02

Kernpunkte:

  • Koalitionsvertrag und Modernisierungsagenda
  • Geschenke aus dem Cybersicherheitsrecht
  • Herstellerverantwortung
  • Datenschutzreform und die Büchse der Pandora

 

2    Datenschutz und Informationsfreiheit – global und national

Datenschutz in Schleswig-Holstein ist nicht zu trennen von den Entwicklungen auf Bundesebene, in Europa und schließlich auch international. Dies gilt jedenfalls für Rechtsänderungen oder Technikentwicklungen. Das ULD ist über die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) auf nationaler Ebene und über den Europäischen Datenschutzausschuss auf europäischer Ebene in die Abstimmung zwischen den Datenschutzbehörden eingebunden. Alles ist im Wandel – das zeigt sich besonders in diesem Kapitel, das auf die Weiterentwicklung des Datenschutzes in Deutschland (Tz. 2.1), die Positionen der Datenschutzkonferenz (Tz. 2.2), die Entwicklungen des Cybersicherheitsrechts (Tz. 2.3), den vielleicht schon in greifbare Nähe gerückten Punkt der Herstellerverantwortung (Tz. 2.4) und die anstehende Datenschutzreform auf europäischer Ebene (Tz. 2.5) eingeht.

 

2.1         Datenschutz zwischen Koalitionsvertrag und Modernisierungsagenda

Über die Datenschutzkonferenz
Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. […]

Der Koalitionsvertrag des Bundes ist für die Bundesangelegenheiten maßgeblich – und das betrifft vor allem Novellierungsbedarfe im Bundesdatenschutzgesetz (BDSG). Nachdem im Koalitionsvertrag der vorherigen Regierung bereits geplant war, die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zu institutionalisieren, jedoch das Projekt keine großen Fortschritte gemacht hatte, waren wir gespannt, was die neue Koalition zum Datenschutz vereinbaren würde. Die Zusammenarbeit in der Datenschutzkonferenz ist wesentlich, damit wir uns optimal abstimmen und auch arbeitsteilig ressourcensparend arbeiten können.


Koalitionsvertrag 2025, Zeilen 2248–2252
Reform des Datenschutzes
Wir reformieren die Datenschutzaufsicht. Die Datenschutzkonferenz (DSK) verankern wir im Bundesdatenschutzgesetz (BDSG), um gemeinsame Standards zu erarbeiten. Wir nutzen alle vorhandenen Spielräume der DSGVO, um beim Datenschutz für Kohärenz, einheitliche Auslegungen und Vereinfachungen für kleine und mittlere Unternehmen, Beschäftigte und das Ehrenamt zu sorgen.

Nach unseren Vorstellungen ist dringend geboten, die Arbeit der Datenschutzkonferenz weiter zu professionalisieren, insbesondere durch eine Geschäftsstelle (43. TB, Tz. 1.5). Insoweit ist begrüßenswert, dass die Verankerung der Datenschutzkonferenz auch im Koalitionsvertrag 2025 vorgesehen ist. Auch das dort genannte Ziel, „gemeinsame Standards zu erarbeiten“, passt zu der Arbeitsweise der Datenschutzkonferenz und zu ihren Plänen.

Eine andere Stelle im Koalitionsvertrag ließ jedoch aufhorchen: Auf Bundesebene werde „im Interesse der Wirtschaft“ die Bündelung der Zuständigkeiten und Kompetenzen bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) angestrebt. Die Formulierungen eröffnen einen großen Interpretationsspielraum: Sollen die zigtausenden Beschwerden, die im nichtöffentlichen Bereich bei den Landesbeauftragten eingereicht werden, künftig durch die BfDI bearbeitet werden? Ist dies überhaupt im Interesse der Wirtschaft? Und welche „Wirtschaft“ ist überhaupt gemeint: die großen Konzerne oder auch die kleinen und mittleren Unternehmen (KMU), die für die Firmenkultur in Deutschland prägend sind?

