Knapp drei Jahre nach Einführung der DSGVO besteht noch immer großer Verbesserungsbedarf, auch wenn dies von politischen EntscheidungsträgerInnen nicht immer wahrgenommen wird (s. hierzu auch die entsprechende Einschätzung des Europäischen Parlaments). Am 22.03.2021 veranstaltete die Internet Economy Foundation darum einen virtuellen Round Table mit Axel Voss MdEP und Tankred Schipanski MdB, die sich beide für eine Überarbeitung der DSGVO einsetzen. Dabei hatten VertreterInnen von Startups wie etablierten Unternehmen Gelegenheit, ihre Kritik und ihre eigenen Verbesserungsvorschläge bezüglich der DSGVO vorzustellen und sich mit den Abgeordneten auszutauschen. Basierend auf dieser Veranstaltung haben wir folgende Punkte zusammengetragen:
Rechtliche Sicherheit für Unternehmen schaffen
- Es muss eine einheitliche Auslegungspraxis geschaffen werden.
- Die generelle Rechtsunsicherheit soll beseitigt werden. Dazu gehört auch, dass die Gesetzgebung und Auslegung in allen EU-Mitgliedsstaaten einheitlich sind.
- Die AGB-Gesetzgebung sollte auf digitale Angebote ausgeweitet werden.
- Die DSGVO muss auch gegenüber den dominanten Unternehmen durchgesetzt werden.
Mehr Unterstützung durch die Aufsichtsbehörden
- Es muss garantiert werden, dass Behörden bezüglich DSGVO-bezogener Fragen rechtsverbindliche Auskünfte erteilen.
- Die zuständigen Datenschutzbehörden müssen den Unternehmen vermehrt und besser Hilfestellung leisten. Die Unterstützung, die Unternehmen von deutschen Behörden erfahren, ist gering, insbesondere wenn man sie mit dem Angebot von Aufsichtsbehörden wie der britischen ICO vergleicht.
- Im Fall von Unklarheiten und Verstößen sollten insbesondere für KMUs Aufklärung und das gemeinsame Entwickeln von Lösungen im Fokus stehen, nicht das Verhängen hoher Bußgelder.
Sinnvolle Datennutzung ermöglichen
- Eine Überarbeitung von Art. 8 der Charta der Grundrechte der Europäischen Union soll die Grundlage für mehr Datennutzung bieten.
- Bereiche wie die medizinische Forschung könnten von anonymisierten oder pseudonymisierten Daten stark profitieren. Hier sollten Möglichkeiten zum Gebrauch entsprechender Daten geschaffen werden.
- Sonderregelungen in Krisen (z. B. Pandemie) bzw. bestimmten Bereich (z. B. Medizin) sind zu erwägen.
- Datennutzung soll auch ermöglicht werden, um Markteintritte zu erleichtern. Kooperationen von Konzernen mit Startups dürfen nicht länger an datenschutzrechtlichen Problemen scheitern.
- Anpassungen sind nötig, um u. a. KI und Blockchain gerecht zu werden. Denkbar ist das Einfügen einer Klausel zu KI-Lösungen in Artikel 6.
- Nutzer*innen soll die Möglichkeit zu einer Pauschaleinwilligung gegeben werden.
Unternehmen entlasten
- Bezüglich der Informationspflichten sollen Abstufungen eingeführt werden, um beispielsweise kleine Vereine zu entlasten.
- Beweislastumkehr und Meldepflicht sollten zur Entlastung von Unternehmen überarbeitet werden.
- Es müssen endlich offizielle Zertifizierungen geschaffen werden. Diese würden Unternehmen und Kund*innen Sicherheit bieten und Arbeitsaufwand reduzieren.
Positive Seiten der DSGVO und DSGVO-konforme Lösungen besser kommunizieren
- Das Verständnis der DSGVO muss sich ändern, ihre positiven Seiten müssen besser kommuniziert werden: Sie kann ein USP sein, ein echter Vorteil im globalen Wettbewerb (und diente bspw. bereits als Vorbild für Gesetzgebung in Kalifornien).
- Privacy by design-Lösungen sollen gestärkt werden. Neben bekannten Verfahren wie Pseudonymisierung und Verschlüsselung stehen auch zahlreiche neue Lösungen zur Auswahl.
Die Zusammenarbeit mit Nicht-EU-Ländern stärker berücksichtigen
- Aus Sicht der USA stellt die Adäquanzprüfung ein Problem dar. Generell sollte bei einer Überarbeitung der DSGVO darauf geachtet werden, eine außenpolitische Perspektive zu berücksichtigen und Missverständnissen zwischen der EU und anderen Ländern hinsichtlich des Datenschutzes vorzubeugen.
- Artikel 25 soll überarbeitet werden. So ist aktuell ein europäisches Unternehmen, das die Cloud eines US-amerikanischen Anbieters verwendet, bezogen auf die DSGVO verantwortlich, während der Cloud-Anbieter nicht in die Verantwortung genommen wird.