Eine aktuelle Entscheidung des Landesarbeitsgerichts Düsseldorf (LAG) erregt Aufsehen. Das LAG hat am 28.11.2023 nämlich entschieden, dass im konkreten Fall kein Anspruch auf immateriellen Schadensersatz bei verspäteter Auskunft nach Art. 15 der Datenschutzgrundverordnung (DSGVO) bestand. Ob es sich hierbei um eine ordnungsgemäße Anwendung von europäischem Recht handelt, ist fraglich. (mehr …)
Der Europäische Gerichtshof (EuGH) hat am 07.12.2023 klare Grenzen für Schufa-Praktiken gezogen. Laut EuGH-Urteil (C-634/21) verstößt das Schufa-Scoring gegen die DSGVO, wenn die Bonitätsprüfung ein maßgeblicher Entscheidungsfaktor für Vertragsverhältnisse ist. Die Entscheidung betrifft nicht nur die Bonitätsprüfungen an sich, sondern auch die Speicherung von Informationen zur Restschuldbefreiung.
Mit zwei wegweisenden Urteilen vom 05.12.2023 präzisiert der Europäische Gerichtshof (EuGH) die Voraussetzungen, unter denen nationale Datenschutzbehörden Bußgelder gegenüber Verantwortlichen erteilen dürfen. Dabei stellt der EuGH fest, dass eine Behörde eine Geldbuße nach der Datenschutzgrundverordnung (DSGVO) nur bei Verschulden verhängen darf. Unternehmen haften jedoch für alle Beschäftigten. Zudem richtet sich die Berechnung der Höhe der Geldbuße für Unternehmen nach dessen Jahresumsatz. (mehr …)
Über 80 spanische Medien, darunter die bekannten Zeitungen El País und La Vanguardia, haben gegen Meta eine Sammelklage eingereicht. Die Klage wurde unter dem Verbraucherverband Asociación de Medios de Información (AMI) in Höhe von 550 Millionen Euro gegen Meta, ehemals Facebook, erhoben, wie die Organisation am 04.12.2023 bekannt gab. Der Vorwurf richtet sich auf Verstöße gegen europäische Datenschutzbestimmungen. Ein Schritt, der nicht nur den Datenschutz, sondern auch die Beziehung zwischen Tech-Giganten und traditionellen Medien infrage stellt.
(mehr …)
Am 15.11.2023 hat die größte europäische Zusammenkunft von Privatsphäre- und Datenschützern stattgefunden. Die International Association of Privacy Professionals (IAPP) berichtet, dass der IAPP Europe Date Protection Congress (DPC) mit fast 3.000 Teilnehmern in Brüssel zum 12. Mal abgehalten wurde. Im Programm des DPC 2023 ging es unteranderem um die Zukunft der KI-Verordnung und eine Bilanz nach 5 Jahren DSGVO. Zudem wurden Themen wie die Vereinbarkeit von personalisierter digitaler Werbung und Datenschutz und die geplante Chatkontrolle behandelt.
Geplante KI-Verordnung
Vertreter des Europäischen Parlaments hätten sich vor allem mit Künstlicher Intelligenz (KI) vor dem Hintergrund der geplanten KI-Verordnung beschäftigt. Kürzlich hatte Euractiv berichtet, dass das KI-Gesetz zur Zeit auf der Kippe stünde nach anonymen Aussagen von EU-Parlamentariern. IAPP berichtet, dass Kai Zenner, Berater des deutschen Europaabgeordneten Axel Voss, gesagt habe, dass er noch letzten Freitag davon ausgegangen sei, dass maximal eine 10 % Chance für die Verabschiedung der Verordnung besteht. Laut IAPP bestünden insbesondere Bedenken von Frankreich und Deutschland hinsichtlich Nachteilen für Betreiber generativer KI. Mittlerweile habe Spanien deswegen Vermittlungen eingeleitet. Der EU-Abgeordnete Dragoș Tudorache betone, dass am 06.12.2023 die letzte Möglichkeit sei sich noch in 2023 über den Gesetzesentwurf zu einigen.
