Mehr Unterstützung bei der DSGVO Was die Datenschutzaufsichtsbehörden im Jahr 2022 planen

Wirtschaftsverbände üben viel Kritik an den Aufsichtsbehörden, wenn es um die Unterstützung bei der Umsetzung der Datenschutz-Grundverordnung (DSGVO) geht. Doch die Aufsichtsbehörden bieten bereits vieles an Orientierung und Hinweisen, im Jahr 2022 wird noch einiges dazu kommen. Wir nennen Beispiele für Planungen bei den Aufsichtsbehörden und geben einen Überblick.

Firmen zum Thema

Entscheider in Politik und Wirtschaft sollten nicht der Versuchung erliegen, den Datenschutz pauschal für Fehlentwicklungen und Probleme verantwortlich zu machen.
Entscheider in Politik und Wirtschaft sollten nicht der Versuchung erliegen, den Datenschutz pauschal für Fehlentwicklungen und Probleme verantwortlich zu machen.
(© mixmagic - stock.adobe.com)

Kritik an den Aufsichtsbehörden für den Datenschutz ist immer wieder zu hören. Wenn man aber genauer hinschaut, geht es eigentlich nicht um eine Kritik an der Arbeit der Datenschutzaufsicht, sondern es ist eine Art Hilfeschrei, mehr Unterstützung bei der Umsetzung der Datenschutz-Grundverordnung (DSGVO) zu bekommen.

Dabei können die Aufsichtsbehörden aber vieles gar nicht ändern, es wäre an der EU-Gesetzgebung, bestimmte Punkte zu vereinfachen. Was die Aufsichtsbehörden können, ist Unterstützung und Beratung für die Unternehmen zu bieten, das tun sie auch in aller Regel im Rahmen ihrer verfügbaren Ressourcen.

Eine Kritik gilt aber der Uneinheitlichkeit bei den Hinweisen, die von Aufsichtsbehörden in Deutschland kommen. Hier sei nochmals Susanne Dehmel, Geschäftsleiterin Bitkom, zitiert: „Unternehmen stehen beim Datenschutz unter permanenten Stress. Sie wollen dem Datenschutz Genüge tun, aber dazu müssen sie nicht nur europaweit Gerichtsurteile verfolgen und die unterschiedliche Auslegung aus den Mitgliedsstaaten kennen, sondern sich zusätzlich mit 18 verschiedenen Lesarten von Datenschutzaufsichten allein in Deutschland auseinandersetzen. Das ist vor allem für kleinere Unternehmen immer schwerer zu stemmen.“

Man wünscht sich also das, was die DSGVO EU-weit erreichen will, eine Harmonisierung im Datenschutz.

Die Initiative DSK 2.0

Auch die Datenschutzaufsichtsbehörden wünschen sich diese stärkere Harmonisierung bei den unabhängigen Aufsichtsbehörden des Bundes und der Länder für den Datenschutz. In der Datenschutzkonferenz (DSK), dem Gremium der Datenschutzaufsichtsbehörden in Deutschland, gibt es dazu einen „Arbeitskreis DSK 2.0“, der die Zusammenarbeit der unabhängigen Datenschutzaufsichtsbehörden einschließlich der Arbeitsweise der DSK evaluieren und bei Bedarf Vorschläge für eine Neugestaltung erarbeitet.

Der AK DSK 2.0 soll vor dem Hintergrund der politischen Debatte um eine Zentralisierung der Datenschutzaufsicht und aufgrund stetig neuer datenschutzrechtlicher Fragestellungen bei einer sich immer schneller entwickelnden Technik die bisherige Arbeitsweise der DSK und die Zusammenarbeit der Aufsichtsbehörden überprüfen, so der Bundesdatenschutzbeauftragte Prof. Kelber.

So erklärte Prof. Kelber: „Bürgerinnen und Bürger, Unternehmen und Verbände erwarten zu Recht, dass auch unter der föderalen Struktur der Datenschutzaufsicht in Deutschland vergleichbare Sachverhalte gleich behandelt werden und die Verfahren effizient und transparent ausgestaltet sind.“

Es tut sich also durchaus etwas in Richtung Harmonisierung in der Datenschutzaufsicht in Deutschland.

Fortschritte in Richtung DSGVO-Zertifizierungen

Ein Instrument der Datenschutz-Grundverordnung ist immer noch nicht mit Leben erfüllt: die Zertifizierung, wie auch die Landesbeauftragte für Datenschutz Schleswig-Holstein (ULD) betont. Hier hat der Arbeitskreis Zertifizierung unter Leitung des ULD nun aber dafür die Grundlage gelegt, dass sich Zertifizierungsstellen akkreditieren lassen können. Voraussichtlich werden Zertifizierungen nach der Datenschutz-Grundverordnung künftig bei der Wahl von Dienstleistern und auch beim internationalen Datentransfer eine Rolle spielen.

