Kurzbeitrag : Die DSGVO als Herausforderung (auch) für die Aufsichtsbehörden : aus der RDV 4/2017, Seite 191 bis 192
Barbara Thiel, Hannover*
In Fragen des Datenschutzes im Bereich der Wirtschaft werden die Aufsichtsbehörden heute vor allem konfrontiert:
- mit einer stetig steigenden Relevanz und Bedeutung der Datenverarbeitung,
- mit rasant fortschreitenden technischen Möglichkeiten der Datenauswertung,
- mit einer um sich greifenden digitalen Vernetzung von Alltagsgegenständen.
Mehr denn je stellt sich deshalb die Frage, wie der Datenschutz auch in Zeiten der Digitalisierung seine Berechtigung wahren und weiter ausbauen kann.
Hier weist uns das neue europäische Recht den Weg. Im digitalen Zeitalter kann Datenschutz nicht mit nationalen Insellösungen durchgesetzt werden. Mit der EU-Datenschutz-Grundverordnung (DSGVO) wird vielmehr ab Mai 2018 ein (weitestgehend) einheitlicher europäischer Rechtsrahmen für den Datenschutz in der digitalen Welt gesetzt. Das schafft gleiche Wettbewerbsbedingungen, mehr Rechtssicherheit und leichtere Rechtsdurchsetzbarkeit.
Die Reform des europäischen Datenschutzrechts wird zugleich einen konsequenten Ausbau effektiver Aufsichtsstrukturen weiter befördern. Nur so kann es gelingen, den europäischen Datenschutz in der digitalen Welt nicht nur auf dem Papier zu modernisieren und zu harmonisieren, sondern im Interesse der betroffenen Bürgerinnen und Bürger schlagkräftig auszugestalten.
I. Weitreichende Sanktionsbefugnisse
Die Tätigkeit der Aufsichtsbehörden wird entscheidend dafür sein, inwieweit die DSGVO ihr Ziel eines wirksamen Datenschutzes erreichen kann. Eine wichtige Neuerung sind dabei die sehr weit reichenden Sanktionsbefugnisse, die künftig von jeder Aufsichtsbehörde in der EU ausgeübt werden können.
Aus Sicht des Europäischen Parlaments war es ein ganz zentrales Ziel der europäischen Datenschutzreform, Sanktionen einzuführen, die „weh tun sollen“, wie es in einer Stellungnahme des Ausschusses für Bürgerrechte, Justiz und innere Angelegenheiten ausdrücklich heißt. Diese Zielsetzung des Europäischen Parlaments ist Wirklichkeit geworden:
Zukünftig können bei rechtswidrigen Datenverarbeitungen Geldbußen in Höhe von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes verhängt werden (Art. 83 Abs. 5) – ein Quantensprung gegenüber der jetzigen Rechtslage. Die Einhaltung der gesetzlichen Bestimmungen ist nun lohnender als ein Verstoß.
Eine besondere Herausforderung für die Aufsichtsbehörden bedeutet es allerdings, dass die Bußgeldtatbestände sehr unbestimmt sind. Es ist davon auszugehen, dass hier erst nach einer längeren Anwendungspraxis eine gewisse Klarheit für die Unternehmen bestehen wird. Abzuwarten bleibt auch, in welcher Weise der Europäische Datenschutzausschuss seinen Auftrag aus Art. 70 Abs. 1 lit. k umsetzen wird. Danach obliegt ihm die Aufgabe, Leitlinien für die Aufsichtsbehörden in Bezug auf die Festsetzung von Geldbußen zu erlassen.
II. Beratungs- und Unterstützungsaufgaben
Schon heute nehmen die Aufsichtsbehörden neben ihren Kontrollfunktionen auch Beratungs- und Unterstützungsaufgaben wahr. Mit der Geltung der DSGVO wird die Beratungstätigkeit der Aufsichtsbehörden aber nicht nur deutlich zunehmen, sondern auch eine neue Qualität erlangen. So kommen auf die Aufsichtsbehörden insbesondere umfangreiche Sensibilisierungs- und Aufklärungspflichten zu. Diese proaktive Aufgabe der Sensibilisierung und Aufklärung besteht sowohl gegenüber den Betroffenen, die zukünftig auf Anfrage stärker über ihre Rechte informiert werden sollen (Art. 57 Abs. 1 lit. e), als auch gegenüber der Öffentlichkeit, die etwa über Risiken der Datenverarbeitung informiert werden soll (Art. 57 Abs. 1 lit. b).
Auch die datenverarbeitenden Stellen sollen künftig hinsichtlich ihrer Pflichten aufgeklärt und sensibilisiert werden (Art. 57 Abs. 1 lit. d). Neu ist ferner, dass die Aufsichtsbehörden künftig die Unternehmen bei der neu eingeführten Datenschutzfolgenabschätzung zu unterstützen haben. Diese Datenschutzfolgenabschätzungen sollen Technikanbietern, Aufsichtsbehörden und der Öffentlichkeit helfen, die vorwiegend durch datenverarbeitende Technologien entstehenden Risiken für den Datenschutz wirksam einzuschätzen und diese von vornherein so gering wie möglich zu halten. Noch offen ist allerdings, wie und nach welchen Kriterien die Folgenabschätzung erfolgen soll und welchen Inhalt künftige Leitlinien des Europäischen Datenschutzausschusses insoweit haben werden.
Last but not least ist eine Beratung auch bei der Zertifizierung von Datenverarbeitungsvorgängen notwendig. Art. 57 Abs. 1 n DSGVO benennt als Pflichtaufgabe der Aufsichtsbehörden, „die Einführung von Datenschutzzertifizierungsmechanismen und -prüfzeichen anzuregen“. Zertifizierungen für bestimmte Verfahren und Produkte, die gewissenhaft anhand festgelegter Kriterien geprüft worden sind, können mehr Rechtssicherheit bringen und bei den Nutzern dazu führen, dass Datenschutz in den Unternehmen tatsächlich gelebt wird. Wie die Zertifizierung bzw. die Akkreditierung von Zertifizierungsstellen aussehen wird, ist noch offen. Erklärtes Ziel der deutschen Aufsichtsbehörden ist jedenfalls die Entwicklung länderübergreifender Akkreditierungs- und Zertifizierungsverfahren mit einheitlicher Bewertung.
III. Kohärenzverfahren
Eine große Herausforderung dürfte für die Aufsichtsbehörden und ihre Arbeitsweise das Kohärenzverfahren darstellen. Bei Datenverarbeitungen, die nicht nur einen Mitgliedstaat betreffen, wird in Zukunft eine enge Zusammenarbeit aller betroffenen Aufsichtsbehörden erforderlich sein. Daraus resultiert ein Abstimmungsverfahren unter den Behörden, das ohne Zweifel ein sehr komplexes Gebilde sein wird. Durchgesetzt hat sich in diesem Zusammenhang, dass die Aufsichtsbehörden sich im Streitfall auch per Mehrheitsentscheid zu einer gemeinsamen Linie verbindlich verpflichten können. Bei streitigen Fragen entscheidet letztlich der neu eingesetzte Europäische Datenschutzausschuss, der die bisherige – nicht verbindliche – Arbeit der Art. 29 Arbeitsgruppe ablösen wird, verbindlich und endgültig. Die Zuständigkeit für Datenverarbeitungen endet damit künftig nicht mehr an der Staatsgrenze.
IV. Fazit
Der Auftrag der Aufsichtsbehörden ist umfassend. Sie haben die Anwendung der DSGVO zu überwachen und durchzusetzen. Dazu haben sie weitgehende Informationspflichten gegenüber Betroffenen, Verantwortlichen und der Öffentlichkeit. „Vollzug und Beratung“ ergänzen einander, sie sind sozusagen zwei Seiten einer Medaille. Ziel ist es, digitale Wirtschaft und globalen Datenschutz angemessen in Einklang zu bringen. Vielfältige Möglichkeiten und Angebote erfordern differenzierte Lösungen. Die Schwierigkeit in der praktischen Umsetzung wird darin bestehen, auszuloten, wie weit Beratung tatsächlich gehen kann. Keineswegs kann sie die Verantwortlichkeit der Unternehmen ersetzen, die die Voraussetzungen für einen angemessenen Datenschutz im Wettbewerb sicherzustellen und weiter auszubauen haben. Der konstruktive Dialog zwischen Wirtschaft und Aufsichtsbehörden kann hierzu einen wichtigen Beitrag leisten.
Eine besondere Herausforderung der DSGVO besteht künftig darin, dass Entscheidungen innerhalb kurzer Fristen gemeinsam getroffen werden müssen. Dabei ist auch auf nationaler Ebene eine neue Form der Entscheidungsfindung notwendig. Nur durch eine effiziente und agile Zusammenarbeit wird es zukünftig möglich sein, eine starke und zeitgemäße Position innerhalb Europas zu vertreten.
* Die Autorin ist Landesbeauftragte für den Datenschutz in Niedersachsen und im Jahr 2017 Vorsitzende der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK).