DSGVO in Zeiten der Digitalpolitik - Wie gelingt ein digitales Europa?

Als Folge auf das im Mai 2024 stattgefundene Expertengespräch zur Evaluierung der DSGVO befasste sich die Podiumsdiskussion „DSGVO in Zeiten der Digitalpolitik“ mit der Frage, wie ein digitales Europa gelingen kann. Alle Teilnehmer waren sich mit Blick auf die in 2028 anstehende Evaluierung der DSGVO und der KI-Verordnung einig, dass bereits jetzt Gespräche geführt werden müssen.

Dies haben die bayerischen Industrie- und Handelskammern (BIHK) zum Anlass genommen und in Kooperation mit

• dem Bayerischen Staatsministerium des Innern, für Sport und Integration (StMI),
• der Wirtschaftskammer Österreich (WKÖ) und
• dem Enterprise Europe Network (EEN)

sowie mit freundlicher Unterstützung der Vertretung des Freistaates Bayern bei der Europäischen Union am 19. November 2024 eine Podiumsdiskussion durchzuführen.

Dr. Armin Hartmuth, Stv. Leiter der Vertretung des Freistaates Bayern bei der Europäischen Union, betonte in seiner Begrüßung, dass es eine große Herausforderung ist, eine Balance zwischen der Digitalisierung und dem Datenschutz zu schaffen. Am Beispiel der KI-Verordnung, die ein Produkthaftungsgesetz sei, und der DSGVO, welche einen technikneutralen Ansatz verfolge, erläuterte er: „Unternehmen müssen beide Regelwerke beachten. Die Komplexität besteht dabei in der Doppelbelastung für die Wirtschaft. Es müsse geklärt werden, wo Nachbesserungsbedarf besteht, damit beides gelingt.“

In seiner Videobotschaft hob Joachim Herrmann, Bayerischer Innenminister, hervor, dass der Zeitpunkt der Veranstaltung gut gewählt sei. Zum einen liege der Evaluierungsbericht der Europäischen Kommission zur DSGVO seit Ende Juli vor. Zum anderen werden in der Kommission gerade die Arbeitsprogramme für die nächsten Jahre konkretisiert: „Dies ist genau der richtige Moment, um über die Aufgaben zu diskutieren, die der europäische Gesetzgeber in den Blick nehmen sollte, damit unsere Gesellschaft und unsere Unternehmen fit für die Digitale Transformation sind.“ Ziel müsse es sein, Europa im Zeitalter Künstlicher Intelligenz rechtlich genauso wie technologisch einen Spitzenplatz zu sichern. Die Kunst werde darin bestehen, den Datenschutz als wichtige Leitplanke der Digitalisierung europäisch weiterzuentwickeln. Ein wichtiger Ansatz hierfür sei, so Herrmann, die datenschutzrechtliche Verantwortung denjenigen aufzuerlegen, die diese auch tragen können. Das seien aber gerade nicht die Anwender, sondern vielmehr die Hersteller und Anbieter von technischen Systemen.

Olivier Micol, Europäische Kommission, stellte in seiner Keynote „Sechs Jahre DSGVO“ wichtige Eckpunkte des im Juli 2024 veröffentlichten Evaluierungsberichtes zur DSGVO vor:

• Mehr Unterstützung für Unternehmen, insbesondere KMU, bei der Umsetzung datenschutzrechtlicher Fragestellungen,
• eine einheitliche Interpretation der DSGVO zur Verbesserung der Gesetzesdurchsetzung,
• Erläuterung der Daten-Rechtsakte, da diese sich überschneiden, insbesondere durch Leitlinien und eine effektivere Kooperation aller am Rechtssetzungsverfahren und der Durchführung beteiligten Institutionen u.a. auch zwischen den Aufsichtsbehörden,
• eine Datenschutzstrategie für Drittstaatentransfers.

Die DSGVO ist nicht perfekt, erfülle jedoch ihren Auftrag. Kernaufgabe der Verordnung ist, die Grundrechte der EU-Bürger zu schützen und diesen die Kontrolle über ihre persönlichen Daten zu geben. Die Regeln der DSGVO machen den freien Datenaustausch erst möglich, worauf die nachfolgenden Gesetze der Europäischen Datenökonomie aufbauen. Ebenso sektorale Verordnungen wie etwa im Bereich Transport oder Gesundheit, erklärt Micol. Jüngst wurde dies insbesondere bei der KI-Verordnung von Unternehmen kritisiert, da die Prämisse „die DSGVO bleibt unberührt“ eine Mehrbelastung darstellt. Micol sieht in einem auf den Schutz von Grundrechten gestützten Datenschutz jedoch kein Innovationshemmnis. „In conclusion we have the next report in 2028, but we are going on to continue the dialog and will not wait.” so Micol.

