Zum 25. Mai 2023 feiert die Datenschutz-Grundverordnung (DS-GVO) ihren fünften Geburtstag der Anwendbarkeit. Wie bereits in den letzten Jahren, nehmen wir uns den Geburtstag zum Anlass, einen kritischen Blick auf die Datenschutz-Welt zu werfen, über Herausforderungen und Grenzen zu sprechen sowie absehbare Entwicklungen darzustellen.
Berechtigte Angst vor Abmahnungen?
Die Anfangszeit der DS-GVO war auf Seiten der Unternehmen und Behörden geprägt von Überforderung, Unsicherheit und Angst. Angst, dass es aufgrund datenschutzrechtlicher Verstöße vermehrt zu Massenabmahnungen kommen könne. Nachdem es für lange Zeit danach aussah, dass diese Angst vollkommen unbegründet zu sein scheint, kam im fünften Jahr der DS-GVO Bewegung in die Sache – und wurde im Keim erstickt:
Nachdem das LG München I bereits im Januar 2022 entschied, dass die dynamische Einbindung von Google Fonts nicht auf das berechtigte Interesse eines Verantwortlichen gestützt werden könne, kam es in der zweiten Jahreshälfte 2022 flächendeckend zu Abmahnungen durch mehrere Anwaltskanzleien. Das offensichtliche Ziel, hieraus ein für die Abmahnenden nachhaltiges Geschäftsmodell zu etablieren, scheiterte kläglich. Im Dezember 2022 folgten bei den betreffenden Anwälten Hausdurchsuchungen, zudem wurden teils Ermittlungen wegen gewerbsmäßiger Erpressung und schwerem gewerbsmäßigem Betrug aufgenommen. Abmahnungen wegen datenschutzrechtlicher Verstöße sind zwar auch zukünftig grundsätzlich möglich, es werden jedoch regelmäßig tatsächliche Beeinträchtigungen des Rechts auf informationelle Selbstbestimmung nachzuweisen sein.
Drittlandübermittlung als Dauerbrenner
Bereits im vergangenen Jahr berichteten wir mehrmals über die Herausforderungen im Zusammenhang mit der Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer. Nachdem im März 2022 bekannt wurde, dass die EU und die USA an einem Nachfolgeabkommen zum EU-US-Privacy Shield arbeiten, erfolgte im Oktober 2022 der Erlass einer Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086). Hierdurch wurde die Grundlage für die Umsetzung des „EU-US Privacy Framework“ geschaffen. Auf Grundlage der Executive Order folgte am 13. Dezember 2022 der Beschlussentwurf der Europäischen Kommission über die Angemessenheit des Schutzniveaus personenbezogener Daten nach dem EU-U.S. Data Privacy Framework. Hierdurch soll der neue Rechtsrahmen für Datenübermittlungen zwischen der EU und den USA geschaffen werden.
Die Resonanz hierüber fällt unterschiedlich aus: Während der Europäische Datenschutzausschuss die Verbesserungen begrüßt, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit deutliche Fortschritte erkennt und auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit sich positiv zu den Entwicklungen äußert, zeigen sich andere Aufsichtsbehörden unbeeindruckt und zweifeln die Belastbarkeit eines bevorstehenden Angemessenheitsbeschlusses bereits im Vorfeld an. Hierbei wird deutlich, dass selbst wenn ein solcher Angemessenheitsbeschluss im Sommer dieses Jahres kommen sollte, in diesem Zusammenhang noch lange nicht das letzte Wort gesprochen ist. Die Drittlandübermittlung ist und bleibt eine Großbaustelle in der Datenschutz-Welt.
War die DS-GVO so nicht gemeint?
Der unterschiedliche Umgang mit datenschutzrechtlichen Sachverhalten, wie beispielsweise der Drittlandübermittlung, durch Unternehmen, Behörden, Aufsichtsbehörden und Gerichte zeigt sowohl die zum Teil bestehenden rechtlichen Unsicherheiten als auch die deutlich voneinander abweichenden Sichtweisen auf. Weiterhin ist nach Ansicht der Rechtsanwendenden deutlich erkennbar, dass die Auslegung der datenschutzrechtlichen Normen hierzulande zu restriktiv erfolgt und Datenschutz schließlich sogar die Digitalisierung verhindere. Hervorzuheben ist hierbei, dass gemäß Art. 1 Abs. 3 DS-GVO sowie Erwägungsgrund 4 zur DS-GVO der freie Verkehr personenbezogener Daten in der Europäischen Union aus Gründen des Datenschutzes weder eingeschränkt noch verboten werden dürfe, die Verarbeitung personenbezogener Daten jedoch auch im Dienste der Menschheit stehen solle. „Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden.“
Inwiefern diese Grundsätze in der Rechtspraxis tatsächlich Anwendung finden, darf an der einen oder anderen Stelle angezweifelt werden. Es zeigt jedoch auch deutlich auf, dass Datenschutzrecht nicht als Recht zur Verhinderung jeglicher Fortentwicklung konzipiert wurde. Datenschutzrecht soll auch der Menschheit dienen. Es bedarf einer verhältnismäßigen Verknüpfung von technischer Fortentwicklung, Datenschutz und IT-Sicherheit – auf Seiten der Anwendenden und Überwachenden. Eben an dieser (und an einigen anderen Stellen) wird in Zukunft ein Umdenken erforderlich sein.
