Datenschutzkonferenz macht Reformvorschläge für die Datenschutz-Grundverordnung

Veröffentlicht von Stefan Fuhrken am

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
(DSK) hat auf ihrer 110. Konferenz in Berlin die Vorschläge der EU-Kommission zur
Anpassung der Digitalgesetzgebung diskutiert und zwei eigene Vorschläge für gezielte
Anpassungen der europäischen Datenschutz-Grundverordnung (DSGVO) beschlossen.
Zudem verabschiedete die DSK einen standardisierten Prüfprozess für die Digitalisierung von
Verwaltungsleistungen und eine Orientierungshilfe zur vereinfachten Abstimmung mit den
Datenschutzbehörden für die Gesundheitsforschung.
Vorschläge der EU-Kommission
Die DSK führte eine intensive Diskussion über die Vorschläge der EU-Kommission zur
Anpassung der DSGVO, der KI-Verordnung und weiterer Digitalrechtsakte (Digital Omnibus).
Die EU-Kommission hat teils weitreichende Änderungen vorgeschlagen, die Auswirkungen
auf den Schutz der Privatsphäre und personenbezogener Daten haben würden.
„Die vorgeschlagenen Regelungen sind an vielen Stellen nicht bis zu Ende gedacht und
führen damit zu neuen Rechtsunsicherheiten,“ sagt Meike Kamp, Berliner Beauftragte für
Datenschutz und Informationsfreiheit und amtierende DSK-Vorsitzende. „Einfache
gesetzliche Anpassungen, die eine Entlastung von kleinen und mittleren Unternehmen
bewirken würden, lässt die Kommission hingegen liegen. Das selbst gesetzte Ziel des
Bürokratieabbaus erfüllt die EU-Kommission damit nicht. So könnten etwa die Hersteller von
Produkten stärker in die Pflicht genommen werden, ihre Produkte datenschutzkonform
auszugestalten, sodass kleine und mittlere Unternehmen bei der Auswahl und dem Einsatz
solcher Produkte nicht mehr die datenschutzrechtliche Hauptlast tragen.“
Die DSK hält zudem den Zeitdruck unter dem das Omnibusverfahren durchgeführt wird, für
unangemessen. Es handelt sich bei dem Vorschlag der EU-Kommission nämlich nicht nur um
vorwiegend redaktionelle und kleinere Anpassungen, sondern unter anderem um solche
fundamentalen Anpassungsvorschläge wie die Änderung der Definition von
personenbezogenen Daten. Dies muss sorgfältig durchdacht und vor dem Hintergrund der
Erfahrungen auch aus der Datenschutzaufsicht diskutiert werden. „Gemeinsam mit den europäischen Datenschutzbehörden werden wir den Vorschlag der Kommission in den
kommenden Wochen detailliert analysieren und eine Stellungnahme abgeben“, sagt Meike
Kamp.


Hersteller und Anbieter von IT-Diensten in die Pflicht nehmen
Die DSK hält es für erforderlich, die Reform der DSGVO zu nutzen und die
datenschutzrechtliche Verantwortung fortzuentwickeln. Künftig sollen Hersteller und
Anbieter von IT-Diensten verpflichtet werden, die Grundsätze des Datenschutzes bereits bei
der Gestaltung ihrer Produkte stärker zu berücksichtigen. „Mit der Herstellerhaftung wird
die datenschutzrechtliche Verantwortung dorthin verlagert, wo die Entscheidungen über die
Gestaltung von IT-Produkten getroffen werden,“ sagt Meike Kamp. „Das stärkt besonders
die Position von kleinen und mittleren Unternehmen, die derzeit oft nicht in der Lage sind,
datenschutzkonforme Prozesse in den genutzten Produkten durchzusetzen, aber bislang
allein die rechtliche Verantwortung tragen.“ Auch die Auftragsverarbeiter sollen verpflichtet
werden, ihre Dienste von vornherein datenschutzkonform auszugestalten.


Einsatz von KI braucht klare gesetzliche Regelung
Bei der Verarbeitung personenbezogener Daten durch KI-Systeme sieht die DSK Bedarf für
DSGVO-Reformen, die über die Vorschläge der EU-Kommission hinausgehen. Die DSK
fordert, spezifische Rechtsgrundlagen für Entwicklung, Training und Betrieb von KI-Modellen
und KI-Systemen gesetzlich festzulegen. „Rechtssicherheit und Innovation gehen Hand in
Hand“, sagt Meike Kamp. „Anpassungen in der DSGVO zum Einsatz von KI sollten eindeutig
und ausbalanciert sein.“
Zudem fordert die DSK den europäischen Gesetzgeber auf, die Rechte von betroffenen
Personen beim KI-Einsatz stärker zu berücksichtigen. Für Einzelfälle, in denen
Betroffenenrechte technisch nur mit unverhältnismäßigem Aufwand umgesetzt werden
können, sollen funktionsäquivalente bzw. kompensatorische Schutzmaßnahmen vorgesehen
werden. Wer personenbezogene Daten in einem KI-System verarbeitet, muss die
betroffenen Personen darüber ausdrücklich informieren. Zudem sollen betroffene Personen
das Recht erhalten, von Verantwortlichen Auskunft über den Einsatz eines KI-Systems zur
Verarbeitung ihrer Daten zu erhalten. Beides sollte in der DSGVO festgelegt werden.

