5 Jahre DSGVO: Wirtschaft wettert gegen "kategorisches Verbotsprinzip"

Viel Lob gibt es aus der Politik und von Aufsichtsbehörden zum heutigen fünften Jahrestag des Greifens der Datenschutz-Grundverordnung (DSGVO). Das Normenwerk habe gezeigt, "dass Regulierung – auch und gerade gegenüber marktmächtigen Tech-Unternehmen – kein Teufelswerk, sondern Bedingung für effektiven Grundrechtsschutz im digitalen Zeitalter ist", erklärten etwa die Grünen Konstantin von Notz und Misbah Khan. Von Firmenseite kommen ganz andere Töne. Wolfgang Weber, Vorsitzender der Geschäftsführung des Verbands der Elektro- und Digitalindustrie ZVEI, moniert etwa: "Das kategorische Verbotsprinzip der DSGVO passt in seiner jetzigen Form nicht mehr zu einer modernen, datengetriebenen Wirtschaft."

So kategorisch ist das "Verbot mit Erlaubnisvorbehalt", das über das deutsche Datenschutzrecht Eingang in die DSGVO gefunden hat, aber nicht. Eine Verarbeitung persönlicher Informationen Dritter ist etwa auf Basis einer zweifelsfreien Einwilligung, zur Erfüllung von Verträgen und Aufgaben im öffentlichen Interesse oder zur Verwirklichung der vielfach angeführten und oft recht breit ausgelegten "berechtigten Interessen" zulässig. Das reicht Weber aber nicht. Er sieht im Verbotsprinzip zudem einen Widerspruch zum geplanten Data Act der EU, "der die Datenverarbeitung und den Datenaustausch ja beschleunigen soll".

Unsicherheiten und Innovationshemmnisse für Unternehmen – grundlegende Reform der DSGVO gefordert

Auch in der praktischen Anwendung werde die DSGVO dem Ziel, einheitliche Regeln und mehr Rechtssicherheit zu etablieren, nicht in vollem Umfang gerecht, kritisiert der ZVEI. Er fordert eine grundlegende Reform der Verordnung, um die bestehenden Unsicherheiten aufzulösen und Innovationshemmnisse für Unternehmen abzubauen. Dies gelte vor allem für den Bereich des internationalen Datentransfers, wo der Europäische Gerichtshof (EuGH) wiederholt Abkommen mit den USA kippte. Hier seien "gerichtsfeste Angemessenheitsbeschlüsse mit Nicht-EU-Staaten und die Nutzung von verbindlichen internen Datenschutzvorschriften" wie Binding Corporate Rules (BCR) nötig.

Ferner verlangt der ZVEI eindeutigere Vorgaben, die die Nutzung von Daten durch Anonymisierung personenbezogener Daten stärker unterstützt. Hilfreich wären hier gesetzliche Definitionen und mehr Optionen bei der Verarbeitung auch pseudonymisierter Daten, deren Personenbezug oft aber recht einfach wiederherstellbar ist. Gerade in Sektoren mit einem hohen Datenaustausch wie der Medizintechnik oder dem Energiebereich mit Smart Metern würde dies zu einem echten Mehrwert führen. Zudem müsse die Zusammenarbeit der nationalen Aufsichtsbehörden "grundsätzlich verbessert und effizienter gestaltet werden, um Verfahren zu beschleunigen". Nur so könne die Wirtschaft Entscheidungen der Kontrolleure "schnell in die Praxis überführen".

"Lähmende Angst und eine einseitige Abwägung zwischen Datenschutz und Mehrwerten"

Ganz ähnlich beurteilt der IT-Verband Bitkom die Lage, demzufolge die DSGVO ihr Versprechen europaweit einheitlicher, verständlicher und praxistauglicher Datenschutzregeln nicht eingelöst habe. "Viele Unternehmen verzichten deshalb auf die Entwicklung neuer Technologien und Dienste – oder verlagern ihre Projekte ins Ausland", ärgert sich Bitkom-Präsident Achim Berg. Das zeige sich nicht zuletzt an bereits kurzzeitig ausgesprochenen "Verboten für innovative Technologien wie ChatGPT in einzelnen EU-Mitgliedstaaten, die für massive Verunsicherung sorgen". Das DSGVO-Grundanliegen sei zwar "extrem wichtig". Aktuell herrsche aber "eine lähmende Angst vor Fehlern und eine einseitige Abwägung zwischen Datenschutz und Mehrwerten der Datennutzung".

Der Bitkom stützt sich bei seiner Schelte auf die Ergebnisse einer repräsentativen Umfrage unter 602 Unternehmen ab 20 Beschäftigten aus allen Branchen hierzulande. 62 Prozent der Firmen zögern demnach bei der Datennutzung aufgrund der Sorge, gegen die DSGVO zu verstoßen. 60 Prozent haben schon Pläne für Innovationen wegen datenschutzrechtlicher Vorgaben oder Unsicherheiten gestoppt. Alexander Rabe, Geschäftsführer des eco-Verbands der Internetwirtschaft, bewertet "die fortlaufenden Bestrebungen zur Vereinheitlichung der europäischen Datenschutz-Bestimmungen" dagegen positiverer, um Vertrauen in digitale Dienste zu fördern. Auch sein Appell lautet aber: "Gerade in Deutschland müssen wir jedoch verstärkt gegen teils widersprüchliche Kleinteiligkeit und vor allem überbordende Bürokratie" bei unterschiedlichen Auslegungen der Kontrolleure entgegenwirken.

(bme)