Koalitionsvertrag 2025, Zeilen 2253–2255
Im Interesse der Wirtschaft streben wir eine Bündelung der Zuständigkeiten und Kompetenzen bei der Bundesdatenschutzbeauftragten an. Sie soll dann Bundesbeauftragte für Datennutzung, Datenschutz und Informationsfreiheit sein.

Nach unseren Erfahrungen profitieren KMU von der Erreichbarkeit und Nähe vor Ort, beispielsweise wenn es um Teilnahme an unseren Veranstaltungen wie der Sommerakademie (Tz. 13.2) oder den niedrigschwelligen Veranstaltungen wie „Frag´ für ´nen Freund" (Tz. 6.3.3) geht. Der Weg nach Bonn, wo die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ihren Sitz hat, ist weit.

Die Idee der Bündelung kann aber auch ganz anders verstanden werden, z. B. wenn die recht seltenen Fälle, in denen mehrere Datenschutzaufsichtsbehörden zuständig sind, oder die häufigeren Fälle, in denen Sachverhalte der Verarbeitung personenbezogener Daten in vielen oder allen Ländern ähnlich ablaufen, jeweils von einer federführenden Aufsichtsbehörde übernommen und bearbeitet werden. Das Prinzip EfA („Einer für alle“) kann unter den Datenschützern zu „Epfa – Einer prüft für alle“ werden. Behörden suchen sich allerdings ihre Zuständigkeiten nicht selbst aus, sondern diese müssen vom Gesetzgeber zugewiesen werden.
Dies erscheint durchaus realistisch, weil der Koalitionsvertrag im Herbst 2025 durch die Föderale Modernisierungsagenda ergänzt wurde, die konkrete Handlungspunkte enthält. So liest man beim Punkt 158:

Föderale Modernisierungsagenda, Nr. 158
1. Reform der Datenschutzaufsicht
Der Bund wird in Abstimmung mit den Ländern die Datenschutzaufsicht für den nichtöffentlichen Bereich bis spätestens 31.12.2027 reformieren und dabei gegebenenfalls auch die Aufgabenverteilung im Föderalstaat neu justieren. Ziel ist die Sicherstellung der einheitlichen Rechtsauslegung und -anwendung sowie Erhöhung der Effizienz im Zusammenspiel der Aufsichtsbehörden. Hierzu können insbesondere die Bündelung von Kompetenzen bei der BfDI oder Aufsichtsbehörden der Länder (z. B. durch Zuständigkeitskonzentration und/oder One-Stop-Shop-Regelungen), eine bessere Einbindung der DSK und/oder die Einführung eines Kohärenzverfahrens unter Nutzung der Möglichkeiten des Art. 87 Abs. 3 GG auf Bundesebene oder im Wege von Staatsverträgen zwischen den Ländern gehören. […]

Zum Zusammenspiel der Aufsichtsbehörden bieten wir dem Bundesgesetzgeber gern an, unsere Erfahrungen in die Diskussion einzubringen. Dies betrifft übrigens nicht nur die Zusammenarbeit in der Datenschutzkonferenz, sondern auch den Dialog mit anderen Aufsichtsbehörden im Datenschutz und zu Themen mit Überschneidungen zu unseren Kompetenzen, beispielsweise mit der Bundesnetzagentur, dem Bundeskartellamt oder der Medienaufsicht.

Den Link zum Koalitionsvertrag finden Sie unter:
https://www.koalitionsvertrag2025.de/[Extern]
Kurzlink: https://uldsh.de/tb44-2-1a

Der Link zur Föderalen Modernisierungsagenda ist hier verfügbar:
https://bmds.bund.de/themen/staatsmodernisierung/modernisierungsagenda-foederal[Extern]
Kurzlink: https://uldsh.de/tb44-2-1b


2.2          Die Ergebnisse der DSK im Jahr 2025 im Überblick

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat vielfältige Themen diskutiert und Festlegungen zu Positionierungen oder Orientierungshilfen abgestimmt. Im Folgenden werden die Veröffentlichungen der Datenschutzkonferenz aus dem Jahr 2025 aufgelistet:

 

2.3          Geschenke für den Datenschutz aus dem Cybersicherheitsrecht

Die DSGVO gilt zwar nicht nur für die automatisierte Verarbeitung von personenbezogenen Daten, aber mit der zunehmenden Digitalisierung aller Lebensbereiche findet ein Großteil der Verarbeitung auf vernetzten (oder vernetzbaren) Computern statt. Unabhängig davon, ob personenbezogene Daten betroffen sind oder nicht, sollte eine angemessene Sicherheit der Verarbeitung eine Selbstverständlichkeit sein.

