Gemäß Artikel 97 DSGVO ist die EU-Kommission verpflichtet, regelmäßig über die Bewertung und Überprüfung der Datenschutzgrundverordnung (DSGVO) zu berichten. Nun ist sie dieser Pflicht nachgekommen und hat erstmalig einen entsprechenden Bericht veröffentlicht.

Starke Wahrnehmung des Datenschutzes in der Bevölkerung

Offenkundig erfreut sich die Datenschutzgrundverordnung in der Bevölkerung nach zwei Jahren einer erstaunlich großen Bekanntheit. Gemäß einer im Bericht der EU-Kommission zitierten Studie haben 69 % der EU-Bürger über 16 Jahre von der DSGVO gehört und 71 % geben an, die zuständige Datenschutz-Aufsichtsbehörde zu kennen. Die zunehmende Wahrnehmung und Vertrautheit der Bevölkerung mit den Betroffenenrechten des Datenschutzes und der damit mögliche Anstieg einer Einforderung der Rechte kann für Unternehmen als Wegweiser dafür dienen, welche Aktivitäten bei der Umsetzung der DSGVO priorisiert werden sollten.

Herausforderungen und Chancen für KMU

Insbesondere für kleine und mittlere Unternehmen (KMU) kann die Umsetzung der DSGVO mit Schwierigkeiten und Herausforderungen verbunden sein. Nicht zuletzt im Hinblick auf den in der DSGVO verfolgten, risikobasierten Ansatz lassen sich jedoch mögliche Erleichterungen für KMU nicht pauschal auf Basis der Unternehmensgröße festlegen: Anders als beispielsweise im Handelsgesetzbuch, in welchem bestimmte unternehmerische Pflichten von der Unternehmensgröße abhängig gemacht werden, wird in der DSGVO grundsätzlich der Ansatz verfolgt, die zu treffenden Maßnahmen an den je Verfahren bestehenden Risiken auszurichten. Wenngleich es in Einzelfällen sehr wohl von der Unternehmensgröße abhängige Maßnahmen im Datenschutzrecht gibt, kann es deshalb in der DSGVO keine pauschalen Erleichterungen für KMU geben. Im ihrem Bericht verweist die EU-Kommission dennoch auf die Möglichkeit, dass auf der Grundlage zukünftiger Entwicklungen Erleichterungen für KMUs angedacht werden sollten, insbesondere, wenn deren Kerngeschäft keine (oder keine besonders risikobehafteten) Verarbeitungen personenbezogener Daten beinhaltet.

In diesem Zusammenhang sind die Aufsichtsbehörden gefragt, belastbare Auslegungen zur Umsetzung der DSGVO zu formulieren. Diese sollten zum Ziel haben, auch im Bereich der KMU eine verstärkte Akzeptanz der DSGVO und ihrer Umsetzung in Unternehmen zu erreichen. An dieser Stelle sei darauf hingewiesen, dass sich bereits jetzt einige Aufsichtsbehörden, allen voran das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), dadurch hervortun, dass sie bereits für viele Themen sehr gute und nützliche Hinweise veröffentlichen, nicht zuletzt im Bereich der Klein- und Kleinstunternehmen.

Datenschutz und IT-Sicherheit

In dem Bericht der EU-Kommission werden "Security & Privacy by Design" als Schlüsselelemente der DSGVO genannt. Sie sollen im Sinne eines EU-weit einheitlichen Vorgehens weiterentwickelt und propagiert werden. Diese Aussage ist interessant, zumal  Art. 25 DSGVO vorrangig auf Privacy by Design (und Privacy by Default) eingeht, jedoch nicht in gleicher Deutlichkeit auf Security by Design. Aus 32 Art. DSGVO lässt sich generell ableiten, dass Unternehmen ein umfassendes Informationssicherheits-Managementsystem (ISMS) einrichten müssen. Bei der Konzeption von Datenschutz- und IT-Sicherheitsmaßnahmen sollte jedoch idealerweise nicht nur der Datenschutz, sondern auch die IT-Sicherheit im unternehmerischen Sinne berücksichtigt werden, bspw. hinsichtlich der Vertraulichkeit von Geschäfts- und Betriebsgeheimnissen und der Robustheit der IT-Systeme.

Aus einer übergreifenden Umsetzung von Datenschutz und IT-Sicherheit lassen sich in der Regel erhebliche Synergieeffekte realisieren.

Internationale Datentransfers

Die EU-Kommission betont in ihrem Bericht, dass sie an einer weiteren Entwicklung der EU-Standardvertragsklauseln für internationale Datentransfers arbeiten und solche bereitstellen wird. Dies ist insbesondere vor dem Hintergrund des mit Spannung erwarteten EuGH-Urteils im Fall Schrems II interessant. Darin geht es nicht zuletzt um die Frage, ob die Standardvertragsklauseln auch zukünftig als Rechtsgrundlage für Datentransfers in Drittländer verwendet werden können. Das abschließende Urteil des EuGH wird für den 16. Juli 2020 erwartet. Falls der EuGH der Auffassung des Generalanwalts folgt, könnte dies weitreichende Folgen für internationale Datentransfers auf Basis von Standardvertragsklauseln haben, bspw. könnte - neben einer generellen Unzulässigkeit von Standardvertragsklauseln, von der wohl eher nicht auszugehen ist - eine eingeschränkte Zulässigkeit festgestellt werden. Dann könnten Verantwortliche, die Daten in Drittländer übermitteln, bspw. verpflichtet werden, den Empfänger und das Verfahren der Übermittlung einer umfassenderen Prüfung als bisher zu unterziehen.

Falls Sie gegenwärtig beabsichtigen, IT-Systeme oder Datenverarbeitungen in ein Drittland zu verlegen, lohnt es sich sicherlich, den Dienstleister nach seinem Umgang mit dieser Thematik zu befragen.

Sofern in Ihrem Unternehmen bereits Datentransfers in Drittländer zum Einsatz kommen, sollten Sie die zugrundeliegenden Rechtsgrundlagen und die aktuelle Situation im Auge behalten. Abhängig von der Wichtigkeit der Transfers für Ihr Unternehmen mag es durchaus ratsam sein, Strategien vorzudenken, welche auch im Falle eines Kippens der EU-Standardvertragsklauseln eine Aufrechterhaltung ihrer IT-Verfahren sicherstellen.

Ausblick

Perspektivisch legt die EU-Kommission den Fokus auf die Entwicklung neuer Technologien und die Auswirkung bzw. Anwendung der DSGVO auf diese. In diesem Zusammenhang werden bspw. künstliche Intelligenz (KI), Blockchain und die Datenverarbeitung im Zusammenhang mit der Corona-Pandemie genannt.
Die Datenschutzgrundverordnung soll darüber hinaus, wie die EU-Kommission ausdrücklich betont, als zentraler Baustein der EU-Datenstrategie das Vertrauen der Nutzer in Europäische IT-Dienste stärken und so zu einem verbesserten "Digitalen Vertrauen" (digital trust) und stärkerer Wettbewerbsfähigkeit europäischer IT-Anbieter beitragen.

Gerne stehe ich für weitere Fragen persönlich zur Verfügung: