Während die Evaluierungsklausel in Art. 97 DS-GVO weitgehend leerläuft – weil für inhaltliche oder auch nur redaktionelle Änderungen der DS-GVO derzeit die politische Kraft fehlt – wurde das Versprechen in § 54 Abs. 4 DSG-EKD eingehalten: Die Evangelische Kirche Deutschlands hat ihr Datenschutzrecht geprüft und weiterentwickelt. Mit Beschluss der EKD-Synode vom November 2024 und mit Wirkung ab 1. Mai 2025 wurden zahlreiche Regelungen verändert. Einen Überblick über die Änderungen geben wir im nachfolgenden Blog-Beitrag.

Zu den Zielen der Reform

Das dabei verfolgte Ziel – kommuniziert in den Beratungen und erfreulicherweise auch klar erkennbar an der Novelle selbst – war ein Doppeltes: Einerseits sollten kirchliche Bedürfnisse (noch) stärker berücksichtigt werden und andererseits war der in Art. 91 DS-GVO geforderte Einklang mit den Vorgaben der DS-GVO abzusichern. Letzteres wiederum aus zwei Gründen:

• Der Einklang mit der DS-GVO ist (teilweise) Wirksamkeitsvoraussetzung für das kirchliche Recht. Diesbezügliche Unsicherheiten und Zweifel könnten die Rechtsanwendung behindern.

• Eine Anpassung des Kirchenrechts an die DS-GVO überall dort, wo nicht aus guten Gründen – nämlich kirchlichen Bedürfnissen – Abweichungen nötig sind, dient auch der einfacheren Rechtsanwendung. In vielen Konstellationen haben verantwortliche Stellen neben dem DSG-EKD gleichzeitig die DS-GVO zu beachten oder kooperieren mit anderen verantwortlichen Stellen, für die staatliches Recht – also die DS-GVO – gilt.

Um es vorwegzunehmen: Die Fortentwicklung des DSG-EKD ist gelungen. Wer sich selbst überzeugen und auf den Rechtswechsel per 1. Mai 2025 vorbereiten möchte, findet in der Beschlussvorlage der EKD-Synode ab Seite 39 eine hilfreiche Synopse zwischen Ausgangstext und Neufassung mit zugehörigen Erläuterungen. Bei der Beschlussfassung selbst wurde lediglich in § 36 Abs. 5 noch das Wort schriftlich ersetzt durch in Textform. Die meisten Änderungen sind – im besten Sinne des Wortes – redaktioneller Art: Viele Bestimmungen wurden klarer und kürzer gefasst, Widersprüche und Fehler beseitigt.

Ein sehr bitterer Wermutstropfen ist allerdings, dass man gleichzeitig mit der Annäherung an die DS-GVO (eindeutig: mehr Bürokratie, dazu sogleich) die Mindest-Datenschutz-Ressourcen einkürzt (siehe unten zu § 38). Wie im staatlichen Bereich scheint als Bürokratie-Abbau zu gelten: „Wir regeln den Datenschutz aufwändig und setzen ihn anschließend nicht um.“

Aus „welt- und kirchenfremder“ Sicht könnte man – gerade angesichts der jedem Praktiker bekannten Missstände und erheblichen Probleme bei der Anwendung der DS-GVO – bedauern, dass der Kirchengesetzgeber seine autonomen Möglichkeiten nicht mutig genutzt hat, um das Datenschutzrecht auch gegenüber der DS-GVO fortzuentwickeln. Derartige Wünsche verkennen aber wahrscheinlich die Möglichkeiten und Ziele kirchlichen Datenschutzrechts. Verbesserungen des EU-Datenschutzrechts müssen in Brüssel und in den Mitgliedstaaten erarbeitet werden.

Einige Änderungen im Überblick

Zu einzelnen Punkten:

• In § 12 DSG-EKD betreffend die Einwilligung Minderjähriger wird die aus der DS-GVO übernommene Einschränkung auf „elektronische Angebote“ herabgestuft als Anwendungsbeispiel. An dieser Stelle ist das DSG-EKD dann doch der DS-GVO voraus.

