Nachdem über einige Jahre hinweg Änderungen an der Datenschutz-Grundverordnung zwar regelmäßig gefordert wurden, in der Umsetzung aber kaum denkbar schienen, kommt nun etwas Bewegung in die Sache. Aber auch auf nationaler Ebene gibt die kommende Regierung einen Ausblick auf Erleichterungen im Bereich des Datenschutzes. Wie könnten mögliche Änderungen aussehen und wie realistisch sind solche Anpassungen überhaupt? Ein Überblick.
Könnte die DS-GVO schon bald reformiert werden?
Gemäß Art. 97 Abs. 1 DS-GVO hat die Europäische Kommission im Abstand von vier Jahren „einen Bericht über die Bewertung und Überprüfung“ der DS-GVO vorzulegen. In den Berichten aus den Jahren 2020 und 2024 hielt sie sich mit grundlegenden Verbesserungsmöglichkeiten zurück. Mit Blick auf die lange Entstehungsgeschichte, wurde in Fachkreisen immer wieder spekuliert, die Europäische Kommission habe in Bezug auf die DS-GVO Angst, die Büchse der Pandora zu öffnen. Doch zwischenzeitlich scheint die Europäische Kommission erkannt zu haben, dass die fortschreitende Digitalregulierung in der Europäischen Union sich zu einem Standortproblem entwickeln könnte – wie beispielsweise auch aus dem Draghi-Report aus dem vergangenen Jahr hervorgeht.
Dass die DS-GVO in den kommenden Jahren eine Anpassung erfährt, wird demnach immer wahrscheinlicher. Unklar ist hingegen derzeit, wie eine solche Anpassung konkret aussehen könnte. Ein aktuell viel diskutierter Vorschlag stammt vom Europaabgeordneten Axel Voss, welcher bereits im Rahmen der Entstehung der DS-GVO als Schattenberichterstatter für die EVP-Fraktion tätig war. Demnach bestünde eine zentrale Änderung zunächst in der Abkehr vom Prinzip „one size fits all“, wonach sämtliche Regelungen der DS-GVO für alle Akteure gleichermaßen gelten – unabhängig von Umsatz, Größe oder Ausrichtung der Tätigkeiten. Voss führt hierbei drei verschiedene Regelungsstufen an:
- Eine „Mini-DS-GVO“ für Organisationen, die personenbezogene Daten von weniger als 100.000 Personen und ebenfalls keine sogenannten besonderen Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) verarbeiten. Für diese Organisationen soll die Pflicht zur Benennung eines Datenschutzbeauftragten entfallen und Höchststrafen für Verstöße auf 500.000 Euro begrenzt sein. Nach Schätzungen von Axel Voss wären hierin etwa 90 Prozent aller Unternehmen einzuordnen.
- Eine bis auf wenige Regelungen unveränderte DS-GVO soll hingegen für Organisationen gelten, die eine besonders hohe Zahl oder besonders sensible personenbezogene Daten verarbeiten.
- Die „DS-GVO-Plus“ zielt zuletzt auf Organisationen ab, deren Geschäftsmodell hauptsächlich auf der Verarbeitung von personenbezogenen Daten beruht, also beispielsweise große soziale Netzwerke und Datenbroker. Für diese Unternehmen sollen schärfere Regelungen gelten, beispielsweise durch eine verpflichtende Überprüfung durch Dritte oder eine Pflicht zur Veröffentlichung von Informationen zur Datenverarbeitung.
Unbestritten dürfte sein, dass die derzeitigen Regelungen das Verhältnis zwischen den Risiken einer Datenverarbeitung und den umzusetzenden Verpflichtungen in einer Spanne von Kleingartenverein bis Magnificent 7 eher schlecht als recht darstellen. Bis es jedoch tatsächlich zu konkreten Änderungen kommt, wird noch eine geraume Zeit vergehen. Zunächst kann damit gerechnet werden, dass bis zum Ende dieses Jahres die Europäische Kommission erste Maßnahmen für ein „vereinfachtes, klares und kohärentes gesetzliches Rahmenwerk für Unternehmen und Verwaltungen [vorstellt], um Daten nahtlos und in großem Umfang zu teilen und dabei hohe Standards für Datenschutz und Sicherheit zu respektieren.“ Möglicherweise wissen wir dann auch in Bezug auf die DS-GVO mehr…
Entbürokratisierung auf nationaler Ebene?
Bereits vor den Koalitionsgesprächen führten CDU, CSU und SPD aus, auch in Bezug auf den Datenschutz einen Bürokratieabbau vorzunehmen zu wollen. Allen voran wurde dargestellt, „die Zahl der gesetzlich vorgeschriebenen Betriebsbeauftragten signifikant reduzieren“ zu wollen (wir berichteten). Im nun vorliegenden Koalitionsvertrag heißt es weiterhin: „Im Rahmen eines nationalen „Sofortprogramms für den Bürokratierückbau“ werden wir bis Ende des Jahres 2025, insbesondere mit Blick auf kleine und mittlere Unternehmen, Verpflichtungen zur Bestellung von Betriebsbeauftragten abschaffen und den Schulungs-, Weiterbildungs- und Dokumentationsaufwand signifikant reduzieren.“ Der Datenschutzbeauftragte wird in diesem Kontext nicht explizit genannt, aber auch nicht ausgeschlossen.
Unter der Überschrift „Datenschutz entbürokratisieren“ wird ferner angeführt: „Wir reformieren die Datenschutzaufsicht und bündeln sie beim Bundesdatenschutzbeauftragten.“ In Bezug auf staatliche Serviceleistungen soll zudem eine Abkehr von Einwilligungslösungen hin zu Widerspruchslösungen vorgenommen werden. Weiterhin soll die Datenschutzkonferenz (DSK) im Bundesdatenschutzgesetz (BDSG) verankert werden, um beim Datenschutz „für Kohärenz, einheitliche Auslegungen und Vereinfachungen für kleine und mittlere Unternehmen, Beschäftigte und das Ehrenamt sorgen.“ Dieses Vorhaben ist nicht gänzlich neu und wurde bereits durch die vorherige Regierung beabsichtigt.
Auf europäischer Ebene soll erreicht werden, dass nicht-kommerzielle Tätigkeiten – beispielsweise in Vereinen – sowie kleine und mittelständische Unternehmen mit risikoarmen Datenverarbeitungen – zum Beispiel Kundenlisten von Handwerkern – vom Anwendungsbereich der DS-GVO ausgenommen werden. Abschließend wird das Ziel angeführt, im Interesse der Wirtschaft „eine Bündelung der Zuständigkeiten und Kompetenzen Bundesdatenschutzbeauftragten“ vorzunehmen. Diese „soll dann Bundesbeauftragte für Datennutzung, Datenschutz und Informationsfreiheit sein.“
Auch wenn die aufgeführten Maßnahmen an der einen oder anderen Stelle sicherlich Verbesserungen mit sich bringen können, handelt es sich hierbei keinesfalls um tatsächliche Maßnahmen der Entbürokratisierung. Die datenschutzrechtlichen Dokumentationspflichten ergeben sich aus der DS-GVO – einer europäischen Verordnung. Die neue Bundesregierung müsste also vor allem einen Änderungsdruck auf europäischer Ebene erzeugen. Unter Berücksichtigung der möglichen Reform der DS-GVO sicherlich keine unlösbare Aufgabe. Unklar ist jedoch, inwieweit sich die Koalitionsparteien hiermit durchsetzen werden können.
Fazit
Man kann mit ziemlicher Sicherheit sagen, dass sich an den bestehenden datenschutzrechtlichen Regelungen in Zukunft etwas ändern wird. Welche konkreten Änderungen zu erwarten sind und wann diese eine Umsetzung finden werden, ist jedoch nahezu komplett offen. Zunächst wird sich wohl noch in diesem Jahr entscheiden, ob und wie die nationale Regelung zur verpflichtenden Benennung des Datenschutzbeauftragten eine Änderung erfahren wird. Bezüglich aller weiteren Punkte wird man abwarten müssen…
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
