Datenschutz im Dialog mit Axel Voss – SuP bringt 10 Thesen zur Modernisierung des Datenschutzrechts ein

Der Digitale Omnibus zeigt, dass die Frage nach einer praxistauglichen Modernisierung der DSGVO zunehmend auch politisch diskutiert wird.

Vor diesem Hintergrund haben sich unsere Kollegen mit dem Europaabgeordneten und Digitalpolitiker Axel Voss ausgetauscht. Im Mittelpunkt des Gesprächs stand die Frage, wie sich das europäische Datenschutzrecht weiterentwickeln lässt, ohne das Schutzniveau für Betroffene zu schwächen – und zugleich Raum für Innovation, Digitalisierung und verantwortungsvolle Datennutzung durch Verantwortliche zu schaffen.

Als Kanzlei begleiten wir diese Diskussion nicht nur aus der Perspektive der Rechtsanwendung. Auf Grundlage unserer Beratungspraxis haben wir zehn Thesen zur Modernisierung des Datenschutzrechts erarbeitet und bringen diese als Diskussionsimpulse in den Diskurs ein.
Ziel ist es, praktische Erfahrungen aus Mandaten konstruktiv für einen gesellschaftlichen Mehrwert einzubringen.

Der Dialog mit Entscheidern ist dabei ein zentraler Bestandteil unseres Selbstverständnisses: Eine tragfähige Weiterentwicklung des europäischen Datenrechts gelingt nur im offenen, sachlichen Austausch zwischen Praxis, Politik und Gesellschaft.

Diesen Dialog führen wir weiter.

10 Thesen zur Modernisierung des Datenschutzrechts

1. These: Weniger Staat – mehr Selbstkontrolle

Das staatsorientierte System starker Aufsichtsbehörden gem. Kapitel 6 und 7 der DSGVO ist zu wenig effektiv bei unverhältnismäßig hohen Kosten. Unter ökonomischen Gesichtspunkten ist eine Verlagerung weg von staatlicher Aufsicht hin zu marktwirtschaftlicher Selbstkontrolle geboten. Zu deren Sicherstellung muss an bewährten Selbstkontrollmechanismen festgehalten werden, z.B. Verzeichnis von Verarbeitungstätigkeiten inkl. technischer und organisatorischer Maßnahmen, Risikobewertungen, Datenschutz-Folgenabschätzungen und Datenschutzbeauftragte.

2. These: Risikoorientiertes Stufenmodell

Die Anwendbarkeit besonderer Regelungen des Datenschutzrechts (z.B. Benennung Datenschutzbeauftragter, Führen eines Verzeichnisses von Verarbeitungstätigkeiten) sollte nicht von der Unternehmensgröße (z.B. MA-Anzahl oder Umsatz) abhängen, sondern einem risikobasierten Stufenmodell abhängig von der Sensibilität der Geschäftsprozesse folgen.

3. These: Verhinderung von Betroffenenrechten-Missbrauch

Die rechtsmissbräuchliche Wahrnehmung von Betroffenenrechten sollte erschwert werden, etwa durch die Anforderung des Nachweises eines legitimen Interesses, die Begründung von Kostentragungspflichten oder die Einschränkung von Auskunftsexzessen durch Betroffene. Dies gilt insbesondere für das Recht auf Kopie.

4. These: Umstrukturierung des Meldewesens

Die Meldepflicht von Datenschutzverletzungen an Aufsichtsbehörden sollte auf Fälle mit sehr hohem Risiko für die Betroffenen beschränkt werden. An der Meldepflicht ggü. Betroffenen bei hohen Risiken sollte hingegen festgehalten werden.

5. These: Stärkung des bestehenden Vertragswesens

Das Vertragsrechtssystem des Datenschutzrechts (z.B. Auftragsverarbeitung, Gemeinsame Verantwortlichkeit, Verschwiegenheitsverpflichtungen) sollte beibehalten und ausgeweitet werden, da so bedarfsgerechte und effektive Rahmenbedingungen für den Einzelfall geschaffen werden können. Beispielsweise könnte das Konzept der Auftragsverarbeitung auf Dienstleistungen erweitert werden, bei denen der Dienstleister einen eigenen Entscheidungsspielraum auch hinsichtlich der Zwecke der Verarbeitung hat. Auch die Möglichkeiten der Delegierung datenschutzrechtlicher Pflichten im Rahmen von Verträgen zur gemeinsamen Verantwortung könnten erweitert werden.

6. These: Höhere Qualifikation des DSB

An die berufliche und persönliche Qualifikation von Datenschutzbeauftragten sollten angemessene, gesetzlich festgelegte Mindestanforderungen gestellt werden. Mangelnde Kenntnisse und persönliche Voraussetzungen führen in der Praxis häufig entweder zu unbegründeten Verbotsannahmen oder zur beruflichen Resignation von Verantwortungsträgern.

Zudem wird durch die Qualifikation von Datenschutzbeauftragten die Qualität der Aufgabenwahrnehmung von Datenschutzbeauftragten und eine wirksame Selbstkontrolle der Verantwortlichen befördert.

7. These: Haftung des DSB

Abschaffung der privilegierenden Arbeitnehmerhaftung für unabhängig tätige Datenschutzbeauftragte. Begründung einer haftungsrechtlichen Verantwortung des Datenschutzbeauftragten für Beratungsfehler und fehlende Wahrnehmung gesetzlicher Aufgaben.

8. These: Stärkung selbstregulatorischer Instrumente

Der Einsatz datenschutzrechtlicher Verhaltensregeln und Zertifizierungsmöglichkeiten sollte erweitert und gefördert werden durch weitergehende Privilegierung im Hinblick auf gesetzliche Anforderung, z.B. Betroffenenrechten sowie Dokumentations- und Rechenschaftspflichten.

Einführung eines außergerichtlichen Schlichtungsverfahrens mit Einsetzung einer Ombudsperson.

9. These: Effektivere Rechtsdurchsetzung

Die Privatautonomie sollte durch einen effektiveren Rechtsschutz mit verbesserter gerichtlicher Durchsetzbarkeit durch eine Erweiterung der Beweislastumkehr gem. Art. 82 Abs. 3 DSGVO auf das Vorhandensein eines angemessenen Datenschutzmanagements gestärkt werden.

10. These: Stärkung von Wettbewerb

Gegenseitige wettbewerbsrechtliche Ansprüche der Teilnehmer eines Marktes wegen Datenschutzverstößen sollten im Wege der Anerkennung als marktschützend ausgeweitet werden.

Weiter sollten datenschutzrechtliche Standards bei Ausschreibungen berücksichtigt werden.