Ihre umfassende Orientierung im neuen Datenschutzrecht!

comply. Fachmagazin für Compliance-Verantwortliche. Jahresabo Print, inklusive Online-Archiv und Zeitschriften-App, 4 Ausgaben jährlich, 136,60€

Interview mit Frau Prof. Dr. Anne Lauber-Rönsberg vom Institut für Geistiges Eigentum, Technikrecht und Medienrecht der TU Dresden und Herr Prof. Dr. Thorsten Strufe, Inhaber der Professur für Datenschutz und Datensicherheit an der TU Dresden, über Vor- und Nachteile der DS-GVO – eine Bilanz und Perspektive nach einem Jahr.

comply: Liebe Frau Lauber-Rönsberg, lieber Herr Strufe, Sie befassen sich wissenschaftlich mit Daten aus zwei diversen Perspektiven – zum einen wenn es um die technische Sicherheit und zum anderen um ihren rechtlichen Schutz geht. Das ist eine recht komplexe Sichtweise. Wir sind gespannt auf Ihre Bewertung der Datenschutz-GVO, die am 25.5.2019 ihren ersten Jahrestag feiern wird! Gibt es aber überhaupt einen Grund zum Feiern – oder eher zum Trauern? War die neue Grundregelung überhaupt notwendig?

Prof. Dr. Thorsten Strufe: Auch wenn sich der Datenschutz im deutschsprachigen Raum vielleicht gar nicht so stark verändert hat denke ich können wir die DS-GVO grundsätzlich als einen Gewinn einschätzen. Natürlich hat, hier eine Modernisierung stattgefunden. Vor allem aber hat sie für ein Bewusstsein bei den Entscheidern geführt, dass Datenschutz wichtig ist. In Teilen sicherlich aufgrund der potenziell sehr viel höheren Strafen, die wir ja jetzt langsam in den ersten Verfahren beobachten können.

Prof. Dr. Anne Lauber-Rönsberg: Die europäische Vorgängerregelung zur DS-GVO, die Datenschutz-Richtlinie, stammte aus dem Jahr 1995. Insofern war eine Modernisierung der Regelungen sinnvoll und überfällig.

comply: War der Schutz in den einzelnen Mitgliedstaaten tatsächlich so ausdifferenziert, dass eine Vereinheitlichung notwendig war? Und wenn keine rechtlichen, welche tatsächlichen Überlegungen sprechen dafür oder auch dagegen?

Prof. Dr. Anne Lauber-Rönsberg: Bislang wiesen die nationalen Regeln eine erhebliche Bandbreite auf, sodass eine EU-weite Harmonisierung sinnvoll ist, um grenzüberschreitende Datenverarbeitungen zu erleichtern und so einheitliche Wettbewerbsbedingungen für Unternehmen, aber auch einen einheitlichen, hohen Datenschutz für Bürgerinnen und Bürger zu schaffen.

Prof. Dr. Thorsten Strufe: Es war ja durchaus zu beobachten, dass sich große Konzerne gern über den Verbraucherschutz – und den Schutz der Daten ihrer Benutzer – hinweggesetzt haben und es dagegen nur wenig Handhabe gab. Die grundsätzlichen Ideen der DS-GVO, etwa auch das europaweite Kopplungsverbot sind da sicherlich ein großer Fortschritt.

comply: Wenn wir uns nun dem rechtlichen Wesen der DS-GVO widmen ohne in die Details zu gehen: Hat die DS-GVO den Datenschutz auf eine neue qualitative Ebene gebracht?

Prof. Dr. Anne Lauber-Rönsberg: Die DS-GVO enthält einige neue Ansätze, z.B. das sog. Marktortprinzip, d.h. die Ausdehnung ihres Anwendungsbereichs auf die Verarbeitung personenbezogener Daten durch Verantwortliche außerhalb der EU, soweit sie Waren oder Dienstleistungen in der EU anbieten, das Recht auf Datenportabilität, die Meldepflichten bei Datenschutzverstößen, die Dokumentations- und Rechenschaftspflichten, die Regelungen zum Datenschutz durch Technik und zu datenschutzfreundlichen Voreinstellungen sowie die Bedeutung von Verhaltensregeln und Zertifizierungen. Insgesamt lässt sich aber auch ein Jahr nach Anwendbarkeit der DS-GVO noch nicht zuverlässig beurteilen, ob die DS-GVO den Datenschutz qualitativ auf eine neue Ebene gebracht hat, da die  DS-GVO in vielen Bereichen auslegungsoffen und lückenhaft ist, sodass sich das Schutzniveau der DS-GVO erst dann, wenn wir mehr Rechtsprechung und Erfahrungen mit der Durchsetzungspraxis der Aufsichtsbehörden haben, endgültig beurteilen lässt.

comply: Wo sehen Sie die wesentlichen Defizite des heutigen Datenschutzes?

