfalls zur ungleichen Umsetzung der DSGVO bei. Insbesondere in Irland und Luxemburg, wo die größten Tech-Unternehmen ihren EU-Sitz haben, dürfe sich die Ressourcenausstattung nicht an der Bevölkerungszahl orientieren. Im Juli wird in diesem Zusammenhang eine erste wegweisende Entscheidung der irischen Datenschutzbehörde gegen Twitter erwartet.

Die EU-Kommission kündigte an, diese drei Aspekte genauer zu beobachten und erwägt Vertragsverletzungsverfahren gegen Mitgliedstaaten, die die DSGVO nicht einhalten bzw. durchsetzen würden. Damit erhöht die EU-Kommission deutlich den Druck auf die Mitgliedsländer, konsequenter gegen Datenschutzverstöße vorzugehen – und so mittelbar auch auf Unternehmen. Eine wichtige Rolle werden künftig auch Gerichtentscheidungen spielen, wie das Urteil in Frankreich vom 19. Juni 2020, das ein 50-Millionen-Euro-Bußgeld gegen Google bestätigte.

Betroffenenrechte werden noch zu selten wahrgenommen

Die EU-Kommission sieht weitere Defizite in der Ausübung der so genannten Betroffenenrechte. Neben Auskunfts-, Lösch- und Berichtigungsrechten sollen Betroffene ihre Daten auch von einem Dienst zu einem anderen Service mitnehmen, sprich portieren können. In diesem Recht sieht die Kommission großes Potenzial, weil Datenportabilität nicht nur die Nutzung datenschutzfreundlicher Dienste fördern, sondern auch einen Beitrag gegen die Bildung von Datenmonopolen leisten könnte. In der Praxis erschweren jedoch fehlende technische Standards, Schnittstellen und maschinenlesbare Formate die Ausübung dieses Rechts. Die Kommission möchte diesen Aspekt, der eng mit Interoperabilität verbunden ist, im Digital Services Act (Vorlage Q4 2020) näher beleuchten.

Die enge Verknüpfung zwischen Datenschutz und Wettbewerb wurde erst in einem Urteil des Bundesgerichtshofs (BGH) vom 23.06.2020 bestätigt, der eine Anordnung des Bundeskartellamtes gegen Facebook für rechtens erklärte. Danach darf Facebook (vorerst) nicht mehr die Nutzerdaten unter seinen Diensten und mit Drittanbietern teilen. Mit der Einwilligung zu Facebook AGBs müssten Nutzer jedoch automatisch dieser Verknüpfung zustimmen. Das Bundeskartellamt befand, dass Facebook seine Marktmacht ausnutze und die AGBs missbräuchlich seien.

Die Prüfsteine kommen erst noch

Die EU-Kommission stellt fest, dass die DSGVO in der COVID-19-Krise im Zusammenhang mit den Corona-Tracing-Apps bewiesen habe, wie flexibel und technologieneutral sie sei. Bislang seien mehrere technisch unterschiedliche Apps entwickelt worden. Ob die DSGVO diese Bewährungsprobe bestanden hat, ist jedoch offen. Denn letztlich müssen die Daten der verschiedenen nationalen Tracing-Apps miteinander verbunden werden, um einen effektiven, grenzüberschreitenden Schutz zu entfalten. Hier äußerte ein Vertreter des Europäischen Datenschutzausschusses (EDSA) bereits Zweifel. Danach sei bislang nicht absehbar, wie Apps basierend auf dem dezentralen und zentralen Ansatz miteinander Daten austauschen könnten, ohne zu große Abstriche beim Datenschutz zu machen. Die bisher erarbeiteten Richtlinien zum Austausch von Gesundheitsdaten beziehen sich nur auf den dezentralen Ansatz.

Bislang ist auch noch unklar, wie sich die DSGVO-Vorschriften auf die Regulierung von Zukunftstechnologien wie Künstliche Intelligenz (KI), Blockchain, Internet of Things oder Gesichtserkennung auswirken werden bzw. wie die DSGVO-Prinzipien berücksichtigt werden können. In diesen Technologiebereichen werden erst die in der EU-Datenstrategie angekündigten Regulierungsvorhaben in den nächsten Jahren erwartet. Dazu gehören zum Beispiel die Folgemaßnahmen zum Weißbuch KI, der Rechtsakt über Daten sowie ein Governance-Rahmen für Datenräume. Auch die ePrivacy-Verordnung, bei der unter der deutschen EU-Ratspräsidentschaft eine Einigung angestrebt wird und die die DSGVO ergänzen soll, wird über den Erfolg der DSGVO mitentscheiden. Die EU-Kommission erkennt diese Herausforderungen zwar an, bleibt in ihren Ausführungen jedoch vage. Sie will die Anwendung der DSGVO auf neue Technologien beobachten und bittet gleichzeitig den EDSA, entsprechende Richtlinien zu erlassen.

Ob die DSGVO für Zukunftstechnologien einen geeigneten, innovativen Regulierungsrahmen darstellt, werden wir daher vermutlich erst bei der nächsten Evaluation in 2024 erfahren. Das räumt die EU-Kommission übrigens auch selbst ein, da sie sagt, dass es für eine abschließende Beurteilung noch zu früh sei. Für Unternehmen und Verbraucher sind die Ergebnisse der aktuellen Evaluation dennoch interessant und relevant.