DSGVO: Löchriger Schutzschild, Gängelungsinstrument oder Maßstab in der digitalen Landschaft? | Folge 17


Episode Artwork
1.0x
0% played 00:00 00:00
Aug 16 2023 31 mins   2
Datenschutz muss gar nicht schwer sein - oder doch?

Im Mai 2023 wurde die Datenschutzgrundverordnung (DSGVO) fünf Jahre alt. Viele sehen die DSGVO als eine Erfolgsgeschichte, da sie unter anderem das Bewusstsein für Sicherheit und Datenschutz geschärft hat. Doch wie geht es weiter? In der aktuellen Folge von WeTalkSecurity spricht Christian Lueg mit Karsten Bartels, Rechtsanwalt und Partner bei der Kanzlei HK2 sowie stellvertretender Vorstandvorsitzender im Bundesverband IT-Sicherheit e.V. (TeleTrust).


Über den Gast
Karsten U. Bartels LL.M. ist Rechtsanwalt und Partner bei der Kanzlei HK2 in Berlin. (https://www.hk2.eu/de/) Darüber hinaus ist er Geschäftsführer der HK2 Comtection GmbH, die Datenschutzbeauftragte stellt (https://www.comtection.de/). Bei der Hochschule Hof ist er Lehrbeauftragter für Datenschutz-Compliance. Daneben ist er stellvertretender Vorstandsvorsitzender Bundesverband IT-Sicherheit e.V. (Teletrust) und Vorsitzender der Arbeitsgemeinschaft IT-Recht (davit) im Deutschen Anwaltsverein e.V..


Erfahrungen nach fünf Jahren DSGVO
Karsten ist nach fünf Jahren froh, dass die Sinnfrage nach der DSGVO nicht mehr gestellt wird. Das sah 2018 noch anders aus. Viele Unternehmen mussten ihre Pflichten erst realisieren und gingen dadurch eher in eine Abwehrhaltung. Dabei hatte man bis 2018 gut zwei Jahre Zeit, um sich auf die neuen Regeln einzustellen. Mittlerweile ist die große Welle an Compliance- und Umsetzungsaufgaben hat sich gelegt. Nach Karstens Ansicht haben Unternehmen und Behörden damit ihren Frieden geschlossen.
Christian setzt hier nochmal an und fragt, ob die Organisationen die Übergangszeit nicht verschlafen haben und erst kurz vor Ende wieder die große Panik ausgebrochen ist. Hier sieht Karsten stehen für Karsten aber nicht nur die Unternehmen in der Schuld. Es gab im Vorfeld ebenso ein Informationsdefizit bei den Aufsichtsbehörden. Es gab keine Kampagnen, um hier Awareness zu schaffen.


Haben sich die Informationskampagnen verbessert - auch im Hinblick auf NIS2?
Für Karsten wird die nationalstaatliche Umsetzung der NIS2-Richtlinie spannend, weil die Anzahl der Unternehmen der Kritischen Infrastruktur massiv steigen wird. Von jetzt 1.600 Unternehmen geht man von knapp 30.000 nach Umsetzung von NIS2 aus. Die Behörden haben dazugelernt, aber weiterhin gibt es Nachholbedarf. Es fehlen Unterlagen und Inhalte, womit Unternehmen direkt arbeiten können. Mit der DSK gibt es eine Datenschutzkonferenz, die ein Zusammenschluss der Datenschutzaufsichtsbehörden bei Bund und Ländern (Mehr Infos: https://www.datenschutzkonferenz-online.de/). Auf der Webseite bietet die Konferenz kurze Handlungsempfehlung die Unternehmen bei der Sicherstellung des Datenschutzes enorm helfen.


Hat die DSGVO zu einem stärkeren Problembewusstsein geführt?
Ein Virenschutz und eine Firewall waren für viele Unternehmen vor 10 Jahren noch absolut ausreichend. Die DSGVO hat hier zu einem Umdenken und einem stärkeren Problembewusstsein geführt. IT-Sicherheit hat auch nach Karstens Ansicht mit der DSGVO eine stärkere Wahrnehmung erfahren. Organisationen haben begriffen, dass das Zeichnen einer TOM-Liste nicht ausreicht. Gleichsam ist aber auch das Bewusstsein in der Bevölkerung, Unternehmen und Behörden gestiegen, dass es beim Datenschutz um Betroffenenrechte geht. Mit dem Datenschutz sollen Grundrechte im digitalen Raum geschützt werden.


Exportschlager DSGVO?
Weltweit wird die DSGVO als Vorbild genommen, selbst in den USA ist das ein Thema. Das ist nicht nur geprägt von den heeren Rechtsgrundsätzen und der europäischen Rechtsauffassung, sondern schlicht ein kommerzieller Aspekt. Die Europäische Union ist ein enorm wichtiger Wirtschaftsmarkt. Wenn ich hier aus dem Ausland mitmachen will, muss ich mich den Rechtsgrundsätzen wie bspw. der DSGVO anpassen.
Karsten sieht es dennoch als bemerkenswert, dass sich auch stark technologiegetriebene Länder wie die USA an der EU orientieren.


Wie werden Betroffene in die Lage versetzt, ihren Datenschutz wahrzunehmen?
Es gibt bei der DSGVO leider einen Spagat, der kaum zu tanzen ist. Ein Bein soll so weit aufklären, dass jeder Betroffene genau weiß was mit seinen Daten geschieht und er vollumfänglich aufgeklärt wird. Das andere Bein verlangt, dass es so einfach wie möglich erklärt werden muss. Wie das aber umgesetzt werden soll, beantwortet die DSGVO aber nicht. Karsten schlägt vor, dass man bei einer DSGVO 2.0 hier ansetzt und Verbesserungen schafft.


Hat Deutschland beim Datenschutz eine Vorreiterrolle?
Karsten ist bei dem Punkt hin und hergerissen. Deutschland hat auf der einen Seite rechtspolitisch solche Themen wie die DSGVO stark vorangetrieben, auf der anderen Seite jedoch legen die Aufsichtsbehörden den Datenschutz sehr streng aus, was eine Vorreiterrolle nicht gleichkommt.


Sollte die DSGVO überarbeitet werden?
Karsten glaubt, dass bei einer Überarbeitung der DSGVO eine Feinjustierung nicht ausreicht. Derzeit fehlt jedoch der politische Wille. Beispielsweise müsste das generelle Verbot mit Erlaubnisvorbehalt hinsichtlich der Verarbeitung, d.h. dass Daten ohne Erlaubnis generell nicht bearbeitet werden dürfen, das passt für Karsten nicht zusammen mit einer Informationsgesellschaft bei der Daten entstehen müssen, dürfen und sollen. Sein Vorschlag ist ein Übermaßverbot, das eine Erlaubnis der Datenverarbeitung bis zu einem bestimmten Level erlaubt. Aber auch auf unterschwelligem Niveau gibt es Verbesserungsbedarf. Bei grenzüberschreitenden Thematiken sollen sich die Aufsichtsbehörden besser abstimmen können. Auch bei der Dokumentationspflicht bei der sich viele Unternehmen schwer tun, sollte über eine Vereinfachung nachgedacht werden.


