Am 25.5.2018 trat die gesamteuropäische Datenschutzgrundverordnung (kurz: DSGVO) in Kraft. Diese Verordnung gilt für alle Staaten in der EU und sieht hohe Strafen für Verstöße vor. Unternehmen und Privatpersonen können Strafen bis zu 20.000.000€ oder 4% des Jahresumsatzes erhalten. Zusätzlich sind die Dokumentationsvorschriften für Unternehmen, Organisationen und Vereine enorm gestiegen. Die Konsumenten erhielten durch diese Verordnungen klar definierte Rechte gegenüber datenverarbeitenden Instanzen. Nach 2 Jahren DSGVO ist es nun an der Zeit, eine Bilanz zu erstellen. Welche Änderungen sollten an der DSGVO durchgeführt werden?
Die Änderungsvorschläge
Beanstandet wird vor Allem die fehlende Unterscheidung zwischen großen weltumspannenden Konzernen und KMUs (Klein- und Mittelbetriebe). Beide haben gleiche Dokumentations- und Aufbewahrungspflichten. Zusätzlich wird über eine Lockerung der Regelungen für Datenexporte in unsichere Drittländer diskuttiert. Techniker beanstanden die fehlenden Regelungen im Bezug auf KI. Außerdem wird über große Hürden beim Datenaustausch zu Forschungszwecken debattiert.
Sollte die DSGVO verändert werden? Gibt es keinen schnelleren Weg?
Die DSGVO ist eine gesamteuropäische Verordnung, weshalb alle Änderungen einen langwierigen Prozess durchlaufen müssen. Vielleicht muss die DSGVO aber gar nicht verändert werden. Die DSGVO sieht bereits in ihrer Originalfassung vom 25.5.2018 (Artikel 97) vor, das am 25.5.2020 und danach alle vier Jahre die Kommision dem Europäischen Parlament einen Bericht mit Bewertungen und Überprüfungen der DSGVO vorlegt. Das Parlament soll die Berichte dann prüfen und notwendige Änderungen durchsetzen. Dieses Jahr wird sich die Überprüfung aufgrund der weltweiten Pandemie jedoch verzögern. Zusätzlich bietet die DSGVO eine schnelle Methode an, um Teile der DSGVO zu adaptieren. Vereinigungen, die „Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten“, wie z.B. die Wirtschaftskammer, können Verhaltensregeln ausarbeiten und von der Aufsichtsbehörde bestätigen lassen.
Ein weiterer Ansatz währe die Einführung eines Zertifizierungssystems, das Unternehmen, welchen der Datenschutz wichtig ist, erlaubt, zusätzliche Datenschutzmaßnahmen nachzuweisen und dafür zertifiziert zu werden.