Mit der Zertifizierung wird hoffentlich der eingebaute Datenschutz – durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen – einen größeren Stellenwert bekommen. Frau Hansen hält das Thema für dringend: „Die Abhängigkeit von Technik ist in den letzten Jahren gestiegen, an allen möglichen Stellen werden Daten über uns und unser Verhalten gesammelt, und digitale Souveränität ist bisher nur eine Wunschvorstellung. Digitalisierung muss fair sein, nicht desolat. Bedenklich sind auch aktuelle politische Ideen zum Einbauen von Hintertüren und zum Schwächen der Verschlüsselung – das ist der falsche Weg. Wir brauchen mehr Datenschutz und Sicherheit, so wie es die Datenschutz-Grundverordnung fordert.“

Es liegt ein ausführliches Papier der Datenschutzaufsichtsbehörden vor, das die Anforderungen an die Akkreditierung von Stellen beschreibt, die Datenverarbeitungstätigkeiten zertifizieren möchten, so die Berliner Beauftragte für Datenschutz und Informationsfreiheit. Angehende Zertifizierungsstellen

können mithilfe dieses Dokuments prüfen, ob sie und ihre Organisation für ein Akkreditierungsverfahren ausreichend vorbereitet sind.

Die Aufsichtsbehörden werden bei entsprechenden Anträgen das Akkreditierungsverfahren gemeinsam mit der DAkkS (Deutsche Akkreditierungsstelle GmbH) durchführen und angehende Zertifizierungsstellen anhand der genannten Kriterien auf Herz und Nieren prüfen, so die Berliner Beauftragte.

Überarbeitung zahlreicher Hinweise der Aufsichtsbehörden

Da es weiterhin Rechtsunsicherheit bei Unternehmen gibt, wie die DSGVO konkret auszulegen ist, veröffentlichen die Aufsichtsbehörden regelmäßig abgestimmte einheitliche Sichtweisen zu verschiedenen Kernthemen der DSGVO. Da sich jedoch unter anderem durch Gerichtsurteile Veränderungen ergeben, überarbeiten die Aufsichtsbehörden ihre Sichtweisen zur DSGVO entsprechend.

In den nächsten Wochen und Monaten sind aktualisierte Sichtweisen zu erwarten zu so zentralen Themen wie Datenübermittlung in Drittländer, Auskunftsrecht der betroffenen Person, Informationspflichten bei Dritt- und Direkterhebung personenbezogener Daten, Recht auf Löschung / Recht auf Vergessenwerden, Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeiter, Auftragsverarbeitung, Gemeinsam für die Verarbeitung Verantwortliche und Einwilligung nach DSGVO.

Es zeigt sich: Die Aufsichtsbehörden leisten sehr wohl einiges an Unterstützung und versuchen, mögliche Hemmnisse zu mindern, wie dies auf Ebene einer Aufsichtsbehörde geht. Man sollte die Aufsichtsbehörden als Partner, nicht als Gegner von Innovationsoffenheit und digitalem Aufbruch wahrnehmen, wie es der frühere Hamburgische Beauftragten für Datenschutz und Informationsfreiheit in seinem letzten Tätigkeitsbericht gefordert hat.

Zudem kann es nicht genug betont werden: „Die gern genutzte Feststellung ‚Geht nicht wegen Datenschutz‘ ist in den meisten Fällen falsch“, so Barbara Thiel, die Landesbeauftragte für den Datenschutz Niedersachsen. „Entscheider in Politik und Wirtschaft sollten nicht der Versuchung erliegen, den Datenschutz pauschal für Fehlentwicklungen und Probleme verantwortlich zu machen. Das ist ein Reflex, der selten den Kern des Problems trifft.“

Angemessener Datenschutz sei und bleibe eine essenzielle Voraussetzung für den Erfolg der Digitalisierung. Denn nur wenn digitalisierte Datenverarbeitungen transparent und nachvollziehbar gestaltet seien, würden sie auf nachhaltige Akzeptanz stoßen. „Auf diesem Weg lassen sich dann auch am besten die unbestrittenen Chancen der digitalen Datenverarbeitung nutzen, etwa in der Forschung, in der Früherkennung und Behandlung von Krankheiten oder im Verhältnis zwischen Bürger und Staat“, so die Landesdatenschutzbeauftragte von Niedersachsen.

(ID:47898483)