„Forum Privatheit“-Sprecher Alexander Roßnagel fordert, das Instrument der Evaluation zukünftig besser zu nutzen
Die Datenschutz-Grundverordnung (DSGVO) wurde – vier Jahre nach Inkrafttreten und zwei Jahre nach Geltungsbeginn – zum ersten Mal evaluiert. Im Juni legte die EU-Kommission ihren Bericht vor. Inwiefern die Evaluation genutzt wurde, um die Verordnung weiterzuentwickeln, haben Rechtswissenschaftler des Forschungsverbunds „Forum Privatheit“ untersucht. Ergebnis: Evaluiert wurde seitens der Kommission vor allem die Umsetzung der Verordnung, die Chance zur Verbesserung des Gesetzestextes selbst wurde jedoch vertan.
Obwohl die DSGVO erst seit gut zwei Jahren angewendet wird, sind bereits zehn Jahre vergangen, seitdem sie entworfen wurde. Im Bereich Digitalisierung hat sich seither viel getan. Diese Veränderungen sollten eigentlich in einer Weiterentwicklung der Verordnung berücksichtigt werden: In Artikel 97 der DSGVO hatte die EU-Kommission sich dies ins eigene Pflichtenheft geschrieben, indem sie festlegte, dass nach Inkrafttreten der Verordnung alle vier Jahre eine Evaluation zu erfolgen habe. In ihrem Evaluationsbericht vom 24. Juni 2020 betonte die Kommission jedoch vor allem die Erfolge der DSGVO: Diese habe das Recht des Einzelnen auf den Schutz seiner personenbezogenen Daten erheblich gestärkt. Auch der freie Fluss von Daten innerhalb der europäischen Union sei durch die Verordnung deutlich verbessert worden. Die DSGVO sei weltweit Referenz für Länder, die ein hohes Datenschutzniveau wollten. Kritik übte die Kommission an Mitgliedsstaaten hinsichtlich der „zu großzügigen Auslegung“ der Öffnungsklauseln, mit denen die DSGVO den Mitgliedstaaten erlaubt, eigene Spielräume in Datenschutzfragen, die in der Regel keine unionsweite Bedeutung haben, zu nutzen. Auch würden in einigen Mitgliedstaaten zu wenig Mittel für die wichtige Arbeit der Datenschutzaufsichtsbehörden bereitgestellt.
Kleine und mittlere Unternehmen dürfen nicht denselben datenschutzrechtlichen Anforderungen unterliegen wie internationale Großkonzerne
Alexander Roßnagel, Sprecher des Forschungsverbunds „Forum Privatheit“ und Professor für Technikrecht an der Universität Kassel, kritisiert, dass die EU-Kommission in ihrem Bericht die zahlreichen Änderungsvorschläge aus den Mitgliedstaaten nicht aufgegriffen habe. So war unter anderem von der deutschen Datenschutzkonferenz DSK als auch den Niederlanden und anderen Mitgliedstaaten bemängelt worden, dass die DSGVO nicht genug zwischen KMU und internationalen Großkonzernen differenziere. Auch der „Forum Privatheit“-Sprecher sieht dies mit Sorge: „Es kann nicht sein, dass Kleingärtner- oder Sportvereine denselben Datenschutzanforderungen unterliegen wie internationale Großkonzerne. Das ist nicht das Ziel der DSGVO – und wir schaden damit dem Ansehen des Datenschutzes insgesamt.“ Leider habe die Kommission die eingegangenen Differenzierungsvorschläge in ihrem Bericht nicht berücksichtigt, sie habe lediglich angekündigt, prüfen zu wollen, inwieweit die DSGVO zukünftig kleine und mittlere Unternehmen entlasten könne. Auch gab es im Vorfeld der Evaluation Kritik hinsichtlich des Einwilligungsalters bei Kindern, das aufgrund der Öffnungsklausel des Art. 8 DSGVO innerhalb der europäischen Union sehr unterschiedlich geregelt ist. Auch hier kündigte die Kommission lediglich eine Prüfung an, inwieweit man das Einwilligungsalter für die Verarbeitung personenbezogener Daten innerhalb der EU-Mitgliedstaaten harmonisieren könne.
Eindeutige und weniger abstrakte Formulierungen können für mehr Rechtssicherheit sorgen
Das Regelwerk enthalte, so Alexander Roßnagel, viele Kompromisse und sei oft zu abstrakt – viele datenschutzrechtliche Fragen regele die DSGVO ungenau oder missverständlich. Aus Sicht des Forum Privatheit“-Sprechers hätte die Evaluation zum Anlass genommen werden können, die DSGVO dahingehend zu verbessern und für mehr Klarheit und Rechtssicherheit zu sorgen. Laut Christian Geminn, Rechtswissenschaftler an der Universität Kassel und Mitglied im „Forum Privatheit“, sei dies „zum Teil mit wenigen Änderungen im Wortlaut des Gesetzestextes möglich“. Die dahingehenden Vorschläge seien jedoch von der Kommission nicht aufgegriffen worden. Bedauerlich sei auch, dass es gerade bei den innovativen Elementen der DSGVO wie Datenschutz durch Technikgestaltung, datenschutzfreundliche Voreinstellungen, Zertifizierung oder Datenschutz-Folgenabschätzung immer noch an Konkretisierungen fehle. Bei anderen Elementen der Verordnung wie dem Recht auf Vergessenwerden und dem Recht auf Datenübertragbarkeit, die ursprünglich als Maßnahmen zur Machtbegrenzung der großen Datenkonzerne gedacht waren, wären ebenfalls Verbesserungen sinnvoll und hilfreich.
Die Evaluation muss zukünftig besser genutzt werden, um die DSGVO der technischen Entwicklung anzupassen
Insgesamt seien die Möglichkeiten des in Artikel 97 DSGVO von der Kommission selbst vorgesehenen Mechanismus zur Verbesserung der DSGVO nicht genutzt worden. Die Evaluierung dürfe nicht nur dem Zweck dienen, die Umsetzung der Verordnung zu prüfen, sondern auch, um sie selbst zu verbessern. Auch müsse sie an die ständig wachsenden Herausforderungen des technologischen Wandels angepasst werden. „Enttäuschend ist“, so Roßnagel, „dass die Kommission keinerlei Vorschläge aufgegriffen hat, wie mit den Herausforderungen durch Künstliche Intelligenz, Blockchain, Gesichtserkennung und Quantencomputer umzugehen ist. Die Datenschutz-Grundverordnung muss mit den technischen Herausforderungen Schritt halten, damit sie ein Erfolg wird.“
