3 Jahre DSGVO – 5 Fragen an Prof. Dr. Ulrich Wuermeling

3 Jahre DSGVO – 5 Fragen an Prof. Dr. Ulrich Wuermeling

Allgemein, Blog, Datenschutzkongress

„Die Datenschutzbeauftragten müssen in den Unternehmen entscheiden, ob sie die Notbremse ziehen müssen oder den Anforderungen auf andere Weise genügen können.“

Welche Themen sind Ihrer Ansicht nach aktuell die Top-3-Themen im Datenschutz?

Digitalisierung, Datenübermittlung in Drittländer und Folgen von Datenschutzverstößen. Die fortschreitende Digitalisierung in allen Bereichen des privaten und beruflichen Lebens wird nicht an datenschutzrechtlichen Bedenken scheitern.

Die große Herausforderung für Datenschutzbeauftragte in Unternehmen besteht darin, die unaufhaltsame Digitalisierung datenschutzfreundlich zu gestalten. Das ist eines der wichtigen aktuellen Themen und ist durch geplante europäische Gesetzgebung im Bereich von ePrivacy und Künstlicher Intelligenz mit großen Unsicherheiten verbunden. Fast alle Unternehmen übermitteln Daten in Drittländer und die existierenden europäischen Rahmenbedingungen hierfür befinden sich in einer schwierigen Übergangsphase. Die Datenschutzbeauftragten müssen in den Unternehmen entscheiden, ob sie die Notbremse ziehen müssen oder den Anforderungen auf andere Weise genügen können. Zuletzt sind es die Folgen von Datenschutzverstößen, die in vielen Unternehmen für Unsicherheiten führen. Hohe Risiken durch Bußgelder und Gerichtsprozesse können auch zu Überreaktionen führen. Auf der Suche nach dem richtigen Ansatz zum angemessenen Umgang mit datenschutzrechtlichen Pflichten ist der Vergleich mit anderen Unternehmen von großer Bedeutung. Dabei soll der Datenschutzkongress helfen.

Wie sollen Unternehmen derzeit die datenschutzkonforme Übermittlung personenbezogener Daten in Drittländer am besten sicherstellen?

Der Europäische Gerichtshof hat mit seinem Urteil im Fall Schrems II sicher in vielen Fällen Handlungsbedarf ausgelöst. Ganz so revolutionär, wie es häufig dargestellt wird, ist das Urteil aber nicht. Das Privacy Shield war zwar für den Datenaustausch mit den Vereinigten Staaten hilfreich, aber es ist nicht zwingend notwendig. Fast alle Länder außerhalb der Europäischen Union haben weder ein angemessenes Datenschutzniveau noch ein dem Privacy Shield vergleichbares Instrument. Deshalb sind die Standardvertragsklauseln ein beliebtes Instrument, aber auch vor der Gerichtsentscheidung war klar, dass die nicht immer eine geeignete Lösung darstellen. Insofern war das Urteil auch nicht überraschend. Erstaunlich ist für mich nur, dass aus dem Urteil eine Art weitreichendes Datenübermittlungsverbot herausgelesen wird. Die Kriterien, die vom Europäischen Gerichtshof angelegt werden, eröffnen einen breiten Spielraum für Lösungen, ohne dass Übermittlungen eingestellt werden müssten. Das gilt auch für Datenübermittlungen in die Vereinigten Staaten. Ich habe aber Verständnis dafür, wenn Unternehmen in der Europäischen Union sich den damit verbundenen Rechtsunsicherheiten nicht aussetzen wollen und auf Datenübermittlungen außerhalb der Europäischen Union verzichten, wenn sie es können. Viele Unternehmen können dies aber nicht und müssen deshalb Strukturen suchen, unter denen die Datenübermittlungen weiterhin vertretbar sind. Der Europäische Gerichtshof sieht die Lösung in angepassten Standardvertragsklauseln und den sonstigen Ausnahmen, unter denen Datenübermittlungen zulässig sind. Insofern ist der Vorschlag der Europäischen Kommission für angepasste Standardvertragsklauseln hilfreich. Er übersieht jedoch, dass die vorgeschlagenen Anpassungen in einem Großteil der Fälle gar nicht erforderlich sind. Insofern wäre ein flexiblerer Ansatz hilfreicher.

