Vier Jahre Datenschutz-Grundverordnung


Zum 25. Mai 2022 feiert die Datenschutz-Grundverordnung (DS-GVO) ihren vierten Geburtstag. Wir möchten diese Gelegenheit auch in diesem Jahr zum Anlass nehmen, einen Blick auf die vergangenen zwölf Monate zu werfen, um sowohl positive als auch negative Aspekte der Datenschutzpraxis zu beleuchten. Nachdem im Jahr zuvor insbesondere die datenschutzrechtlichen Herausforderungen – aber auch Fehlvorstellungen – im Zusammenhang mit der pandemischen Lage zu thematisieren waren, haben die vergangenen Monate den Fokus vermehrt zurück auf die datenschutzrechtlichen Kernthemen legen lassen. Die zunehmende Digitalisierung von Prozessen führt dazu, dass es sich bei dem Rechtsgebiet des Datenschutzes keinesfalls um eine Modeerscheinung handelt, sondern zunehmend als elementarer Bestandteil der Compliance eines Unternehmens oder Behörde anzusehen ist.


ZUNEHMENDE SENSIBILISIERUNG

Aus den jährlich durch die Aufsichtsbehörden des Bundes und der Länder zu veröffentlichenden Tätigkeitsberichten ist regelmäßig zu entnehmen, dass die Zahlen der Beschwerden betroffener Personen sowie der gemeldeten Datenschutzverletzungen stetig steigen. Dies lässt zwei wesentliche Rückschlüsse zu: Auf der einen Seite wächst die datenschutzrechtliche Sensibilisierung der Menschen, wobei die Akzeptanz datenschutzwidriger Datenverarbeitungen, Prozesse und Geschäftsmodelle (leicht) sinkt. Auf der anderen Seite sind diese Entwicklung und die Wichtigkeit dieses Themas nach wie vor nicht bei allen verantwortlichen Stellen angekommen. Die Erfahrungen aus der Praxis zeigen, dass das Beschwerderecht gegenüber der jeweils zuständigen Aufsichtsbehörde durch die betroffene Person erst mit zunehmender Eskalation wahrgenommen wird. Die Eskalation ist meist der verantwortlichen Stelle selbst, in Form einer unzureichenden oder gänzlich ausbleibenden Reaktion auf eine erste Eingabe durch die betroffene Person oder gar durch offensichtlich vorsätzliches Missachten datenschutzrechtlicher Normierungen, zuzurechnen. Ausnahmen mögen auch in diesem Falle die Regel bestätigen, in der Gesamtheit zeigt es jedoch auch, dass dieser Mechanismus der Datenschutz-Grundverordnung Wirkung zeigt.

Auch zahlreiche Institutionen erkennen zunehmend die Wichtigkeit der datenschutzrechtlichen Sensibilisierung, insbesondere junger Menschen. Dies wird grundsätzlich auch dem des Datenschutzrechts zugrundeliegenden Grundrechts auf informationelle Selbstbestimmung gerecht. So bietet beispielsweise die Berliner Beauftragte für Datenschutz und Informationsfreiheit den Workshop „Datenschutz für Kinder“ in den Klassenstufen 4 bis 6 an. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bietet mit seiner Initiative „Datenschutz geht zur Schule“ ebenfalls eine Sensibilisierung zum Thema Datenschutz und einem bewussten Umgang mit dem Internet und sozialen Medien für Schüler:innen ab Klassenstufe 5. Aufgrund derartiger Initiativen und der fortlaufenden Berichterstattung durch die Aufsichtsbehörden ist zu erwarten, dass die datenschutzrechtliche Sensibilisierung in den nächsten Monaten und Jahren weiter zunehmen wird. Verantwortliche Stellen, die das Thema Datenschutz bislang stiefmütterlich behandelt haben, sollten zeitnah handeln. Das Risiko der Verhängung von Bußgeldern oder gar der Untersagung bestimmter Datenverarbeitungen steigt.


