2 days ago
Kleine Organisationen entlasten, dafür mehr Regeln für große Plattformen: Auf diese Reformidee für Europas Datenschutzgesetz können sich der Abgeordnete und der Aktivist einigen. Diskussionen um Änderungen an der DSGVO gibt es schon länger. Bis Ende des Jahres will die EU-Kommission aber ihre Digitalgesetze überprüfen – und könnte dabei auch die DSGVO aufbohren.
Der Europaabgeordnete Axel Voss und der Aktivist Max Schrems. – CC-BY-SA 4.0 Europäisches Parlament / Mediacom EPFL (Bearbeitung: netzpolitik.org)Normalerweise argumentieren Axel Voss und Max Schrems eher gegeneinander, wenn es um den Datenschutz in Europa geht. Auf der einen Seite der Christdemokrat im Europaparlament, der vor Jahren die Datenschutz-Grundverordnung (DSGVO) mit ausgehandelt hat und seitdem beklagt, sie würde Europas Wirtschaft schwächen. Auf der anderen Seite der Aktivist, der immer wieder vor Gericht gegen Abkommen vorgegangen ist, die den Datentransfer zwischen EU und USA ermöglichen sollen – und immer wieder gewinnt.
Nun teilen sie aber mal eine Meinung. Das schrieb zumindest Voss am Mittwoch in einem Linkedin-Post. Darin beschreibt er einen Vorschlag für eine, wie er es nennt, „sehr gezielte“ Reform der DSGVO. Sein Problem: Das Gesetz funktioniere aktuell unabhängig davon, wie groß eine Organisation ist. Dieser „One Size Fits All“-Zugang würde aber europäische Unternehmen zerdrücken und sei gleichzeitig nicht effektiv genug gegen die Big-Tech-Riesen, schreibt Voss.
Mehr Regeln für mehr Risiko?
Für die Reform-DSGVO stellt Voss drei Stufen vor: Mini, Normal und Plus. Je größer eine Organisation ist und je mehr Gefahren ihr Datenverarbeiten für den Datenschutz hat, desto strikter sollen die Regeln sein. Dabei hat sich Voss vom Digital Services Act und der KI-Verordnung inspirieren lassen, zwei großen Digitalgesetzen, die die EU nach der DSGVO verabschiedet hat. In beiden werden Anwendungen als unterschiedlich riskant eingestuft und entsprechend unterschiedlich reguliert.
Die „Mini-DSGVO“ soll für Organisationen gelten, die Daten von weniger als 100.000 Personen verarbeiten. Sie sollen außerdem keine besonderen Arten von Daten, etwa zur Gesundheit, verarbeiten dürfen. Das soll, denkt Voss, auf 90 Prozent aller Unternehmen zutreffen. Sie sollen seiner Vorstellung nach keinen Datenschutzbeauftragten mehr ernennen müssen. Außerdem will er die Höchststrafen für Verstöße von 20 Millionen auf 500.000 Euro absenken.
Auch der Aktivist Schrems sagt gegenüber netzpolitik.org, dass die DSGVO für 90 Prozent der Unternehmen überschießende Berichtspflichten bedeute. „Hier einige Artikel, die für Bürger genau gar nichts bringen, bei kleinen Unternehmen ‚abzuschalten‘ und dafür ein paar Dinge bei ‚Big Tech‘ hinzuzufügen, wäre sinnvoll“, so Schrems.
Neue Regeln für große Plattformen
Die zweite Stufe des Modells, das Voss vorstellte, soll für Unternehmen gelten, die viele oder sensible Daten verarbeiten. Für sie sollen weiterhin die bestehenden Regeln der DSGVO gelten. Einige „veraltete“ Bestimmungen, etwa zur Datenportabilität, würde Voss aber entfernen oder abändern.
Eine „DSGVO Plus“ fordert Voss schließlich für Unternehmen, deren Geschäftsmodell auf dem Verarbeiten von persönlichen Daten aufbaut, also etwa Werbeanbieter, Datenbroker und große Online-Plattformen. Als Grenze stellt er sich dabei vor, dass ein Unternehmen Daten von mehr als 10 Millionen Personen oder von mehr als der Hälfte der Einwohner eines Landes verarbeitet.
Für diese Unternehmen will Voss schärfere Regeln. Sie sollen verpflichtend von Dritten überprüfen lassen müssen, ob sie sich an das Gesetz halten. Im Zweifel sollen die Unternehmen nachweisen müssen, dass sie das tun – und nicht mehr die Behörden das Gegenteil. Außerdem sollen sie Dokumente dazu veröffentlichen müssen, wie sie Daten verarbeiten.