Sie leben ja in Deutschland und im Vereinigten Königreich. Stichwort Angemessenheitsbeschlüsse: Wie ist der aktuelle Stand und was erwarten Sie auf lange Sicht in Bezug auf den sicheren Datenfluss zwischen der EU und dem Vereinigten Königreich?

In rechne fest damit, dass die Europäische Union die datenschutzrechtlichen Standards im Vereinigten Königreich als angemessen anerkennen wird. Außerdem besteht die Gefahr, dass die Datenschutzgesetze im Vereinigten Königreich in den nächsten Jahren überarbeitet werden, um bürokratische und überzogene Anforderungen zu beseitigen. Nicht zuletzt schreitet die Europäische Union weiter voran, d.h. wenn beispielsweise die Europäische ePrivacy Verordnung beschlossen wird, dann erwarte ich nicht, dass das Vereinigte Königreich ähnliche Regelungen schaffen wird. Wenn man die Positionen des Vereinigten Königreichs am Anfang der Verhandlungen des Vorschlags betrachtet, dann ist klar, dass die Verordnung nicht als Vorbild für gesetzgeberische Regeln im Vereinigten Königreich dienen wird. Insofern gibt es Fragezeichen, ob die Angemessenheit des Datenschutzniveaus auf lange Sicht anerkannt wird. Dabei muss man aber bedenken, dass bei allen Ländern mit Angemessenheitsbeschlüssen ähnliche Probleme bestehen, die schon heute pragmatisch gelöst werden. Etwas Sorge hätte ich nur vor einer Überprüfung durch den Europäischen Gerichtshof, denn die staatlichen Überwachungsmöglichkeiten im Vereinigten Königreich sind weitgehend und in diesem Punkt ist der Europäische Gerichtshof bekanntermaßen empfindlich. Das hat er noch im letzten Jahr in Bezug auf das Vereinigte Königreich bestätigt.

Welchen ROI bieten Datenschutzprogramme und wie können Unternehmen von Datenschutzinvestitionen profitieren?

Bei der Frage, ob sich Datenschutzprogramme wirtschaftlich für Unternehmen auszahlen, muss man bei den betroffenen Personen beginnen. Wer als Unternehmen das Vertrauen seiner Kunden und Arbeitnehmer gewinnt, hat davon auch wirtschaftliche Vorteile. Ein solches Vertrauen entsteht, wenn das Unternehmen fair, verlässlich und transparent handelt. Datenschutz ist ein Aspekt davon. Wie sehr es sich lohnt, entscheiden aber die Kunden und Arbeitnehmer. Beim Thema Datenschutz sehen wir in der Praxis nicht die Sensitivität, die man angesichts der gesetzgeberischen Rahmenbedingungen erwarten würde. Seit über dreißig Jahren wird in Deutschland die Position vertreten, dass hohe Datenschutzstandards im Bereich der neuen Technologien ein Wettbewerbsvorteil wären. Verwirklicht hat sich diese Theorie bisher nicht. Die Kunden und Arbeitnehmer haben es aber in der Hand, ob sich Datenschutzinvestitionen in der Zukunft lohnen.

Welches sind nach Ihrer Erfahrung die häufigsten Projekte oder Innovationen, die in Unternehmen aufgrund der DSGVO scheitern?

Die DSGVO macht Projekte oder Innovationen nicht unmöglich. Die datenschutzrechtlichen Anforderungen erfordern aber häufig Anpassungen. Projekte und Innovationen können dann daran scheitern, dass die geforderten Anpassungen an den Zielen vorbei gehen oder die Projekte und Innovationen unwirtschaftlich machen. Die Aufgabe der Datenschutzbeauftragten ist es deshalb, Projekte und Innovationen positiv unter Berücksichtigung ihrer Ziele und Wirtschaftlichkeit zu begleiten. Bei Innovationen ist das datenschutzrechtlich nicht einfach, denn warum soll eine Innovation im Sinne der DSGVO „erforderlich“ oder „notwendig“ sein, wenn man bisher auch ohne sie ausgekommen ist. Schaut man jedoch in die Vergangenheit, dann werden heute viele Datenverarbeitungen als erforderlich oder notwendig angesehen, die es noch vor einigen Jahren nicht gab. Die Flexibilität für Innovationen besteht also, man muss nur den Mut haben sie zu nutzen.

Prof. Dr. Ulrich Wuermeling, Rechtsanwalt, Latham & Watkins, Queen Mary University London