Prof. Dr. Thorsten Strufe: Aktuell ist, trotz der großen Betriebsamkeit im Laufe der letzten 24 Monate, natürlich immer noch eine gewisse Unsicherheit bei den Unternehmen zu beobachten. Mit dem nahenden Mai 2018 entstand Bewusstsein und eine rege Geschäftigkeit, die vielleicht nicht überall zu den effektivsten Schutzmaßnahmen geführt hat. Aktuell ist eine Erleichterung bei vielen Akteuren zu beobachten, zum einen weil sich viele falsche Gerüchte inzwischen aufklären ließen, zum anderen vielleicht weil man bisher noch wenig spektakuläre Fälle beobachtet. Dabei wird es wichtig sein, sich nicht zu früh in falscher Sicherheit zu wähnen und zurückzulehnen: in Gesprächen bekommt man schon den Eindruck, dass die Aufsichtsbehörden eine starke Durchsetzung des Datenschutzes ernst nehmen, Fälle die Aufsehen erregen können sind an vielen Stellen sicher schlicht noch in Vorbereitung.

Prof. Dr. Anne Lauber-Rönsberg: Auch ich sehe ein wesentliches Problem in den Rechtsunsicherheiten, die auch durch vage oder unklare Formulierungen der DS-GVO verursacht werden und die erst mittel- und langfristig durch Rechtsprechung und Praxis beseitigt werden können. Interessant wird auch sein, inwieweit die Aufsichtsbehörden der EU-Mitgliedstaaten einheitliche Standards bei der Rechtsdurchsetzung anlegen. Zum zweiten stellt die DS-GVO sehr hohe Anforderungen hinsichtlich Transparenz und Information der Betroffenen; hier bleibt abzuwarten, ob dies z.B. für KMU in der Praxis umsetzbar ist. Problematisch ist auch, dass die nationalen Gesetzgeber und auch die EU noch nicht alle Hausaufgaben erledigt haben. Einige, wenn auch wenige Mitgliedstaaten haben ihr nationales Recht noch nicht an die DS-GVO angepasst. In Deutschland wurden die wesentlichen Reformen zwar gerade noch rechtzeitig vor der Anwendbarkeit der DS-GVO zum 25.8.2018 vorgenommen. Auch hier fehlen aber z.T. noch bereichsspezifische Anpassungen. Auf europäischer Ebene konnte bislang noch keine politische Einigung über die ePrivacy-Verordnung erzielt werden, die z.B. für das Tracking relevant ist.

comply: Viele behaupten, diverse Regelungen in der DS-GVO sind unverhältnismäßig und belasten zu sehr viele Unternehmen, würden Sie dem zustimmen? Was geht beispielsweise Ihrer Meinung nach zu weit?

Prof. Dr. Thorsten Strufe: Aus meiner Sicht hat sich der größte Teil dieser Behauptungen als falsche Gerüchte aufgeklärt. Die Panikmache um Sportvereine oder Klingelschilder hat sich glücklicherweise weitestgehend klären lassen. Natürlich müssen Unternehmen ob der potenziell höheren Strafen den Datenschutz jetzt ernster nehmen, als sie es vielleicht noch vor Mai 2018 getan haben. In konkreten Gesprächen mit vielen Firmen, auch mit solchen, die Daten nicht nur kollateral erheben, sondern deren Analyse tatsächlich als Geschäftsmodell betreiben, haben wir üblicherweise alternative Ansätze finden können, bei denen die Produkte und Dienstleistungen, wenn auch viele gefühlte, tatsächlich keinerlei echte Einschränkungen zu erleiden hatten. Aber klar, dass man Datenschutz jetzt ernst nehmen muss und er dem Stellenwert, der ihm gebührt, näher kommt, das lässt sich natürlich nicht von der Hand weisen. Das ist ja auch gut so!