Ursula Illibauer, WKÖ, hob zum Beginn ihrer Moderation hervor, dass viele Unternehmen die DSGVO kritisch sehen. Olivier Micol entgegnete: „There is always a critic. GDPR (DSGVO) is creating obligations to companies. But this digital transformation will not take place, if we have no protection of personal data. I think that innovation has to go in line with the GDPR.”

Michael Will, Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), sieht die DSGVO im Grunde als vollen Erfolg. Es sei aber kein Grund, mit der Situation zufrieden zu sein. Nach wie vor passen z. B. Präferenzen nicht. So entstehen europäische Guidelines, die nicht jeden zufriedenstellen. Es gibt tatsächlich ein bisschen mehr zu erklären. Die Aufsicht über die KI-Verordnung in Deutschland sollte laut Will bei den Datenschutzaufsichtsbehörden sein. Denn diese sind zuständig für die Aufsicht über personenbezogene Daten, die in den meisten KI-Anwendungen verarbeitet werden. Daher wären andere Lösungen eine bürokratische Belastung für die Wirtschaft.

Claudia Waldraff, Süddeutsche Zeitung Digitale Medien GmbH, berichtet, dass viele, aber insbesondere kleine und mittlere Unternehmen in der Praxis mit der Umsetzung der DSGVO Schwierigkeiten haben. Innerhalb ihres Unternehmensverbundes, in dem sie als Mitglied des konzernweiten Datenschutzteams 120 kleine wie größere Unternehmen betreue, habe dieses ein einheitliches Datenschutzmanagementsystem eingeführt und den verbundenen Unternehmen viele Muster und Vorlagen, u.a. ein vereinheitlichtes Verzeichnis für Verarbeitungstätigkeiten, zur Verfügung gestellt. Jedoch sei die Fülle an Informationen und die fehlende Rechtssicherheit als Folge unterschiedlicher Auslegung von Datenschutzvorgaben durch Aufsichtsbehörden wie durch Rechtsprechung nach wie vor eine echte Herausforderung, insbesondere für KMU.

Dr. Aiko Schilling, Munich Re, regt die Einführung eines Konzernprivilegs für Drittstaatentransfers an, da viele große Unternehmen Verwaltungsaufgaben wie HR zentralisiert hätten. Darüber hinaus benötigen Geschäftsmodelle wie die der Risikobewertungen von Versicherungen eine Vielzahl personenbezogener Daten. Es bedarf hier Lösungen vor allem dann, wenn KI-Systeme zum Einsatz gebracht werden sollen, die mit großen Datenmangen trainiert werden müssen. Denn die DSGVO mit den Grundsätzen der Datenminimierung und der Löschpflicht stehen dem entgegen.

Alfons Schieder, StMI, betonte, dass Digitalisierung und Datenschutz ganz grundsätzlich zusammen gedacht werden müssen und sich gegenseitig beeinflussen. Das StMI habe im Rahmen seiner Stellungnahme zur Evaluierung der DSGVO unter anderem darauf hingewiesen, dass es den spezifischen datenschutzrechtlichen Problemstellungen der zahlreichen Digitalrechtsakte der EU nicht gerecht werde, pauschal auf die Geltung der DSGVO zu verweisen. Er plädierte zudem für einen pragmatischen und realistischen Ansatz bei der Interpretation datenschutzrechtlicher Regeln und versprach sich konkrete Erleichterungen durch eine konsequente Verankerung des Einer-für-alle-Prinzips und des once only-Grundsatzes im Datenschutzrecht.

Einig war man sich, dass die DSGVO fortentwickelt werden muss. In dieser Legislaturperiode müsse man jetzt alle wichtigen Punkte hierfür zusammentragen und die neue Europäische Kommission müsse diese Aufgabe aufgreifen.

Ursula Illibauer dankte den Diskussionsteilnehmern im Namen aller Kooperationspartner für die angeregte und konstruktive Diskussion. „Wir werden den Dialog fortsetzen!“