Evaluation der DS-GVO kommt in Fahrt

Gemäß Art. 97 Abs. 2 DS-GVO muss die Evaluation der DS-GVO bis zum 25. Mai 2020 vorgenommen werden. Zur Vorbereitung eines Standpunkts des Rates haben zahlreiche Mitgliedstaaten vorab Kommentare abgegeben. Die Bundesregierung vertritt hierbei die Position, dass die Bewertung der DS-GVO ganzheitlich erfolgen sollte. Der Fokus auf die Kapitel V und VII entbinde nicht von einer Überprüfung des übrigen Regelungswerkes. Während des Prozesses einer solchen Evaluation müsste so insbesondere die Erfahrung von Praktikern und Interessengruppen berücksichtigt werden, ebenso sollte von der Möglichkeit aus Art. 97 Abs. 3 Gebrauch gemacht werden, Informationen der Aufsichtsbehörden einzuholen. Zudem sollte nach Auffassung der Bundesregierung berücksichtigt werden, dass der nationale legislative Umsetzungsprozess der Verordnung noch nicht komplett abgeschlossen sei.

Anwendungspraxis der DS-GVO

Der Beginn der Anwendungspflicht der DS-GVO führte in Deutschland einerseits zu einer erhöhten Sensibilisierung bzgl. Datenschutz, andererseits zu einer wahrnehmbaren Überforderung einiger Unternehmen und Behörden. Und das obwohl dem 25. Mai 2018 ein zweijähriger Umsetzungszeitraum voranging und einige der für Verwirrung sorgenden Instrumente wie z.B. Datenschutzbeauftragte oder Aufzeichnungen der Verarbeitungstätigkeiten bereits Teil des existierenden BDSG waren. Deutschland unterstützt den Ansatz der Kommission einer einheitlichen Anwendung der DS-GVO durch eine enge Koordination und Zusammenarbeit der Aufsichtsbehörden. Dies gilt insbesondere u.a. für die Berücksichtigung der besonderen Anliegen von Kindern im Rahmen des Art. 6 Abs. 1 lit. f, die Frage, wie freiwillig eine Einwilligung sein kann, wenn eine gesonderte Einwilligung für verschiedene Operationen zur Verarbeitung persönlicher Daten nicht möglich ist oder die technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit.

Zentrale Frage der Rechtmäßigkeit: Art. 6 und/oder Art. 9 DS-GVO

Die Anwendung der Verarbeitungsvoraussetzungen in Art. 6 Abs. 1 und Art. 9 DS-GVO scheinen in der Praxis schwer verständlich zu sein. Noch dazu werden diese Verarbeitungstatbestände in den Mitgliedstaaten unterschiedlich interpretiert, weshalb es hier einer genaueren Anleitung bedarf. Diese Chance bietet die bevorstehende Evaluation nun. So muss die Dogmatik geklärt werden im Verhältnis von Art. 6 zu Art. 9 DS-GVO. In Frage steht zudem wie die Weiterverarbeitung zu einem anderen Zweck für besondere Datenkategorien nach Art. 9 DS-GVO praktisch erfolgen kann und nach welchen Regeln Datenverarbeitung auf eine andere rechtliche Bestimmung gestützt werden kann nach einem Widerruf der Einwilligung.

Meldung von Verstößen gegen personenbezogene Daten

Das Problem bei der Meldung von Verstößen gegen personenbezogene Daten gem. Art. 33 Abs. 1 DS-GVO liegt in der Praxis in der Anforderung bereits bei geringen Risiken für die Rechte und Freiheiten natürlicher Personen Aufsichtsbehörden zu benachrichtigen. Im Gegensatz dazu verlangt Art. 34 DS-GVO ein „hohes Risiko“ und führt in Absatz 3 Ausnahmen auf, die sich in Art. 33 DS-GVO nicht finden. So kamen laut Medienberichten bis zum 30. April 2019 allein in Deutschland 22.756 Meldungen bei Aufsichtsbehörden bzgl. Art. 33 DS-GVO zusammen, während sich diese in der EU auf insgesamt 89.000 beliefen. Dies indiziert, dass die Erheblichkeitsschwelle in Art. 33 DS-GVO vom Verordnungsgeber zu niedrig angesetzt ist.

Bußgelder

Aufgrund der höheren Grenzen für Bußgelder, wäre die Definition von einheitlichen transparenten Kriterien für die Aufsichtsbehörden wünschenswert, um so eine Vergleichbarkeit und eine einheitliche Durchsetzung zu gewährleisten.