Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Inkdrop
5 Jahre DSGVO: Was zuletzt geschah
Zuletzt aktualisiert am 13. Juni 2023
Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) vor fünf Jahren hat sich viel im Bereich des Datenschutzes getan. Anlässlich ihres Geburtstags wurde sie von den Datenschutz-Aufsichtsbehörden als Erfolgsmodell gefeiert. Allerdings gibt es auch einige Herausforderungen und neue Themenfelder, die uns in den nächsten Jahren beschäftigen werden.
Wir werfen einen Blick auf das Fazit der Aufsichtsbehörden und schauen uns die wichtigsten Themen aus dem fünften Jahr der DSGVO an.
Fazit der Aufsichtsbehörden
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Kelber bewertet die DSGVO als europäisches Erfolgsmodell und hebt hervor, dass Europa einen neuen Standard gesetzt hat, der weltweit Eingang in die Datenschutzregeln anderer Länder findet.
Laut Kelber und Petri, dem Bayerischen Landesbeauftragten für den Datenschutz (BayLfD), haben sich die Betroffenenrechte bewährt und müssen auch weiterhin voll zu Geltung kommen. Kelber betont die Bedeutung dieser Rechte und, dass der EU-Gesetzgeber die richtige Balance zwischen den Interessen der Öffentlichkeit, der Wissenschaft und der Wirtschaft sowie dem Schutz der Privatsphäre des Einzelnen finden muss.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Roßnagel zieht eine gemischte Bilanz zum Jubiläum der DSGVO. Er unterstreicht den Erfolg der Verordnung als Ausdruck gemeinsamer Werte in der digitalen Gesellschaft der EU. Gleichzeitig weist er auf Schwachstellen hin. Darunter die mangelnde Einheitlichkeit der Datenschutzpraxis in der EU und die abstrakte Formulierung einiger Regelungen, die Raum für unterschiedliche Interpretationen lassen. Roßnagel sieht die Herausforderungen der Zukunft vor allem in der Entwicklung einer Datenökonomie und der Regulierung neuer Technologien wie Künstlicher Intelligenz.
Die Datenschutzkonferenz (DSK) hebt hervor, dass das Bewusstsein über die Rechte auf Auskunft, Berichtigung und Löschung personenbezogener Daten europaweit gestiegen ist. Die Datenschutzaufsichtsbehörden bearbeiten jährlich Tausende von Beschwerden, daher gilt das Konzept eines einheitlichen Datenschutzrechts als Erfolgsmodell. Dennoch zeigt sich die Vorsitzende der DSK, Hansen, nicht ganz zufrieden mit der Umsetzung des Prinzips "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen". Hansen fordert, dass Hersteller und Dienstleister Datenschutz von Anfang an in ihre Produkte und Services einbauen sollten, um das erforderliche Sicherheitsniveau zu gewährleisten.
Insgesamt hat die DSGVO in den letzten fünf Jahren einen positiven Einfluss auf den Datenschutz ausgeübt. Sie hat den Schutz personenbezogener Daten gestärkt, das Bewusstsein für Datenschutzrechte geschärft und einen neuen Standard für den Datenschutz in Europa und darüber hinaus gesetzt. Dennoch gibt es Herausforderungen in Bezug auf die Regulierung neuer Technologien, die konkrete Umsetzung abstrakter Regelungen und die Einheitlichkeit der Datenschutzpraxis in der EU. Die kommenden Jahre werden zeigen, wie sich der Datenschutz auf Grundlage der DSGVO weiterentwickeln wird, um den neuen Anforderungen und technologischen Entwicklungen gerecht zu werden.
Die wichtigsten Themen des letzten Jahres
Künstliche Intelligenz
KI und Datenschutz – passt das zusammen? Diese Frage hat im letzten Jahr viele Datenschützer:innen beschäftigt und ist ein zentraler Punkt des Datenschutzes für die zukünftigen Jahre. Nicht zuletzt, weil immer neue, starke KI-Anwendungen wie ChatGPT und Midjourney auf den Markt kommen.
Künstliche Intelligenz bringt weitreichende und vielfältige Vorzüge mit sich – aber eben auch Nebenwirkungen, die ein nicht unerhebliches Risiko für die Grundrechte der Bürger:innen darstellen können. Das Fazit daraus sollte allerdings nicht sein, von KI sicherheitshalber und kategorisch die Finger zu lassen. Das ist weder realistisch noch sinnvoll oder zukunftsorientiert. Vielmehr geht es darum, die Technologie so zu gestalten, dass sie den Menschen und seine Rechte in den Mittelpunkt stellt und gleichzeitig innovative Entwicklungen und einen breiten Einsatz in vielen Bereichen ermöglicht.