Artikel 32 der DSGVO und der Stand der Technik
Beim TeleTrust spielt der Begriff "Stand der Technik" schon seit vielen Jahren eine große Rolle. Hierzu wurde eine Handreichung veröffentlicht: https://www.teletrust.de/publikationen/broschueren/stand-der-technik/.
Der Begriff ist hochkomplex. Karsten sieht den Artikel 32 als einen der besten Artikel der DSGVO, weil er ein extrem erkennbaren Außenerfolg zeitigt. Unternehmen und Verwaltungen haben in IT-Sicherheit investiert, da dieser Bereich der technischen und organisatorischen Maßnahmen im Datenschutz auf einem so hohen Level reguliert wurde, wie man es sonst nur aus dem IT-Sicherheitsgesetzen kannte.
In Verbindung mit spürbaren Bußgeldern hat es dazu geführt, dass Organisationen die Umsetzung stark forciert haben. Hier hat der Teletrust mit der Handreichung zum Stand der Technik einen Leitfaden herausgebracht. Auch ESET hat hier mit einem Whitepaper wichtige Punkte verständlich zusammengefasst: https://www.eset.com/de/stand-der-technik/.
Gerade um eine gewisse Rechtssicherheit im Schadensfall zu gewährleisten ist die Handreichung, aber auch das Whitepaper eine gute Lösung. Wichtig ist es beim "Stand der Technik" diesen als Prozess zu verstehen und regelmäßig zu überprüfen. Auch Karsten unterstreicht diesen Punkt, dass die Maßnahmen immer wieder auf ihre Wirksamkeit überprüft werden müssen. Die Häufigkeit kommt immer darauf an und lässt sich pauschal nicht sagen.


Wie ist die Rechenschafts- und Dokumentationspflicht bei Unternehmen geregelt?
Die DSGVO schreibt laut Karsten eine gewisse Beweislastumkehr vor. Unternehmen und Behörden müssen umfänglich nachweisen, dass alles was datenschutzrechtlich relevant ist auch eben rechtmäßig umgesetzt wird. Dazu zählt die Einhaltung der datenschutzrechtlichen Grundprinzipien, was eine Rechtsgrundlage, eine Zweckbestimmung und noch einige andere Punkte umfasst. Insbesondere zählt dazu aber auch die IT-Sicherheit. Dabei muss die Organisation jederzeit darlegen können, dass man sich mit allen Verarbeitungsvorgängen, Betroffenenanfragen und IT-Sicherheit richtig verhalte. Selbst dann noch, wenn eine Aufsichtsbehörde noch gar keinen Vorwurf gemacht hat. Das ist natürlich schwierig, wenn man keine Ende sieht und lädt die Aufsichtsbehörde zu diffusen Fragen ein, z.B. zum Stand der Technik.


Was ist das Verbot mit Erlaubnisvorbehalt?
Jegliche Datenverarbeitung mit Personenbezug ist zunächst verboten, wenn der Betroffene nicht explizit zustimmt. Maßgabe kann ein Vertrag sein, da es zur Durchführung schlicht erforderlich ist, oder die Einwilligung. Für Unternehmen kommt noch das berechtigte Interesse hinzu. Das bedeutet, dass keine Einwilligung nötig ist, aber man in der Situation wäre, dass die eigenen Interesse über denen des Betroffenen stehen und seine Rechte nicht im großen Rahmen beschränkt werden.


NIS2 und Cyber Resilience Act: Wie werden Unternehmen hier reagieren?
IT-Sicherheit wird für Karsten noch wichtiger und er empfiehlt Organisationen sich frühzeitig damit zu beschäftigen. Es kommt sehr viel auf sie zu, da die EU-Regulierung im Bereich IT-Sicherheit quasi in die Breite getragen wird. Das sieht man an der wachsenden Zahl kritischer Infrastrukturen mit der NIS2 Richtlinie. Zudem wird mit dem Cyber Resilience Act für Hersteller die Pflicht eines dauerhaften Schwachstellenmanagements geben. Deswegen sollte klare Informationskanäle und Siegel geschaffen werden. Hier geht die IT-Sicherheitsregulierung in die horizontale Richtung, aber auch in der vertikalen Richtung gibt es Veränderungen, weil viele Unternehmen durch die NIS2-Richtlinie zur kritischen Infrastruktur werden. Daher Karstens Rat sich frühzeitig mit dem Thema zu beschäftigen.


Teletrust Handreichung "Stand der Technik": https://www.teletrust.de/publikationen/broschueren/stand-der-technik/
ESET Whitepaper "Stand der Technik":
https://www.eset.com/de/stand-der-technik/
Materialien zum Thema Datenschutz:
https://www.datenschutzkonferenz-online.de/