Datenschutz: was wird uns das Jahr 2022 bringen?
26.12.2021
[IITR – 26.12.21] Die Welt kämpft mit Corona in der Hoffnung, dass auch dies irgendwann einmal zu Ende gehen sollte. Nicht nur die deutsche Wirtschaft plagt sich mit Nachschub-Problemen sowie Fragen zur Aufrechterhaltung einer sicheren Energieversorgung. Zusätzlich befindet man sich in der Automobilindustrie in einem bedeutsamen Strukturwandel. Die Inflationsrate hat ihren Korridor nach oben verlassen, eine geldpolitische Gegenwehr ist kaum möglich. Für Europa kann ein Rückgang der Nachfrage nach Produkten und Dienstleistungen bei gleichzeitig steigender Inflation zu einem Problem werden.
Wir können nicht so tun, als ob Datenschutz das derzeit Wichtigste auf der Welt wäre. Dennoch: Datenschutz ist eingebunden in die ganz großen globalen Fragen. Dies schimmerte durch, als Australien eine umfangreiche U-Boot Bestellung in Frankreich zugunsten der USA absagte, aufgrund einer wohl geostrategischen Neuausrichtung im Pazifik-Raum. Als Folge setzte die EU die vereinbarten Gesprächstermine zu Datenschutz-Verhandlungen mit den USA zeitweise aus.
USA und “Privacy Shield”
Die Verhandlungen über ein Anschluss-Konstrukt zwischen der EU und USA mit dem Ziel, Datentransfers auch nach dem durch den EuGH-Entscheid gekippten „Privacy Shield“ zu ermöglichen, wurden neu angesetzt. Es geht darum, dass die USA die Struktur und Arbeitsweise ihrer Geheimdienste gegenüber den europäischen Datenschutz-Anforderungen in irgendeiner Weise transparent machen müssen. Dazu wurde inzwischen ein besonderes Gremium amerikanischer Richter in Gespräch gebracht.
Der aktuelle Bedarf an globalem Datentransfer ist davon unberührt und sucht sich funktionierende Nebenwege.
Mögliche (kurzfristige) Ausweich-Strategie für Datentransfers
Eine mögliche Ausweich-Strategie könnte so aussehen, dass Vertragsabschlüsse über einen Datentransfer nicht mehr zwischen einem europäischen und einem amerikanischen Datenverarbeiter geschlossen werden. Stattdessen greift ein amerikanischer Datenverarbeiter zukünftig auf eine eigene Gesellschaft hier in Europa zurück.
Nur mit dieser europäischen Gesellschaft des US-Anbieters schließt ein europäischer Kunde seine dann auf europäischem Datenschutzrecht basierenden Verträge. Die EU-Gesellschaft des amerikanischen Unternehmens wiederum schließt mit ihrer in den USA residierenden Konzernmutter die notwendigen Verträge zum Datentransfer sowie Datenverarbeitung ab – begleitet von Transfer Impact Assessments auf der europäischen Seite.
Wie man es indes am Ende dreht und wendet: es bleibt im Kern ein politisches Problem, welches einer politischen Lösung bedarf.
Deutsche Landesdatenschutzbehörden
Die Bundestagswahl 2021 liegt hinter uns. Die Koalitionsparteien haben angekündigt, die Struktur der Landesdatenschutzbehörden zu belassen und die Rolle der Datenschutz-Konferenz (DSK) als Entscheidungsgremium zu Fragen der einheitlichen Auslegung zu stärken. Bereits im abgelaufenen Jahr wurde eine Zunahme von Aufsichtstätigkeiten deutlich spürbar. Die Stiftung Datenschutz dürfte eine größere Bedeutung erhalten. Auch sind weitere Verfahren zu Fragen des immateriellen Schadensersatzes insb. nach “Data-Breach-Meldungen” zu erwarten.
Einen vertiefenden Blick auf die Themen des kommenden Jahres aus Sicht des Bayerischen Landesamts für Datenschutzaufsicht haben wir mit deren Präsidenten Herrn Michael Will geworfen.
Datenschutz-Zertifizierungen
Durch EU-Norm Nr. 765/2008 (Artikel 4 Absatz 1) wurde allen EU-Mitgliedern aufgetragen, ab dem 1. Januar 2010 für ihren Geltungsbereich eine einzige Zertifizierungsstelle zu benennen. Im Bereich der Bunderepublik Deutschland machte dies den Zusammenschluss von vier Organisationen notwendig, um anschließend unter der Bezeichnung DAkkS die Funktion einer nationalen Akkreditierungsstelle in Deutschland wahrzunehmen.