• Betroffenenrechte müssen gemäß § 16 Abs. 3 DSG-EKD nunmehr „unverzüglich, in jedem Fall innerhalb von drei Monaten nach Eingang des Antrags“ bedient werden. Dies entspricht in Summe der Frist der DS-GVO (einmonatige Bearbeitung zuzüglich zweimonatiger Verlängerung).

• In § 17 Abs. 1 DSG-EKD beugt sich der kirchliche Gesetzgeber bei der Informationspflicht gegenüber Betroffenen nun doch der Vorgabe der DS-GVO. Bisher war im Bereich der EKD die Information Betroffener nur auf Verlangen geschuldet. Wegen der – aus Sicht des Verfassers: unbegründeten Zweifel, ob dies im Einklang mit der DS-GVO stehe, wurde die Vorschrift geändert. Damit ergibt sich auch für kirchliche Stellen erheblicher Informationsaufwand ins Blaue hinein – mit zweifelhaftem Datenschutz-Effekt.

• Für Fälle automatisierter Entscheidungsfindung ist in § 17 Abs. 2 Nr. 5 DSG-EKD jetzt der Wortlaut aus Art. 13 Abs. 2 lit. f) DS-GVO übernommen und zwar – obwohl der kirchliche Gesetzgeber offenbar vom Text der DS-GVO sprachlich wenig begeistert war – in Gänze, „um an der Auslegung der DS-GVO partizipieren zu können“ (Erläuterung in der Synopse der Beschlussvorlage). Dem entspricht dann eine Ergänzung beim Auskunftsrecht, § 19 Abs. 1 Nr. 8 der Neufassung).

• In § 19 Abs. 4 DSG-EKD wurde jetzt ergänzend zum Recht auf Auskunft auch der Anspruch auf eine „Kopie der personenbezogenen Daten“ eingefügt. Dies dient wieder dem „Einklang“ mit der DS-GVO.

• Gestrichen ist – wieder mit dem Ziel der bestmöglichen Absicherung des „Einklangs“ mit der DS-GVO – die Möglichkeit der Auskunftsverweigerung bei unverhältnismäßigem Aufwand, § 19 Abs. 4 DSG-EKD a. F.

• Nach § 19 Abs. 7 DSG-EKD bleibt die Auskunftsverweigerung wegen unverhältnismäßigen Aufwands jetzt nur noch bei Verarbeitung nach § 50 DSG-EKD, also zu Archiv-, Forschungs- und statistischen Zwecken möglich. Auch diese Anpassung „Richtung DSGVO“ wird in der Praxis Mehraufwand bedeuten.

• An verschiedenen Stellen wurde das „kirchliche Interesse“ oder „wichtige kirchliche Interesse“ als Kriterium für die Datenverarbeitung oder die Einschränkung von Betroffenenrechten gestrichen, z. B. in § 22 Abs. 2 und § 24 Abs. 2 DSG-EKD.

• Ebenfalls mehrfach im Gesetz, z. B. in § 30 Abs. 3 sowie § 36 Abs. 5 DSG-EKD, ist die Schriftform durch das Erfordernis der Textform ersetzt und damit geklärt, dass auch elektronische Texte den gesetzlichen Anforderungen genügen.

• Für die Praxis wichtig und erleichternd wird in § 30 Abs. 5 DSG-EKD gestattet, dass nicht-kirchliche Auftragsverarbeiter auch ohne Unterwerfung unter die kirchliche Datenschutzaufsicht genutzt werden können.

• § 30a DSG-EKD gestattet „zentrale Verfahren“, bei denen – wiederum die kirchliche Verwaltung deutlich erleichternd – „die Verteilung der datenschutzrechtlichen Aufgaben, Befugnisse und Verantwortlichkeiten zwischen den beteiligten verantwortlichen Stellen“ kirchenrechtlich abweichend vom DSG-EKD festgelegt werden darf.

• Der – unnötige und nur historisch tradierte – Begriff der „Betriebsbeauftragten“ neben den „örtlich Beauftragten“ wurde in § 36 DSG-EKD gestrichen und ist damit endgültig Geschichte.

• In derselben Norm folgt der Kirchengesetzgeber dem Schwellwert in § 38 BDSG: Auch in kirchlichen Stellen sind künftig örtlich Beauftragte für den Datenschutz notwendig, wenn „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ betraut – nicht: beschäftigt – sind. Beim Schwellenwert und dem Abstellen auf automatisierte Verarbeitungen folgt der Kirchengesetzgeber also dem BDSG-Vorbild für nicht-öffentliche Stellen – allerdings auch für Kirchenbehörden. Ausweislich der Begründung geht er bewusst andere Wege, indem neben Beschäftigten auch ehrenamtlich Tätige berücksichtigt (mitgezählt) werden („betraut“ anstelle „beschäftigt“).

• Der Maximalbetrag für Bußgelder der Aufsichtsbehörde wurde in § 42 Abs. 5 DSG-EKD von 500.000 Euro auf 6 Millionen Euro erhöht.

• Als § 50b DSG-EKD finden sich neue Regelungen zur Kommunikation mit den Mitgliedern, auch zur Datenverwendung innerhalb der Gemeinde (bei Amtshandlungen und Jubiläen) sowie für „das Werben um persönlichen und finanziellen Einsatz für kirchliche und diakonische Zwecke“.

Fazit

Parallel zur gesetzlichen Neuregelung ergibt sich auch eine wichtige organisatorische Veränderung: Seit Jahresbeginn liegt die Datenschutzaufsicht für alle Gliedkirchen und diakonischen Werke vollständig beim Datenschutzbeauftragten der EKD. Der Internetauftritt mit zahlreichen Informationen und Arbeitshilfen zum Datenschutz der EKD findet sich unter datenschutz.ekd.de. Detaillierte und fundierte Informationen über den gesamten Gesetzgebungsprozess finden sich – wie immer bei Themen des kirchlichen Datenschutzrechts – im Datenschutz-Blog artikel91.eu.

Auf die Anwender des DSG-EKD in den verantwortlichen Stellen kommt einige Arbeit zu – bezeichnender Weise ganz überwiegend dort, wo sich das Kirchenrecht auf die DS-GVO zubewegt. Der Arbeitsschwerpunkt 2025 für örtlich Beauftragte könnte deshalb z. B. lauten: Hilfestellung geben beim Aufbau der (künftig obligatorischen) Informationstexte. Und der Appell an die verantwortlichen Stellen: Bitte nicht mit dem neuen Schwellenwert das Datenschutz-Personal abbauen. Das DS-GVO-nahe DSG-EKD verursacht mehr Arbeit als zuvor – nicht weniger. Frohes Schaffen!

Update 20. Januar 2025: Am 15. Januar 2025 wurde das gesamte EKD-Datenschutzgesetz in konsolidierter Fassung im Amtsblatt der EKD abgedruckt und ist hier abrufbar. Darüber hinaus ist die dargestellte Synopse samt Begründung vollständig – auch betreffend die letzte Änderung im Gesetzgebungsverfahren zu § 36 Abs. 5 DSG-EKD – hier veröffentlicht. Wir danken unserer Leserschaft für die eingebrachten Hinweise!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Warnung vorweg: Das folgende ist Werbung in eigener Sache, also naturgemäß nicht neutral.

Nach jahrelanger Arbeit ist im Dezember der erste und bislang einzige Kommentar zum Datenschutzgesetz der Evangelischen Kirche Deutschlands (DSG-EKD) erschienen. Er vereint 19 Autoren, darunter alle Aufsichtsbehörden der Evangelischen Kirche in Deutschland (EKD), staatliche Aufsichtsbehörden, im Kirchendatenschutz spezialisierte Berater sowie Vertreter der Kirchenverwaltung und der Wissenschaft.

