Fünf Jahre DS-GVO

25. Mai 2023: Fünf Jahre Datenschutz-Grundverordnung

Innovation durch Vertrauen: Datenschutz und Datennutzung gehören zusammen und ermöglichen eine nachhaltige Digitalisierung.

Der Leitende Beamte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Jan Wacke: „Die Datenschutz-Grundverordnung hat sich bewährt. Der Umgang mit digitalen Tools ist für die meisten Menschen heute selbstverständlich. Genauso alltäglich ist es, dass sie erwarten, dass kein Schindluder mit ihren Daten betrieben wird. Wir unterstützen Bürger_innen dabei, dass sie selbstbewusst ihre Rechte wahrnehmen. Die Datenschutz-Regelungen wirken konkret und werden im gesellschaftlichen Alltag mit Leben gefüllt.“

Die Datenschutz-Grundverordnung (DS-GVO) feiert heute, am 25. Mai 2023, ihren fünften Geburtstag: Seit dem 25. Mai 2018 ist sie unmittelbar anwendbares und EU-weit einheitlich geltendes Recht. Mit der DS-GVO hat sich Europa eine grundlegende Regelung gegeben, die die Grundrechte der von der Verarbeitung ihrer Daten betroffenen Menschen auch in der zunehmend digitalen Welt sichert – und zugleich den freien Datenverkehr ermöglicht. Die Datenschutz-Grundverordnung leistet – ihrer Präambel entsprechend – einen ganz erheblichen Beitrag „zur Vollendung eines Raums der Freiheit in Europa, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts sowie zum Wohlergehen natürlicher Personen.“ Durch die einheitliche Geltung der DS-GVO in Europa wird der europäische Datenschutz zudem auch vermehrt außerhalb Europas beachtet.

5 Jahre Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung gilt nunmehr seit fünf Jahren unmittelbar in allen Mitgliedsstaaten der Europäischen Union. Sie hat in verschiedener Weise das Grundrecht auf Datenschutz gestärkt und leistet damit zugleich einen ganz wesentlichen Beitrag zur Sicherung der freiheitlichen demokratischen Rechts- und Wirtschaftsordnung in der EU und den Mitgliedsstaaten.

Ein kleiner kursorischer Überblick:

Verarbeitungsgrundsätze, Stärkung der Betroffenenrechte und Erhöhung der Transparenz

Die Datenschutz-Grundverordnung regelt nicht nur die Grundsätze für die Verarbeitung personenbezogener Daten wie diejenigen der Rechtmäßigkeit der Verarbeitung, der Verarbeitung nach Treu und Glauben, der Transparenz, der Zweckbindung, der Datenminimierung, der Richtigkeit der Daten, der Speicherbegrenzung, der Integrität und Vertraulichkeit und der Rechenschaftspflicht des Verantwortlichen. Sondern sie stärkt zugleich die Rechte der von einer Datenverarbeitung betroffenen Person, indem sie diese als europarechtliche Ansprüche gegen die Verantwortlichen ausformuliert. So können Bürger_innen etwa bei Unternehmen und Behörden kostenlos Auskunft verlangen, was mit ihren personenbezogenen Daten dort gemacht wird, und eine Kopie ihrer Daten bekommen (Auskunftsrecht, Art. 15 DS-GVO), auf Berichtigung der Daten hinwirken (Recht auf Berichtigung, Art 16. DS-GVO), die Löschung der Daten verlangen und ihr „Recht auf Vergessenwerden“ nutzen (Recht auf Löschung, Art. 17 DS-GVO). Auch gewährt ihnen die DS-GVO grundsätzlich das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DS-GVO).

Darüber hinaus sorgt sie für verbesserte Transparenz, indem sie die Verantwortlichen verpflichtet, die betroffenen Personen bei Erhebung bzw. zeitnah bei einer sonstigen Verarbeitung personenbezogener Daten über die Datenverarbeitung zu informieren.  

Sicherung der Umsetzung datenschutzrechtlicher Pflichten

Die Datenschutz-Grundverordnung setzt einerseits auf verstärkte Selbstkontrollen in den verantwortlichen Stellen und gewährt zusätzlich externe Kontrollmöglichkeiten. Durch dieses Gesamtpaket ist der Datenschutz in der Praxis nachhaltig verankert.

a) durch Erhöhung der Selbstkontrolle bei den verantwortlichen Stellen

Infolge der in Artikel 5 Absatz 2 DS-GVO normierten Rechenschaftspflicht sind die Verantwortlichen gehalten, sich der Rechtmäßigkeit der von ihnen vorgenommenen Datenverarbeitung zu vergewissern und für eine ordnungsgemäße Dokumentation zu sorgen. Mit der erweiterten Pflicht zur Benennung von Datenschutzbeauftragten durch Verantwortliche und Auftragsverarbeiter und dank der engagierten Arbeit dieser Personen hat die DS-GVO dafür gesorgt, dass die Berücksichtigung  datenschutzrechtlicher Anforderungen in den Betrieben und Behörden vor Ort gestärkt ist. Bei Einführung von Datenverarbeitungen mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen hat der Verantwortliche nach den Bestimmungen der DS-GVO vorab eine Datenschutz-Folgenabschätzung durchzuführen. Und schließlich führt die Pflicht zur Reaktion auf Datenpannen und ggf. zur Meldung solcher Pannen an die Aufsichtsbehörden dazu, dass solche Fehler in der Datenverarbeitung stets Anlass zur Prüfung einer Verbesserung auch der präventiven Maßnahmen beim Verantwortlichen sind.

b)   durch Aufsichtsbehörden und Gerichte

Die Einhaltung der datenschutzrechtlichen Pflichten stellt die DS-GVO auch durch die Aufsichtsbehörden sicher, deren Unabhängigkeit sie garantiert. Jeder Person räumt die DS-GVO europarechtlich das Recht auf Beschwerde bei einer Aufsichtsbehörde ein, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DS-GVO verstößt. Die Aufsichtsbehörden können auch von Amts wegen tätig werden und haben durch die DS-GVO – nicht zuletzt durch die Möglichkeit der Verhängung von Bußgeldern – effektive Mittel zur Rechtsdurchsetzung. Seit Wirksamwerden der DS-GVO erreichen den LfDI bis Ende 2022 rund 11.100 Datenpannenmeldungen. Zwischen Anfang 2018 und Ende 2022 verzeichnete der Landesbeauftragte rund 21.000 Beschwerden, hat cirka 200 Kontrollen durchgeführt, etwa 15.700 Beratungsanfragen erhalten und zudem über 6.000 Interessierte mit seinem Mitte 2020 gegründeten Bildungszentrum BIDIB erreicht, sowie rund 900 Bußgeldverfahren eingeleitet.

Unabhängig davon können die Bürger_innen und Bürger ihre Rechte gegenüber Verantwortlichen auch gerichtlich geltend machen und bei Verstößen sogar Schadensersatz verlangen (Haftung und Recht auf Schadenersatz, Art. 82 DS-GVO). Auch steht sie Verbandsklagen gegen Datenschutzverletzungen nicht entgegen (Artikel 80 Absatz 2 DS-GVO). Die Rechtsprechung des Europäischen Gerichtshofs entscheidet europaweit einheitlich und letztverbindlich über die Auslegung der Datenschutz-Grundverordnung.

Regeln für die Datennutzung

Die Datenschutz-Grundverordnung legt nicht nur fest, dass die personenbezogenen Daten der Bürger_innen zu schützen und die Bürgerrechte zu wahren sind. Sie legt auch fest, dass und wie die Daten genutzt werden können. Die DS-GVO bringt Datennutzung und Datenschutz in Einklang, um bestmöglich die Interessen der Bürger_innen abzubilden. Besondere Privilegien räumt sie dabei der wissenschaftlichen Forschung ein.