Die Datenschutzgrundverordnung hat diese EU-Norm aufgebrochen, Datenschutz-Behörden der Länder wurden ebenfalls Zertifizierungs-Aufgaben zugewiesen. Dies erfordert u.a. Abstimmungsarbeit zwischen den zertifizierenden Behörden. Produkte und Dienstleitungen können einer Zertifizierung zugeführt werden, sowie Genehmigungsverfahren für Verhaltensregeln (Code of Conduct), mit dem Ziel, den Umgang mit Datenschutzbestimmungen für die antragstellenden Bereiche zu vereinfachen. Eine Zertifizierung von Managementsystemen, mit denen Datenschutzbestimmungen in den Unternehmen regelkonform abgebildet werden können wurden in der DSGVO nicht vorgesehen.
Im Jahr 2021 wurden im Bereich Zertifizierung & Verhaltensregelungen von uns nur wenige Aktivitäten in Deutschland beobachtet. Anders sieht es in Österreich aus. Dort wurde ein erster Anbieter als Überwachungsstelle für DSGVO-Verhaltensregelungen akkreditiert. Entsprechende Schritte in Deutschland werden für 2022 erwartet.
Brexit und der Datenschutz
„Es wäre geradezu fahrlässig, wenn Gesetzgeber nicht permanent ihre Arbeit hinterfragen und versuchen, Gesetzestexte zu verbessern.“ – so äußerte sich Axel Voss (MdEP, Rechts,-Justizausschuss) in einem Gastbeitrag in der Frankfurter Allgemeinen Zeitung am „Geburtstag“ der Datenschutzgrundverordnung.
Betrachtet man die praktische Umsetzung der europäischen Zielsetzungen, stellt man schnell fest, es ist nicht alles Gold was hier zu glänzen vorgibt: Kleinere Unternehmen, Sportvereine und viele andere beklagen, dass die Europäischen Datenschutz-Anforderungen für sie ebenso gelten würden wie für die „Big Player“ (Google, Amazon, Meta usw.). Ein in ihrer Sicht klares Missverhältnis: die Datenschutzgrundverordnung sei viel zu komplex, wie solle man sich da zurechtfinden oder das alles gar umsetzen? Was dürfte man überhaupt noch?
„It means reforming our own data laws so that they’re based on common sense, not box-ticking.“ (so UK-Digitalminister Oliver Dowden)
Das Vereinigte Königreich will im Nachgang des „Brexit“ ein reformiertes Datenschutzgesetz einführen. Anhand der Änderungsansätze soll hier nachvollzogen werden, wo die Briten die Schwachstellen der europäischen Gesetzgebung ausgemacht haben.
Eine Schwäche scheint das „box-ticking“, zu sein. Das ständige Häkchen-Setzen in diversen Consent-Bannern soll ein Ende haben.
Grundsätzlich gilt: Keine Verarbeitung personenbezogener Daten ohne Rechtsgrundlage (Art. 6 Abs. 1 DSGVO). Nun hat der Gesetzgeber eine auf ersten Blick große Auswahl an solchen Grundlagen geschaffen, doch nimmt die Einwilligung (Art. 6 Abs. 1 a DSGVO) die zentrale Rolle ein.
„Man könnte vielleicht ein berechtigtes Interesse begründen, jedoch ist es sicherer, wenn in diesem Fall eine Einwilligung des Betroffenen eingeholt wird.“ – Ein Satz, den man in Unternehmen wohl schon häufiger gehört hat, bzw. hören musste.
Dem setzt man im Vereinigten Königreich nun entgegen, dass das „berechtigte Interesse“ (in der EU Art. 6 Abs. 1 f DSGVO) für die Verantwortlichen der Datenverarbeitung rechtssicher und somit einfacher anwendbar sein wird. Dafür solle eine ausführliche Liste erstellt werden, die vorgibt, bei welcher Art der Verarbeitung ein berechtigtes Interesse des Verantwortlichen vorliegt, so dass eine Abwägung ausbleiben könnte.