Zukünftige Zusammenarbeit auf internationaler Ebene
Reynders betonte laut Berichterstattung von IAPP, dass man nun mit Inkrafttreten des neuen Datenschutzrahmen EU-USA den Datenfluss in diesem Bereich erweitern will. Der EU-Justizkommissar habe zudem eine globale Konferenz der Europäische Kommission im nächsten Jahr angekündigt. Zu dieser sollten Vertreter aus der ganzen Welt eingeladen werden, um internationale Zusammenarbeit in Datenschutzbereich voranzubringen. So könne man mit geeigneten Staaten Vereinbarungen über einen hinreichend geschützten Datentransfer ermöglichen. Dies sei zu begrüßen, da eine wachsende Gruppe an Partnern mit meinem Angemessenheitsbeschluss einen Netzwerkeffekt habe. So könne man noch mehr potenzielle Kooperationen vorantreiben. Ein gutes Beispiel hierfür sei laut Bruno Gencarelli, Leiter des Referats der Europäischen Kommission für Datenströme und internationale Aspekte der digitalen Wirtschaft, der Angemessenheitsbeschluss für Süd Korea, der die Zusammenarbeit mit 20 weiteren Staaten ermöglicht hat. Im Übrigen äußerte Reynders Zweifel hinsichtlich des zukünftigen Fortbestehens des EU-U.K.-Anegmessenheitsbeschlusses in Anbetracht geplanter Datenschutzänderungen im Vereinigten Königreich.
5 Jahre DSGVO
In seiner abschließenden Schlusssitzung habe EU-Justizkommissar Didier Reynders laut IAPP betont, dass trotz der zahlreichen neuen digitalen EU-Regeln die Datenschutz-Grundverordnung (DSGVO) nach wie vor der der wichtigste Grundbaustein für die Verarbeitung personenbezogener Daten im europäischen Raum sei. Es handle sich sogar um ein weltweites Musterbeispiel.
Wie wir im Oktober berichteten vergaben Unternehmer hingegen nur die Note „ausreichend“ und zogen somit eher eine durchwachsende Bilanz. Ähnlich sehe dies Axel Voss, der auf eine Reihe von Problemen hingewiesen habe. Es bestünde vor allem eine mangelnde Harmonisierung zwischen den einzelnen Mitgliedstaaten. Oliver Micol, Leiter des Referats der Europäischen Kommission für Datenschutz in den Bereichen der Polizei, Strafjustiz und Grenzen, halte zurzeit eine Reform noch nicht für notwendig. Zunächst wolle man nächstes Jahr einen Bericht veröffentlichen, der die DSGVO und ihre Einführung vollumfänglich analysiert.
Deutsche Vertreter vor Ort
Von deutscher Seite hatte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, angegeben an der Diskussionsrunde zum Thema „Wie können digitale Sicherheit, fairer Wettbewerb, das Wohl des Kindes, Cyber-Sicherheit und Transparenz in Einklang gebracht werden?” teilzunehmen. Weiterhin diskutierte laut einem Mastadon-Beitrag die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Meike Kamp, über personalisierte Werbung und die Folgen des Digital Markets Acts (DMA) und des Digital Services Acts (DSA) auf den Datenschutz.
Fazit
Insgesamt ermöglichte der Kongress einen intensiven Blick auf die aktuellen Entwicklungen im Datenschutzbereich. Schwerpunkt des DPC 2023 war besonders die Zukunft der KI-Verordnung und eine Bilanz nach 5 Jahre DSGVO. Die Veranstaltung zeigte, dass Datenschutzherausforderungen weiterhin komplex sind, besonders die Uneinheitlichkeit in der EU-Regelumsetzung. Die geplante KI-Verordnung ist unsicher, was die Schwierigkeiten bei einem gemeinsamen Ansatz für komplexe Technologien verdeutlicht. Auch die Diskussion um den EU-U.K.-Angemessenheitsbeschluss und Bedenken von Didier Reynders zu Datenschutzänderungen im Vereinigten Königreich könnten in Zukunft zu Problemen führen.