GELTENDMACHUNG VON BETROFFENENRECHTEN

Einher mit der zunehmenden datenschutzrechtlichen Sensibilisierung betroffener Personen geht die Geltendmachung von Betroffenenrechten. Neben dem Recht auf Löschung personenbezogener Daten (Art. 17 DS-GVO) stellt das Auskunftsrecht (Art. 15 DS-GVO) das in der Praxis wohl relevanteste Betroffenenrecht dar. Jedoch wird insbesondere das Auskunftsrecht durch betroffene Personen nicht ausschließlich für die Kenntniserlangung des „ob“ und „wie“ der Datenverarbeitung, sondern gleichwohl zur Vorbereitung anders gelagerter rechtlicher Verfahren verwendet. Umso weniger erstaunt es dabei, dass das Auskunftsrecht regelmäßig Gegenstand von Gerichtsentscheidungen ist. Beispielhaft zu benennen sind hierbei die Entscheidung des LG Wuppertal (Urt. v. 29.07.2021 – Az.: 4 O 409/20), welches in bestimmten Fällen die Möglichkeit sieht, einem Auskunftsverlangen nach Art. 15 DS-GVO den Einwand des Rechtsmissbrauches nach § 242 BGB entgegenzuhalten, die Entscheidung des OLG München (Urt. v. 04.10.2021 – Az.: 3 U 2906/20), welches durch das Auskunftsrecht ebenfalls Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe umfasst sieht sowie die Entscheidung des BGH (Urt. v. 22.02.2022 – Az.: VI ZR 14/32) zur Beschränkung des Auskunftsrechts über die Herkunft von Daten durch datenschutzrechtlich geschützte Interessen Dritter. Allein in den letzten sechs Monaten war das Auskunftsrecht Gegenstand von knapp 50 gerichtlichen Entscheidungen. Dieser Umstand zeigt die zunehmend hohe Relevanz, aber auch Komplexität bezüglich der Geltendmachung von Betroffenenrechten auf. Verantwortliche Stellen sollten diesbezüglich über einheitliche und erprobte Prozesse zur Reaktion auf Betroffenenanfragen etablieren sowie Unterstützung durch Experten auf dem Gebiet des Datenschutzrechts sicherstellen. Eine Hilfestellung kann auch die Leitlinie des Europäischen Datenschutzausschusses zum Auskunftsrecht aus Februar 2022 geben.


GESAMTHEITLICHE BETRACHTUNG

Die letzten Monate haben jedoch auch gezeigt, dass eine isolierte Betrachtung des Datenschutzrechts nicht zielführend sein kann. Einerseits bedeutet dies für verantwortliche Stellen, dass datenschutzrechtliche Belange bereits frühzeitig in die Planungsphase neuer Systeme, Anwendungen und Prozesse einzubeziehen und zu berücksichtigen sind. Andererseits bedarf es einer Betrachtung des Datenschutzrechts im Umfeld weiterer rechtlicher und technischer Anforderungen. Aktuelle Beispiele, welche in diesem Zusammenhang benannt werden können, sind sowohl das im Dezember 2021 in Kraft getretene Telekom­mu­ni­kations-Telemedien-Datenschutz­gesetz (TTDSG) als auch die Aspekte der IT-Sicherheit, die spätestens mit der Log4j-Schwachstelle oder den im Zusammenhang mit dem Angriff Russlands auf die Ukraine auftretenden Cyber-Angriffen in den Fokus gerückt sind.

Im Rahmen der BvD-Verbandstage 2022 betonte Dr. Nina Elisabeth  Herbort, Referentin bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit, dass es sehr wohl Aufgabe des Datenschutzbeauftragten ist, neben den datenschutzrechtlichen Anforderungen der DS-GVO und des BDSG auch Anforderungen weiterer einschlägiger Gesetze wie dem TTDSG im Blick zu haben und verantwortliche Stellen entsprechend zu beraten und zu sensibilisieren. Gerade im Bereich der Internetseiten lassen sich die Anforderungen der unterschiedlichen Gesetze kaum isoliert voneinander betrachten. Dass insbesondere im Bereich der Internetseiten viele verantwortliche Stellen erheblichen Nachholbedarf haben und es zukünftig einer wesentlich besseren Zusammenarbeit zwischen Marketing und Öffentlichkeitsarbeit sowie dem Datenschutzbeauftragten bedarf, zeigen die länderübergreifende Prüfung der Internetseiten von Medienunternehmen sowie die Beschwerden von NOYB – Europäisches Zentrum für digitale Rechte des bekannten Datenschutzaktivisten Max Schrems.


