Reformen im Datenschutzrecht

In diesen Monaten ergibt sich im Datenschutz eine spannende Konstellation: Sowohl auf europäischer als auch auf deutscher Ebene scheinen die Dinge in Bewegung gekommen zu sein. Und Interessierte fragen sich verwundert: Hieß es nicht immer, die DSGVO werde nicht geändert? In der Tat ließ die vormalige EU-Kommission noch im Juli letzten Jahres in ihrem Evaluationsbericht verlauten, dass es keinerlei Änderungsbedarf gebe. Der sogenannte Draghi-Report vom vergangenen September sorgte dann für Umdenken bei der neuen EU-Kommission. Und so wurde im Mai dieses Jahres ein Vorschlag zur Änderung mehrerer Verordnungen vorgelegt. Dieses „Omnibus“ genannte heterogene Gesetzespaket will eine allgemeine Entschlackung im EU-Digitalrecht bewirken, wobei die DSGVO nur eine Komponente ist.

Mittlerweile steht das Ziel des Bürokratieabbaus im Vordergrund, wobei die bisher öffentlich gewordenen Vorschläge nur punktuell sind. So soll die Pflicht zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten eingeschränkt werden. Dafür soll in Art. 30 DSGVO die derzeit für Unternehmen mit weniger als 250 Beschäftigten geltende Ausnahme erweitert und modifiziert werden. Zukünftig sollen Betriebe mit bis zu 750 Beschäftigten kein Verfahrensverzeichnis mehr erarbeiten müssen – jedenfalls dann, wenn die Datenverarbeitungsvorgänge in der Einrichtung kein hohes Risiko mit sich bringen. Die neue Formulierung dieser Ausnahme von der Ausnahme ist relevant, denn die Ausnahme an sich gibt es schon, nur läuft sie wegen ihrer unangemessenen Formulierung leer: Nach geltendem Recht kommen kleinere Unternehmen dann nicht in den Genuss der Erleichterung, wenn die von ihnen vorgenommene Verarbeitung „ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt“ und die „Verarbeitung nicht nur gelegentlich“ erfolgt. Doch eine nur gelegentliche personenbezogene © Stiftung Datenschutz Datenverarbeitung gibt es in der modernen Welt kaum noch, und „ein Risiko“ wird strenggenommen mit jedweder Datenverarbeitung ausgelöst, mag es auch noch so vernachlässigbar sein. Mit dem vorgesehenen neuen Tatbestandsmerkmal des „hohen Risikos“ würde daher eine stimmige Präzisierung erreicht. Doch einmal abgesehen von dieser Formulierung und der damit zukünftig wieder stimmigen Regel-Ausnahme-Logik: Ist dieser sehr punktuelle Eingriff in die DSGVO sinnvoll, zudem an genau dieser Stelle?

Bei einer umfassenden Betrachtung ist das zu verneinen. Denn das Verarbeitungsverzeichnis ist lediglich die Essenz der generellen Dokumentationspflicht, die dem Grundprinzip des Gesetzes entstammt. Wer spürbar Bürokratie abbauen will, der müsste eigentlich genau andersrum ansetzen: Abschaffung der generellen Dokumentationspflicht, jedoch Beibehaltung des Verzeichnisses. Denn gerade das Verzeichnis schafft den zentralen Überblick über die Datenhaltung im Unternehmen. Es erleichtert die Umsetzung datenschutzrechtlicher Pflichten wie das Beantworten von Auskunftsbegehren. Die Erstellung ist auch für kleinere Betriebe mit überschaubarem Aufwand machbar; die Aufsichtsbehörden stellen Muster bereit (zu empfehlen sind die aus Bayern: www.lda.bayern.de/de/muster.html).

REFORM ODER REFÖRMCHEN?

Was kann die Praxis nun also erwarten von dieser „Reform“? Falls es tatsächlich bei der beschriebenen Änderung bleiben sollte, nicht viel. Denn sämtliche andere Pflichten des Datenschutzrechts würden ja in Kraft bleiben – ungeachtet des tatsächlichen Risikos, das die Verantwortlichen schaffen. In Brüssel traut man sich jedoch an eine umfassende Durchsicht der DSGVO nicht heran, da aus Sicht vieler der Ausgang eines dazu anzustrengenden Gesetzgebungsverfahrens zu wenig berechenbar wäre.

„Was ist praktisch zu erwarten von dieser DSGVO-Reform? Falls allein Art. 30 geändert würde, jedenfalls nicht viel“

Denkbar ist jedoch durchaus, dass der Vorschlag zur Modifizierung von Art. 30 DSGVO eine Art Testballon ist und dass die Kommission sich an weitere Vereinfachungen herantasten will. Als weiterer Ansatzpunkt könnten beispielsweise die Informationspflichten aus Art. 13/14 dienen. Die Erfüllung dieser Pflichten verursacht Aufwand, bringt in seiner jetzigen Formulierung („zum Zeitpunkt der Erhebung“) praktische Herausforderungen mit sich und nützt einem effektiven Grundrechtsschutz oft wenig. An Stellen wie dieser ließe sich über eine risikobezogene Abstufung des Informationsumfangs nachdenken. Sowohl auf europäischer als auch auf deutscher Ebene ist dagegen zu befürchten, dass zur Bürokratieentlastung wieder die Bestellpflicht für betriebliche Datenschutzbeauftragte in den Blick gerät – ein Punkt, der auch die Anwaltschaft beträfe, da nicht wenige Kolleginnen und Kollegen als externe Beauftragte bestellt sind. Die Grenze, ab der die Bestellpflicht greift, wurde im deutschen Recht 2019 schon einmal geändert und dabei die maßgebliche Zahl der Beschäftigten, ab deren Erreichen zu bestellen ist, von 10 auf 20 erhöht. Im Rahmen der zum Ende der Ampelregierung gescheiterten BDSG-Änderung war eine Erhöhung der Bestellpflichtgrenze auf 50 Beschäftigte in Rede. Dieser Ansatz könnte im Rahmen einer neuen Reformrunde wieder aufgegriffen werden. Zu befürworten wäre ein solcher Schritt nicht. Für ihn gälte das gleiche wie für die Verzeichnispflicht: Es würden nicht grundlegende bürokratieauslösende Faktoren angegangen, sondern es wird ein bewährtes Element zur Bewältigung der Datenschutzpflichten geschwächt. Beim Verarbeitungsverzeichnis liegt dieses positive Potenzial im zentralen Überblick, bei den Datenschutzbeauftragten liegt es in der notwendigen Beratung zur Herstellung von Gesetzeskonformität. Beschneidet man beides, so blieben alle anderen herausfordernden Aufgaben aus der DSGVO weiterhin zu erfüllen, bloß eben mit weniger Überblick und weniger Kompetenz.

NICHT AM FALSCHEN ENDE ANSETZEN

Erfreulicher als ein Herumschrauben an Einzelpunkten wäre daher eine DSGVO-Reform, innerhalb derer der stets erwähnte, aber nicht gelebte „risikobasierte Ansatz“ des Datenschutzrechts zum Tragen käme. Risikobasiert ist Datenschutz zwar immer, denn immer soll er Risiken für Rechte und Freiheiten betroffener Personen abwehren. Doch risikodifferenziert ist die DSGVO in ihrer bestehenden Form eben nicht, da allein bei technischorganisatorischen Pflichten aus Art. 32 eine Verhältnismäßigkeitskomponente zum Tragen kommt, ansonsten aber sämtliche Pflichten für sämtliche Verantwortliche gleich gelten, ungeachtet dessen, ob diese mit ihren Datenverarbeitungspraktiken hohe, durchschnittliche, geringe oder gar vernachlässigbare Risiken auslösen. Im Gegensatz dazu ist die differenzierende KI-Regulierung schon einen Schritt weiter.

REFORMEN IN DEUTSCHLAND?

Ein Mitgliedstaat allein kann im europäischen Recht nichts ändern, eigener Spielraum besteht allein im nationalen Begleitrecht innerhalb der gewährten Öffnungsklauseln. Deutschland will diesen im Bereich des Beschäftigtendatenschutzes bestehenden Spielraum nun nutzen – vielleicht besser gesprochen: „will erneut versuchen, ihn zu nutzen“. Denn mehrere Anläufe hierzu sind bislang gescheitert, und dies seit 2009. Die Argumente für oder gegen ein eigenständiges Beschäftigtendatenschutzgesetz oder ergänzende Regelungen im BDSG sind indes gleichgeblieben. Die Einen erwarten mehr Rechtssicherheit durch Kodifizierung statt Kasuistik. Die Anderen möchten die unter Art. 6 Abs. 1b) DSGVO gegebene Flexibilität erhalten. Das Bundesarbeitsministerium arbeitet derzeit an einem Entwurf. Dies tat es jedoch schon öfter, so dass die Praxis einmal mehr geduldig abzuwarten hat, ob sich für sie Änderungen ergeben.

„Mehrere Anläufe zum Beschäftigtendatenschutz sind seit 2009 gescheitert, doch die Argumente sind gleichgeblieben“

Konkreter dürften die Bemühungen werden, ein weiteres Vorhaben, was unter der Vorgängerregierung liegengeblieben war, zu einem Ergebnis zu bringen. Es geht um die überfällige Strukturreform der deutschen Datenschutzaufsicht. Beabsichtigt ist eine Bündelung der Aufsicht über den nichtöffentlichen Bereich auf Bundesebene und begleitend eine Institutionalisierung der Konferenz der Aufsichtsbehörden von Ländern und Bund. Ersteres kann der Bund alleine umsetzen. Für Letzteres ist die Unterstützung der Länder erforderlich. Denn beabsichtigt sind Beschlüsse der DSK, an die die Behörden auf Bundes- und Landesebene gleichermaßen gebunden sind. Dafür ist mit Blick auf das Verfassungsrecht der Abschluss eines Bund-Länder-Staatsvertrages notwendig.

Die Auswirkungen auf die Praxis hängen bei diesem Vorhaben sehr von der konkreten Ausgestaltung ab. Eine komplette Zentralisierung der Datenschutzaufsicht wird es nicht geben; der öffentliche Bereich, d. h. die Überwachung der Landesverwaltung, wird auf jeden Fall auf Landesebene bleiben. Im nichtöffentlichen Bereich dagegen wäre sehr gut denkbar, aus Einheitlichkeitserwägungen überregionale Fälle in die Zuständigkeit der Bundesbeauftragten zu geben.