Künstliche Intelligenz und Datenschutz
Die Nutzung künstlicher Intelligenz stellt auch die Welt des Datenschutzes vor neue Herausforderungen. Befeuert durch das temporäre Verbot von ChatGPT in Italien, wird die Frage aufgeworfen, welche datenschutzrechtlichen Anforderungen an eine rechtskonforme Nutzung von künstlicher Intelligenz zu stellen sind. An erster Stelle ist hierbei das Transparenzgebot zu nennen. Michael Will, Datenschutzbeauftragter beim bayerischen Landesamt für Datenschutz, formuliert es treffend: „[…] KI darf keine Blackbox sein, wo hinter einer Wand dann alles Mögliche geschehen kann […].“ Anbietende von KI-Anwendungen müssen transparent beschreiben, inwieweit personenbezogene Daten verarbeitet, zur Verbesserung der Anwendung genutzt und gegebenenfalls an Dritte übermittelt werden. Diese Anforderungen ergeben sich – unabhängig von der Nutzung künstlicher Intelligenz – aus Art. 13 DS-GVO, wobei deren vollumfängliche Umsetzung im Zusammenhang mit KI deutlicher schwerer sein dürfte.
Es bleibt abzuwarten, welche weiteren regulatorischen Anforderungen aufgrund des europäischen AI Acts in Zukunft gelten und wie sich die Regelungen der DS-GVO in das neue Normgefüge einordnen werden. Auch hier gilt jedoch: Datenschutz verbietet nicht grundsätzlich die Nutzung künstlicher Intelligenz. Es werden lediglich Spielregeln aufgestellt, an die es sich zu halten gilt.
Ist mit einer Überarbeitung der DS-GVO zu rechnen?
Im Zusammenhang mit Kritik an der DS-GVO wird oftmals eine Überarbeitung dieser gefordert – zurecht? Gemäß Art. 97 Abs. 1 DS-GVO hat die Europäische Kommission dem Europäischen Parlament und dem Rat regelmäßig einen Bericht über die Bewertung und Überprüfung der DS-GVO vorzulegen. Nachdem ein solcher erstmalig bereits im Jahr 2020 vorgelegt wurde und keinen Änderungsbedarf dargelegt hat, steht die erneute Bewertung und Überprüfung für 2024 aus.
Auch wenn unterschiedlichsten Parteien die Möglichkeit zur Stellungnahme gegeben sein wird, ist voraussichtlich nicht mit wesentlichen Änderungen an der DS-GVO zu rechnen. Insbesondere unter Berücksichtigung des langwierigen Entstehungsprozesses der DS-GVO, wird diese wohl noch einige Jahre im Status quo verweilen. In diesem Zusammenhang ist jedoch darauf hinzuweisen, dass sich aufgrund der zunehmenden Anzahl an Gerichtsentscheidungen hinsichtlich einiger Rechtsfragen vermehrt Anwendungssicherheit einstellt. Mit einer wesentlichen Überarbeitung der datenschutzrechtlichen Normen, ginge diese unter Umständen zu großen Teilen wieder verloren.
Fazit
Die DS-GVO ist das, als was man sie sehen möchte. Vertritt man die Ansicht, Datenschutz verhindere Fortschritt und Digitalisierung, so wird man hierfür die entsprechenden Argumente und Beispiele in der Praxis finden. Sieht man die DS-GVO hingegen als Chance für einen angemessenen Schutz der Rechte und Freiheiten natürlicher Personen im digitalen Wandel, ergeben sich auch hierfür entsprechende Nachweise. Von zentraler Bedeutung wird sein, welche Position die DS-GVO im Hinblick auf kommende regulatorische Anforderungen (z.B. Digital Markets Act, Digital Services Act, AI Act) einnehmen wird und mit welchem (Selbst-)Verständnis die Normen des Datenschutzes angewandt werden.
Anlässlich des 5. Jahrestages der Geltung der DS-GVO laden der Europäische Datenschutzbeauftragte, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und der Bayerische Landesbeauftragte für den Datenschutz ein zur Veranstaltung: Fünf Jahre DS-GVO: Immer noch ein Maßstab in der digitalen Landschaft der EU?
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.