Die DSGVO nimmt dies im Datenschutzgrundsatz Art. 5 Abs. 1 Buchst. f DSGVO auf: „Integrität und Vertraulichkeit“ müssen gewährleistet sein. Artikel 32 DSGVO beschäftigt sich im Detail mit der Sicherheit. Artikel 25 DSGVO fordert die Gestaltung der Verarbeitung gemäß allen Datenschutzgrundsätzen; die Sicherheit spielt hier also auch hinein. Und auch bei Auftragsverarbeitern gehört Sicherheit der Verarbeitung zu den rechtlichen Standardanforderungen.

Cybersicherheit by Design war lange Zeit für den Großteil der Hard- und Softwareentwicklungen graue Theorie. Angesichts der Bedrohungslage durch Cyberangriffe aus vielfältiger Motivation und der riesigen Zahl bekannt gewordener Schwachstellen gewinnt die Cybersicherheitsstrategie der EU an Bedeutung.

Für kritische Infrastrukturen fordert die Umsetzung der NIS-2-Richtlinie mit technischen und organisatorischen Maßnahmen das angemessene Sicherheitsniveau ein. Noch interessanter ist aber die Cyberresilienz-Verordnung (Cyber Resilience Act, CRA), die für alle vernetzbaren Produkte (sogenannte „Produkte mit digitalen Elementen“) gilt. Zum einen wird damit ein Schwachstellenmanagement mit Updates für einen definierten Zeitraum (mindestens fünf Jahre), zum anderen Cybersicherheit by Design verlangt:

Anhang I des CRA (Grundlegende Cybersicherheitsanforderungen), Teil 1
(1) Produkte mit digitalen Elementen werden so konzipiert, entwickelt und hergestellt, dass sie angesichts der Risiken ein angemessenes Cybersicherheitsniveau gewährleisten.

Als Daumenregel im CRA gilt: Je risikoreicher die Produkte, desto mehr müssen die Hersteller nachweisen, dass sie die Cybersicherheitsanforderungen erfüllen. Bei geringem Risiko können Selbstbestätigungen ausreichen, doch bei einem höheren Risiko kann es erforderlich sein, dass Dritte, gegebenenfalls im Rahmen einer Zertifizierung, die Compliance mit den Anforderungen der Cyberresilienz-Verordnung bestätigen.

Für den Datenschutzbereich ist praktisch, dass Vertraulichkeit, Integrität und Verfügbarkeit aus Cybersicherheitssicht zu den Designzielen gehören (Anhang I, Teil I Abs. 2 CRA). Der Schulterschluss geht aber sogar darüber hinaus: Interessanterweise kennt das Cybersicherheitsrecht ebenfalls die Anforderung der Datenminimierung.

Anhang I, Teil I, Abs. 2 Buchst. g CRA
(2) Auf der Grundlage der Bewertung der Cybersicherheitsrisiken gemäß Artikel 13 Absatz 2 müssen Produkte mit digitalen Elementen, soweit zutreffend,
[…]
g) die Verarbeitung personenbezogener oder sonstiger Daten auf solche, die angemessen und von Bedeutung sind, und auf das für die Zweckbestimmung des Produkts mit digitalen Elementen erforderliche Maß beschränken („Datenminimierung“), […]

Dies erklärt sich daraus, dass ein Zuviel an Daten bzw. an Datenverarbeitung ein Sicherheitsrisiko darstellen kann.

Natürlich muss der Hersteller auch nachweisen können, dass die Sicherheitsziele umgesetzt wurden. Dies wird in der sogenannten technischen Dokumentation niedergelegt (zum Umfang siehe Anhang VII des CRA). Darin müssen auch die Konzeption, Entwicklung und Herstellung des Produkts mit digitalen Elementen und der Verfahren zur Behandlung von Schwachstellen beschrieben und das Produkt in Bezug auf Cybersicherheitsrisiken bewertet werden. Die Datenschutzfragen, welche Daten wo wie verarbeitet werden und wie lange sie gespeichert bleiben, spielen dort selbstverständlich hinein. Wo heutzutage den Verantwortlichen oft Informationen über die Verarbeitungssysteme fehlen und sie damit Probleme haben, die Rechenschaftspflicht nach Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO zu erfüllen, müssen beim Hersteller künftig gewisse Informationen dazu vorliegen. Hier gilt es, die aus Datenschutzsicht relevanten Informationen abzufragen oder sich, z. B. im Falle einer Ausschreibung zur Beschaffung, vorlegen zu lassen.

Ebenfalls wertvoll sind die Informationen und Anleitungen für den Nutzer, die in Anhang II des CRA definiert werden:

Anhang II CRA

Dem Produkt mit digitalen Elementen muss mindestens Folgendes beigefügt sein:
[…]
4. die Zweckbestimmung des Produkts mit digitalen Elementen, einschließlich des vom Hersteller bereitgestellten Sicherheitsumfelds, sowie die Hauptfunktionen des Produkts und Informationen über die Sicherheitseigenschaften;
5. alle bekannten oder vorhersehbaren Umstände im Zusammenhang mit der Zweckbestimmung des Produkts mit digitalen Elementen oder dessen vernünftigerweise vorhersehbaren Fehlanwendung, die zu erheblichen Cybersicherheitsrisiken führen können;
[…]
7. die Art der vom Hersteller angebotenen technischen Sicherheitsunterstützung und das Enddatum des Unterstützungszeitraums, in dem die Nutzer die Behebung von Schwachstellen und den Erhalt von Sicherheitsaktualisierungen erwarten können;
8. ausführliche Anleitungen oder eine Internetadresse, unter der auf solche ausführlichen Anleitungen und Informationen verwiesen wird, dazu,
a) welche Maßnahmen bei der ersten Inbetriebnahme und während der gesamten Lebensdauer des Produkts mit digitalen Elementen getroffen werden müssen, um dessen sichere Verwendung sicherzustellen,
b) wie sich Änderungen am Produkt mit digitalen Elementen auf die Datensicherheit auswirken können,
c) wie sicherheitsrelevante Aktualisierungen installiert werden können,
d) wie eine sichere Außerbetriebnahme des Produkts mit digitalen Elementen erfolgt und wie Nutzerdaten sicher entfernt werden können;
[…]
9. für den Fall, dass der Hersteller dem Nutzer die Softwarestückliste zur Verfügung stellt, wo auf die Softwarestückliste zugegriffen werden kann.

Besonders die Informationen über die Sicherheitseigenschaften sowie darüber, wie eine sichere Inbetriebnahme und Außerbetriebnahme erfolgen können, werden in der Praxis hilfreich sein.

Die Cyberresilienz-Verordnung gilt vollständig ab dem 11.12.2027. Nach unserer Einschätzung wird sie wertvoll für Verantwortliche und Auftragsverarbeiter sein, weil das reale Cybersicherheitsniveau deutlich steigen und die Systeme weniger verwundbar sein dürften. Insbesondere werden die Informationen über die Sicherheitseigenschaften, die der Hersteller über die Produkte in den verschiedenen Phasen der Konzeption, der Entwicklung, der Herstellung und der Verwendung zu dokumentieren hat, den Verantwortlichen in seiner datenschutzrechtlichen Rechenschaftspflicht unterstützen. Alles in allem sind dies Geschenke für den Datenschutz, die das Cybersicherheitsrecht schaffen wird.

Aber Achtung: Auch bei Geschenken muss der Verantwortliche genau hinschauen, ob sie kompatibel mit den Anforderungen der DSGVO sind (Stichworte Rechtsgrundlagen, Informationspflichten, Betroffenenrechte). Nicht jede Sicherheitsmaßnahme ist in jeder Konfiguration auch datenschutzkonform, beispielsweise wenn damit Eingriffe in die Rechte und Freiheiten von Kundinnen und Kunden oder Beschäftigten verbunden sind.

Hier finden Sie den Link zur Cyberresilienz-Verordnung – konsolidierte Fassung:

https://eur-lex.europa.eu/eli/reg/2024/2847/2024-11-20[Extern]
Kurzlink: https://uldsh.de/tb44-2-3a

Was ist zu tun?
Die Hersteller müssen sich spätestens jetzt darauf vorbereiten, ihre Pflichten nach der Cyberresilienz-Verordnung rechtzeitig zu erfüllen.
Verantwortliche sollten diese „Sicherheitsgeschenke“ aus der Dokumentation und den Anleitungen auf Datenschutzkonformität prüfen und im Betrieb geeignete und wirksame technische und organisatorische Maßnahmen treffen, um alle Datenschutzgrundsätze zu erfüllen.

2.4         Gamechanger Herstellerverantwortung – vielleicht schon in Sichtweite

Artikel 25 DSGVO verlangt vom Verantwortlichen, das Prinzip „Datenschutz by Design umzusetzen. Das bedeutet, die Anforderungen der DSGVO von Anfang an in die Verarbeitungen personenbezogener Daten zu implementieren. Die Macht von „by Design“ sollte nicht unterschätzt werden: Die Systeme sollen so gestaltet sein, dass den Verantwortlichen die Umsetzung der Anforderungen der DSGVO leichtfällt, weil die Datenschutzgrundsätze umgesetzt wurden, die Voreinstellungen datenschutzfreundlich gewählt sind, das Risiko für die Rechte und Freiheiten natürlicher Personen stets beherrscht wird und etwaige Fehler und Pannen nach Möglichkeit vermieden werden. Jedoch ist die Realität eine andere.

Erwägungsgrund 78 der DSGVO

In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.

Der Webfehler der DSGVO ist das Ausschließen der Hersteller von Produkten, Diensten und Anwendungen. Sie sind nicht Verpflichtete nach dem Datenschutzrecht (es sei denn, sie geraten in die Rolle als Auftragsverarbeiter oder Verantwortlicher). Artikel 25 DSGVO verpflichtet den Verantwortlichen zu Datenschutz by Design und by Default.

Doch entscheidet über einen Großteil der Gestaltung der Verarbeitung nicht der Verantwortliche allein, denn er bedient sich typischerweise der Produkte, Dienste und Anwendungen von Herstellern.

Die Situation für die Verantwortlichen wäre deutlich besser, wenn auf dem europäischen Markt für die Verarbeitung personenbezogener Daten nur Produkte, Dienste und Anwendungen angeboten würden, die ohne größere Verrenkungen datenschutzkonform einsetzbar sind. Am besten wäre es, wenn die Produkte und Dienste, die zur Verarbeitung personenbezogener Daten dienen, bereits unter Berücksichtigung der europäischen Datenschutzanforderungen entwickelt worden wären und unmittelbar darüber informieren würden, wie die Verantwortlichen sie datenschutzkonform verwenden und die Einhaltung des Datenschutzrechts nachweisen können.

Bei der DSGVO handelt es sich nicht um Produktsicherheitsrecht. Daher hat sich die Hoffnung des Gesetzgebers nicht erfüllt, dass die Marktakteure von allein auf ein ausreichendes Datenschutzniveau der angebotenen Produkte, Dienste und Anwendungen hinwirken. Es ist sogar so, dass die Verantwortlichen, die bei Herstellern und Anbietern genau nachfragen, heutzutage Schwierigkeiten haben, alle Informationen zu erhalten, die für ihre eigene datenschutzrechtliche Rechenschaftspflicht sowie für die Beherrschung des Risikos relevant sind.