Insgesamt zeigt der Kongress, dass die Datenschutzlandschaft in Europa in Bewegung bleibt. Die Herausforderung besteht darin, einen ausgewogenen Ansatz zu finden, der Innovation fördert und gleichzeitig Privatsphäre gewährleistet. Es bleibt abzuwarten, wie die Diskussionen den Datenschutz in den kommenden Jahren beeinflussen.
Anfang des Monats haben wir davon berichtet, dass der Betreiber der Dating-App Grindr eine 5,8 Millionen Euro Strafe an die norwegische Datenschutzbehörde zahlen muss. Nun geht Grindr gegen die Millionenstrafe vor. Laut Aussage seiner Datenschutzbeauftragten gegenüber dem öffentlich-rechtlichen Rundfunk Norwegens (NRK) vom 30.10.2023 leitet das Unternehmen rechtliche Schritte gegen das verhängte Bußgeld ein. Durch das Vorgehen der Behörde werde das Geschäftsmodell und die Betrugsbekämpfungsstrategien bezweifelt.
Hintergrund der Debatte
Ursprünglich sollte das Unternehmen Grindr etwa 10 Millionen Euro Strafe zahlen. Allerdings reduzierte man das Bußgeld wegen kooperativem Verhalten auf 5,8 Millionen Euro. Der hiergegen erhobene Einspruch von Grindr hatte keinen Erfolg. Rechtliche Ursache des Bußgeldes war die Weitergabe personenbezogener Daten für gezielte Werbung ohne die Einwilligung der Nutzer.
Grindr leitet nun rechtliche Schritte ein
Nun wehrt sich Grindr gegen diese Strafe. Das Unternehmen argumentiert, dass die norwegischen Datenschutzbehörden die Datenschutz-Grundverordnung (DSGVO) falsch interpretiert hat. Nicht sämtliche gesammelten Informationen seien als sensible Daten zu werten. Das damalige Vorgehen habe einem Industriestandard entsprochen, der mittlerweile nicht mehr verwendet werde.
Die Entscheidung der Aufsichtsbehörde könne dazu führen, dass entsprechende Dienst zukünftig in Europa nicht mehr angeboten werden könnten. Die Datenschutzbeauftragte Kelly Peterson Miranda führt aus, dass neben der gesamten Datenverarbeitung des Unternehmens auch Prozesse zur Betrugsbekämpfung und kontextbezogenen Werbung erheblich erschwert werden könnten.
Datenschutzbehörde bleibt standhaft
Die norwegische Datenschutzbehörde bleibt bei ihrer Entscheidung und betont, dass die Privatsphäre der Nutzer immer wieder von großen kommerziellen Unternehmen infrage gestellt wird. Solche Großkonzerne besäßen umfangreiche Ressourcen und seien bereit diese einzusetzen, um ihr Geschäftsmodell zu verteidigen.
Fazit
Dass Grindr gegen die Millionenstrafe vorgeht, überrascht wenig. Es handelt sich hier um den alten Kampf zwischen Datenschutz und Geschäftsinteressen mit dem Wunsch die Geldstrafe zu reduzieren und das Geschäftsmodell aufrechtzuerhalten. Erneut versucht ein Großkonzern mit dem Argument des vollständigen Rückzugs aus dem Markt Druck auf eine Aufsichtsbehörde auszuüben. Ob dieses Argument bei der norwegischen Behörde anschlagen wird, bleibt sehr fraglich. Schließlich hat die Realität doch schon häufig gezeigt, dass es am Ende für die betroffenen Unternehmen doch – wenn auch gegebenenfalls nicht ganz so lukrative – Lösungen gibt, um weiterhin den Dienst datenschutzkonform in Europa anzubieten.
Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 26.10.2023 (C-307/22) den Zugang zu Patientenakten gestärkt. Hierin bestätigte er das Recht der Patienten auf eine kostenlose erste Kopie der Patientenakte, auch wenn sie ohne Begründung angefordert wurde. Dieses Urteil sorgt für mehr Transparenz durch Ärzte im Gesundheitswesen.
Der zugrundeliegende Fall
Das Urteil beruht auf einem Fall in Deutschland, bei dem ein Patient von seiner Zahnärztin eine Kopie seiner Patientenakte verlangte. Hiermit wollte er wegen mutmaßlichen Fehlverhaltens der Ärztin rechtliche Schritte gegen sie einleiten. Die Zahnärztin verlangte im Gegenzug jedoch, dass der Patient die Kosten für die Kopie übernehmen sollte.
Bisherige Rechtslage
Im deutschen Recht regelt § 630g BGB das Recht des Patienten auf Einsichtnahme in die Patientenakte. Nach Abs. 1 S. 1 darf dieses Recht nur verweigert werden, wenn erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen. Im Übrigen hat nach Abs. 2 S. 2 der Patient die Kosten für eine Kopie hiervon zu tragen. Hingegen würde nach dem EU-Recht in Art. 15 Abs. 3 S. 1 DSGVO im Rahmen des allgemeinen datenschutzrechtlichen Auskunftsanspruch dem Behandelten eine kostenlose erste Kopie der Patientenakte zu stehen.
Der EuGH hatte das Verhältnis dieser beiden Regelungen bislang nicht abschließend geklärt. Bisher hatte er lediglich den Inhalt und Umfang des Auskunftsanspruchs geregelt (C-487/21). Demnach haben Patienten das Recht auf eine vollständige Kopie der in ihrer Patientenakte enthaltenen Informationen, sofern diese notwendig sind, um die personenbezogenen Daten der Akte eindeutig zu verstehen. Dies umfasst Daten wie Befunde und Angaben zu Heilungsmaßnahmen.
Das EuGH-Urteil
Der EuGH hat nun in seinem Urteil festgelegt, dass Patienten das Recht auf eine kostenlose erste Kopie ihrer Patientenakte haben. Kostentragungspflichten entstehen nur, wenn weitere Kopien der Akte angefordert werden.
Dieses Recht gilt unabhängig davon, ob der Patient beabsichtigt, die Informationen zum Beispiel im gerichtlichen Prozess gegen medizinische Fachkräfte zu nutzen. Im Übrigen besteht auch keine Pflicht zur Begründung des Antrags. Es ist lediglich erforderlich, dass der Patient legitime Zwecke verfolgt, selbst wenn sie wie im vorliegenden Fall keinen datenschutzrechtlichen Bezug aufweisen.
Die rechtliche Grundlage für dieses Urteil sieht der EuGH in der Datenschutz-Grundverordnung (DSGVO). Der EuGH betont, dass nationale Gesetze den Patienten nicht die wirtschaftliche Last einer ersten Kopie übertragen dürfen. Vielmehr sind die Ärzte „Verantwortliche“ im Sinne der DSGVO und müssen deswegen entsprechend Art. 15 Abs. 3 S. 1 DSGVO eine kostenlose Kopie zur Verfügung stellen. Die wirtschaftlichen Interessen der Ärzteschaft müssen demgegenüber zurücktreten. Weder Art. 12 DSGVO noch Art. 15 DSGVO normieren zudem eine Pflicht zur Angabe von Gründen. Weiterhin wird für den Verantwortlichen hierin auch kein Ermessen eingeräumt, eine Begründung zu fordern oder diese zu bewerten.