Wann aus Sicht des UK-Gesetzgebers ein solches berechtigten Interesses vorläge, hat dieser beispielhaft vorgezeichnet:
- Meldung von Straftaten oder Sicherheitsbedenken an die zuständigen Behörden
- Übermittlung gesetzlich vorgeschriebener öffentlicher Mitteilungen sowie Botschaften zu Gesundheit und Sicherheit durch nicht-öffentliche Stellen
- Überwachung, Aufdeckung oder Korrektur von Abweichungen bei der Entwicklung von KI-Systemen
- Verwendung von Cookies zur Zielgruppenmessung oder ähnlicher Technologien zur Verbesserung von zahlreich besuchten Webseiten
- Verbesserung oder Überprüfung der System- oder Netzsicherheit einer Organisation
- Verbesserung der Sicherheit eines Produkts oder einer Dienstleistung, die die Organisation anbietet oder erbringt
- Pseudonymisieren oder Anonymisieren von personenbezogenen Daten
- Verwendung von personenbezogenen Daten für interne Forschungs- und Entwicklungszwecke oder für Geschäftsinnovationen zur Verbesserung der Dienstleistungen für Kunden
- Verwaltung oder Pflege einer Datenbank, um sicherzustellen, dass die Aufzeichnungen über Personen korrekt und auf dem neuesten Stand sind, und um unnötige doppelte Arbeit zu vermeiden
Dadurch will man den Unternehmen ein Instrument an die Hand geben, das ihnen Verlässlichkeit in Form von Rechtssicherheit in den jeweiligen Fällen gewährt.
Eine Abwägung bliebe im Übrigen obligatorisch, sollten die personenbezogenen Daten von Minderjährigen betroffen sein.
Auch nach der EU-DSGVO gibt es aus Sicht des europäischen Gesetzgebers Beispiele für berechtigte Interessen. So liegt ein berechtigtes Interesse – mit Blick auf die Erwägungsgründe 47, 48, 49, 50 – vor, sollte es bspw. um Betrugsbekämpfung gehen, man sich im Rahmen des „kleinen Konzernprivilegs“ bewegen, zur Gewährleistung der IT-Sicherheit oder bei potenzieller Anzeige strafrechtlich relevanter Sachverhalte.
Die Liste aus dem Vereinigten Königreich geht hier deutlich weiter und klärt insbesondere auch für Unternehmen praxisnahe Fälle wie das Verwenden von Cookies. Ob hier nun das „angemessene“ Datenschutzniveau der Rechtssicherheit weichen muss, wird abzusehen sein.
„The proposal comes after UK launched its Innovation Strategy and a plan to make the country a global leader in innovation-focused digital regulation to help cement the UK’s position as a world-leader in science, research and innovation.“ (aus der Presseerklärung)
Das gesetzte Ziel der Briten ist klar. Man will seinen Status als führendes Land in Wissenschaft, Forschung und Innovation „zementieren“. Dazu sei es notwendig, die rechtlichen Grundlagen zu schaffen, personenbezogene Daten zu diesen Zwecken verwenden zu dürfen, so dass der Datenschutz am Ende nicht zur „Innovationsbremse“ verkommt. Doch wie soll dieser Weg gelingen?
Einerseits soll die Frage geklärt werden, wann sich universitäre Forschung als Wahrnehmung einer Aufgabe im öffentlichen Interesse klassifizieren lässt (Art. 6 Abs. 1 e DSGVO). Andererseits soll zusätzlich für „wissenschaftliche Forschung“ („scientific research“) – ein Begriff, der klar definiert werden solle – eine eigene Rechtsgrundlage geschaffen werden.
In Deutschland hängt hier (fast) alles von der Einwilligung ab – ein Problem, das der Arzt und Rechtsanwalt Christian Dierks hinsichtlich der medizinischen Forschung in einem Gastbeitrag im Handelsblatt auf den Punkt bringt: Eine Verarbeitung personenbezogener Gesundheitsdaten sei zulässig, „wenn eine Einwilligung des Patienten vorliegt. Doch Einwilligungen sind für Daten, die in der Vergangenheit erhoben wurden, realistischerweise nicht zu erhalten.“
Der Lösungsansatz aus dem Vereinigten Königreich sieht hier vor, dass Betroffene ihre Einwilligung zu einem weiten Bereich von wissenschaftlicher Forschung erteilen könnten. Außerdem wird festgelegt, dass eine weiterführende Verarbeitung mit dem ursprünglichen Zweck vereinbar sei. Dazu entfielen die Informationspflichten, sollten diese einen unverhältnismäßigen Aufwand bedeuten.
Eine weitere potenzielle Innovationsbremse sieht man in dem Verbot, ausschließlich einer automatisierten Verarbeitung unterworfen zu werden (Art. 22 DSGVO). Um gar nicht Gefahr zu laufen, mit einer solchen Regelung in Konflikt zu geraten, solle es einen solchen Artikel und damit ein solch grundsätzliches Verbot gar nicht geben.
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ (Art. 5 Abs. 2 DSGVO)
Die Rechenschaftspflicht stellte eine der großen Änderungen für Unternehmen durch Einführung der Datenschutzgrundverordnung dar. Es sollte nämlich nicht mehr ausreichen, datenschutzkonform zu agieren, sondern man müsse dies auch beweisen können. Ein zusätzlicher Aufwand.
Dieser in den Augen der Briten unverhältnismäßige Verwaltungsaufwand soll sich nun auch ändern. Geht es nach dem Gesetzesvorschlag soll es diesbezüglich deutlich weniger Anforderungen geben und diese müssten flexibler und risikoorientierter gestaltet werden. So sollen die Unternehmen ein umfassendes Managementsystem einsetzen, das auf ihre Verarbeitungstätigkeiten zugeschnitten ist.
Im Zuge dessen sei Art. 24 DSGVO zu erweitern, ihm solle eine stärkere Rolle zukommen. Gänzlich verzichten könne man in Zukunft auf einen Zwang zur Bestellung eines Datenschutzbeauftragten, auf eine Datenschutzfolgenabschätzung, auf vorherige Konsultationen der Aufsichtsbehörden und auf bestimmte Aufbewahrungspflichten.
Insgesamt solle aus Unternehmenssicht mehr auf Freiwilligkeit gesetzt werden – analog dem „Active Enforcement“ in Singapur.
„Data is the oil of the modern era.“ (oder treffender: “let’s start to think about data as “infrastructure” that will be the foundation for helping us construct a resilient and responsible global society”)
In einer globalen Welt reicht es jedoch nicht, diese Ressource mit wenigen teilen zu können. Ziel muss es sein, Datentransfers mehr und mehr zu ermöglichen. Dafür soll die Regelung für internationale Transfers verändert werden, sie muss flexibler gestaltet werden und an die besonderen Umstände angepasst. Auch muss es möglich sein, Daten zu teilen und auszutauschen. Dafür seien unabhängige Vermittler mit der Datenverwaltung zu beauftragen. Zu klären sei noch, welche Rechtsgrundlagen neben einer Einwilligung dafür anwendbar sind und welche Rolle die Regierung selbst spielen könnte.
Oliver Dowden: creating our own data laws is one oft he biggest prizes of Brexit
Der UK-Digitalminister sieht also in seinem neuen Datenschutzgesetz einen „Game Changer“, denn viele lästige vorherige Regelungen würde man nun loswerden.
Es muss hier offenbleiben, in wieweit sich diese Änderungen mit bestehenden Absprachen zwischen Großbritannien und der EU deckt.
Whistleblower-Richtlinie
Die Whistleblower-Richtlinie der EU steht vor ihrer Umsetzung. Wie der Name bereits erkennen lässt, soll hierdurch ein System zum Schutz von anonymen Hinweisgebern etabliert werden. Zunächst sind Unternehmen ab 250 Mitarbeiter betroffen, ab 2024 sinkt diese Schwelle auf 50 Mitarbeiter. Wir werden unsere Mandanten auch hier begleitend unterstützen.
Daten & Information
Die Frage der Eigentumsfähigkeit an seinen eigenen Daten ist weiterhin nicht entschieden. Die DSGVO geht bekanntlich davon aus, dass Daten und Information synonym sind. Sehr viele Probleme im Datenschutz wären lösbar, wenn sich durchsetzen würde, dass Maschinen grundsätzlich auf Materie zurückgreifen müssen, um arbeiten zu können. Mit einer substanzlosen, geistigen flüchtigen Sphäre kann eine Maschine absolut nichts anfangen. Der Computer ist eine Maschine. Diese Maschine bearbeitet, speichert und versendet Daten, die mithin materiell sein müssen. Es sind Vorstöße auf den Weg gebracht worden, die Stichhaltigkeit dieser Sichtweise einer Bewertung und Klarstellung zuzuführen. Allerding ist offen, ob die zur Klärung eingeschlagenen Wege zum Ziel führen werden.
Wir wünschen ein gutes Jahr 2022.
Autoren: Eckehard Kraska, Michael Wehowsky, Sebastian Kraska