Dabei ist es durchaus möglich, Hersteller und Anbieter mehr in die Pflicht zu nehmen: Neben der Cyberresilienz-Verordnung (Tz. 2.3) kennt beispielsweise auch die KI-Verordnung Designpflichten, die sich an die Anbieter richten. Wie bei der Systementwicklung die rechtlichen Anforderungen umgesetzt wurden, ist Bestandteil der verpflichtenden technischen Dokumentation, die Hersteller und Anbieter erstellen und bereithalten müssen.

Diese Ansätze ließen sich zu einem guten Stück auf das Datenschutzrecht übertragen, um die bisherige Herstellerlücke der DSGVO zu schließen. Verantwortliche könnten dann darauf vertrauen, dass die Produkte, Dienste und Anwendungen auf dem Markt datenschutzkonform einsetzbar wären. Ein Großteil der Informationen für die Dokumentation im Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO, zur Schwellenwertanalyse des Risikos und gegebenenfalls zur Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO könnte ihnen in standardisierter Form zur Verfügung gestellt werden. Der Aufwand für die Verantwortlichen wäre deutlich reduziert, und vor allem könnten sie leichter ihre Rechenschaftspflicht erfüllen.

Rückenwind für die jahrealten Forderungen der Datenschutzkonferenz gibt es durch die Festlegung von Bund und Ländern in der Föderalen Modernisierungsagenda:

Föderale Modernisierungsagenda, Nr. 166

7. EU-Datenrecht
Bund und Länder werden auf europäischer Ebene […]
4. [sich] dafür [einsetzen], dass nach Vorbild des Cyber-Resilience-Acts und der KI-VO auch die DSGVO die Hersteller und Anbieter von Standardlösungen künftig in die Verant-wortung nimmt, damit die Anwender un-kompliziert und rechtssicher Standardlösun-gen nutzen können.

Die Forderung nach Herstellerverantwortung liegt damit auf dem Tisch. Nach unserer Auffassung fällt für die Hersteller, die ohnehin die Cyberresilienz-Verordnung umsetzen müssen, kein großer zusätzlicher Aufwand in der Dokumentation an. Wichtig ist aber, dass tatsächlich Datenschutz by Design und by Default von Anfang an in die Produktentwicklung und in den Betrieb Eingang finden. Das wäre wirklich der Gamechanger für einen praxistauglichen und effektiven Datenschutz ohne großen Aufwand.

Was ist zu tun?
Bund und Länder sollten zusammen mit der Datenschutzkonferenz ihre Vorschläge zur Herstellerverantwortung in den europäischen Prozess der Datenschutzreform einbringen.

 

2.5         Datenschutzreform in Europa: Omnibusse, Fitnesscheck und die Büchse der Pandora

Bereits die Entstehung der DSGVO war von einem massiven Lobbying begleitet – aus allen Richtungen wurden Unzulänglichkeiten des noch nicht einmal in Kraft getretenen Gesetzestextes beklagt und Alternativvorschläge vorgelegt. Die beiden Evaluationen der EU-Kommission, die nach Art. 97 Abs. 1 DSGVO alle vier Jahre durchzuführen sind, hatten keine fundamentalen Bedarfe an Änderungen ergeben, jedoch sah die EU-Kommission stellenweise Optimierungspotenzial. Insgesamt hatte man den Eindruck, dass die DSGVO wie die sprichwörtliche Büchse der Pandora nicht geöffnet werden sollte. Wer dies täte, würde eine noch viel größere Lobbyschlacht auslösen.