Der Kommentar behandelt das Datenschutzrecht der EKD vollständig und eigenständig, verweist Leser also nicht auf die Datenschutz-Grundverordnung und deren Kommentierungen. Damit wird ein großer Vorteil des DSG-EKD und des kirchlichen Datenschutzes genutzt: Während staatliches Datenschutz-Recht über Datenschutz-Grundverordnung, Bundesdatenschutzgesetz und Landesgesetze verstreut ist – vielleicht nie so zersplittert war, wie derzeit – regeln die Kirchen den Datenschutz „in einem Guss“. Das bietet den anwendenden Personen deutlich mehr Klarheit und Übersicht.

753 Seiten kosten 119,00 Euro. Für alle im Bereich der EKD tätigen Datenschutzbeauftragten kann das Buch die tägliche Arbeit hoffentlich erleichtern und gehört sicher zu den notwendigen Mitteln, die von der jeweiligen Einrichtung zur Verfügung gestellt werden (§ 37 Abs. 1 Satz 5 DSG-EKD).

Die Evaluierung des DSG-EKD hat im vergangenen Jahr begonnen und wird im laufenden Jahr vielleicht abgeschlossen. Es wäre schön, wenn der kirchliche Gesetzgeber die hier und da in den letzten Jahren sichtbar gewordenen Verbesserungsmöglichkeiten nutzt, gleichzeitig aber den Mut findet und behält, den Datenschutz eigenständig, unter Berücksichtigung kirchlicher Besonderheiten und im besten Falle einfacher, klarer und wirksamer als in der Datenschutz-Grundverordnung zu regeln.

Alle Mitwirkenden am Kommentar freuen sich über Reaktionen aus dem Leserkreis, sei es Kritik, Lob oder eine Anregung für künftige Änderungen/Ergänzungen.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Zum 25. Mai 2023 feiert die Datenschutz-Grundverordnung (DS-GVO) ihren fünften Geburtstag der Anwendbarkeit. Wie bereits in den letzten Jahren, nehmen wir uns den Geburtstag zum Anlass, einen kritischen Blick auf die Datenschutz-Welt zu werfen, über Herausforderungen und Grenzen zu sprechen sowie absehbare Entwicklungen darzustellen.

Berechtigte Angst vor Abmahnungen?

Die Anfangszeit der DS-GVO war auf Seiten der Unternehmen und Behörden geprägt von Überforderung, Unsicherheit und Angst. Angst, dass es aufgrund datenschutzrechtlicher Verstöße vermehrt zu Massenabmahnungen kommen könne. Nachdem es für lange Zeit danach aussah, dass diese Angst vollkommen unbegründet zu sein scheint, kam im fünften Jahr der DS-GVO Bewegung in die Sache – und wurde im Keim erstickt:

Nachdem das LG München I bereits im Januar 2022 entschied, dass die dynamische Einbindung von Google Fonts nicht auf das berechtigte Interesse eines Verantwortlichen gestützt werden könne, kam es in der zweiten Jahreshälfte 2022 flächendeckend zu Abmahnungen durch mehrere Anwaltskanzleien. Das offensichtliche Ziel, hieraus ein für die Abmahnenden nachhaltiges Geschäftsmodell zu etablieren, scheiterte kläglich. Im Dezember 2022 folgten bei den betreffenden Anwälten Hausdurchsuchungen, zudem wurden teils Ermittlungen wegen gewerbsmäßiger Erpressung und schwerem gewerbsmäßigem Betrug aufgenommen. Abmahnungen wegen datenschutzrechtlicher Verstöße sind zwar auch zukünftig grundsätzlich möglich, es werden jedoch regelmäßig tatsächliche Beeinträchtigungen des Rechts auf informationelle Selbstbestimmung nachzuweisen sein.

Drittlandübermittlung als Dauerbrenner

Bereits im vergangenen Jahr berichteten wir mehrmals über die Herausforderungen im Zusammenhang mit der Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer. Nachdem im März 2022 bekannt wurde, dass die EU und die USA an einem Nachfolgeabkommen zum EU-US-Privacy Shield arbeiten, erfolgte im Oktober 2022 der Erlass einer Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086). Hierdurch wurde die Grundlage für die Umsetzung des „EU-US Privacy Framework“ geschaffen. Auf Grundlage der Executive Order folgte am 13. Dezember 2022 der Beschlussentwurf der Europäischen Kommission über die Angemessenheit des Schutzniveaus personenbezogener Daten nach dem EU-U.S. Data Privacy Framework. Hierdurch soll der neue Rechtsrahmen für Datenübermittlungen zwischen der EU und den USA geschaffen werden.

