Evaluation der DS-GVO kommt in Fahrt

Privacy Shield

Gemäß Art. 97 Abs. 2 DS-GVO muss die Evaluation der DS-GVO bis zum 25. Mai 2020 vorgenommen werden. Zur Vorbereitung eines Standpunkts des Rates haben zahlreiche Mitgliedstaaten vorab Kommentare abgegeben. Die Bundesregierung vertritt hierbei die Position, dass die Bewertung der DS-GVO ganzheitlich erfolgen sollte. Der Fokus auf die Kapitel V und VII entbinde nicht von einer Überprüfung des übrigen Regelungswerkes. Während des Prozesses einer solchen Evaluation müsste so insbesondere die Erfahrung von Praktikern und Interessengruppen berücksichtigt werden, ebenso sollte von der Möglichkeit aus Art. 97 Abs. 3 Gebrauch gemacht werden, Informationen der Aufsichtsbehörden einzuholen. Zudem sollte nach Auffassung der Bundesregierung berücksichtigt werden, dass der nationale legislative Umsetzungsprozess der Verordnung noch nicht komplett abgeschlossen sei.

Anwendungspraxis der DS-GVO

Der Beginn der Anwendungspflicht der DS-GVO führte in Deutschland einerseits zu einer erhöhten Sensibilisierung bzgl. Datenschutz, andererseits zu einer wahrnehmbaren Überforderung einiger Unternehmen und Behörden. Und das obwohl dem 25. Mai 2018 ein zweijähriger Umsetzungszeitraum voranging und einige der für Verwirrung sorgenden Instrumente wie z.B. Datenschutzbeauftragte oder Aufzeichnungen der Verarbeitungstätigkeiten bereits Teil des existierenden BDSG waren. Deutschland unterstützt den Ansatz der Kommission einer einheitlichen Anwendung der DS-GVO durch eine enge Koordination und Zusammenarbeit der Aufsichtsbehörden. Dies gilt insbesondere u.a. für die Berücksichtigung der besonderen Anliegen von Kindern im Rahmen des Art. 6 Abs. 1 lit. f, die Frage, wie freiwillig eine Einwilligung sein kann, wenn eine gesonderte Einwilligung für verschiedene Operationen zur Verarbeitung persönlicher Daten nicht möglich ist oder die technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit.

Zentrale Frage der Rechtmäßigkeit: Art. 6 und/oder Art. 9 DS-GVO

Die Anwendung der Verarbeitungsvoraussetzungen in Art. 6 Abs. 1 und Art. 9 DS-GVO scheinen in der Praxis schwer verständlich zu sein. Noch dazu werden diese Verarbeitungstatbestände in den Mitgliedstaaten unterschiedlich interpretiert, weshalb es hier einer genaueren Anleitung bedarf. Diese Chance bietet die bevorstehende Evaluation nun. So muss die Dogmatik geklärt werden im Verhältnis von Art. 6 zu Art. 9 DS-GVO. In Frage steht zudem wie die Weiterverarbeitung zu einem anderen Zweck für besondere Datenkategorien nach Art. 9 DS-GVO praktisch erfolgen kann und nach welchen Regeln Datenverarbeitung auf eine andere rechtliche Bestimmung gestützt werden kann nach einem Widerruf der Einwilligung.

Meldung von Verstößen gegen personenbezogene Daten

Das Problem bei der Meldung von Verstößen gegen personenbezogene Daten gem. Art. 33 Abs. 1 DS-GVO liegt in der Praxis in der Anforderung bereits bei geringen Risiken für die Rechte und Freiheiten natürlicher Personen Aufsichtsbehörden zu benachrichtigen. Im Gegensatz dazu verlangt Art. 34 DS-GVO ein „hohes Risiko“ und führt in Absatz 3 Ausnahmen auf, die sich in Art. 33 DS-GVO nicht finden. So kamen laut Medienberichten bis zum 30. April 2019 allein in Deutschland 22.756 Meldungen bei Aufsichtsbehörden bzgl. Art. 33 DS-GVO zusammen, während sich diese in der EU auf insgesamt 89.000 beliefen. Dies indiziert, dass die Erheblichkeitsschwelle in Art. 33 DS-GVO vom Verordnungsgeber zu niedrig angesetzt ist.

Bußgelder

Aufgrund der höheren Grenzen für Bußgelder, wäre die Definition von einheitlichen transparenten Kriterien für die Aufsichtsbehörden wünschenswert, um so eine Vergleichbarkeit und eine einheitliche Durchsetzung zu gewährleisten.

Letztes Update:18.10.19

  • 43. DAFTA + 38. RDV-Forum

    43. DAFTA + 38. RDV-Forum

    Kongress

    1725.50 € Mehr erfahren
  • Arbeitsgemeinschaft (ARGE) betrieblicher Datenschutz

    Arbeitsgemeinschaft (ARGE) betrieblicher Datenschutz

    ARGE

    1130.50 € Mehr erfahren
  • Ihr Dialog mit der Datenschutzaufsicht

    Ihr Dialog mit der Datenschutzaufsicht

    Seminar

    2019-12-09, 09:00 | Leipzig

    1059.10 € Mehr erfahren
  • Umsetzung der Ds-GVO in Niedersachsen

    Umsetzung der DS-GVO auch in Niedersachsen holprig

    Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD), Barbara Thiel, hatte ab Ende Juni eine Prüfung begonnen, um in Erfahrung zu bringen, wie gut sich die niedersächsischen Unternehmen bisher auf die seit dem 25. Mai geltende Datenschutzgrundverordnung (DS-GVO) eingestellt haben. In einer branchenübergreifenden Querschnittsprüfung schrieb Thiels Behörde 50 Unternehmen unterschiedlicher Größe an, die Fragen zu zehn

    Mehr erfahren
  • Code of Conduct für Pseudonymisierung

    Code of Conduct für die Pseudonymisierung

    Die Fokusgruppe Datenschutz des Bundesministeriums des Innern, für Bau und Heimat veröffentlicht im Rahmen des Digital-Gipfels 2019 unter Leitung von Professor Dr. Schwartmann einen Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung. Anlässlich des Digital-Gipfels 2019 hat es sich die Fokusgruppe Datenschutz der Plattform 9 „Sicherheit, Schutz und Vertrauen für Gesellschaft und

    Mehr erfahren
  • Umsetzung DS-GVO

    LfDI BW stellt Umfrageergebnisse zur DS-GVO vor

    Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) in Baden-Württemberg führte im Sommer 2019 in 1101 Gemeinden eine Umfrage zum Stand der Umsetzung der DS-GVO durch. Der LfDI BW konnte die Umfrage bereits evaluieren und stellt die Umfrageergebnisse vor. Nach eigenen Angaben haben sich rund 87% der Kommunen an der Umfrage beteiligt, so dass

    Mehr erfahren