Das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) will Bürokratie abbauen – unter anderem im Datenschutz. Doch wie sinnvoll sind die geplanten Änderungen im Datenschutzrecht überhaupt? Welche Auswirkungen wären für Unternehmen zu erwarten? Ein kritischer Kommentar.
Die Wachstumsinitiative der Bundesregierung
Der am 5. Juli 2024 vom BMWK erlassene Beschluss „Wachstumsinitiative – neue wirtschaftliche Dynamik für Deutschland“ beschreibt detailliert die geplanten Maßnahmen und finanziellen Prioritäten der Bundesregierung, um Deutschland zukunftsfähig zu machen und die Wettbewerbsfähigkeit der deutschen Industrie zu stärken.
Veränderungen soll es auch im Bereich des Datenschutzes geben. Dazu gehört die Reduzierung bürokratischer Hürden und die Abstimmung der Vorschriften auf europäischer Ebene.
Zentralisierung der datenschutzrechtlichen Zuständigkeiten
Um eine effizientere Bearbeitung aufsichtsbehördlicher Abläufe zu erreichen, soll für bestimmte Branchen bzw. Sektoren nur die Aufsichtsbehörde eines ausgewählten Bundeslands zuständig sein. Dadurch würde eine einheitliche Ansprechstelle mit besonderer Fachkompetenz geschaffen.
Obwohl damit die Absicht besteht, bürokratischen Aufwand zu verringern und die Anwendung des Datenschutzrechts zu vereinheitlichen, bleiben zentrale Herausforderungen bestehen. Die geplante Konzentration der Branchenzuständigkeiten auf eine gesamtdeutsche Aufsichtsbehörde kann eine einheitliche Durchsetzung auch erschweren. Besonders in Sektoren wie zum Beispiel dem Online-Handel ist die klare Abgrenzung der Zuständigkeiten schwierig, was zu Rechtsunsicherheiten bzgl. der richtigen Auswahl aus Sicht der Verantwortlichen führen könnte.
Darüber hinaus kann ebenso der lokale Bezug der Aufsichtsbehörden zu ortsansässigen Unternehmen verloren gehen, was die bisher oft erfolgreiche, proaktive Zusammenarbeit zwischen Unternehmen und ihren lokalen Aufsichtsbehörden erschwert. Es besteht die Sorge, dass der persönliche Austausch und die direkte Unterstützung vor Ort durch eine zentralisierte, entfernte Behörde nicht mehr in gleichem Maße möglich ist bzw. es Vorbehalte insbesondere mittelständischer Unternehmen gibt, sich an eine bisher unbekannte Stelle zu wenden. Teils wurde in den vergangenen Jahren aufgrund des beratenden Ansatzes der Behörden gegenseitiges Vertrauen aufgebaut.
Vereinheitlichung der Anwendung des Datenschutzrechts
Um die Anwendung des Datenschutzrechts in Deutschland zu vereinheitlichen, sollen Beschlüsse der Datenschutzkonferenz (DSK) auch für die Aufsichtsbehörden verbindlich werden. Dies soll Rechtsunsicherheiten reduzieren und den bürokratischen Aufwand für Unternehmen verringern. Unternehmen könnten sich somit auf eine einheitliche Anwendung des Datenschutzrechts durch die verschiedenen Aufsichtsbehörden der Länder verlassen.
Dass die Beschlüsse der DSK für alle Aufsichtsbehörden und Unternehmen verbindlich gemacht werden, erscheint auf den ersten Schritt erstrebenswert. Für datenschutzrechtlich Verantwortliche kann dies allerdings auch nachteilig sein. Teils gab es bisher einen bunten Blumenstrass an Stellungnahmen zu bestimmten Fragestellungen. Verantwortliche konnten sich einer Exekutivmeinung anschließen, wenn diese aus ihrer Sicht vertretbar war.
Sprechen die Landesbehörden zu bestimmten Fragestellungen mit einer Stimme, wird dies für Unternehmen künftig argumentativ schwieriger. Zudem bleibt offen, wie Aufsichtsbehörden und Unternehmen rechtlich gegen bindende Beschlüsse vorgehen können, wenn sich mit DSK-Beschluss über aufsichtsrechtliche Mindermeinungen hinweggesetzt wird.
