Die Datenschutz-Grundverordnung gilt seit 2018 als zentraler Rechtsrahmen für den Schutz personenbezogener Daten in Europa. Gleichzeitig zeigen praktische Erfahrungen der letzten Jahre, dass einzelne Regelungen in der Anwendung zu Unsicherheiten oder unverhältnismäßigem Aufwand führen können.
Vor diesem Hintergrund hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) im Rahmen des sogenannten „Digital Fitness Check“ der EU-Kommission Vorschläge zur Weiterentwicklung der DSGVO vorgelegt.
Die Vorschläge zielen weniger auf eine grundlegende Reform, sondern vielmehr auf eine präzisere und praxisnähere Ausgestaltung bestehender Regelungen.
Gesundheitsdaten: Neue Ausnahmen für typische Vertragssituationen
Ein zentraler Punkt betrifft den Umgang mit besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO, insbesondere Gesundheitsdaten.
Die DSK schlägt vor, einen neuen Ausnahmetatbestand einzuführen, der sich an der Vertragsdurchführung nach Art. 6 Abs. 1 lit. b DSGVO orientiert. Ziel ist es, typische Alltagssituationen rechtlich klarer zu regeln, etwa:
- Erwerb medizinischer Produkte
- Abschluss und Durchführung von Versicherungsverträgen
- andere standardisierte Vertragsszenarien mit Gesundheitsbezug
Die Verarbeitung soll dabei an eine enge Zweckbindung geknüpft sein.
Für Unternehmen würde dies vor allem mehr Rechtssicherheit in Bereichen schaffen, in denen bislang häufig auf Einwilligungen oder komplexe Konstruktionen zurückgegriffen wird.
Herstellerverantwortung und „Privacy by Design“
Ein weiterer Schwerpunkt liegt auf der Rolle von Herstellern und Anbietern von Hard- und Software.
Nach Auffassung der DSK werden die Grundsätze Ein weiterer Schwerpunkt liegt auf der Rolle von Herstellern und Anbietern von Hard- und Software.
Nach Auffassung der DSK werden die Grundsätze von Data Protection by Design und by Default bislang nicht konsequent genug umgesetzt. Zwar gelten diese Anforderungen bereits heute auch für Hersteller, faktisch werden jedoch vor allem die nutzenden Unternehmen in die Pflicht genommen.
Die DSK fordert daher eine stärkere Verlagerung von Verantwortung in Richtung der Anbieter.
Für Unternehmen bedeutet das perspektivisch:
- möglicherweise mehr Auswahlkriterien bei der Beschaffung von Software
- stärkere Anforderungen an eingesetzte Systeme
- höhere Erwartungen an datenschutzfreundliche Voreinstellungen
Entlastung von KMU und Weiterentwicklung der Verantwortlichkeit
Ein weiterer Vorschlag betrifft die Rolle und Ausgestaltung der datenschutzrechtlichen Verantwortlichkeit.
Die DSK spricht sich dafür aus, dieses Konzept weiterzuentwickeln und stärker an neue europäische Digitalrechtsakte anzupassen, insbesondere:
- die KI-Verordnung
- den Cyber Resilience Act
Ziel ist es unter anderem, kleine und mittlere Unternehmen zu entlasten, ohne das Schutzniveau zu senken.
Das deutet auf eine stärkere Verzahnung von Datenschutz, Informationssicherheit und Regulierung digitaler Produkte hin.
KI im Focus: Rechtsgrundlagen und Betroffenenrechte
Ein wesentlicher Teil der Vorschläge betrifft den Einsatz von künstlicher Intelligenz.
Die DSK sieht insbesondere Bedarf bei:
- klaren gesetzlichen Grundlagen für Entwicklung, Training und Betrieb von KI-Systemen
- der Stärkung von Informations- und Auskunftsrechten betroffener Personen
- einer besseren Nachvollziehbarkeit automatisierter Entscheidungen
Damit wird deutlich, dass sich Datenschutzrecht und KI-Regulierung zunehmend überschneiden.
Weitere vorgeschlagene Anpassungen
Neben den zentralen Themen enthält die Stellungnahme weitere Vorschläge, unter anderem:
- Abschaffung der Pflicht zur Meldung der Kontaktdaten von Datenschutzbeauftragten an Aufsichtsbehörden
- Konkretisierung des Begriffs „biometrische Daten“
- mehr Handlungsspielraum für Aufsichtsbehörden bei der Bearbeitung von Beschwerden
- Anpassungen beim Auskunftsrecht zur Berücksichtigung der Rechte Dritter
- stärkere Berücksichtigung des Kinder- und Jugendschutzes
Diese Punkte zeigen, dass es nicht nur um einzelne Detailfragen, sondern um eine Weiterentwicklung der praktischen Anwendung der DSGVO geht.
Einordnung für die Praxis
Auch wenn es sich derzeit nur um Vorschläge handelt, geben sie eine klare Richtung vor:
- mehr Praxisnähe
- stärkere Verzahnung mit anderen Digitalregulierungen
- differenziertere Verantwortungsverteilung
- stärkere Berücksichtigung technologischer Entwicklungen
Für Unternehmen bedeutet das vor allem eines:
Datenschutz bleibt ein dynamisches Feld, das sich zunehmend mit Informationssicherheit, KI und Compliance überschneidet.
Fazit
Die Vorschläge der DSK zeigen, dass die DSGVO nicht statisch ist, sondern weiterentwickelt wird, um mit technologischen und organisatorischen Veränderungen Schritt zu halten.
Unternehmen sollten diese Entwicklungen aufmerksam verfolgen. Auch wenn konkrete gesetzliche Änderungen noch ausstehen, lassen sich bereits jetzt Tendenzen erkennen, die mittelfristig Auswirkungen auf Prozesse, Systeme und Verantwortlichkeiten haben werden.
Datenschutz entwickelt sich zunehmend zu einem integralen Bestandteil digitaler Organisation. Gerade im Zusammenspiel mit Informationssicherheit, KI und regulatorischen Anforderungen wird deutlich, dass isolierte Betrachtungen nicht mehr ausreichen.
Ein strukturierter Umgang mit diesen Themen schafft nicht nur Rechtssicherheit, sondern auch Orientierung im Umgang mit neuen technologischen und rechtlichen Entwicklungen.
Hat Ihnen der Beitrag gefallen?
Neue Fachbeiträge per E-Mail erhalten → Newsletter abonnieren