Prof. Dr. Anne Lauber-Rönsberg: Im Großen und Ganzen haben sich die Grundstrukturen des Datenschutzes wenig geändert. Höhere Anforderungen stellt die DS-GVO aber z.B. hinsichtlich der Transparenz- und Informationspflichten, sodass die Anpassung an die neue Rechtslage für Unternehmen durchaus mit Aufwand verbunden war. Andere Horrorszenarien, z.B. die von einigen prophezeite Abmahnwelle wegen DS-GVO-Verstößen, haben sich ja, wie gesagt, als überzogen erwiesen. Sicherlich wird man aber bei der für 2020 geplanten Evaluation ein besonderes Augenmerk darauf richten müssen, ob Entlastungen für KMU und auch für Vereine erforderlich sind.

comply: Der technische Fortschritt verläuft derzeit so rasant wie noch nie zuvor. Kann man nach einem Jahr der Geltung der DS-GVO sagen, dass bestimmte Regelungen nach nur einem Jahr vom technischen Fortschritt überholt wurden?

Prof. Dr. Thorsten Strufe: Genau das kann ich im Moment nicht beobachten. Die Regelungen sind ja gerade abstrakt gehalten, um eine enge Kopplung mit konkreten Technologien zu vermeiden. Im Gegenteil stellen wir eher fest, dass wir in der technischen Entwicklung jetzt Herausforderungen angehen um bestimmte Regelungen überhaupt umsetzen zu können, die wir in der Vergangenheit vielleicht vernachlässigt hatten.

Prof. Dr. Anne Lauber-Rönsberg: Ich sehe das ebenso: Da die DS-GVO technikneutral ausgestaltet ist, lässt sich nicht sagen, dass bestimmte Regelungen bereits vom technischen Fortschritt überholt wurden. Man kann aber sicherlich darüber diskutieren, ob eine solche technikneutrale Ausgestaltung sinnvoll ist, ob man z.B. spezielle Rahmenbedingungen für Big-Data-Anwendungen benötigt. Hierbei geht es aber letztlich um rechtspolitische Wertungsfragen: Welche Datenverarbeitungen sollen erlaubt sein?

comply: Widmen wir uns nun der Datensicherheit. Wie ist denn überhaupt die Wechselwirkung zwischen dem Datenschutz und der Datensicherheit. Ist das nicht dasselbe?

Prof. Dr. Thorsten Strufe: Unter Datensicherheit verstehen wir den Schutz von Daten und datenverarbeitenden Systemen. Hier geht es vor allem um die Vertraulichkeit und Integrität von Daten, ihre Verfügbarkeit wenn wir sie oder die Systeme brauchen und benutzen wollen. Dazu sind kontrollierter Zugang, dafür natürlich auch die Authentisierung von Benutzern, in einigen Fällen die Nichtabstreitbarkeit und Rechenschaftspflicht zentrale Punkte. Mit Datenschutz andererseits bezeichnen wir den Schutz der Bürger und Individuen vor negativen Auswirkungen, die Daten und Datenverarbeitung haben können. Datensicherheit kann da natürlich in Grenzen helfen: gut gesicherte Daten fallen vielleicht nicht in die falschen Hände. Allerdings bedarf Datenschutz auch einer Datenminimierung, was nebenbei bemerkt in vielen Fällen einen hohen Effizienzgewinn und eine Minderung des Verlustrisikos mit sich bringt. Allerdings braucht Datenschutz auch ganz klar gesetzliche Regelungen, da wir eine ausgeprägte Machtasymmetrie haben, sodass datensammelnde und datenverarbeitende Institutionen ganz klar aus einer Position der Stärke und Kontrolle gegenüber einzelnen Individuen auftreten, denen die Tatsache, dass ihre Daten erhoben und verarbeitet werden, häufig gar nicht bewusst ist – und die auch die potenziell daraus entstehenden Konsequenzen überhaupt nicht abschätzen können.

comply: Welche Rolle spielt die DS-GVO für die Datensicherheit?

Prof. Dr. Thorsten Strufe: Die Aufmerksamkeit, der sich Datenschutz durch die DS-GVO erfreut, hat hier sicherlich einiges gebracht. Wie gesagt ist für Datenschutz auch eine Absicherung der Daten hilfreich – und in diesem Zuge haben viele Unternehmen einiges getan, sowohl in Bezug auf organisatorische wie auch technische Maßnahmen.
comply: Wechseln wir nun die Seiten: Würden Sie sagen, dass Unternehmen nach einem Jahr die neuen Anforderungen der DS-GVO größtenteils erfüllen?

Prof. Dr. Thorsten Strufe: Ich habe schon den Eindruck, dass viele Unternehmen sehr viel getan haben. Gerade bei den großen, sicherlich auch bei den meisten Technologie- affinen Firmen kann man, denke ich, davon ausgehen, dass sie die DS-GVO, soweit wir einzelne Details denn jetzt einschätzen können, durchaus erfüllen. Gerade diese Firmen werden sich auch schlecht herausreden können, wenn sie auditiert werden. Bei vielen der kleineren Unternehmen sieht das vielleicht noch etwas anders aus. Man hört hier aber auch immer mal wieder, dass die Aufsichtsbehörden kein Interesse haben, die kleinen zu knechten, insbesondere, wenn hier sichtbar wird, dass sie sich bemühen die Dinge richtig zu tun.

comply: Und noch einmal Seitenwechsel: Denn auch die Behörden sollen vielfach auf die Durchsetzung des neuen Rechts nicht vorbereitet gewesen sein. Sind sie das inzwischen?

Prof. Dr. Thorsten Strufe: Ich glaube hier gibt es zwei Punkte. Einerseits sind einige Details denke ich noch gar nicht abschließend geklärt. Wir untersuchen hier zum Beispiel gerade die Frage, wann man denn nun tatsächlich eine Datenschutzfolgeabschätzung durchführen muss – und selbst so scheinbar einfache Fragen kann man derzeit als nicht endgültig geklärt ansehen. Hier ist es dringend nötig, dass die Behörden bei der Klärung helfen. Außerdem sind die Behörden natürlich derzeit gar nicht mit den zusätzlich nötigen Ressourcen ausgestattet – an einigen Stellen wurden sie ja sogar gekürzt. Wenn man das berücksichtigt ist festzustellen, dass sie die Situation überraschend gut meistern.

Prof. Dr. Anne Lauber-Rönsberg: Den Aufsichtsbehörden kommt eine wichtige Rolle zu, um Unternehmen durch Beratungsangebote, die Ausarbeitungen von Verhaltensregeln und Empfehlungen bei der Umsetzung der DS-GVO zu unterstützen. Aufgrund der durch die DS-GVO gewachsenen Aufgaben, aber auch aufgrund der (verständlicherweise) massiv angestiegenen Anzahl von Beratungsanfragen sind die Aufsichtsbehörden auf personelle Aufstockungen angewiesen, um ihre Aufgaben – auf Augenhöhe mit den personellen Ressourcen von Großkonzernen – erfüllen zu können. Dies gilt für die deutschen Behörden, aber ebenso auch für die Aufsichtsbehörden anderer Mitgliedstaaten. Leider wird eine schlechte personelle Ausstattung der datenschutzrechtlichen Aufsichtsbehörden – und damit eine lasche Durchsetzung und Kontrolle des Datenschutzrechts – z.T. als Wettbewerbsfaktor angesehen.

comply: Wir hörten von den ersten Präzedenzfällen der Sanktionierung nach der DS-GVO insbes. im Hinblick auf große IT-Konzerne. Ansonsten sind die Behörden eher zurückhaltend. Bleibt das nach Ihrer Meinung so?

Prof. Dr. Thorsten Strufe: Ich persönlich glaube das nicht. Man wird natürlich kleine Unternehmen, die sich bemühen, die Regularien einzuhalten, nicht unverhältnismäßig abstrafen oder in den Ruin treiben. Die ersten Fälle dieser Art haben wir ja schon gesehen, etwa das soziale Netz für Kinder und Jugendliche, das Logindaten verloren hatte. Parallel dazu sieht man ja jetzt die ersten Verfahren, in denen höhere Strafen verhängt werden. Und ich denke, dass sich das fortsetzen wird. Die ersten Verfahren werden sicherlich bis zum EuGH gehen, und da dort meines Wissens in der Vergangenheit häufig eher zum Wohle der Bürger als zum Wohle von Unternehmen entschieden wurde, wird das mehr Sicherheit bringen – und im Anschluss, denke ich, ganz sicher auch allgemein ernstzunehmende Strafen, die den Verstößen angemessen sind, bzw. hoffentlich eine weiter verbreitete Compliance.

Prof. Dr. Anne Lauber-Rönsberg: Die französische Datenschutzbehörde CNIL hat im Januar 2019 gegen Google ein Bußgeld von 50 Millionen verhängt. Die deutschen Aufsichtsbehörden waren bislang zurückhaltend und haben ihre Aufgabe eher in der Beratung gesehen. Einzelne Aufsichtsbehörden haben aber bereits angekündigt, in 2019 die die Umsetzung der DS-GVO stärker als im ersten Jahr zu kontrollieren und ggf. auch Bußgelder zu verhängen.

comply: Und zum Abschluss: Wodurch wird sich nach Ihrer Ansicht das Jahr 2 vom Jahr 1 der DS-GVO unterscheiden? Mehr und höhere Sanktionen? Mehr und besserer Datenschutz? Mehr Kritik und Skepsis oder höhere Akzeptanz für die DS-GVO? Oder alles bleibt wie es war?

Prof. Dr. Thorsten Strufe: Ich gehe davon aus, dass einmal klarer werden wird, wo die Reise hingeht – gerade mit weiteren Konkretisierungen durch die Aufsichtsbehörden – zweitens damit dann auch bei den Firmen mehr Ruhe und Sicherheit einkehren wird, und wir drittens langsam aber sicher einen faktisch besseren Schutz von Daten bekommen werden, wenn mehr Firmen sich darüber Gedanken machen, welche Daten sie überhaupt sinnvollerweise brauchen und sie organisatorisch und technisch im Datenschutz besser aufgestellt sind.

Prof. Dr. Anne Lauber-Rönsberg: Ich rechne ebenfalls damit, dass wir durch die Rechtsprechung und Stellungnahmen der Aufsichtsbehörden mehr Klarheit bekommen werden – und dass die rechtspolitische Diskussion darüber, welcher und wie viel Datenschutz gesellschaftlich gewollt ist, eher noch zunehmen wird.

comply: Liebe Frau Lauber-Rönsberg, lieber Herr Strufe, herzlichen Dank für Ihre Zeit und das Gespräch.

Das Interview ist erschienen in comply. 2/2019, S. 32 bis 34. Hier können Sie kostenlos und unverbindlich ein Probeexemplar bestellen.

Handlungshilfe für Verantwortliche inklusive Prüffragen für Aufsichtsbehörden!

Datenschutz-Compliance nach der DS-GVO,
Kranig, Sachs, Gierschmann,
€ 46,00 inkl. MwSt

Mit unserem Titel "Datenschutz-Compliance nach der DS-GVO" in zweiter Auflage wird den Anwendern  der DS-GVO weiter eine Orientierung auf dem Weg zur Datenschutz-Compliance gegeben.

Aufgrund seiner Prozessorientierung bietet das Werk eine Unterstützung, Strukturen, Verfahren und Prozesse in den Unternehmen bzw. Organisationen aufzusetzen und damit den Anforderungen der DS-GVO gerecht zu werden.

Merken Sie sich hier für die zweite Auflage vor. Erscheinungstermin: September 2019.

Bestellen Sie hier direkt unseren Toptitel "Datenschutz-Compliance nach der DS-GVO" in der ersten Auflage.

Ein Leitfaden für kleine und mittelständische Unternehmen

Aufbau von Datenschutz-Management-Systemen nach der DS-GVO, Ein Leitfaden für kleine und mittelständische Unternehmen, ca. 200 Seiten, 44,00€.

Wie sollten die alten und neuen gesetzlichen Anforderungen im Unternehmenskontext umgesetzt werden? Welche Chancen ergeben sich durch die Einhaltung der Datenschutz-Compliance? Wie können Risiken, die von Datenschutzverletzungen für Unternehmen, Führungskräfte und Mitarbeiter ausgehen, zuverlässig erkannt, verhindert und behoben werden?

Antworten auf diese und weitere Fragen hat dieser Leitfaden. Der Autor gibt aus Sicht der Praxis Anregungen und Beispiele dafür, wie ein effektives Datenschutz-Management-System (DSMS) pragmatisch aufgebaut werden kann. Er zeigt Argumente für einen starken Datenschutz auf und erläutert, warum Investitionen in diesem Bereich sinnvoll sind und im ureigenen Unternehmensinteresse erfolgen sollten.

Merken Sie sich hier für die Printversion "Aufbau von Datenschutz-Management-Systemen nach der DS-GVO" vor.

Hier merken Sie sich für das E-Book vor.

Die Datenbank comply.Plus gibt Ihnen einen umfassenden Überblick über alle relevanten Themenbereiche der Compliance und vermittelt Ihnen konkrete Umsetzungshinweise durch erfahrene und ausgewiesene Praktiker. Dabei erfasst der thematische Querschnitt der integrierten Fachinformationen klassische Compliance-Themen wie z.B. Korruptionsprävention genauso wie die neuen Datenschutzanforderungen der DS-GVO mit BDSG-neu.

 

Melden Sie sich hier für die Datenbank comply. Plus an und testen Sie 4 Wochen kostenlos!

Die umfassende Orientierung im neuen Datenschutzrecht!

Kommentar Datenschutz-Grundverordnung
Kommentar Datenschutz-Grundverordnung,
Prof. Dr. Sibylle Gierschmann,
Katharina Schlender,
Dr. Rainer Stentzel,
Dr. Winfried Veil,
€ 149,00 inkl. MwSt.

Die Datenschutz-Grundverordnung (DS-GVO) wird ab dem 25. Mai 2018 unmittelbar anwendbares Recht in allen EU-Mitgliedstaaten. Wesentliche Teile des nationalen Datenschutzrechts werden durch sie ersetzt.

In der Anfangszeit wird erhebliche Unsicherheit über die genaue Anwendung und Auslegung des neuen Rechts bestehen. Die Verordnung enthält zahlreiche unbestimmte Rechtsbegriffe, die europaweit einheitlich auszulegen sind, entsprechende Rechtsprechung und Verwaltungspraxis existiert naturgemäß noch nicht.

Der Rechtsanwender erhält mit dem Kommentar Datenschutz-Grundverordnung eine umfassende Orientierung im Hinblick auf den sehr komplexen Verordnungstext und veranschaulicht das Zusammenspiel der einzelnen Artikel mit der Vielzahl von Erwägungsgründen.

Die Herausgeber:

  • Prof. Dr. Sibylle Gierschmann, LL.M. (Duke University), Fachanwältin für Urheber- und Medienrecht, Datenschutzauditorin (TÜV),
  • Katharina Schlender, Bundesministerium des Innern,
  • Dr. Rainer Stentzel, Bundesministerium des Innern,
  • Dr. Winfried Veil, Bundesministerium des Innern

Bestellen Sie hier den Kommentar zur Datenschutz-Grundverordnung!

Hier bestellen Sie den Kommentar zur Datenschutz-Grundverordnung als E-Book.

lieferbar:

Workbook General Data Protection Regulation

Customized for business use

Your access to the new data portection law!

ISBN: 978-3-8462-0728-4

Preis: € 39,80

jetzt informieren

2. Auflage:

Workbook Datenschutz-Grundverordnung

Systematisch aufbereitet für den Praktiker

Die Einstiegshilfe in das neue Datenschutzrecht!

ISBN: 978-3-8462-0962-2

Preis: € 39,80

jetzt informieren

lieferbar:

Ein-/Ausblenden

Kommentar Datenschutz-Grundverordnung

Die umfassende Orientierung im neuen Datenschutzrecht!

ISBN: 978-3-8462-0638-6

Preis: € 149,00

jetzt informieren

Wir helfen Ihnen gerne!

Ein-/Ausblenden

 Kundenservice

  Tel 0800 1234 339 

(kostenfrei aus dem deutschen Festnetz)

VERLAGSKONTAKT

Ein-/Ausblenden

Haben Sie Fragen zum Produkt? Ich berate Sie gerne.


Wiebke Schmidt

T: + 49 (0)221 - 97668-291
F: + 49 (0)221 - 97668-115