Die Resonanz hierüber fällt unterschiedlich aus: Während der Europäische Datenschutzausschuss die Verbesserungen begrüßt, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit deutliche Fortschritte erkennt und auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit sich positiv zu den Entwicklungen äußert, zeigen sich andere Aufsichtsbehörden unbeeindruckt und zweifeln die Belastbarkeit eines bevorstehenden Angemessenheitsbeschlusses bereits im Vorfeld an. Hierbei wird deutlich, dass selbst wenn ein solcher Angemessenheitsbeschluss im Sommer dieses Jahres kommen sollte, in diesem Zusammenhang noch lange nicht das letzte Wort gesprochen ist. Die Drittlandübermittlung ist und bleibt eine Großbaustelle in der Datenschutz-Welt.

War die DS-GVO so nicht gemeint?

Der unterschiedliche Umgang mit datenschutzrechtlichen Sachverhalten, wie beispielsweise der Drittlandübermittlung, durch Unternehmen, Behörden, Aufsichtsbehörden und Gerichte zeigt sowohl die zum Teil bestehenden rechtlichen Unsicherheiten als auch die deutlich voneinander abweichenden Sichtweisen auf. Weiterhin ist nach Ansicht der Rechtsanwendenden deutlich erkennbar, dass die Auslegung der datenschutzrechtlichen Normen hierzulande zu restriktiv erfolgt und Datenschutz schließlich sogar die Digitalisierung verhindere. Hervorzuheben ist hierbei, dass gemäß Art. 1 Abs. 3 DS-GVO sowie Erwägungsgrund 4 zur DS-GVO der freie Verkehr personenbezogener Daten in der Europäischen Union aus Gründen des Datenschutzes weder eingeschränkt noch verboten werden dürfe, die Verarbeitung personenbezogener Daten jedoch auch im Dienste der Menschheit stehen solle. „Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden.“

Inwiefern diese Grundsätze in der Rechtspraxis tatsächlich Anwendung finden, darf an der einen oder anderen Stelle angezweifelt werden. Es zeigt jedoch auch deutlich auf, dass Datenschutzrecht nicht als Recht zur Verhinderung jeglicher Fortentwicklung konzipiert wurde. Datenschutzrecht soll auch der Menschheit dienen. Es bedarf einer verhältnismäßigen Verknüpfung von technischer Fortentwicklung, Datenschutz und IT-Sicherheit – auf Seiten der Anwendenden und Überwachenden. Eben an dieser (und an einigen anderen Stellen) wird in Zukunft ein Umdenken erforderlich sein.

Künstliche Intelligenz und Datenschutz

Die Nutzung künstlicher Intelligenz stellt auch die Welt des Datenschutzes vor neue Herausforderungen. Befeuert durch das temporäre Verbot von ChatGPT in Italien, wird die Frage aufgeworfen, welche datenschutzrechtlichen Anforderungen an eine rechtskonforme Nutzung von künstlicher Intelligenz zu stellen sind. An erster Stelle ist hierbei das Transparenzgebot zu nennen. Michael Will, Datenschutzbeauftragter beim bayerischen Landesamt für Datenschutz, formuliert es treffend: „[…] KI darf keine Blackbox sein, wo hinter einer Wand dann alles Mögliche geschehen kann […].“ Anbietende von KI-Anwendungen müssen transparent beschreiben, inwieweit personenbezogene Daten verarbeitet, zur Verbesserung der Anwendung genutzt und gegebenenfalls an Dritte übermittelt werden. Diese Anforderungen ergeben sich – unabhängig von der Nutzung künstlicher Intelligenz – aus Art. 13 DS-GVO, wobei deren vollumfängliche Umsetzung im Zusammenhang mit KI deutlicher schwerer sein dürfte.