Weitere Beschlüsse
Mit einem neuen, standardisierten Prüfprozess schafft die Datenschutzkonferenz eine
gemeinsame Grundlage, um den Datenschutz bei länderübergreifenden Online-Diensten
von Behörden einheitlich und transparent umzusetzen. Das Dokument gibt Behörden klare Empfehlungen, wie sie Datenschutzanforderungen dokumentieren, prüfen und nachweisen
können – von der Entwicklung bis zum Betrieb ihrer digitalen Angebote. Das Verfahren hilft,
das Einer-für-alle-Prinzip des Onlinezugangsgesetzes auch im Datenschutz praktisch
umzusetzen.
Viele Werbe-E-Mails und Newsletter enthalten Tracking Pixel – unsichtbare Grafiken, mit
denen genau verfolgt werden kann, wer wann und auf welchem Gerät eine E-Mail geöffnet
hat. Dafür ist nach geltendem Recht eine Einwilligung der empfangenden Person
notwendig, die jedoch in der Praxis oftmals nicht eingeholt wird. Aufgrund zahlreicher
Beschwerden wird die DSK sich dem Thema im nächsten Jahr mit einer Veröffentlichung
widmen, um auf die Rechtslage hinzuweisen und der gängigen Praxis entgegenzutreten.
Zudem beschloss die DSK eine Orientierungshilfe zur vereinfachten Abstimmung mit den
Datenschutzbehörden für die Gesundheitsforschung. Das Gesundheitsdatennutzungsgesetz
sieht für länderübergreifende Forschungsvorhaben im Gesundheitswesen eine
federführende Datenschutzaufsicht vor. Die Orientierungshilfe legt ein einheitliches
Verständnis dieser neuen Zuständigkeitsregelungen fest und klärt unter anderem, wann sie
zur Anwendung kommen und wie Forschende sie beantragen können.
Die DSK befasste sich auch mit den Vorschlägen aus der Föderalen Modernisierungsagenda
von Bund und Ländern. Meike Kamp: „Eine Abschaffung der betrieblichen
Datenschutzbeauftragten halten wir für den falschen Weg. Sie sind wichtige
Ansprechpartner für alle Datenschutzfragen innerhalb der Unternehmen, sorgen für eine
kompetente Beratung und damit auch Entlastung der Geschäftsführungen.“
Auf der Tagesordnung standen ferner zwei Dokumente des Gesamtverbandes der Deutschen
Versicherungswirtschaft e.V. Die DSK befürwortete das Muster einer Einwilligungs- und
Schweigepflichtentbindungserklärung für die Verarbeitung von Gesundheitsdaten in der
Lebensversicherung und in der Krankenversicherung. Außerdem sprach sich die DSK für eine
Genehmigung des Entwurfs der Verhaltensregeln für den Umgang mit personenbezogenen
Daten durch die deutsche Versicherungswirtschaft aus. Die Genehmigung wird durch die
Berliner Beauftragte für Datenschutz und Informationsfreiheit erfolgen.

Quelle: Pressemitteilung DSK

Kategorien: Lesenswert / hörenswertLink
Schlagwörter:

Ähnliche Beiträge

Link

Hamburg: Starker Anstieg der Beschwerdezahlen

Im Jahr 2025 verzeichnete der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) so viele Beschwerden wie nie zuvor seit Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018. Die Zahl der eingegangenen Beschwerden stieg von 2.607 im Weiterlesen

Lesenswert / hörenswert

Hörenswert: Podcast Datenschutz Talk

Bereits mehr als 360 Folgen umfasst der Podcast „Datenschutz Talk“ der migosens GmbH. Die aktuelle Folge befasst sich mit dem Thema KI-Apps und deren Umgang mit Nutzerdaten. Neue Folgen erscheinen wöchentlich.

Lesenswert / hörenswert

Elektronische Patientenakte: Datenschutz stärkt Vertrauen und Nutzung

Eine aktuelle Umfrage der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zeigt: Die elektronische Patientenakte (ePA) ist 95 Prozent der gesetzlich Versicherten bekannt. Aktiv genutzt wird sie zurzeit jedoch nur von wenigen – darunter Weiterlesen