Europäischer Datenschutztag Quo vadis, EU-Datenschutz?

Anbieter zum Thema

Arvato Systems

SEPPmail - Deutschland GmbH

Keeper Security EMEA Ltd.

Auch beinahe fünf Jahre nach ihrem Inkrafttreten, ist die DSGVO für viele Unternehmen nach wie vor eine Herausforderung – und sie war nur der Startpunkt einer groß angelegten Datenstrategie der EU. Was kommt da noch auf uns zu? Und wo stehen wir eigentlich aktuell? Ein (rechtlicher) Überblick zum europäischen Datenschutztag am 28.1.2023.

Ein Hemmer für Innovation, Forschung und Wachstum – mit diesem Vorwurf sieht sich die DSGVO häufig konfrontiert. Rein objektiv betrachtet müsste man aber grundsätzlich festhalten: Das Gegenteil ist der Fall. Denn die DSGVO ermöglicht es Unternehmen ja gerade erst, Daten auf einer soliden Rechtsgrundlage zu nutzen und zu verarbeiten. Dennoch ist die Kritik nicht unberechtigt. Die Ursache liegt aber vielmehr an rein praktischen Umständen. Denn Tatsache ist: Abgesehen von der DSGVO, macht es das komplexe Gebilde um Bundesdatenschutzgesetz, verschiedenen Landesdatenschutzgesetzen und noch weiter geplanten europäischen Verordnungen alles andere als leicht, den Überblick zu behalten.

Es ist also kein Wunder, das ist der Praxis branchenübergreifend oft große Fragezeichen im Raum stehen, wenn es darum geht, was überhaupt erlaubt ist und was nicht. Damit einher geht verständlicherweise auch schnell die Angst vor unangenehmen Bußgeldern. Während Unternehmen seit 2018 deshalb auch nach wie vor mit der (oftmals kostspieligen) Anpassung ihrer Geschäftsprozesse und IT-Systeme an die Anforderungen der DSGVO beschäftigt sind, steht die EU in Sachen Regulatorik bereits vor den nächsten großen Schritten. Doch was ist konkret geplant?

Die DSGVO war erst der Anfang

Das übergreifende Ziel der EU ist die Schaffung eines Datenbinnenmarktes. Konkret geht es dabei darum, einen internationalen Standard zu schaffen, der einerseits die Nutzung großer Datenmengen für Forschung und Entwicklung ermöglicht, andererseits aber den Schutz der Persönlichkeitsrechte in ein angemessenes Verhältnis bringt.

Die DSGVO war dabei erst der Anfang. Aktuell stehen mit dem Data Governance Act und dem Data Act zwei weitere Großprojekte auf der Agenda, die beide in erster Linie die Datennutzung von Unternehmen genauer regeln sollen. Der Data Governance Act (DGA) ist bereits in Kraft und muss ab dem 24. September 2023 in den Mitgliedsstaaten angewendet werden. Er hat insbesondere das Ziel, die Verfügbarkeit von Daten zu fördern. Dazu soll ein vertrauenswürdiges Umfeld zur Datennutzung geschaffen werden, beispielsweise im Rahmen der Entwicklung innovativer Dienste und Produkte. Ein konkretes Beispiel dafür ist z. B. das Training moderner KI-Modelle mit großen Datenmengen. Wo die geltenden Datenschutzregeln bisher häufig noch Hürden in den Weg legen, soll der DGA künftig mehr Rechtssicherheit schaffen. Die Verordnung sieht Mechanismen vor, um geschützte Daten des öffentlichen Sektors vereinfacht weiterzuverwenden, das Vertrauen in die Datenvermittlungsdienste zu erhöhen und den Datenaltruismus in der gesamten EU zu fördern. Der Data Act – für den es aktuell nur einen Vorschlag gibt – ergänzt den Data Governance Act und klärt, wer unter welchen Bedingungen einen Mehrwert aus Daten schaffen kann. Er wird unter anderem Regelungen zur Schaffung von sogenannten "Data Spaces" enthalten, in denen Unternehmen und Forschungseinrichtungen ihre Daten sicher und rechtmäßig nutzen können.

Sektorspezifische Datenräume

Neben diesen übergreifenden Entwicklungen fokussiert sich die EU in den kommenden Monaten insbesondere auch auf die Regelung bestimmter Sektoren, die ganz besonders mit der Nutzung personenbezogener Daten konfrontiert sind. Obwohl die Digitalisierung zwar grundsätzlich einen größer werdenden Datenbedarf verursacht, trifft der Konflikt aus Datenschutz und Datennutzung einige Branchen besonders. Ein naheliegendes Beispiel dafür ist der gesamte Gesundheitssektor. Denn gerade hier erfordert die Entwicklung von digitalen Lösungen oftmals die nicht unumstrittene Verarbeitung sensibler Patientendaten. Der sogenannte European Health Data Space (EHDS) soll genau dort ansetzen und eine Lösung für beide Seiten bieten. Es handelt sich dabei um einen EU-weiten Datenraum, der speziell für den Austausch von Gesundheitsdaten entwickelt wurde. Gesundheitsdaten sollen auf diesem Wege sicher und dennoch mit Mehrwert innerhalb der EU ausgetauscht werden können. Neue Therapien und Behandlungsmethoden sollen so schneller und leichter entwickelt werden können – die Patientinnen und Patienten bleiben indes geschützt.

Was bedeutet das für Unternehmen?

Aber was heißt das alles konkret für Unternehmen und Forschungseinrichtungen? Zunächst einmal: gar nichts. Denn bis die Pläne der EU wirklich in die Tat umgesetzt werden, dauert es noch eine Weile. Das Gesetzgebungsverfahren für den EHDS beispielsweise wird nicht vor 2024 abgeschlossen sein. Frühestens. Abgesehen davon, sollte die Stimmung aber eher optimistisch sein. Denn die Vorhaben sollen eben nicht weitere Hürden schaffen, sondern die bisherige Rechtsunsicherheit in Sachen Datenschutz abbauen. Die bisherigen Entwürfe lassen Grund zur Hoffnung, dass wir diesem Ziel auch tatsächlich näherkommen.

Über den Autor: Nikolai Schmidt ist Rechtsanwalt bei PXR, einer Berliner Full-Service-Kanzlei für Start-ups in der Technologiebranche. Schmidt ist spezialisiert auf IT- und Datenschutzrecht und fokussiert sich in seiner Beratung insbesondere auf Unternehmen aus den Bereichen Health- und Deep-Tech.

(ID:49041419)