Datenschutz: Bundesregierung will kleine Änderungen mit großer Wirkung

In Brüssel wird derzeit unter Hochdruck am sogenannten Digital-Omnibus-Gesetz gearbeitet: Viele kleinere Änderungen an Rechtsakten sollen die Regulierung etwas aufräumen und die Wirtschaft von unnötigen Pflichten entlasten. Was die Bundesregierung im Rahmen dieses Prozesses von der EU-Kommission beim Datenschutz will, hat das Bundesinnenministerium als Wünsche der Bundesregierung nach Brüssel übermittelt. Vor allem zwei Änderungsideen könnten große Auswirkungen haben.

So schlägt die Bundesregierung unter anderem vor, dass der „Erwägungsgrund 40“ noch einmal deutlicher formuliert wird: Alle Rechtsgrundlagen für eine zulässige Datenverarbeitung sollen demnach noch einmal ausdrücklich gleichrangig nebeneinander stehen. Das gilt für die Einwilligung des Betroffenen ebenso wie – und das ist der in der Praxis relevanteste Teil – das sogenannte „berechtigte Interesse“, das zahlreiche Anbieter sehr gerne nutzen, um Daten zu erfassen. Im Papier aus dem Bundesinnenministerium heißt es dazu, dass das in der DSGVO eigentlich bereits so angelegt sei — aber Aufsichtsbehörden und Gerichte hätten der Einwilligung in der Realität Vorrang vor den anderen Begründungen in Artikel 6 der Datenschutzgrundverordnung eingeräumt. Dass diese klein wirkende Änderungsidee in der Praxis durchaus massive Folgen haben könnte, dessen ist sich das Innenministerium bewusst — und will genau das erreichen.

Sonntag soll Data-Breach-Notification-frei sein

Etwas überraschend ist, dass das Bundesinnenministerium, das neben dem Datenschutz auch für die Cybersicherheit verantwortlich zeichnet, die Meldepflichten bei entfleuchten Daten, sogenannten Data Breaches, ändern möchte: Insbesondere an Wochenenden sei die harte 72-Stunden-Frist „problematisch“, heißt es im BMI-Papier. Daher will Berlin lieber „3 Arbeitstage“ in der Datenschutzgrundverordnung hinterlegen, was nach deutschem Recht nur den Sonntag ausnimmt, da der Samstag ein regulärer Werktag ist.

Außerdem sollen die Aufsichtsbehörden zu einem technischen Meldeweg für die „Data Breach Notifications“ verpflichtet werden. Dies – und auch, dass die teils überlappenden Meldepflichten zwischen DSGVO und NIS2-Richtlinie harmonisiert werden sollten – dürfte auf allgemeine Zustimmung und wenig Widerstand stoßen.

Pseudonymisierung und Anonymisierung sollen genauer spezifiziert werden

Der zweite potenziell sehr weitreichende Änderungsvorschlag verbirgt sich in den weiteren Ideen, die das BMI nach Brüssel geschickt hat. Diese sollen wohl nicht mehr in das wie erwähnt Digital-Omnibus genannte Artikelgesetz, aber doch in dieser Legislaturperiode angegangen werden. In einem Vorschlag zur Änderung von Artikel 4 der DSGVO geht es ans Eingemachte: Um die Frage, inwieweit Pseudonymisierung und Anonymisierung genauer ausspezifiziert werden sollen.

Hier schlägt die Bundesregierung zwei Wege vor, klarzustellen, dass anonyme Daten als von der Datenschutzgrundverordnung ausgenommen gelten und keine personenbezogenen Daten darstellen. Was tautologisch klingt, hat dabei große Relevanz: Immer wieder ist umstritten, was Anonymisierung im Sinne der Datenschutzgrundverordnung überhaupt meint. Auch der Europäische Gerichtshof hatte in seiner verbindlichen Auslegung der DSGVO bereits eine „relative Anonymisierung“ ins Spiel gebracht, bei der eine Deanonymisierung unter Zuhilfenahme weiterer, dem Verarbeiter aber nicht zur Verfügung stehenden Daten zumindest theoretisch möglich wäre.

Garantieerklärung für Datenschutzeinhaltung in Lieferkette?

Weitere Wünsche aus der Bundesregierung betreffen vor allem – aus Regierungssicht – potenziell missbräuchliche Auskunftsersuchen, allgemeine Erwägungen zur Frage eines weiter abgestuften Risikomodells für Datenverarbeitungen und eine neue Verpflichtung für Hersteller und Lieferanten, dass sie beim Datenschutz europäisches Recht einhalten.

Hier will das BMI also eine neue Verpflichtung einführen, analog zur KI-Verordnung und dem Cyber Resilience Act. Zur KI-Verordnung hatte die Regierung in einem zweiten Papier bereits umfangreich ihre Wünsche kundgetan.

(nen)