Im Jahr 2025 war von dieser Zurückhaltung nichts mehr zu verspüren: Im Eilverfahren hat die EU-Kommission zwei Omnibus-Verfahren zur Änderung der DSGVO und anderer Digitalrechtsakte wie der KI-Verordnung vorgelegt. Besonders der „digitale Omnibus“ könnte sich stark auf die DSGVO auswirken:

https://eur-lex.europa.eu/procedure/DE/2025_360[Extern]
Kurzlink: https://uldsh.de/tb44-2-5a

Mehrere Punkte sehen wir zusammen mit den anderen Datenschutzaufsichtsbehörden im Europäischen Datenschutzausschuss kritisch. Fundamentale Auswirkungen hätte die vorgeschlagene Änderung der Definition der personenbezogenen Daten, in der vor allem der Personenbezug von pseudonymisierten Daten geregelt werden soll. Möglicherweise sollte die Formulierung nur klarstellenden Charakter haben, indem EuGH-Feststellungen referenziert wurden. Dann

ist dieser Versuch jedoch gesetzestechnisch verunglückt – die Definition stimmt nämlich nicht mit den EuGH-Aussagen überein. Würde an diesem Grundpfeiler des Personenbezugs gerüttelt, könnte dies dazu führen, dass die Klarstellungen des EuGH auf der bisherigen Rechtslage künftig keine Bedeutung mehr hätten; der Fundus an EuGH-Entscheidungen müsste teilweise erst wieder neu aufgebaut werden.

Die Kritik des EDSA findet sich unter diesem Link:

https://www.edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22026-proposal_de[Extern]
Kurzlink: https://uldsh.de/tb44-2-5b

Das Bild der Büchse der Pandora ist vielleicht nicht so passend: Jetzt gilt es, in die Schatzkiste der guten Ideen, die sich aus den Erfahrungen der letzten zehn Jahre speist, zu schauen, um die DSGVO und das Digitalrecht insgesamt zu verbessern. Diese Ideen mit ihren Wirkungen und Nebenwirkungen müssen unter verschiedenen Perspektiven diskutiert werden. Ein solcher Diskurs ist nicht in den bereits „fahrenden Omnibussen“ vorgesehen, wohl aber kann dies in einem anderen Instrument der EU-Kommission möglich sein: dem digitalen Fitnesscheck.

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/15554-Eignungsprufung-der-Digitalvorschriften-Uberprufung-der-kumulativen-Auswirkungen-der-EU-Digitalvorschriften_de[Extern]
Kurzlink: https://uldsh.de/tb44-2-5c

Digitaler Fitnesscheck
Die Eignungsprüfung der Digitalvorschriften ist die zweite Phase des Plans der Kommission zur Vereinfachung der EU-Digitalvorschriften nach den Anpassungen im Zuge der Omnibus-Verordnung für den Digitalbereich.

Um sicherzustellen, dass die EU-Digitalvorschriften wirksam, verhältnismäßig und zukunftsfähig sind, werden im Rahmen der Eignungsprüfung der Digitalvorschriften das Zusammenspiel der verschiedenen Vorschriften sowie ihre kumulativen Auswirkungen auf Unternehmen, ihre Wirksamkeit für die Wettbewerbsfähigkeit und ihre Wirkung auf die Werte und die Grundrechte der EU analysiert.

In diesen Diskurs werden wir unsere Ideen insbesondere zu den größeren Themenbereichen einbringen, in denen wir Verbesserungspotenzial im aktuellen Datenschutzrecht sehen: der Herstellerverantwortung (Tz. 2.4) und dem Kinderdatenschutz.

Fragen des Kinderdatenschutzes hatten wir bereits vor mehreren Jahren zusammen mit wissenschaftlichen Partnern in der Plattform Privatheit (Tz. 8.1) aufgegriffen. Auf Basis dieser Vorarbeiten haben wir in der Datenschutzkonferenz die wichtigsten Forderungen zusammengestellt, die unter diesem Link veröffentlicht sind:

https://www.datenschutzzentrum.de/artikel/1525-Safer-Internet-Day-und-die-Kinderrechte-Reformvorschlaege-zur-Verbesserung-des-gesetzlichen-Datenschutzes-von-Kindern.html
Kurzlink: https://uldsh.de/tb44-2-5d

https://www.datenschutzkonferenz-online.de/media/en/Entschliessung_Datenschutz-von-Kindern.pdf[Extern]
Kurzlink: https://uldsh.de/tb44-2-5e


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel