2 Jahre DSGVO — Euro­päische Kom­mission ver­öf­fent­licht Evaluierungsbericht

Vor gut 2 Jahren ist die DSGVO in Kraft getreten. Die öffent­liche Debatte war hitzig, mit viel Kritik zur Belastung von kleinen Unter­nehmen und Ver­einen. Nun hat die Euro­päische Kom­mission ihren ersten Eva­lu­ie­rungs­be­richt zur Daten­schutz­grund­ver­ordnung (DSGVO) ver­öf­fent­licht. In diesem stellt sie zunächst fest, dass die in der DSGVO fest­ge­legten Daten­schutz­regeln ihre gewünschte Wirkung erzielen. Doch obwohl die DSGVO einen ein­heit­lichen EU-Ansatz für Daten­schutz­be­stim­mungen vor­sieht, erkennt die Kom­mission auch eine gewisse Frag­men­tierung des EU-Raumes, deren Ursache sie in der exten­siven Nutzung von grund­sätzlich zuläs­sigen Spe­­zi­­fi­­zie­rungen-Klauseln durch die Mit­glied­staaten sieht.

DSGVO — Chance und Her­aus­for­derung für Unter­nehmen zugleich

Eine solche Frag­men­tierung ist in den Augen der Kom­mission ein Hemmnis für grenz­über­schrei­tende Geschäfts­an­bah­nungen sowie Inno­va­tionen. Hier werden ins­be­sondere die Ent­wick­lungen neuer Tech­no­logien und Cyber­si­cher­heits­lö­sungen genannt. Es wird betont, dass nationale Rechts­vor­schriften den durch die DSGVO fest­ge­legten Rahmen weder unter- noch über­schreiten dürfen, um unnötige Belas­tungen für Unter­nehmen zu vermeiden.

Der Bericht kon­sta­tiert, dass sich der ein­zelne Bürger seiner Rechte in der digi­talen Welt (u.a. das Recht auf Zugang und Berich­tigung und Löschung der eigenen per­so­nen­be­zo­genen Daten) zunehmend bewusst werde. Ins­be­sondere hebt die Kom­mission hier das Recht auf Por­ta­bi­lität der eigenen Daten hervor, z.B. beim Wechsel von Dienst­an­bietern oder dem Wunsch, ver­schiedene Anbieter zu kom­bi­nieren. Diesem Recht schreibt die Kom­mission ein klares  Potential zur Stärkung von Wett­bewerb und Inno­va­tionen zu und bezeichnet dessen  Aus­schöpfung als eine ihrer Prio­ri­täten mit Verweis auf den bereits in ihrer Daten­stra­tegie genannten Bedarf an genormten und kom­pa­tiblen For­maten und Pro­to­kollen für den Datenaustauch.

DSGVO und Mittelstand

In ihrem Bericht geht die Kom­mission auch explizit auf die Aus­wir­kungen der DSGVO auf kleine Unter­nehmen ein. Sie erkennt an, dass die Anwendung für kleine und mittlere Unter­nehmen immer noch eine Her­aus­for­derung dar­stellt. Aus­nah­me­re­ge­lungen, basierend auf der Größe eines Unter­nehmens, hält sie jedoch nicht für ziel­führend. Statt­dessen ver­weist sie auf von einigen Daten­schutz­be­hörden bereits erar­beitete Instru­mente, die Unter­nehmen mit risi­ko­armer Daten­ver­ar­bei­tungs­ak­ti­vität die Umsetzung der DSGVO erleichtern. Solche Bemü­hungen sollen, so der Appell, inten­si­viert und weit ver­breitet werden. Des Wei­teren führt die Kom­mission eine Reihe von Akti­vi­täten an, die Daten­schutz­be­hörden ent­wi­ckelt haben, um kleinen und mitt­leren Unter­nehmen bei der Umsetzung der DSGVO zu unter­stützen, bei­spiels­weise die Bereit­stellung von Vor­lagen für Ver­träge sowie die Auf­zeichnung von Daten­ver­ar­bei­tungs­ak­ti­vi­täten, aber auch Seminare und Hot­lines. Weitere Akti­vi­täten sind laut Kom­mission in Betracht zu ziehen, um die Anwendung der DSGVO für KMUs zu erleichtern.

Explizit wird die Rück­meldung der KMUs zu der von der DSGVO zur Ver­fügung gestellten Toolbox her­vor­ge­hoben, mit deren Hilfe Unter­nehmen die Ein­haltung nach­weisen können,  z.B. Ver­hal­tens­ko­dizes, Zer­ti­fi­zie­rungs­me­cha­nismen und Stan­dard­ver­trags­klauseln. KMUs betonen die Not­wen­digkeit von Ver­hal­tens­ko­dizes, die explizit auf ihre Situation zuge­schnitten sind und keine unver­hält­nis­mä­ßigen Kosten verursachen.

Für den Mit­tel­stand bedarf es also beson­derer Angebote, die für diesen auch leicht zugänglich und auf­findbar sind. Für den deut­schen Mit­tel­stand gibt es in dieser Hin­sicht eine gute Nach­richt. Seit Jah­res­beginn läuft der Aufbau der Trans­fer­stelle IT-Sicherheit im Mit­tel­stand (TISiM). TISiM bündelt, bereitet pra­xisnah auf und ver­mittelt Angebote zum Thema IT-Sicherheit und unter­stützt kleine und mittlere Unter­nehmen, Hand­werks­be­triebe und Selbst­ständige bei deren Umsetzung. Dies ist für die Umsetzung der DSGVO extrem wichtig, da neben dem Daten­schutz durch Technik (data pro­tection by design) Sicherheit (ein­schließlich Cyber­si­cherheit) ein Kern­element ist, das im Rahmen der DSGVO berück­sichtigt werden muss.

Quelle: https://ec.europa.eu/info/sites/info/files/1_en_act_part1_v6_1.pdf