Die Europäische Kommission will mit einem Digital Fitness Check die Daten- und Digitalgesetzgebung prüfen. Die Datenschutzkonferenz (DSK) empfiehlt in diesem Zusammenhang in einer Stellungnahme gezielte Anpassungen der Datenschutz-Grundverordnung (DS-GVO). Konkret soll dadurch das Grundrecht auf informationelle Selbstbestimmung der Bürgerinnen und Bürger, insbesondere von Kindern, wirksam geschützt werden. Hersteller sollen datenschutzrechtlich stärker in die Verantwortung genommen und damit kleine und mittlere Unternehmen entlasten sowie die Umsetzung des Datenschutzes vereinfacht werden.
Die Verordnung über Künstliche Intelligenz, derGesundheitsdatenraum, der Digital Services Act, der Data Act – diese und weitere Digitalrechtsakte der Europäischen Union wurden in den vergangenen Jahren aufden Weg gebracht. Einige gelten bereits, weitere kommen zur Anwendung. Die Regelungen der DS-GVO haben sich in Zeiten der Digitalisierung vieler Lebensbereiche bewährt. Dies wird auch durch das Verhältnis der DS-GVO zu den EU- Digitalrechtsaktendeutlich, die die Geltung der DS-GVO grundsätzlich unberührt lassen. Diese Grundrechtsorientierung macht die DS-GVO zu einem funktionalen und zentralen Bestandteil des Datenrechts in Europa. Die elementaren Regelungen der Art. 5, 6 DS-GVO sollten daher nicht angetastet werden.
Zielgerichtete Anpassungen anderer Regelungen der DS-GVO hält die DSK jedoch für notwendig und greift hierbei auf die langjährige Erfahrung ihrer Mitglieder aus der Aufsichtspraxis zurück. Eine Entlastung der Wirtschaft und ein spürbarer Bürokratieabbau lassen sich durch eine Anpassung des Art. 37 Abs. 7 DS-GVO erreichen, indem die Pflicht zur Mitteilung der Kontaktdaten von Datenschutzbeauftragten an die Aufsichtsbehörde gestrichen wird. Ebenso fordert die DSK Konkretisierungen bei der Definition von „biometrischenDaten“ sowie dem Umgang mit besonders sensiblen Daten (Artikel 9 Daten). Die DSK formuliert Modifikationen, wie das Auskunftsrecht erhalten, aber auch die Rechte und Freiheiten Dritter vor unverhältnismäßiger Beeinträchtigung in begründeten Einzelfällen ausgeglichen werden können. Zur Effektivierung der Funktion der Aufsichtsbehörden schlagen sie vor, bei der Bearbeitung von Beschwerden mehr Spielraum zu erhalten, um diebegrenzten Ressourcen sach- und interessengerecht einsetzen zu können; unter anderem deshalb, weil die Beschwerdezahlen europaweit signifikant angestiegen sind.
Die DSK sieht auch in weiteren Bereichen Handlungsbedarf. So müssen Hersteller und Anbieter von Hard- und Software in das System datenschutzrechtlicher Pflichten stärker einbezogen werden. Die DS-GVO stellt bereits heute mit Data Protection by Design and by Default (Art. 25 DS-GVO) Grundsätze auf, die anHersteller, Importeure und Anbieter gerichtet sein müssten. Gegenwärtig werden ausschließlich die Anwender von Hard- und Software datenschutzrechtlich in die Pflicht genommen. Wenn kleinere und mittlere Unternehmen entlastet werden sollen, muss hier eine Anpassung erfolgen: Das Konzept der datenschutzrechtlichen Verantwortlichkeit muss fortentwickelt und dabei auch an das anderer Digitalrechtsakte wie den Cyber Resilience Act (CRA) oder die KI-Verordnung angeglichen werden.
Ein weiterer Bereich der in der Stellungnahme adressierten Reformvorschläge betrifft den Kinder- und Jugendschutz. Die DSK fordert, den Schutz der Daten von Kindern und Jugendlichen zu verbessern. Hierzu hatte sie bereits zehn konkrete Vorschläge gemacht. Unter anderem fordert sie ein Verbot von personalisierter Werbung und kindgerechte Voreinstellungen in Sozialen Netzwerken. Schließlich empfiehlt die DSK spezifische Rechtsgrundlagen für Entwicklung, Training und Betrieb von KI-Modellen und KI-Systemen gesetzlich festzulegen. Die DSK fordert deneuropäischen Gesetzgeber auf, dieRechte von betroffenen Personen beim KI-Einsatz stärker zu berücksichtigen und insbesondere die Informations- und Auskunftsrechte im Hinblick auf den Einsatz von KI zur Verarbeitungvon personenbezogenen Daten zu stärken.
Weitere Informationen: