Europäische Kommission: Zweiter Bericht zur Anwendung der Datenschutzgrundverordnung (DSGVO)

„Bis zum 20. Mai 2020 und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Verordnung vor. Die Berichte werden öffentlich gemacht.“

Die Europäische Kommission ist nun ihrer Anforderung gemäß Art. 97 DSGVO nachgekommen und hat einen Bericht über die Datenschutz-Grundverordnung (DSGVO) am 25. Juli 2024 veröffentlicht.

Erzieltes Ergebnis: Grundsätzlicher Erfolg der DSGVO

Trotz aller Herausforderungen hat die DSGVO wichtige Erfolge für Einzelpersonen und Unternehmen gebracht: Durch den risikobasierten und technologieneutralen Ansatz wird ein hohes Schutzniveau für die betroffenen Personen gewährleistet und gleichzeitig den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern angemessene Verpflichtungen auferlegt.

Durchsetzung der DSGVO

Die Zahl der Fälle, in denen erhebliche Geldbußen gegen große Unternehmen verhängt wurden, ist in letzter Zeit deutlich gestiegen. Neben Bußgeldern vermehrten sich allerdings auch Warnungen, Verweise und Anordnungen zur Einhaltung der DSGVO.

Es wird darüber hinaus darauf hingewiesen, dass die Datenschutzbehörden nicht über ausreichende personelle, technische und finanzielle Mittel verfügen, um alle ihnen gesetzlich zugewiesenen Aufgaben zu erfüllen. Die Hauptprobleme lägen insbesondere im Mangel an Personal mit den erforderlichen Fachkenntnissen. Die Beschwerdemöglichkeit würde außerdem oftmals missbraucht, so dass viele unbegründete – weil fachfremde – Beschwerden eingereicht würden, denen die Behörden de lege nachgehen müssten, was allerdings einen enormen zeitlichen Aufwand mit sich brächte.

Besonders problematisch sei außerdem die unterschiedliche Auslegung der DSGVO durch die nationalen Datenschutzbehörden. Dies führt zu Rechtsunsicherheit und uneinheitlicher Anwendung auf nationaler Ebene.

Rechte der Betroffenen

Es mangelt nach wie vor an Wissen über den Datenschutz: Dies zeige sich in der großen Zahl geringfügiger und unbegründeter Beschwerden.

Insgesamt sei festzustellen:

• Das Recht auf Löschung gewinnt immer mehr an Bedeutung, was sich an den Löschanfragen feststellen lässt.
• Das Auskunftsrecht wird derzeit von den Betroffenen am häufigsten in Anspruch genommen.
• Eine Herausforderung für die Verantwortlichen bleibt der Begriff der „unbegründeten und exzessiven Anfragen“, d.h. wann haben die für die Verantwortlichen das Recht, die Auskunft zu verweigern oder ein Entgelt zu verlangen.

Chancen und Herausforderungen für Unternehmen

Der Schutz der Privatsphäre wird zunehmend zu einem Schlüsselparameter für den Wettbewerb.

Die kleinen und mittleren Unternehmen hätten jedoch insbesondere Schwierigkeiten bei der rechtskonformen Umsetzung: Die Einhaltung der Vorschriften sei zu kompliziert und man befürchtete ständig Bußgelder.

Es wurde betont, dass die Datenschutzbehörden daher eine Reihe spezifischer Maßnahmen ergreifen sollten wie die Bereitstellung praktischer Hilfsmittel und Instrumente (z. B. weitere Vorlagen, Checklisten, Leitfäden für spezifische Verfahren). Die Sprache der Leitlinien/Vorlagen müsse allerdings für Personen ohne juristische Ausbildung leicht verständlich sein.

Die Datenschutzbehörden sollten außerdem einen klaren Rahmen für die Tätigkeit der Datenschutzbeauftragten schaffen und sicherstellen, dass sie über die erforderlichen Ressourcen verfügten, um ihre Aufgaben im Rahmen der DSGVO wahrnehmen zu können. Dabei ginge es u.a. um notwendige EU-weite Standards für ihre Aus- und Fortbildung sowie ihre Einbindung in organisatorische Abläufe.

Digitalpolitik der DSGVO

In den letzten vier Jahren hat die EU eine Reihe von Initiativen verabschiedet, von denen einige die DSGVO ergänzen oder festlegen, wie die DSGVO in bestimmten Bereichen anzuwenden ist, um bestimmte Ziele zu erreichen. Dazu gehören das Gesetz über digitale Dienste („Digital Services Act“), das Gesetz über digitale Märkte („Digital Markets Act“) und die KI-Verordnung („AI Act“).

Im Zuge dessen müssten Überlegungen über die nächsten Schritte der digitalen Politik angestellt werden: Im Kern beträfe das insbesondere das Zusammenspiel der verschiedenen Verordnungen.

Internationale Datenübermittlungen: Stetige Weiterentwicklung

In den letzten Jahren wurden die Anforderungen der EU-Datenschutzvorschriften an Datenübermittlungen weiter präzisiert, und die Instrumente für die Datenübermittlung haben sich ständig weiterentwickelt.

Angemessenheitsbeschlüsse spielten weiterhin eine zentrale Rolle im Instrumentarium der DSGVO für die Datenübermittlung: Die Zahl der Länder, die ihr Datenschutzniveau durch die Verabschiedung moderner Datenschutzgesetze und deren Durchsetzung erreicht haben, ist weiter gestiegen. Diese Entwicklung habe es auch der Kommission erlaubt, ihre Aktivitäten diesbezüglich zu verstärken. Unter anderem wurden Angemessenheitsbeschlüsse für das Vereinigte Königreich und (eingeschränkt) für die Vereinigten Staaten beschlossen.

Für ein weiteres Instrument des internationalen Datentransfers – den Standardvertragsklauseln – wurden umfassende Leitlinien zu ihrer Anwendung entwickelt.

Fazit: Viel geschafft, noch viel zu tun.

Für die nächste Zeit hat sich die Kommission weitere Ziele für die wirksame Anwendung der DSGVO gesetzt. Es wurde u.a. die Notwendigkeit betont, klare und praktische Leitlinien für eine einheitliche Auslegung und Anwendung der DSGVO in der EU zu entwickeln. – Besonders hervorzuheben ist der Fokus auf kleinen und mittleren Unternehmen, die viel zu lange vergessen wurden.