PROBLEM DRITTLANDÜBERMITTLUNG

Eine Thematik, die nahezu alle verantwortlichen Stellen und Datenschutzbeauftragten auch im vierten Jahr der Datenschutz-Grundverordnung beschäftigt hat, betrifft (nach wie vor) die Übermittlung personenbezogener Daten in Drittländer, das heißt in Länder außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR). Zwar sind im Juni 2021 durch die Europäische Kommission neue Standarddatenschutzklauseln verabschiedet worden, jedoch kann hierdurch nicht von einer Vereinfachung der Drittlandübermittlung die Rede sein. Viel mehr ermöglichen diese den verantwortlichen Stellen unter Vornahme eines hohen dokumentarischen Aufwandes eine Argumentation, aus welchen zwingenden Gründen es einer derartigen Übermittlung personenbezogener Daten bedarf. Gegenstand dieser Argumentation hat nach Klausel 14 der neuen Standarddatenschutzklauseln insbesondere eine Auseinandersetzung mit den aktuellen rechtlichen Regularien innerhalb des jeweiligen Ziellandes, eine detaillierte technische Beschreibung der Datenübermittlung einschließlich getroffener technischer und organisatorischer Maßnahmen sowie – unter Interpretation der Ansichten der Aufsichtsbehörden – eine Darlegung fehlender gleichwertiger Alternativen zu einer Datenverarbeitung innerhalb der EU bzw. des EWR, zu sein.

Gleichwohl die neuen Standarddatenschutzklauseln vielfach Anwendung finden und zu Teilen als Erleichterung wahrgenommen werden, muss die Frage erlaubt sein, welcher konkrete Mehrwert durch eine zusätzliche interne Dokumentation erreicht werden soll. Auch wenn eine detaillierte Auseinandersetzung zu einem höheren Bewusstsein derartiger Datenübermittlungen führen kann (!), wird die Argumentation durch die verantwortliche Stelle in der Regel dergestalt aufgebaut werden, dass eine Datenübermittlung als legitim angesehen werden kann. Der derzeit beschrittene Weg führt zu einer Dokumentation bei jeder übermittelnden Stelle, welche im Zweifelsfall einer separaten Kontrolle durch die jeweils zuständige Aufsichtsbehörde bedarf. Könnte durch eine entsprechende Verpflichtung der empfangenden Stelle (z.B. Microsoft, Google, Amazon) mit geringerem Aufwand nicht ein viel höherer Nutzen erreicht werden?

Im März 2022 wurde nun bekannt, dass die EU und die USA bereits an einem Nachfolgeabkommen zum EU-US-Privacy Shield arbeiten. Hiermit sollte nach vorsichtiger Schätzung jedoch nicht vor Ende 2022 gerechnet werden. Auch wenn die Hoffnungen groß sind, dass durch ein solches Abkommen bei Drittlandübermittlungen wieder mehr Rechtssicherheit herrscht, sei bereits verraten, dass Max Schrems bereits angekündigt hat, hiergegen vorzugehen. Dass das Nachfolgeabkommen zu Safe Harbour und dem Privacy Shield in diesem Falle nur einige Monate Bestand haben dürfte, ist ein offenes Geheimnis. Das Ziel des neuen Abkommens sollte eindeutig ein anderes sein.


FAZIT

Auch in den vergangenen zwölf Monaten stand die Datenschutz-Welt nicht still. Die zunehmende Sensibilität betroffener Person sowie die fortschreitende Komplexität der Rechtsnormen sorgt für ein kontinuierliches Arbeitspensum für verantwortliche Stellen und Datenschutzbeauftragte. Handlungsbedarf besteht sowohl für verantwortliche Stellen in der Umsetzung der aktuellen Anforderungen als auch für die Europäische Kommission zur Schaffung einer möglichst rechtssicheren Drittlandübermittlung. Darüber hinaus bleibt nur abzuwarten, welche Chancen und Herausforderungen uns in den nächsten zwölf Monaten erwarten werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Mitgliedschaften des Dresdner Instituts für Datenschutz