Damit kommt der EuGH zum Ergebnis, dass eine diesen Grundsätzen entgegenstehende nationale Regel, wie § 630g Abs. 2 S. 2 BGB, unionsrechtswidrig ist.
Fazit
Das EuGH-Urteil stärkt die Rechte der Patienten und fördert die Transparenz im Gesundheitswesen. Geregelt werden zwei wesentliche Punkte. Zunächst bestätigt er das Recht auf eine kostenlose Kopie der Patientenakten. Zum anderen bedarf es keiner Angabe von Gründen für das Auskunftsverlangen von Seiten des Antragsstellers. Durch das Urteil schafft der EuGH nicht nur Deutschland, sondern EU-weit einheitliche Standards im Umgang mit Patientenakten und dem Recht auf Information. Ob dies zu einem steigenden Rechtsmissbrauch des Auskunftsanspruchs führen wird, bleibt abzuwarten.
Die Debatte um Datenschutz und Künstliche Intelligenz (KI) geht weiter. Diesmal wurden Fragen von Landesdatenschutzbeauftragten an das KI-Sprachmodell ChatGPT gesendet. Sowohl Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz als auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Alexander Roßnagel sendeten Fragebögen zur Datenverarbeitung an OpenAI, den Betreiber des Chatsystems. Der Fragenkatalog enthält 79 Fragen und wurde innerhalb der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) abgestimmt. Er baut auf einem ersten Auskunftsersuchen auf, das die DSK bereits im April 2023 erarbeitet hatte.
Datenschutzrechtliche Relevanz des Auskunftsersuchens
Kugelmann betont am 26.10.2023, dass die Prüfung des KI-Systems von Bedeutung ist, um sicherzustellen, dass die Datenschutz-Grundverordnung (DSGVO) und das informationelle Selbstbestimmungsrecht bei der Datenverarbeitung durch ChatGPT eingehalten werden. Roßnagel gab am 24.10.2023 an, dass OpenAI auf den ersten Fragebogen bereits im Juni ausführlich und kooperativ eingegangen ist. Dennoch sind sich beide einig, dass die Auswertung der Antworten verdeutlicht, dass es weiteren Klärungsbedarf gibt.
Weitere Prüfung notwendig
Trotz der umfangreichen Beantwortung der ursprünglichen Fragen bestehen für Roßnagel weiterhin Zweifel an der Rechtmäßigkeit der Datenerhebung aus dem Internet für das KI-Training. Deswegen will er weitere Erkenntnisse über das KI-System sammeln, um die Gewährleistung des Datenschutzes sicherzustellen. Auch laut Kugelmann ist es erforderlich die Hintergrundprozesse des Programms transparent begreifen zu können. Der neue Fragebogen solle nun zu mehr Nachvollziehbarkeit dessen führen, was hinter der Oberfläche passiere.
Beide wollen dabei den besonders sensiblen Datenkategorien gemäß Art. 9 DSGVO besondere Aufmerksamkeit widmen, die unter anderem Informationen zur Religion, politischen Meinung oder sexuellen Orientierung betreffen. Ebenso kontrolliere man die Umsetzung der Rechte der Betroffenen, wie das Auskunfts- oder Löschungsrecht. Die Landesdatenschutzbeauftragten wollen auch erfahren, inwieweit persönliche Daten während des Trainings und bei der Chatverwendung als solche identifiziert und entsprechende Schutzvorkehrungen getroffen werden.
Laut Roßnagel sollen durch die Fragen Datenschutzmissachtungen identifiziert und im Anschluss durch entsprechende Maßnahmen verhindert und gegebenenfalls bestraft werden. Er verlangt von amerikanischen KI-Betreibern die gleiche datenschutzrechtliche Sorgfalt wie von europäischen Unternehmen.