Schrems zieht mit
Weniger Regeln für die meisten Unternehmen – das klingt erstmal nach einer Wirtschaftsforderung. So begrüßt etwa Frederick Richter den Vorstoß. Er ist Vorstand der Stiftung Datenschutz, die viele Beratungsangebote vor allem für kleine Unternehmen anbietet. „Es wäre kein Gesichtsverlust für Datenschützende, wenn sie sich nun eingestünden, dass der 2012 erdachte One-Size-Fits-All-Ansatz nicht ideal ist“, so Richter zu netzpolitik.org. „Ein Kleingartenverein schafft nun einmal geringere Risiken als ein Meta-Konzern.“
Aber selbst der Aktivist Schrems, dem wohl niemand vorwerfen kann, für Wirtschaftsinteressen den Datenschutz schwächen zu wollen, kann der Idee etwas abgewinnen. „Ich habe schon 2012 gesagt, dass der ‚One Size fits All‘-Zugang der DSGVO nicht sinnvoll ist“, sagte er netzpolitik.org. „Leider haben vor allen die großen IT-Konzerne das trotzdem durchgedrückt – wissend, dass sie damit ein eher mildes Gesetz bekommen.“
DSGVO öffnen wäre gefährlich
Wesentlich skeptischer äußert sich Ella Jakubowska von EDRi, dem europäischen Verband der digitalen Zivilgesellschaft. „Wir hätten alle gerne effektivere EU-Datenschutzregeln“, sagte sie zu netzpolitik.org. „Aber wir wissen auch, dass die Industrie jedes Jahr Millionen ausgibt, um menschenrechtsbasierte Gesetzgebung wie die DSGVO zu schwächen. Es gibt eine Menge anderer Maßnahmen, die Regierungen und Industriegiganten ergreifen könnten, um Europas kleine Unternehmen zu stärken, statt eins der wenigen Gesetze in Gefahr zu bringen, die zwischen uns und dem digitalen Wilden Westen stehen.“
Diesem Argument will Schrems aber nicht folgen. Er versteht die Angst davor, dass die EU mit der DSGVO gleichzeitig „die Büchse der Pandora“ öffnen könnte. Er denkt aber, dass „vernünftige“ politische Kräfte sich trotzdem auf eine „gezielte“ Lösung einigen könnten. Das könne dann auch die jahrelange undifferenzierte Kritik an der DSGVO, die sich an Extrembeispielen abarbeite, endlich beenden, meint er.
Was plant die Kommission?
Die Frage, ob die DSGVO geöffnet werden sollte oder nicht, könnte aber bald jemand anders beantworten: Ursula von der Leyen hat für ihr zweites Mandat als EU-Kommissionspräsidentin das Stichwort „Vereinfachung“ für sich entdeckt. Europäische Unternehmen sollen weniger Berichte abgeben müssen, Gesetze sollen einfacher zu erfüllen sein. Die Kommission besteht darauf, dass das etwas anderes ist als Deregulierung. Die europäische Zivilgesellschaft sieht das anders.
Unter diesem neuen Motto arbeitet die Kommission momentan an einer Reihe an Gesetzespaketen. Die „vereinfachen“ jeweils die Regeln für einen Bereich – beim ersten Paket war das die Nachhaltigkeit bei Unternehmen. Viele von ihnen müssen nun keine Umweltbilanzen mehr erstellen oder keine Abgaben mehr zahlen, wenn sie klimaschädliche Produkte importieren.
Bis Ende des Jahres will die Kommission so ein Paket auch für den Digitalbereich vorstellen. Dabei will sie „bestehende Datenregeln angehen“, um ein „vereinfachtes, klares und kohärentes gesetzliches Rahmenwerk für Unternehmen und Verwaltungen zu schaffen, um Daten nahtlos und in großem Umfang zu teilen und dabei hohe Standards für Datenschutz und Sicherheit zu respektieren.“
Sehr vage Worte. Ob das auch eine Reform für die DSGVO bedeuten könnte, wollte Vereinfachungskommissar Valdis Dombrovskis vor einigen Wochen noch nicht sagen. Das Paket sei immer noch in Arbeit.
Datenschützer vorsichtig
Europas Datenschützer sollten sich aber für Diskussionen über eine mögliche Reform bereithalten. Dazu hat zumindest der Noch-Datenschutzbeauftragte der EU, Wojciech Wiewiórowski, sie aufgefordert, sagte er gegenüber netzpolitik.org.
Die meisten von Voss‘ Ideen könnten aber auch umgesetzt werden, ohne das Gesetz selbst aufzubohren, meint Wiewiórowski. Er warnt eher davor, das Gesetz wieder zu öffnen: Neue Ideen könnten die Prinzipien des Datenschutzes an sich gefährden. Vereinfachten Regeln für Transparenz und Berichtspflichten steht er zwar offen gegenüber, niedrigere Strafen hält er aber nicht für richtig.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
