Erfahrungsbericht der Datenschutzkonferenz
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) hat einen Erfahrungsbericht über die Anwendung
der DSGVO erarbeitet und auf der 98. Datenschutzkonferenz am 06. November 2019 verabschiedet.
Die DSK möchte damit die Erfahrungen der in ihr vertretenen deutschen Aufsichtsbehörden aus der praktischen Anwendung seit Geltungsbeginn der DSGVO in den Evaluierungsprozess nach Art. 97 DSGVO einbringen und daran anknüpfend in einigen Punkten auch Vorschläge für Verbesserungen unterbreiten, um einen optimalen Vollzug der DSGVO zu gewährleisten.
Die DSK stellt in dem Bericht einige Punkte heraus, die ihrer Ansicht nach in der Praxis zu Problemen führen und die im Zuge der Evaluierung der DSGVO zu einem Prozess der Anpassung und Nachbesserung führen soll.
Ich möchte in diesem Beitrag – neben der Bilanz über die DSGVO – zwei dieser Punkte der DSK kurz beleuchten.
Insgesamt positive Bilanz – Zurecht?
Insgesamt stellt die DSK vorweg fest, dass nach einem Jahr der Geltung der DSGVO die Europäische Kommission im Juli 2019 zu Recht eine positive Bilanz gezogen habe. Die DSGVO habe die EU-Bürger zunehmend auf die Datenschutzbestimmungen und ihre Rechte aufmerksam gemacht und die Unternehmen hätten ihre Praktiken angepasst und die Sicherheit ihrer Daten erhöht. Der Datenschutz würde von der Wirtschaft zunehmend als Wettbewerbsvorteil gesehen.
Zu dieser Feststellung kann ich aus meiner Praxis beitragen, dass meine Mandanten in erster Linie die Schwierigkeiten und wirtschaftlichen Belastungen der DSGVO spüren und im Gegenzug ein wirtschaftlicher Vorteil oder gar ein Wettbewerbsvorteil nicht zu erkennen ist. Es mag hier der grundsätzlich datenschutzfreundlichen Einstellung der DSK geschuldet sein, die vielen im Alltag zu hörenden Klagen und – meines Erachtens oftmals zurecht – zu vernehmenden Schwierigkeiten und Hemmnisse, die mit der DSGVO einhergehen, nicht zu erkennen oder erkennen zu wollen.
In der Folge werden verschiedene Praxisprobleme benannt und Vorschläge für Anpassungen gemacht. Zu ein paar der Themen möchte ich hier kurz etwas erwidern.
Praxisprobleme bei Informationspflicht
Zunächst werden die Schwierigkeiten mit der Erfüllung der Informationspflichten genannt. So heißt es beispielsweise hierzu:
Bei den Informations- und Transparenzpflichten nach Art. 13 und 14 DS-GVO haben sich in der
Praxis Umsetzungsprobleme gezeigt, z. B. bei telefonischer Datenerhebung. Hier geht es
insbesondere um die Frage, ob zunächst eine allgemeinere Information an zentraler Stelle ausreicht
und konkrete Informationen nur auf Verlangen nachgereicht werden können. Auch Umfang und
Inhalt der Informationspflichten könnten möglicherweise praktikabler und bürgerfreundlicher
definiert werden. In der Praxis stellt sich teilweise die Frage nach der Alltagstauglichkeit der
Regelungen der DS-GVO. Möglichkeiten zur erleichterten Anwendung der Informationspflichten, die
Pflicht zur Meldung von Datenschutzbeauftragten an die Aufsichtsbehörden sowie das Recht auf
Kopie nach Art. 15 Abs. 3 DS-GVO wurden in den Fokus genommen.
Die Aufsichtsbehörden sprechen sich sodann dafür aus, eine Möglichkeit zu schaffen, dass die in Art. 13 DSGVO genannten Informationspflichten in einem gestuften Verfahren erfüllt werden können. In geeigneten Fällen sollen die notwendigen Informationen dann auch mit der Übersendung einer Auftragsbestätigung, durch Aushang im Ladengeschäft oder auf ähnliche Weise erteilt werden können.
Der grundsätzlich erforderlichen Anpassung des Wortlauts des Art. 13 DSGVO ist ausdrücklich zuzustimmen. Nicht nur der Anruf, sondern auch die proaktive Mail eines Interessenten oder der klassische Austausch von Visitenkarten sind typische Beispiele für in der Praxis festzustellende Schwierigkeiten der Umsetzung der Infopflichten nach Artikel 12 ff. DSGVO. Es scheitert hier schon daran, dass gar nicht “bei Erhebung der Daten” informiert werden kann, da die Datenerhebung durch Telefonanlage oder E-Mail-Programm schon vor der Möglichkeit der Information erfolgt.
Zu wünschen wäre daher in der Tat eine Anpassung der Vorschrift. Eine Informationspflicht unmittelbar nach Beginn einer automatisiert eingerichteten Datenerhebung wäre hier bspw. sinnvoll. Oder, noch besser, sollten sozialadäquate Handlungen des täglichen Lebens ganz aus der proaktiven Infopflicht ausgenommen werden, was dann auch die unsägliche Visitenkartendiskussion beenden könnte.
Zu viele Datenpannen
Die DSK merkt zu Recht an, dass viele Datenpannen gemeldet werden, welche tatsächlich keine Datenpannen sind. Es seien exorbitante Steigerungsraten bei den Meldungen von Datenpannen zu verzeichnen. Kein Wunder, muss doch aktuelle jede noch so winzig Datenpanne gemeldet werden. So ist die E-Mail, die aus Versehen an den falschen Empfänger geschickt wird, auch schon meldepflichtig.
Mein Vorschlag dazu entspricht auch dem der DSK: Es sollten nur solche Datenpannen meldepflichtig sein, die voraussichtlich zu einem mehr als nur geringen Risiko für die Rechte und Freiheiten natürlicher Personen führen. Entsprechend des risikobasierten Ansatzes der DSGVO wäre hier dem Verantwortlichen aufzuerlegen eigenständig eine Prüfung der Datenpanne im Hinblick auf die Risiken durchzuführen. Eine Meldung wäre nur dann erforderlich, wenn er zu dem Ergebnis kommt, dass eine gewisse Wahrscheinlichkeit für eine nicht nur geringes Risiko für die Betroffenen besteht.
Weitere Vorschläge
Auch bei den weiteren Vorschlägen der DSK kann man – teilweise mit Abstrichen oder anderer Schwerpunktsetzung – durchaus zustimmen. Und sei es nur bzgl. der Frage, ob zu den einzelnen Punkten überhaupt Anpassungen der DSGVO nötig sind. Denn es gibt (zu) viele Baustellen, die eine praxistaugliche, gerechte und damit auch akzeptierte Anwendung der DSGVO verhindern.
Timo Schutt
Ihr Datenschutz-Berater
Fachanwalt für IT-Recht