Zuständigkeit für rechtliche Bewertung
Solange OpenAI keine Niederlassung in der EU hat, bleiben sämtliche europäischen Datenschutzaufsichtsbehörden in ihrem jeweiligen örtlichen Zuständigkeitsbereich verantwortlich. Auch wenn der Betrieb in Zukunft eine Niederlassung in der EU eröffnen sollte, würde die datenschutzrechtliche Prüfung nicht enden, da die Kontrolle die aktuellen und vergangenen Verhältnisse betrifft. Selbst für zukünftige Situationen würden deutsche Datenschutzbehörden zuständig bleiben, solange ChatGPT weiterhin in Deutschland angeboten wird. Allerdings würde die Kontrolle dann in Zusammenarbeit mit der Behörde am Ort der Hauptniederlassung in der EU erfolgen. Aktuell ist es denkbar, dass dies die in letzter Zeit stark kritisierte irische Data Protection Commission werden könnte.
Fazit
Im Mittelpunkt der Untersuchungen steht der Schutz der Privatsphäre und die Einhaltung der DSGVO. Mit dem Senden der Fragen an ChatGPT durch die Landesdatenschutzbeauftragten ist man erneut bestrebt, sicherzustellen, dass solche KI-Systeme transparent und nachvollziehbar sind. Die Prüfung und der Dialog mit KI-Unternehmen sind wichtig, um Datenschutz im Zeitalter von KI zu gewährleisten und gleichzeitig technischen Fortschritt nicht zu behindern. Interessant bleibt hierbei insbesondere die Frage, wie sich der Umfang der Behördenprüfung verändern wird, falls sich OpenAI in Irland niederlässt.
Die jüngsten Entwicklungen in Irland werfen einen bedenklichen Schatten auf die Pressefreiheit. Das irische Parlament hat im Juni 2023 ein neues Gesetz verabschiedet, das erhebliche Auswirkungen auf die Berichterstattung über die irische Datenschutzbehörde haben könnte. Am 04.10.2023 hat sich nun auch der Europäischen Datenschutzausschusses (EDSA) hierzu geäußert.
Hintergrund der Debatte
Gemäß der One-Stop-Shop-Regelung nach Art. 56 der Datenschutz-Grundverordnung (DSGVO) ist die Data Protection Commission (DPC) (irische Datenschutzbehörde) die zuständige federführende Aufsichtsbehörde in Verfahren gegen Giganten wie Apple, Google und Meta. Diese Prozesse dauern häufig sehr lange und Bußgelder werden oft zu niedrig angesetzt bzw. erst nach Intervention des EDSA erhöht. Deswegen und wegen der Bedeutung dieser Internet-Riesen steht die DPC schon lange in der Kritik.
Neues irisches Gesetz als Reaktion?
Man könnte fast meinen, dass der irische Gesetzgeber genug von der ständigen Nörgelei hat. Die neue Courts and Civil Law (Miscellaneous Provisions) Bill 2022 gestattet es nun der DCP, eine Vielzahl an Verfahren als „vertraulich“ zu klassifizieren und sogar Strafe zu verhängen.
Die Neuregelung bestimmt in Art. 26A des irischen Data Protection Act (DPA), dass die DPC Informationen als vertraulich einstufen kann und Anweisungen erteilen darf, den Inhalt nicht offenzulegen. Nach Abs. 5 gelten Informationen als vertraulich, wenn ihre Offenbarung zu einem finanziellen Schaden führen würde oder ihre Veröffentlichung Verhandlungen beeinträchtigen könnte. Zudem sind Informationen umfasst, die im Vertrauen mitgeteilt wurden und deren Offenlegung weiteren relevanten Informationsfluss beeinträchtigen könnte. Zuletzt fallen hierunter auch Informationen, deren Offenlegung eine effektive Aufgabenwahrnehmung der DPC gefährden könnte. Diese drei Varianten ermöglichen das Subsumieren eines breiten Spektrums an Fällen, auch wenn sie nicht wirtschaftlich sensibel sind. Gekrönt wird das Ganze mit einer möglichen Geldstrafe von bis zu 5.000 € bei einer Missachtung der Anordnung.