Erhöhung der Schwelle für Datenschutzbeauftragte
Die Schwelle, ab der Unternehmen einen Datenschutzbeauftragten bestellen müssen, soll von derzeit 20 Mitarbeitenden auf 50 Mitarbeitende erhöht werden.
Bestrebungen, an diesem deutschen Sonderweg der über die Mitarbeiteranzahl objektivierten Bestellpflicht zu schrauben, gab es bis dato zahlreiche. Am Ende bleibt es immer bei der Einschätzung, dass nur die im Unternehmen vorgesehene Rolle eines Datenschutzbeauftragten effektiv zu mehr Datenschutz für Betroffene führt. Im Ergebnis wird eine Aufweichung dieser Pflicht dazu führen, dass Verantwortliche ihre Pflichten vernachlässigen oder gar nicht mehr nachkommen werden. Dies nicht zwingend böswillig, sondern aufgrund mangelnder Expertise, die eine Identifikation gerade erst ermöglicht. Die datenschutzrechtlichen Pflichten bestehen nach wie vor, so dass die bürokratische Entlastung an dieser Stelle besser zu verorten wäre.
Präzisierung und Konkretisierung im nationalen Datenschutzrecht
Es ist eine Präzisierung und Konkretisierung im nationalen Recht im Rahmen der Datenschutzgrund-Verordnung (DSGVO) zur Erhöhung der Rechtssicherheit und zur Erleichterung der Anwendung angedacht.
Eine Präzisierung hat sicherlich Vorteile und ist an der ein oder anderen Stelle überfällig. So kündigte dieselbe Bundesregierung vor geraumer Zeit ein neues Beschäftigtendatenschutzgesetz an, das sie bisher schuldig blieb.
Europäische Koordination
Auf europäischer Ebene engagiert sich die Bundesregierung für folgende Ziele:
Die DSGVO soll innerhalb Europas einheitlich angewendet werden, so dass die Aufsichtsbehörden der Mitgliedstaaten, insbesondere der Europäische Datenschutzausschuss, koordiniert zusammenarbeiten können.
Die Bewertung des Datenschutzniveaus in Drittländern soll ambitioniert vorangetrieben werden. Die Europäische Kommission prüft, welche Gebiete ein angemessenes Datenschutzniveau gemäß der DSGVO aufweisen, um den internationalen Datentransfer zu erleichtern.
Zwecks Harmonisierung wird Deutschland künftig versuchen, EU-Richtlinien nunmehr 1:1 in nationales Recht zu überführen und eine überschießende Umsetzung vermeiden. Wich man national im Vergleich zu anderen Mitgliedstaaten in Sachen Datenschutzniveau in der Vergangenheit oft nach oben ab, will man hierauf zugunsten der Harmonisierung künftig verzichten.
Fazit
Die von der Bundesregierung vorgeschlagenen Maßnahmen können in Teilen positive Effekte auf die Wirtschaft haben, ohne den Datenschutzstandort Deutschland und Europa zu gefährden.
Die liberal anmutenden Maßnahmen werden sich in der Praxis aber erst bewähren müssen. Risiken bestehen insbesondere in der falschen Gewichtung der durch die Datenschutz-Grundverordnung in Art. 1 verbrieften Ziele. Oft ist es ein schmaler Grat zwischen grundrechtlich garantierten Schutz der informationellen Selbstbestimmung und dem freien Verkehr personenbezogener Daten auf der anderen Seite.
Allen voran Deutschland wird sich auf seine datenschutzrechtliche Vordenkerrolle besinnen müssen, um weiterhin als Primat innerhalb Europas angesehen zu werden. Wirtschaftliche Dynamisierung darf nicht zu einem Wettstreit werden, Anforderungen möglichst aufzuweichen. Solange das Kernanliegen der nationalen Strategie die datenschutzrechtliche Schutzniveau-Nivellierung innerhalb Europas ist, spricht nichts gegen ein solches Anliegen.