Zivilgesellschaft: EU-Plan für DSGVO-Reform öffnet die Büchse der Pandora

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Die EU-Kommission schießt bei ihrer Initiative, die Datenschutz-Grundverordnung (DSGVO) zu entschlacken und zu verschlanken, laut Kritikern mit neuen Vorschlägen weit über Ziel hinaus. Rund 110 zivilgesellschaftliche Organisationen, Wissenschaftler, Unternehmen und andere Experten warnen in einem offenen Brief, dass die Brüsseler Exekutivinstitution mit ihren jüngsten Änderungsvorschlägen die die Büchse der Pandora öffne. "Wir sind ernsthaft besorgt über die laufenden Vorschläge zur Überarbeitung der DSGVO", schlagen die Unterzeichner Alarm. "Es steht viel auf dem Spiel."

Die Verordnung setze hohe Standards und schütze die Würde der Menschen in einer datengesteuerten Welt, erläutern die Beteiligten, zu denen unter der Ägide des Dachvereins European Digital Rights (EDRi) etwa Access Now, AlgorithmWatch, Amnesty International, Digitalcourage, Mozilla, Noyb, Privacy International und Statewatch gehören. Die Auswirkungen der DSGVO reichten weit über die Grenzen der EU hinaus und beeinflussten global die digitale Regulierung. Die aktuellen Vorschläge liefen Gefahr, "das Ziel einer echten Vereinfachung zu verfehlen". Vielmehr könnten sie zu einem Rückschritt bei wichtigen Garantien für die Rechenschaftspflicht und damit auch bei der Compliance selbst führen.

Die Kommission war eigentlich angetreten, um mit einem Reförmchen ein Kernproblem der DSGVO zu beheben und diese leichter durchsetzbar zu machen. Es ging ihr zunächst darum, die Zusammenarbeit zwischen den nationalen Aufsichtsbehörden in grenzüberschreitenden Fällen zu vereinfachen. Dazu sollten "einige Aspekte" des einschlägigen Verwaltungsverfahrens "harmonisiert" werden. Die Exekutivinstanz zielte damit vor allem auf Irland: Die irische Datenschutzbehörde gilt seit Langem als Flaschenhals bei der DSGVO-Durchsetzung. Die Data Protection Commission (DPC) in Dublin ist in diesem Bereich die federführende Aufsichtsinstanz für große Tech-Unternehmen wie Google, Meta, Microsoft, Apple und X, die ihren europäischen Hauptsitz in Irland haben. Andere Kontrolleure in der EU konnten so bislang nicht direkt eingreifen.

Verfahrensverzeichnis erst ab 750 Mitarbeitern

Inzwischen hat die Kommission ihr Vorhaben aber massiv erweitert. Momentaner Stein des Anstoßes ist vor allem ein heise online vorliegender Entwurf für einen Änderungsvorschlag, mit dem die Dokumentationspflicht in der DSGVO massiv aufgeweicht würde. Artikel 30 der Verordnung besagt bislang, dass jeder Verantwortliche und jeder Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten führen muss und welche Informationen darin enthalten sein sollen. Absatz 5 dieser Klausel sieht bereits eine Ausnahmeregelung für kleine und mittlere Unternehmen (KMU) und Organisationen mit weniger als 250 Mitarbeitern vor. Diese müssen demnach unter bestimmten Bedingungen keine Aufzeichnungen führen.

Die Kommission will die Ausnahme von der Dokumentationspflicht nun "vereinfachen" und klarstellen, dass Aufzeichnungen nur dann vorgeschrieben sind, "wenn die Verarbeitungstätigkeiten voraussichtlich ein 'hohes Risiko' für die Rechte und Freiheiten der betroffenen Personen mit sich bringen". Gleichzeitig soll der Anwendungsbereich der Ausnahmeregelung auf Firmen mit weniger als 750 Mitarbeitern ausgeweitet werden. Das ist eine Differenz von 500 Mitarbeitern. Auch viele größere Unternehmen wären damit von der Aufzeichnungsauflage befreit.

So müssten nicht einmal mehr Firmen, die bis zu 749 Mitarbeitende haben und in der Datenwirtschaft unterwegs sind, ein Verfahrensverzeichnis führen, ist kritisch aus dem Umfeld der Grünen im EU-Parlament zu hören. Es sei denn, die wenigen Hochrisiko-Szenarien aus Artikel 35 DSGVO träfen zu. Wie mit diesem Ansatz noch Compliance gehen solle, sei schleierhaft.

DSGVO-Reform soll zeitnah beschlossen werden

Verbraucher seien täglich davon betroffen, "dass ihre persönlichen Daten verarbeitet werden – auch von kleinen Unternehmen", moniert Michaela Schröder, Geschäftsleiterin beim Bundesverband der Verbraucherzentralen (vzbv). Wenn diese Firmen nicht mehr systematisch dokumentieren müssten, wie sie das tun, fehle eine wichtige Grundlage, um mögliche Risiken für die Rechte der Betroffenen frühzeitig zu erkennen. Der vzbv fordert daher, dass es keine pauschalen Ausnahmen von der Dokumentationspflicht geben dürfe. Stattdessen sollten KMU beim Erstellen datenschutzrechtlicher Dokumente mit praxistauglichen Tools wie Online-Generatoren bei risikoarmen Verarbeitungen unterstützt werden. Die Politik müsse die DSGVO stärken und dürfe sie nicht schwächen.

Nach einem Aufschnüren könnte die DSGVO "anfällig für umfassendere Deregulierungsforderungen werden", ist auch dem offenen Brief zu entnehmen. Viele dieser Druckmittel seien bereits sichtbar, darunter Forderungen nach einer Abschwächung der Zustimmungsregeln ohne wirksame Schutzmaßnahmen für die Nutzer oder nach einer Legitimierung "der invasiven Verwendung personenbezogener Daten für das KI-Training". Die Strategie, die DSGVO abzuschwächen, werde zudem mittlerweile auf das gesamte EU-Regelwerk für den Technologiebereich ausgeweitet.

Verhandlungsführer aus dem EU-Ministerrat, dem Parlament und der Kommission treffen sich am Mittwochabend, um die DSGVO-Novelle unter Dach und Fach zu bringen. Es soll sich um den letzten sogenannten Trilog in der Sache handeln. Noch ist offen, ob die Abgeordneten den jüngsten Änderungsvorschlag der Kommission mittragen. Dem Vernehmen nach sind Kenngrößen und Deadlines noch umstritten. Max Schrems von Noyb befürchtet, dass mit der Reform DSGVO-Verfahren faktisch "undurchführbar" würden. Die Durchsetzung der Normen drohe durch die Einführung übermäßig langer Fristen und zu komplexer Verfahren untergraben zu werden. Die Organisation prüft Optionen für ein Nichtigkeitsverfahren, sollten die umstrittenen Änderungen verabschiedet werden.

(dahe)