Heftige Kritik an der Regelung
Jedenfalls hat das Gesetz nicht unmittelbar zu einer Kritikreduzierung gegenüber Irland geführt. Hauptsächlich wird es als Beschneidung der Pressefreiheit angesehen. Noch im Juni 2023 hatte sich der Irish Council for Civil Liberties (ICCL) gegen das Gesetz ausgesprochen. Amnesty International meint das Gesetz diene nur dem Schutz großer Technologieunternehmen.
Aussage des Europäischen Datenschutzausschusses
Als Antwort auf die Anfrage der Abgeordneten des europäischen Parlaments, Sophie in ´t Veld, reagierte nun auch der EDSA. Dieser erkennt die Bedeutung der Vertraulichkeit an, stellt jedoch klar, dass dies normalerweise nur auf Dritte und nicht auf den Informationsaustausch zwischen Aufsichtsbehörden zutrifft. Er weist auch darauf hin, dass die geplante Aktualisierung der DSGVO auch das Verfahren mit vertraulichen Informationen behandeln wird. Die geänderte Verordnung würde dann harmonisierend regeln, welche Informationen abgesehen von Geschäftsgeheimnissen sensibel sind. Es scheint vor allem fraglich, ob die so in der neuen Verordnung nicht vorgesehenen Bußgeldbefugnisse des DPA weiterbestehen könnten.
Fazit
Die irische Regelung kann durchaus als Einschnitt in die Pressefreiheit gewertet werden. Zwar ist die Notwendigkeit des Schutzes vertraulicher Informationen verständlich, allerdings bietet die offene Definition von „vertrauliche Informationen“ einen unkontrollierbar weiten Subsumtionsrahmen. Gerade da es die in der Kritik stehende DPC selbst ist, die über die Vertraulichkeit der Informationen entscheiden darf und keine unabhängige Instanz, birgt diese Konstellation erhebliches Gefahrenpotential. Die Zukunft wird zeigen, wie sich diese Regelung auf die Pressefreiheit und den Datenschutz in Irland auswirkt. Jedenfalls lässt die Antwort des EDSA und der Vorschlag für die neue DSGVO erahnen, dass die aktualisierte DSGVO nicht mit diesem Teil des DPA übereinstimmen wird. Zumindest ist zu erwarten, dass der EDSA sich die Regelungen genauer anschauen wird. Ob daraus ein Vertragsverletzungsverfahren folgen wird, bleibt mangels eindeutiger Antwort des EDSA abzuwarten.
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die im Mai 2018 in Kraft trat, verlangt der Unternehmenswelt nun schon seit 5 Jahren einiges ab. Unternehmen ziehen eine durchwachsene Bilanz und vergeben im Rahmen einer repräsentativen Umfrage im Auftrag des Digitalverbunds Bitkom nur die Note „ausreichend“ (3,9). Bitkom befragte zwischen Juni und August 2023 503 Unternehmen ab 20 Beschäftigten in Deutschland.
Die Hauptaussagen sind wenig schmeichelhaft. Zwar haben mittlerweile zwei Drittel (65 %) wenigstens größtenteils die Vorschriften in ihre Geschäftsprozesse implementiert, jedoch beklagen sie, dass diese nicht praxisorientiert und zu kompliziert sind. Erschreckend ist, dass in fast jedem Unternehmen Innovationsprojekte in Folge zu hoher Datenschutzanforderungen gescheitert seien.
Die guten Nachrichten zuerst
Trotz dieser Herausforderungen erkennen die Unternehmen auch einige positive Aspekte an. Immerhin bestätigt die Mehrheit, dass die DSGVO zu einer Verbesserung der Datensicherheit im Unternehmen (61 %) und mehr Vertrauen in digitale Prozesse (51 %) geführt hat. Im Übrigen setze die DSGVO einheitliche Wettbewerbsbedingungen in der EU (45 %) und sogar weltweit Standards (61 %).