Die DS-GVO ist dabei technologieoffen. Sie erkennt damit die digitale Entwicklung an und ist dem Fortschritt zugewandt. Die DS-GVO ermöglicht Innovation durch Vertrauen. Dieses Vertrauen gilt es, im Alttäglichen herzustellen, den bewussten Umgang mit personenbezogenen Daten und weiter eine kulturelle Praxis einzuüben, in der Datenschutz und Digitalisierung nachhaltig zusammenwirken.

Das gilt auch beim Einsatz und der Nutzung von sogenannter Künstlichen Intelligenz (KI): Der Einsatz von KI hat enorme positive Potenziale, die den Bürger_innen nützen können. Der Einsatz von KI bringt aber auch klare Aufgaben mit sich: KIs können keine Black Boxes sein, sie müssen transparent, erklärbar und kontrollierbar sein – und es muss ein Mensch die letzte Entscheidung treffen.

Ausblick Europa

Die EU ist derzeit im Begriff, im Rahmen ihrer Datenstrategie umfassend weitere Aspekte des Datenzugangs und der Datennutzung zu regeln, sowohl von personenbezogenen als auch von nicht personenbezogenen Daten. Die Europäische Gesetzgebung tut gut daran, bei dieser weiteren Gesetzgebung die Errungenschaften der Datenschutz-Grundverordnung zu bewahren und die neuen Regelungen in einen Einklang mit der DS-GVO zu bringen.

Sensibilisierung und Beratung weiter notwendig

Dr. Jan Wacke: „Die Datenschutz-Grundverordnung stärkt Bürgerinnen und Bürger in ihren Grundrechten und gibt verantwortlichen Stellen einen Rechtsrahmen. Wir müssen aber weiterhin vor allem Bürgerinnen und Bürger im Umgang mit ihren personenbezogenen Daten sensibilisieren und in der Wahrnehmung ihrer Rechte unterstützen. Denn mit zunehmender Digitalisierung nimmt auch die Menge der verarbeiteten personenbezogenen Daten zu und damit werden die Auswirkungen der Verarbeitung für die und den Einzelnen immer schwerer zu überschauen. Gleichzeitig besteht weiterhin ein hoher Beratungsbedarf bei Behörden, Unternehmen und Vereinen. Gerne unterstützen wir sie dabei, gute und pragmatische Lösungen zu finden. Je früher sie sich bei der Implementierung neuer Verfahren um die Belange des Datenschutzes kümmern, umso besser lassen sie sich integrieren, damit Digitalisierung vor Ort gelingt und die Menschen der digitalen Entwicklung vertrauen.“

Um hier wirksam zu helfen, berät der Landesbeauftragte nicht nur in vielen Einzelfällen. Sondern er klärt mit Handreichungen und in Veranstaltungen über Datenschutzfragen auf und gibt Muster zur Hilfestellung heraus. Darüber hinaus hat er z. B. mit DSGVO.clever ein eigenes Tool entwickelt, mit dessen Hilfe Vereine und kleinere Betriebe einfach, schnell und zielsicher ihre Datenschutzschutzhinweise formulieren können. Auch bietet der Landesbeauftragte im hauseigenen Bildungszentrum BIDIB kostenlose Schulungen an, etwa die Fortbildungsreihe „Schule digital“ oder z. B. für Vereine, damit sie sicher mit Fragen des Datenschutzes umgehen können: Die nächsten Veranstaltungen hierzu finden am 15. Juni und am 4. Juli 2023 statt.

Zu Künstlicher Intelligenz hat der Landesbeauftragte im vergangenen Jahr eine große Veranstaltungsreihe organisiert und wird auch im kommenden Oktober wieder Bürger_innen, Behörden und Unternehmen einladen, um über Künstliche Intelligenz und ihre gesellschaftliche Wirkung zu sprechen.

Wo immer möglich, bietet der Landesbeauftragte verantwortlichen Stellen auch in diesem Feld datenschutzrechtlichen Rat und hat hierfür Fachleute, die Start-Ups und Verantwortliche im Gesundheits-, Bildungs- und Wissenschaftsbereich bei Fragen zu KI beraten.

 

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.