Die Datenschutzgrundverordnung (DSGVO) entfaltet seit dem 25. Mai 2018 ihre Wirkung und regelt seitdem primär das Datenschutzrecht innerhalb der Europäischen Union.

Die Verordnung sieht in Art. 97 DSGVO vor, dass sie nach zwei Jahren (2020) und danach nur noch alle vier Jahre einer Evaluierung durch die EU-Kommission unterzogen wird. Zur Überprüfung und Bewertung kann die Kommission auch Informationen und Einschätzungen von den nationalen Aufsichtsbehörden und den Mitgliedstaaten anfordern. Aber auch zahlreiche weitere Organisationen und Gremien haben ihrerseits Vorschläge und Einschätzungen zur Wirkung bzw. zur Verbesserung der DSGVO publiziert.

Nun veröffentlichte die EU-Kommission ihren Bericht (in englischer Sprache) zur ersten Evaluierung und zieht eine vorwiegend positive Bilanz. Die DSGVO habe die meisten ihrer Ziele erreicht, sei zeitgemäß und stärke die Rechte der Bürgerinnen und Bürger.

So sollen 71 Prozent der Gesamtbevölkerung in der EU von der DSGVO gehört haben.

Ein erstes Fazit

Zunächst wird die DSGVO als zeitgemäß gelobt: „The GDPR, having been conceived in a technology neutral way, is based on principles, and is therefore designed to cover new technologies as they develop.“ (S. 10). Insbesondere in der aktuellen Coronakrise würde sich zeigen, wie gut sich der Rechtsrahmen für neue Verfahren und technische Mittel (wie z.B. auch eine Corona-Tracing App) eignet. Im Hinblick auf die „Künstliche Intelligenz“ und im Rahmen der Datenstrategie werde man die Anwendung der DSGVO weiterhin überwachen.

Gleichwohl soll die Zusammenarbeit der Aufsichtsbehörden mit dem Europäischen Datenschutzausschuss (EDSA) noch verbessert werden sowie auch die internationale Zusammenarbeit mit anderen Staaten durch/mittels „Angemessenheitsbeschluss“ noch ausgebaut werden. Erwähnt wird hier als gutes Beispiel das Datenschutzabkommen mit Japan. Ein solches könnte auch mit dem Vereinigten Königreich (UK) wegen des Brexits angestrebt werden und deutlich mehr Rechtssicherheit schaffen.

Hierzu wird im Bericht ausgeführt:

„In line with the Political Declaration on the Future Relationship between the EU and the UK, the Commission is currently carrying out an adequacy assessment under both the GDPR and the Data Protection Law Enforcement Directive“. (S. 11).

Doch es geht noch um viel mehr: Denn es sollen die Vorschriften für den in der Praxis bedeutungsvollen Datenaustausch bzw. die Datenübermittlung an sog. Drittstaaten noch verbessert werden. Hier schlägt die EU-Kommission erneut die Anpassung der EU-Standardvertragsklauseln vor. Die Forderungen hiernach sind nicht neu, insbesondere bereitet den betroffenen Unternehmen die vertragliche Ausgestaltung mit Unterauftragnehmern in Drittstaaten nach wie vor gewisse Probleme.

Im Bericht heißt es hierzu: „The Commission is currently working on standard contractual clauses between controllers and processors, building on the on-going work on the modernisation of the standard contractual clauses for international transfers.“ (S. 10).

Zudem wünscht sich die EU-Kommission mehr Ressourcen für die nationalen Aufsichtsbehörden, damit diese noch stärker ihre Aufgaben wahrnehmen können. Einige Länder haben bereits finanziell und personell aufgestockt.

Weitere Details hinsichtlich etwaiger Anpassungen der Vorschriften bleibt die Kommission mit ihrem Bericht jedoch schuldig, vielmehr ist davon auszugehen, dass sich am Verordnungstext die nächste Zeit erst einmal nichts ändern wird.

Die nächste reguläre Evaluierung steht für Mai 2024 an.

Nicht alle Datenschützer sind voll des Lobes und hätten sich vermutlich größere Anpassungen und Vorgaben gewünscht.

Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit (HmbfDI), Prof. Dr. Caspar zeigte sich in einer Pressemitteilung am Tag nach der Veröffentlichung des Berichts leicht enttäuscht:

„Wir brauchen künftig Regelungen der Zuständigkeiten, die die europäischen Aufsichtsbehörden nicht behindern und für ein Forum Shopping der Internetkonzerne keinen Raum bieten. Das derzeitige Regelungsinstrumentarium führt zu einem Datenschutzvollzug der zwei Geschwindigkeiten: Während nationale Verfahren häufig zügig und mit zum Teil sehr hohen Bußgeldern enden, hängen die schwerwiegenden grenzüberschreitenden Fälle unter Beteiligung aller Datenschutzbehörden jahrelang in der Mühle eines bürokratischen Verfahrens und absorbieren die Kraft und Ressourcen der Behörden. Ein wirksamer Schutz von Rechten und Freiheiten Betroffener aber auch ein fairer Wettbewerb auf dem digitalen Markt lassen sich so nicht herstellen. Eine kritische Analyse muss sich gerade hierzu verhalten, will man das Regelungsprojekt nicht aufs Spiel setzen. Auch wenn ein systemisches Umsteuern derzeit noch nicht ansteht: Der Anpassungsbedarf einiger Vorschriften der DSGVO steht außer Frage. Die Chance für ein Nachsteuern wurde im Rahmen dieses Evaluationsberichts leider nicht genutzt.“

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) begrüßt, dass wesentliche Kernaussagen seiner eigenen Evaluierung und des Evaluierungsberichts der Datenschutzkonferenz sich im Bericht der Kommission wiederfinden. Kritisch sieht er hingegen, dass die Europäische Kommission sich zu einigen Herausforderungen für den Datenschutz nicht äußert, wie zum Beispiel zum Thema ‚Scoring und Profiling‘. Wie wohl die meisten Datenschützer begrüßt er die Forderung im Evaluierungsbericht, wonach die Datenschutzaufsichtsbehörden finanziell, personell und technisch angemessen ausgestattet werden müssen.

Der vollständige Bericht der EU-Kommission zur Evaluierung der DSGVO (englisch) kann an dieser Stelle heruntergeladen werden.

| | , | , , ,