Komplexität und Praxisferne
Die Befragten beschweren sich jedoch, dass die DSGVO Unternehmensprozesse komplizierter macht (78 %) und praxisfern sind (77 %). Die meisten Unternehmen (86 %) haben Schwierigkeiten, die Entwicklungen im Datenschutz in der Rechtsprechung zu verfolgen. Das führe unteranderem zu einer Rechtsunsicherheit (82 %). Datenschutzverantwortliche in Unternehmen fänden es schwierig, Mitarbeiter über Datenschutz zu informieren (74 %). Diese Hürden führen dazu, dass sich 69 % der Unternehmen im internationalen Wettbewerb gegenüber Nicht-DSGVO-gebundenen Unternehmen benachteiligt sehen.
DSGVO als Innovationshemmnis
Fast alle Unternehmen (100 %) gaben an, dass in den letzten zwölf Monaten innovative Projekte entweder scheiterten oder erst gar nicht gestartet sind. Die meisten dieser Projekte betrafen den Aufbau von Datenpools (59 %) und die Prozessoptimierung in der Kundenbetreuung (47 %). Grund hierfür seien Unklarheiten in der Anwendung der Vorschriften (92 %) und konkrete DSGVO-Vorgaben (86 %). Allein die Umsetzung der DSGVO habe in viele Fällen zu Verzögerungen bei der Entwicklung neuer Produkte und Dienstleistungen geführt (56 %). Man hätte Innovationen aus Drittländern aufgrund der Regelungen in der EU nicht nutzen können (48 %).
Die Meinungen über den Einfluss der DSGVO auf die Entwicklung von künstlicher Intelligenz (KI) gehen auseinander. Während 44 % meinen, dass Datenschutz die Rechtssicherheit für die Entwicklung von KI-Tools schafft, sehen 56 % die DSGVO als Hindernis, dass Unternehmen der KI-Branche, aus der EU vertreiben könnte.
Verbesserungswünsche
Die deutliche Unzufriedenheit der Unternehmer legt es nahe, dass viele eine Verbesserung fordern. Immerhin 12 % der Unternehmen fordern eine Verschärfung der DSGVO, um die Bürgerinnen und Bürger besser zu schützen. Die Umfrageergebnisse zeigen allerdings, dass eine Mehrheit der Unternehmen sich eine Vereinfachung der Regelungen wünscht. Die vielen speziellen Datenschutzvorschriften sollen zusammengeführt (95 %) und die DSGVO angepasst werden (87 %). Außerdem sollen die Datenschutzvorgaben innerhalb der EU vereinheitlicht werden (79 %). Auch auf föderaler Ebene sollen die Gesetze angepasst werden (67 %).
Fazit
Die DSGVO hat in den letzten fünf Jahren sowohl Lob als auch Kritik von deutschen Unternehmen erhalten. Die Stimmung in der Unternehmenswelt tendiert allerdings in eine Richtung. Viele empfinden die Vorschriften als Hindernis, dass Nachteile in innovativer und finanzieller Hinsicht mit sich bringt. Aufgabe des Gesetzgebers ist es, die Forderungen der Unternehmen zu hören und Änderungen zu schaffen, die sowohl die Privatsphäre des Bürgers schützen als auch wirtschaftlich gesehen praxistauglich, verständlich und effizient sind. Bis dahin bleibt Datenschutz ein Thema, das die Geschäftswelt weiterhin herausfordert. Bei der Umsetzung der diversen Regeln helfen wir Ihnen als Externer-Datenschutzbeauftragter gerne weiter.
datenschutzticker.de -
Blog zu Datenschutz und Datensicherheit der KINAST Rechtsanwälte.
Weitere Informationen über unsere Kanzlei finden Sie unter www.kinast.eu.
