Die Datenschutz-Grundverordnung (DS-GVO) feiert am 25. Mai 2023 fünften Geburtstag. Pünktlich zum Jubiläum hat die irische Datenschutzbehörde Zähne gezeigt und ein Bußgeld von 1,2 Milliarden Euro gegen Meta verhängt. Die DS-GVO hat sich gut etabliert.
Die DS-GVO hat sich etabliert. Seit Mai 2018 ist Datenschutz europaweit ein Thema. Wer zu wirtschaftlichen Zwecken Daten verarbeitet, kennt heute seine Pflichten und weiß, wie er sie umsetzen muss. Von der Datenverarbeitung Betroffene kennen ihre Rechte. Insbesondere die Transparenzpflichten und die wichtigen Vorschriften zur Datenschutz-Folgenabschätzung für hohe Risiken sind 2018 dazu gekommen.
Aufsichtsbehörden agieren maßvoll
Die unabhängigen Datenschutzbehörden kontrollieren und beraten. Sie haben Maß gehalten bei den Sanktionen, die ihnen zur Verfügung stehen.
Auch wenn bei der Einheitlichkeit der Entscheidung der vielen Aufsichtsbehörden in Deutschland Optimierungsbedarf besteht, den sowohl die Aufsichtsbehörden als auch der Gesetzgeber des ergänzenden Bundesdatenschutzgesetzes (BDSG) erkannt haben und die Aufsicht in Einzelfragen nach Meinung vieler übersteuert, erledigt sie ihre anspruchsvolle Arbeit im Wesentlichen verlässlich und gut.
Bußgeld und Schadensersatz
Gerichte haben ihre Kontrollfunktion über die Aufsicht ausgefüllt. Betroffene können nun Schadensersatz wegen Datenschutzverstößen vor Zivilgerichten geltend machen. Die Höhe der möglichen Bußgelder und die Schadensersatzvorschriften sind ebenfalls neu. Das Zusammenwirken von staatlichen und zivilrechtlichen Sanktionen ist ein scharfes Schwert gegenüber der Wirtschaft.
Den Umgang damit muss die Rechtsprechung kontrollieren. Die nationalen Gerichte legen bis zu den Obergerichten in Deutschland und Europa zunehmend dem Europäischen Gerichtshof als oberstem Fachgericht Auslegungsfragen vor.
Die Harmonisierung gelingt Stück für Stück. Der EuGH hat kürzlich das Auskunftsrecht konturiert, zur fehlenden Bagatellschwelle für Schadensersatzansprüche entschieden und so dem Bürger bei der Rechtsverfolgung den Rücken gestärkt.
Entscheidungen zu Beschäftigtendatenschutzgesetz und SCHUFA
Zudem hat er eine deutsche Vorschrift zum Beschäftigtendatenschutz für europarechtswidrig erklärt, weil sie keine eigene Kontur aufweist. Damit hat er in Deutschland die Tür für ein Beschäftigtendatenschutzgesetz weiter geöffnet, das schon lange diskutiert wird.
Ein Generalanwalt beim EuGH hat dem Gericht vorgeschlagen, den im BDSG für Kreditvergaben zentralen Score der SCHUFA als verbotene Maschinenentscheidung einzuordnen und damit eine zentrale Wirtschaftspraxis zur Disposition gestellt. Die Entscheidungen des höchsten Europäischen Gerichts müssen nicht jedem gefallen, aber sie sind im Rechtsstaat bindend.
Lesen Sie auch:
- Deshalb ist die Datenschutz-Grundverordnung besser als ihr Ruf
- ChatGPT: OpenAI-Chef spricht sich für KI-Regulierung aus
Präzisierungen der DS-GVO wären gut
Der Gesetzgeber in der EU sollte erwägen, die DS-GVO anzupassen und im Detail konkretere Vorgaben zu machen. Das ist wichtig, weil die anstehenden Datenakte zur Schaffung eines datengetriebenen Binnenmarktes sowie eines Gesundheitswesens dringend klare Regeln brauchen.
Fünf Jahre Digitalisierung können an einem Gesetz, das die Datenverarbeitung in der Digitalisierung regelt, nicht spurlos vorübergehen, wenn der Wille des Gesetzgebers Richtung Daten als Wirtschaftsgut wandelt.
Das Jubiläum des Datenschutzrechts im Mai 2023 markiert zeitlich einen Wendepunkt. Europa diskutiert die Schaffung eines neuen Rechtsrahmens für Anwendungen generativer künstlicher Intelligenz wie ChatGPT. Der Datenschutz muss hier – neben vielen andern Rechtsgebieten – beachtet werden.
Verwendete Quellen:
- Data Agenda: Folge 40, Teil 1: Fünf Jahre DS-GVO – Kann die DS-GVO auch KI?
- Data Agenda Datenschutz Podcast: Folge 40, Teil 2: Fünf Jahre DS-GVO – Ist die DS-GVO durch Aufsicht und Rechtsprechung übersteuert?
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.