Wichtige Erkenntnisse für deutsche Unternehmen aus dem zweiten DSGVO-Bericht der EU-Kommission
> August 2024
Art. 97 DSGVO verpflichtet die Europäische Kommission, alle vier Jahre einen Bericht zu veröffentlichen, in welchem sie die Anwendung der DSGVO auswertet. Im Wesentlichen handelt es sich hierbei um eine Bestandsaufnahme der Rechtsdurchsetzung durch die Aufsichtsbehörden. Nichtsdestotrotz lassen sich hieraus auch relevante Schlüsse für Unternehmen ziehen. Am 25.07.2024 legte die Kommission nun den zweiten dieser Berichte vor.... Nach wie vor versteht die Kommission die DSGVO als Fundament für eine weitergehende sektorspezifische Regulierung im digitalen Bereich. Sie betont, dass solche Vorschriften, wie der jüngst in Kraft getretene AI Act, die DSGVO keinesfalls überlagern, sondern die Regelungen nebeneinander zu befolgen sind. So drängt sie auch darauf, die langanhaltenden Verhandlungen um den Vorschlag für eine Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation (siehe hier), welche die derzeitige Richtlinie 2002/58/EG ersetzen soll, endlich zum Abschluss zu bringen.
Mit Blick auf den internationalen Datenverkehr erinnert die Kommission daran, dass noch im Sommer dieses Jahres eine erste Überprüfung des EU-US Data Privacy Frameworks stattfinden soll, und dass die Auslaufklausel des Angemessenheitsbeschlusses für das Vereinigte Königreich im Jahr 2025 enden wird. Nur wenn sich das Schutzniveau vor Ort weiterhin als angemessen erweist, würde letzterer verlängert. Demnach ist nicht auszuschließen, dass – insbesondere die USA betreffend – die Datenübermittlung an Drittländer künftig auf Hindernisse stoßen könnte. Ebenso fordert die Kommission diejenigen Mitgliedsstaaten auf, welche noch nicht das modernisierte Übereinkommen 108+ des Europarats (siehe hier) unterzeichnet und ratifiziert haben, dies schnellstmöglich nachzuholen damit es in Kraft treten kann. Übereinkommen 108+ ist im Bereich des Datenschutzes das einzige rechtsverbindliche multilaterale Rechtsinstrument und könnte den internationalen Datenverkehr nachhaltig fördern.
Einen Fokus legt der Bericht zudem auf kleinere und mittelständische Unternehmen (KMU). Sie bei der Einhaltung der DSGVO zu unterstützen, sei essenziell für die Erreichung der Ziele der DSGVO, hebt die Kommission hervor. Bereits jetzt könnten sich KMU in gewissem Umfang von ihrem Compliance-Aufwand entlasten, indem sie auf Grundlage der von den Aufsichtsbehörden bereitgestellten Vorlagen nur vereinfachte Aufzeichnungen führen müssten, wenn sie Verarbeitungsprozesse mit geringem Risiko vornehmen. Auch der Rückgriff auf Standardvertragsklauseln biete ein leicht umzusetzendes Compliance Instrument, sofern der Vertragspartner sich auf den Abschluss einlässt, was bei größeren Anbietern selten der Fall sei.
Gleichzeitig räumt die Kommission ein, dass insbesondere der Umstand, dass verschiedene Behörden wichtige Begriffe und Grundsätze der DSGVO unterschiedlich auslegen, Verantwortliche vor nicht unerhebliche Hindernisse stellt. Das gilt laut Kommission vor allem für die Frage, ob Auskunftsersuchen betroffener Personen unbegründete bzw. übermäßige Anträge darstellen, wenn sie in besonders großer Zahl oder für datenschutzferne Ziele gestellt werden. In diesem Zusammenhang hält die Kommission die Aufsichtsbehörden an, KMU in Zukunft vermehrt zu unterstützen, indem sie „maßgeschneiderte Leitlinien und Instrumente“ bereitstellen als auch aktiv den Dialog über die Einhaltung der DSGVO suchen.
Inwiefern diese Zielsetzung auch in Deutschlang merkbar sein wird, bleibt allerdings abzuwarten. Immerhin zeigt der Bericht, dass die deutschen Aufsichtsbehörden bereits gut ausgelastet sind. Sie leiteten mit Abstand die meisten Untersuchungen aus eigener Initiative ein und verhängten die meisten Geldbußen. Im Jahr 2022 erließen sie zudem die meisten Abhilfemaßnahmen. Ohnehin sei die Bereitschaft, mit den Verantwortlichen kooperativ zusammenzuarbeiten, von Behörde zu Behörde sehr unterschiedlich.