DSGVO-Compliance – auch 2024 ein wichtiges Thema für Unternehmen

Gemäß einer repräsentativen Umfrage der Bitkom wurde die DSGVO in einem knappen Drittel der befragten Unternehmen bisher nur teilweise umgesetzt. Auch in Unternehmen, in denen die DSGVO größtenteils umgesetzt ist, kommt nach der Einführung keine Entspannung auf. 83 Prozent der Befragten sehen durch die Einführung der DSGVO einen „dauerhaft höheren Aufwand“ im Unternehmen. 92 Prozent stimmten der Aussage zu, dass die DSGVO-Umsetzung „nie vollständig abgeschlossen“ ist. Die Gründe dafür gehen ebenfalls aus der Umfrage hervor: Neben erneuten Überprüfungen der DSGVO-Compliance, angestoßen durch das Ausrollen von neuen Tools, sind rechtliche Unsicherheiten bei der Auslegung der DSGVO-Vorgaben eine der meistgenannten Herausforderungen.

Die größte Entwicklung gab es Mitte des Jahres sicherlich im Hinblick auf internationale Datentransfers. Gemäß der zitierten Bitkom-Umfrage transferieren knapp zwei Drittel der in Deutschland ansässigen Unternehmen personenbezogene Daten in Länder außerhalb der Europäischen Union. Dies sind vornehmlich die USA und Großbritannien, etwa auf Grund der Nutzung von Cloud-Services und Kommunikationsdiensten oder dem Einsatz von Dienstleistern. Für Datentransfers in Länder, die nicht Teil des Europäischen Wirtschafsraums sind, und für die kein Angemessenheitsbeschluss vorliegt, sind ersatzweise geeignete Garantien erforderlich. Das EU-US Privacy Shield wurde im Juli 2020 für ungültig erklärt (Schrems II). Damit war die Rechtsgrundlage für Datentransfers in die USA für viele Jahre ein Unsicherheitsfaktor. Seit Juli 2023 ist das neue Abkommen, genannt Data Privacy Framework, gültig. Auch wenn teilweise bereits vor der Unterschrift diskutiert wurde, wann das neue Abkommen erneut auf den rechtlichen Prüfstand gestellt wird, haben Unternehmen nun erstmal formell eine höhere rechtliche Sicherheit bei der Übertragung von Daten in die USA.

Eine bedeutende Rechtsprechung erfolgte Anfang Dezember 2023 durch den Europäischen Gerichtshof (EuGH). Inhalt war ein Rechtsstreit zwischen Deutsche Wohnen (inzwischen Teil von Vonovia) und der Berliner Datenschutzbehörde. Der EuGH bekräftigte in seinem Urteil, dass Aufsichtsbehörden Bußgeldstrafen auf Grund von nachgewiesenen Verstößen gegen die DSGVO direkt gegen Unternehmen – also juristische Personen – verhängen dürfen. Die Benennung einzelner Mitarbeitende, durch deren Handlungen Verstöße gegen die DSGVO zu Stande gekommen sind, ist hingegen auch künftig nicht für einen rechtskräftigen Bußgeldbescheid notwendig. Das Urteil betont damit vielmehr die Verantwortung der Unternehmensführung, Mitarbeitende auf den Schutz personenbezogener Daten zu verpflichten und entsprechend zu schulen. Die Unternehmensführung kann sich allerdings trotz aller Maßnahmen in Hinblick auf Verpflichtungen und Schulungen der Mitarbeitenden nicht exkulpieren.

Im Kontext von internationalen Datentransfers sind vor allem die Entwicklung der Datenschutzstandards in den USA und in Großbritannien zu beobachten sowie eine entsprechende Bewertung aus der Perspektive der DSGVO vorzunehmen. Es gab bereits erste Versuche, das Data Privacy Framework rechtlich anzufechten, wenn auch zunächst erfolglos. Die Nichtregierungsorganisation noyb kündigte ebenfalls eine Anfechtung beim EuGH an. Im Hinblick auf Großbritannien läuft der Angemessenheitsbeschluss im Juni 2025 aus. Entsprechend steht eine Überprüfung seitens der EU-Kommission aus, ob personenbezogene Daten in Großbritannien weiterhin hinreichend geschützt werden.

Die Entscheidung des EuGH im Fall Deutsche Wohnen bekräftigt indirekt das Erfordernis, die interne Datenschutzorganisation in Unternehmen gut aufzustellen. Neben detaillierten Datenschutz-Richtlinien ist eine klare Zuweisung von Rollen und Verantwortlichkeiten sowie eine Sensibilisierung aller Mitarbeitenden von zentraler Bedeutung. Unternehmen müssen in diesem Zusammenhang sämtliche erforderlichen Maßnahmen treffen, die zu einer Erhöhung der Sicherheit und dem Schutz von personenbezogen Daten beitragen.

Darüber hinaus wird die Umsetzung der Europäischen Datenstrategie in Unternehmen ein zunehmend relevantes Thema. Das erklärte Ziel, einen Binnenmarkt für Daten zu schaffen setzt voraus, dass Unternehmen hinreichende Transparenz über ihre Daten im Allgemeinen sowie insbesondere den Schutzbedarf der personenbezogen Daten besitzen. Mit dem zu erwartenden verstärkten Einsatz von Künstlicher Intelligenz (KI) dürfen die rechtlich-regulatorischen Aspekte des Datenschutzes nicht vernachlässigt werden. Die Vorschläge der EU zur Schaffung eines Rechtsrahmens für KI beinhalten einen risikobasierten Ansatz, der auch aus Datenschutz-Sicht zu prüfen ist. Das Spannungsfeld zwischen KI und Datenschutz bietet sowohl Chancen als auch Risiken.

Verfasserin: Anne Pinke