Es bleibt abzuwarten, welche weiteren regulatorischen Anforderungen aufgrund des europäischen AI Acts in Zukunft gelten und wie sich die Regelungen der DS-GVO in das neue Normgefüge einordnen werden. Auch hier gilt jedoch: Datenschutz verbietet nicht grundsätzlich die Nutzung künstlicher Intelligenz. Es werden lediglich Spielregeln aufgestellt, an die es sich zu halten gilt.

Ist mit einer Überarbeitung der DS-GVO zu rechnen?

Im Zusammenhang mit Kritik an der DS-GVO wird oftmals eine Überarbeitung dieser gefordert – zurecht? Gemäß Art. 97 Abs. 1 DS-GVO hat die Europäische Kommission dem Europäischen Parlament und dem Rat regelmäßig einen Bericht über die Bewertung und Überprüfung der DS-GVO vorzulegen. Nachdem ein solcher erstmalig bereits im Jahr 2020 vorgelegt wurde und keinen Änderungsbedarf dargelegt hat, steht die erneute Bewertung und Überprüfung für 2024 aus.

Auch wenn unterschiedlichsten Parteien die Möglichkeit zur Stellungnahme gegeben sein wird, ist voraussichtlich nicht mit wesentlichen Änderungen an der DS-GVO zu rechnen. Insbesondere unter Berücksichtigung des langwierigen Entstehungsprozesses der DS-GVO, wird diese wohl noch einige Jahre im Status quo verweilen. In diesem Zusammenhang ist jedoch darauf hinzuweisen, dass sich aufgrund der zunehmenden Anzahl an Gerichtsentscheidungen hinsichtlich einiger Rechtsfragen vermehrt Anwendungssicherheit einstellt. Mit einer wesentlichen Überarbeitung der datenschutzrechtlichen Normen, ginge diese unter Umständen zu großen Teilen wieder verloren.

Fazit

Die DS-GVO ist das, als was man sie sehen möchte. Vertritt man die Ansicht, Datenschutz verhindere Fortschritt und Digitalisierung, so wird man hierfür die entsprechenden Argumente und Beispiele in der Praxis finden. Sieht man die DS-GVO hingegen als Chance für einen angemessenen Schutz der Rechte und Freiheiten natürlicher Personen im digitalen Wandel, ergeben sich auch hierfür entsprechende Nachweise. Von zentraler Bedeutung wird sein, welche Position die DS-GVO im Hinblick auf kommende regulatorische Anforderungen (z.B. Digital Markets Act, Digital Services Act, AI Act) einnehmen wird und mit welchem (Selbst-)Verständnis die Normen des Datenschutzes angewandt werden.

Anlässlich des 5. Jahrestages der Geltung der DS-GVO laden der Europäische Datenschutzbeauftragte, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und der Bayerische Landesbeauftragte für den Datenschutz ein zur Veranstaltung: Fünf Jahre DS-GVO: Immer noch ein Maßstab in der digitalen Landschaft der EU?

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

EVALUATION DER DS-GVO IM JAHR 2020

Gemäß Art. 97 Abs. 1 S. 1 DS-GVO hatte die Kommission bis zum 25. Mai 2020 dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung der DS-GVO vorzulegen. Dieser wurde mit rund einem Monat Verspätung am 24. Juni 2020 veröffentlicht. Gegenstand dieses Berichts können gemäß Art. 97 Abs. 2 DS-GVO insbesondere die Anwendung und Wirkweise des Kapitels V der DS-GVO über die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen sowie des Kapitels VII bezüglich der Zusammenarbeit und Kohärenz der Aufsichtsbehörden sein. Die Kommission hat dabei die Möglichkeit unter Berücksichtigung der Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft geeignete Vorschläge zur Änderung der Verordnung vorzulegen.

In ihrem Bericht zieht die Kommission eine überwiegend positive Bilanz, greift in den Ausführungen aber insbesondere hinsichtlich der Zusammenarbeit der Aufsichtsbehörden untereinander zu kurz. Zwar ist hervorzuheben, dass die (personelle) Ausstattung der Aufsichtsbehörden zur Sicherstellung ihrer Aufgaben und Befugnisse gemäß Artt. 57, 58 DS-GVO nicht den aktuellen Anforderungen entspricht, jedoch stellt dies nur ein Teil des wesentlichen Problems dar. Im Speziellen am Beispiel der irischen Datenschutzaufsichtsbehörde wird deutlich, dass das sogenannte „One-Stop-Shop-Prinzip“ Potenzial zu Nachbesserungen bietet: Von 197 bei der irischen Aufsichtsbehörde anhängigen Verfahren, liegen gerade einmal zu vier Verfahren Entscheidungen vor.

DAS PROBLEM MIT DER DRITTLANDÜBERMITTLUNG

Mit Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) in der „Schrems II“-Entscheidung das sogenannte „EU-US-Privacy Shield“ für unzulässig erklärt. Die Begründung liegt darin, dass innerhalb der USA insbesondere aufgrund der Zugriffsmöglichkeiten von Geheimdiensten Datenverarbeitungen keinem gleichwertigen Datenschutzniveau unterliegen. Zwar sind Datenübermittlungen in die USA weiterhin möglich, beispielsweise unter Nutzung der Standardvertragsklauseln, jedoch sind hierbei technische und organisatorische Maßnahmen zu treffen, um einen möglichen Zugriff seitens der US-Behörden grundsätzlich auszuschließen.

Speziell im Bereich von Internetseiten, z.B. bei der Implementierung von US-amerikanischen Videodiensten, stellt sich immer wieder die Frage, auf welche Rechtsgrundlage nach Kapitel V der DS-GVO  die Datenverarbeitung gestützt werden kann. Insbesondere unter Berücksichtigung der Rechtsprechung des EuGH und BGH zur Cookie-Thematik drängt sich hierbei oftmals die ausdrückliche Einwilligung der betroffenen Person gemäß Art. 49 Abs. 1 S. 1 lit. a DS-GVO auf. Strittig ist dabei jedoch, ob die „Ausnahmen für bestimmte Fälle“ nach Art. 49 DS-GVO überhaupt im Rahmen von Internetseiten und den damit einhergehenden regelmäßigen Datenverarbeitungen und einer Vielzahl von Anwendungsfällen herangezogen werden dürfen. Wird dies verneint – eine nicht selten vertretene Meinung – führt das zwangsläufig zum Ausschluss derartiger Inhalte mit datenschutzrechtlichem Drittlandbezug. An dieser Stelle tritt bei Seitenbetreibern vor allem bei Diensten mit fehlenden gleichwertigen Alternativen innerhalb der EU schnell Ernüchterung ein. Es muss somit die Frage erlaubt sein, ob sich der internationale Datenschutz mit der DS-GVO in der Sackgasse befindet.

HERAUSFORDERUNGEN IN DER PANDEMIE

Im Rahmen der Pandemiebekämpfung wurden vermehrt Stimmen nach einer Lockerung des Datenschutzes beziehungsweise zu einer größeren Flexibilität in der Anwendung datenschutzrechtlicher Regelungen laut. Hierbei wird oft vergessen, dass es sich bei dem Recht auf informationelle Selbstbestimmung um ein aus den Grundrechten hergeleitetes Recht eines jeden Einzelnen handelt. Datenschutz ist somit Grundrechtsschutz.

Auch die Behauptung, der Datenschutz habe 70.000 Todesfälle verursacht, entbehrt jeglicher Grundlage. Ein exakter Blick auf die Normen der DS-GVO ergibt schnell: Datenverarbeitungen zum Schutz „lebenswichtiger Interessen“ (Art. 6 Abs. 1 S. 1 lit. d DS-GVO) sind ebenso ausdrücklich vorgesehen und zulässig wie Datenverarbeitungen „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren“ (Art. 9 Abs. 2 lit. i DS-GVO). Auch ein Blick in andere Länder zeigt, dass Datenschutz und ein erfolgreiches Pandemiemanagement einander nicht widersprechen müssen. Das in diesem Zusammenhang oftmals positiv vorangestellte Land Israel hat bereits im Jahr 2011 ein den europäischen Regelungen gleichwertiges Datenschutzniveau attestiert bekommen. Und auch in anderen Bereichen scheinen die rechtlichen Gegebenheiten nicht sonderlich von den hiesigen abzuweichen.

Oft in Vergessenheit gerät zudem, dass durch den Datenschutz und die Aufsichtsbehörden im Rahmen der Pandemiebekämpfung zahlreiche Maßnahmen mitgetragen werden. Seien es die vielfältigen Listen zur Kontaktnachverfolgung in Restaurants, Geschäften sowie im Rahmen körpernaher Dienstleistungen, die Realisierung von (nicht immer ganz datenschutzkonformen) Homeoffice-Lösungen oder die Nutzung von Videokonferenzsystemen mit Drittlandbezug. Letztgenanntes ist insbesondere im Zusammenhang mit Homeschooling ein viel diskutiertes Thema. Aber hat sich tatsächlich der Datenschutz die Defizite in diesem Bereich zuzuschreiben?

DER SCHLECHTE RUF DES DATENSCHUTZES

Vielfach steht der Datenschutz im Fokus diverser und kontroverser Diskussionen. Diese haben dabei häufig eines gemeinsam: Der Datenschutz verhindere ein bestimmtes Vorgehen oder verbaue Chancen und Möglichkeiten. Leider wird im Hinblick auf solche Debatten zu selten der tatsächliche Wahrheitsgehalt derartiger Behauptungen überprüft. Damit soll nun keine absolut konträre Darstellung erfolgen, grundsätzlich sei alles möglich. Durch die datenschutzrechtlichen Regelungen werden jedoch viel eher Rahmenbedingungen festgelegt, die datenverarbeitende Stellen zu achten und durch technische und organisatorische Maßnahmen sicherzustellen haben. Abstrakt betrachtet gilt Gleiches für eine Vielzahl weiterer Rechtsgebiete.

Dem Datenschutz fehlt es eindeutig an gutem Marketing. Hier gilt es in den nächsten Jahren große Arbeit zu leisten. Denn durch die zunehmende Digitalisierung werden auch die datenschutzrechtlichen Themen weiterhin an Bedeutung, aber auch an Komplexität gewinnen. Großes Potenzial bietet hierzulande die Verbesserung von Koordination und Kommunikation der datenschutzrechtlichen Aufsichtsbehörden untereinander. Deutschland bietet mit seinen 16 Bundesländern ein beachtliches Ausmaß von 17 Landesdatenschutzbeauftragten, ergänzt durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Im Zweifelsfall ergibt sich somit ein Konvolut an datenschutzrechtlichen Auffassungen zu identischen Sachverhalten in Deutschland. Dem Laien kann es in diesem Fall nur an Verständnis fehlen, wenn die DS-GVO auf eine europaweite Vereinheitlichung des Datenschutzrechts abzielt, dann aber Sachverhalte in Berlin und Potsdam jeweils kaum unterschiedlicher bewertet werden könnten. Ein mögliches Instrument besteht hierbei in Form der sogenannten „Datenschutzkonferenz“ (DSK) bereits.

Dass die DS-GVO grundsätzlich ein großes Potenzial bietet und einen Schritt in die richtige Richtung geht, ist kaum zu bestreiten. Das zeigen auch die zahlreichen „Nachahmungen“ der DS-GVO in anderen Ländern und Regionen, wie z.B. Brasilien oder Kalifornien. Nur bedarf es einer stetigen Beobachtung der technischen und rechtlichen Rahmenbedingungen sowie eine damit einhergehende Weiterentwicklung der datenschutzrechtlichen Normierungen. Zukünftige Evaluationen sollten diesen Anforderungen in ausreichendem Umfang Rechnung tragen. In diesem Sinne können wir nur gespannt darauf warten, welche Herausforderungen uns das vierte Jahr der DS-GVO bieten wird.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.