5 Jahre Datenschutz-Grundverordnung: Bewährter Maßstab, umsetzbar, international anerkannt

Das Bewusstsein über die Rechte auf Auskunft, Berichtigung oder auch Löschung von personenbezogenen Daten ist europaweit gestiegen. Die Datenschutzaufsichtsbehörden bearbeiten jedes Jahr Tausende von Beschwerden. Die Verantwortlichen kennen ihre Pflichten. Das Konzept eines einheitlichen Datenschutzrechts gilt als Erfolgsmodell. Mit dem Europäischen Datenschutzausschuss wurde ein wichtiges Gremium geschaffen, um durch gemeinsame Leitlinien für die Datenverarbeitung Hilfen zur Rechtsauslegung bereitzustellen. Die Datenschutzbeauftragten in Unternehmen und Behörden spielen eine bedeutende Rolle für den gelebten Datenschutz vor Ort.

Auch im Bereich der Selbstregulierungsinstrumente wie Verhaltensregeln (Codes of Conduct) oder Zertifizierungen sind Fortschritte zu verzeichnen. Wo Auslegungsfragen strittig sind, entscheiden Gerichte – teilweise in mehreren Instanzen bis zur endgültigen Klärung durch den Europäischen Gerichtshof.

Dr. h. c. Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und diesjährige Vorsitzende der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz), schätzt die Lage wie folgt ein: „Die Datenschutz-Grundverordnung funktioniert. Sie ist ein probates Mittel, um die Verarbeitung personenbezogener Daten zu ermöglichen und gleichzeitig die Grundrechte zu schützen. So hat sich die DSGVO zu einem bewährten Maßstab entwickelt, der auch international nachgefragt wird.“

Nicht ganz zufrieden ist Hansen mit der Umsetzung des neu eingeführten Prinzips „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ in Artikel 25 der DSGVO. Sie bemängelt: „Es wäre für die Verantwortlichen viel einfacher und fairer, wenn Hersteller und Dienstleister Datenschutz von Anfang an in die Entwicklung ihrer Produkte und Services einbauen würden. Stattdessen erleben wir in unseren Prüfungen immer wieder, dass Verantwortliche von Herstellern und Dienstleistern im Unklaren gelassen werden, wie personenbezogene Daten verarbeitet werden. Auch fehlt es vielfach an einem ausreichenden Sicherheitsniveau – dies wird uns nahezu täglich durch eine hohe Zahl an Datenpannen-Meldungen vor Augen geführt.“

Die DSGVO verlangt vom Verantwortlichen, die Einhaltung der Datenschutz-Grundsätze nachweisen zu können. Hansen konstatiert: „Unternehmen und Behörden können ihre Rechenschaftspflicht nicht erfüllen, wenn Hersteller und Dienstleister in ihren Angeboten die DSGVO ignorieren. Das muss sich umdrehen: Hersteller und Dienstleister sollten die Verantwortlichen darin unterstützen, die Anforderungen der DSGVO zu erfüllen. Das geht nur mit datenschutzgerechten Produkten und Services.“

In der Datenschutzkonferenz arbeiten die deutschen Datenschutzaufsichtsbehörden mit dem Ziel zusammen, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Hansen macht deutlich: „Der europäische Gesetzgeber hat die DSGVO nicht als Eintagsfliege konzipiert, sondern als ein Regelwerk für Jahrzehnte. Keine einfache Aufgabe angesichts des technischen Fortschritts! Wo die DSGVO abstrakt bleibt, muss für die Praxis konkretisiert werden. Mit der Datenschutzkonferenz werden wir kontinuierlich unseren Beitrag leisten, um die wesentlichen Fragen der Verarbeitung personenbezogener Daten zu klären. So kann und so wird sich das Potenzial der DSGVO weiter entfalten.“