Es bedarf solide Vorgaben und einen sicheren Rechtsrahmen für die Entwicklung und den Einsatz von KI sowie eine gewisse Achtsamkeit in den Organisationen, um KI-Anwendungen datenschutzkonform einzusetzen. Ob wir damit im neuen DSGVO-Jahr rechnen können, wird sich zeigen.
Sie wollen up to date bleiben?
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Datenschutzabkommen mit den USA
2020 wurde durch Schrems II das Privacy Shield – das Datenschutzabkommen zwischen der EU und den USA – gekippt. Seitdem gelten die USA nicht mehr als sicheres Drittland und Organisationen hatten zunächst keine rechtliche Grundlage für eine Datenübertragung in die USA. Die Auswirkungen daraus haben viele Organisationen auch im letzten Jahr noch beschäftigt. Sie mussten zusätzliche umfassende Maßnahmen ergreifen, wie z. B. das Durchführen von Datenschutz-Folgenabschätzungen für Softwareprodukte aus den USA.
Auch die Europäische Kommission hat sich damit beschäftigt und am Ende letzten Jahres den Entwurf eines Angemessenheitsbeschlusses vorgelegt. Allerdings gibt es Widerstand aus den Reihen des europäischen Parlaments. So hat der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres in einer Stellungnahme dazu aufgefordert, den möglichen Angemessenheitsbeschluss nicht anzunehmen. Der Ausschuss kommt zu dem Ergebnis, dass der Datenschutzrahmen keine tatsächliche Gleichwertigkeit des Schutzniveaus zwischen der EU und den USA herstellt. Daher fordert der Ausschuss weitere Verhandlungen.
Noch ist unklar, wie sich das Parlament entscheiden wird. Der österreichische Datenschutzaktivist Max Schrems schließt zudem eine Klage nicht aus, wenn das neue Abkommen nicht in Einklang mit dem EU-Recht ist. Selbst wenn ein Datenschutzabkommen beschlossen wird, ist also fraglich, wie lange es gelten wird.
Hinweisgeberschutzgesetz
Eigentlich hätte die EU-Richtlinie, aus der das Hinweisgeberschutzgesetz hervorgegangen ist, bis zum 17. Dezember 2021 in deutsches Recht umgesetzt werden müssen. Das Hinweisgeberschutzgesetz hat uns aber 2022 und zu einigen Teilen auch noch 2023 begleitet. Bereits Ende letzten Jahres wurde ein Entwurf zum Hinweisgeberschutzgesetz vom Bundestag verabschiedet. Dieser fand allerdings keine Mehrheit im Bundesrat. Daher wurde der Entwurf im Anschluss in zwei Entwürfe aufgeteilt– einen nicht-zustimmungspflichtigen und einen zustimmungspflichtigen Entwurf.
Nachdem Lesungen vertagt wurden, hat ein Vermittlungsausschuss einen Kompromiss gefunden und Änderungen zu den Meldewegen für anonyme Hinweise, zu Bußgeldern und zum Anwendungsbereich des Gesetzes vorgenommen. Diesem Kompromiss mit Beschlussempfehlung des Vermittlungsausschusses hat am 11. Mai auch der Bundestag zugestimmt. Am 12. Mai hat dann auch der Bundesrat zugestimmt. Am 02. Juni wurde es im Bundesgesetzblatt verkündet und tritt zum überwiegenden Teil einen Monat nach Veröffentlichung in Kraft. Organisationen mit mehr als 250 Beschäftigten müssen das Gesetzt somit zum 02. Juli umsetzen. Das Hinweisgeberschutzgesetz wird uns also auch im nächsten Jahr weiter begleiten, wenn es an die Umsetzung geht.
Google Fonts
Google Fonts waren ein weiteres Thema, das uns im letzten Datenschutzjahr begleitet hat. Tausende von Abmahnungen wurden von wenigen Einzelpersonen als vermeintlich Betroffene eines Datenschutzverstoßes aufgrund der Nutzung von Google Fonts im Akkord an Unternehmen geschickt und Schadensersatz eingefordert. Bei Organisationen hat das zu großer Verunsicherung geführt.
Der Ursprung der Abmahnwelle liegt in einem Urteil des Landgerichts München. Hier hat das Gericht einem Nutzer 100 Euro Schadensersatz gegen einen Webseitenbetreiber zugesprochen, weil dieser Google Fonts ohne Einwilligung genutzt hat. Das Urteil war der Anlass für einige Personen, um selbst Schadenersatzforderungen zu stellen.
Mittlerweile hat sich das Thema wieder beruhigt. Grundsätzlich geht von Google Fonts aber natürlich nicht die einzige problematische Datenmittübermittlung aus, die auf vielen Webseiten zu finden ist. Hier reihen sich beispielsweise noch YouTube, Google Maps, reCAPTCHA oder Google Analytics ein. Daher ist nicht auszuschließen, dass sich die Abmahnwelle auch auf derartige Dienste erweitert.
Betroffenenrechte
Wie auch schon die Entwicklungen rund um Google Fonts zeigen: Betroffenenrechte sind im Kommen. Immer mehr Betroffene sind sich ihrer Rechte bewusst und machen davon auch Gebrauch. Insbesondere Auskunftsersuchen haben daher im letzten Jahr stark zugenommen. Kein Wunder also, dass Betroffenenrechte auch in der Datenschutzwelt diskutiert wurden. Diese Entwicklung wird uns wohl auch im nächsten Jahr begleiten.
Fazit
Fünf Jahre DSGVO zeigen: Die Datenschutz-Grundverordnung hat einen positiven Einfluss auf den Datenschutz ausgeübt. Sie wurde von den Datenschutz-Aufsichtsbehörden als europäisches Erfolgsmodell gefeiert und hat einen neuen Standard für den Datenschutz in Europa und über dessen Grenzen hinaus gesetzt. Vor allem die Betroffenenrechte sind im letzten Jahr besonders wahrgenommen worden.
Allerdings muss sich die Datenschutzpraxis auch künftigen Herausforderungen wie Künstlicher Intelligenz stellen. Es bleibt abzuwarten, wie sich der Datenschutz auf Grundlage der DSGVO weiterentwickeln wird, um den neuen Anforderungen gerecht zu werden. Spätestens die Rechtspraxis wird hier für mehr Klarheit sorgen.
Quellen
Datenschutzkonferenz (2023): „5 Jahre Datenschutz-Grundverordnung: Bewährter Maßstab, umsetzbar, international anerkannt“, 25. Mai 2023, https://www.datenschutzzentrum.de/uploads/dsk/23-05-25_DSK_Pressemitteilung_5-Jahre-DSGVO.pdf, letzter Zugriff am 12. Juni 2023.
Datenschutzticker (2023): „EU-Ausschuss lehnt Angemessenheit des EU-DS-Datenschutzrahmens in Entwurf einer Stellungnahme ab“, 17. Februar 2023, https://www.datenschutzticker.de/2023/02/ausschuss-des-europaeischen-parlaments-lehnt-angemessenheit-des-eu-us-datenschutzrahmens-in-entwurf-einer-stellungnahme-ab/, letzter Zugriff am 12. Juni 2023.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (2023): „5 Jahre DSGVO – Datenschutzgrundverordnung als Maßstab der digitalen Landschaft“, 24. Mai 2023, https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2023/09_Veranstaltung-5-Jahre-DSGVO.html, letzter Zugriff am 12. Juni 2023.
Der Bundesbeauftragte für Datenschutz und die Informationsfreiheit (2023): „BfDI zieht positives Fazit zu 5 Jahren DSGVO“, 25. Mai 2023, https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2023/10_5-Jahre-DSGVO.html, letzter Zugriff am 12. Juni 2023.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (2023): „Jubiläum. Fünf Jahre Datenschutz-Grundverordnung – HBDI zieht gemischte Bilanz“, 24. Mai 2023, https://datenschutz.hessen.de/presse/fuenf-jahre-datenschutz-grundverordnung-hbdi-zieht-gemischte-bilanz, letzter Zugriff am 12. Juni 2023.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (2023): „Datenschutz auf gutem Weg – 5 Jahre DS-GVO“, 25. Mai 2023, https://www.datenschutz.rlp.de/de/aktuelles/detail/news/News/detail/datenschutz-auf-gutem-weg-5-jahre-ds-gvo/, letzter Zugriff am 12. Juni 2023.
Deutscher Bundestag (2023): „Bundestag stimmt für Kompromiss zum Hinweisgeberschutz“, https://www.bundestag.de/dokumente/textarchiv/2022/kw50-de-hinweisgeber-926806, letzter Zugriff am 12. Juni 2023.
Landesbeauftragte für Datenschutz und Informationsfreiheit (2023): „Fünf Jahre DS-GVO – Datenschutz bleibt ‚moving target‘“, https://www.ldi.nrw.de/fuenf-jahre-ds-gvo, letzter Zugriff am 12. Juni 2023.
tagesschau (2022): „EU und USA einigen sich auf Datenschutzabkommen“, 25. März 2022, https://www.tagesschau.de/ausland/europa/eu-usa-datenschutzabkommen-einigung-101.html, letzter Zugriff am 12. Juni 2023.