Zum Inhalt springen Zur Navigation springen
2 Jahre DSGVO – Zwischen Exportschlager und Innovationsbremse

2 Jahre DSGVO – Zwischen Exportschlager und Innovationsbremse

Am 25.05.2018 war es endlich soweit: Die DSGVO kam zur Anwendung! Dies ist nun zwei Jahre her. Das Bewusstsein für Datenschutz und Privatsphäre ist weltweit gestiegen – so weit, so gut. Doch wie sieht es mit der Akzeptanz der DSGVO und des Datenschutzrechts genauer aus? Was hat sich in diesen zwei Jahren getan? Wir lassen die Zeit in diesem Beitrag einmal Revue passieren.

Die DSGVO – Einheitlichkeit für Europa

Die Datenschutz-Grundverordnung, welche eigentlich den schönen Titel

„Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“

trägt, wurde nach vielen und langen Diskussionen erlassen, um den Schutz personenbezogener Daten im EU-Gebiet sicherzustellen und zu vereinheitlichen sowie gleichzeitig den freien Datenverkehr innerhalb des Europäischen Binnenmarktes zu gewährleisten.

Nur mal am Rande: Der genannte Stichtag ist entgegen der landläufigen Meinung nicht der Tag des Inkrafttretens der DSGVO. Dies ist bereits am 24.05.2016 erfolgt. Allerdings ist die DSGVO erst seit dem 25.05.2018 in ihrer konkreten Form verbindlich anwendbar. Wenn Sie also einmal in Ihrem Bekanntenkreis oder vor Ihren Arbeitskollegen mit unnützem Wissen prahlen wollen, eignet sich dieser kleine Fun Fact dafür sicher ganz hervorragend.

Unmittelbare Folgen in Deutschland…

Anders als die Richtlinie aus dem Jahr 1995, welche die DSGVO ersetzt hat, ist diese unmittelbar geltendes Recht. Es bedurfte also nicht mehr einer Umsetzung durch die EU-Mitgliedstaaten. In Deutschland wurde lediglich das bestehende Bundesdatenschutzgesetz angepasst und deutlich verschlankt.

Je näher der ominöse Startschuss der DSGVO gerückt ist, desto mehr war die Unsicherheit sowohl in der Bevölkerung als auch bei Unternehmen zu spüren. Dabei hat sich inhaltlich eigentlich gar nicht viel geändert. Schließlich war Deutschland in Europa der Vorreiter in Sachen Datenschutz(vorschriften). Die DSGVO hat sich zudem weitgehend am BDSG in seiner alten Fassung orientiert. Begriffe wie Datensparsamkeit bzw. -minimierung oder Zweckbindung sollten also schon zu Zeiten des (alten) BDSG kein Neuland sein. Aus dem Berateralltag lässt sich allerdings berichten, dass das Thema Datenschutz zumindest vor Anwendbarkeit der DSGVO oftmals als nicht allzu wichtig angesehen worden ist. In puncto Bewusstsein für den Datenschutz hat die DSGVO sicherlich ihr Ziel erreicht.

…und in Europa

Das „neue“ Datenschutzrecht hat zunächst seltsame Blüten getrieben. Gefühlt wurde nahezu jede Form der Datenerhebung und -verarbeitung hinterfragt. Das kann man natürlich zunächst positiv werten, zeigt es doch, dass im Grunde eine gute Sensibilisierung vorhanden ist. Eine der bekanntesten Geschichten in diesem Zusammenhang war zweifellos das „Klingelschild-Chaos“, in welchem ein Wiener Wohnungsunternehmen sämtliche Klingelschilder entfernen wollte, weil die offene Nennung der Mieternamen an der Haustür angeblich gegen die Vorgaben der DSGVO verstoßen haben soll. Dass die DSGVO mangels einer automatisierten Verarbeitung in diesem Fall gar nicht anwendbar ist, hatte sich anfangs offenbar nicht zu allen herumgesprochen.

Eine positive Zwischenbilanz?

Zwei Jahre nach Anwendbarkeit ist sicherlich ein guter Zeitpunkt, eine Zwischenbilanz zu ziehen. Auf der Habenseite steht definitiv die Vereinheitlichung von datenschutzrechtlichen Vorschriften im gesamten EU-Gebiet. Diese gelten für Kleinstgewerbe grundsätzlich genauso wie für einen multinationalen Konzern. Auf diese Weise wird, zumindest theoretisch, das höchstmögliche Schutzniveau für personenbezogene Daten jedes Einzelnen gewährleistet.

Darüber hinaus war die DSGVO schon vor ihrer Anwendbarkeit berüchtigt, da sie die Möglichkeit bietet, finanziell schmerzhafte Bußgelder zu erlassen. Diese können gemäß Art. 83 Abs. 4 und Abs. 5 DSGVO, je nach Art des Verstoßes, maximal 20 Mio. EUR oder 4 % des gesamten weltweit erzielten Jahresumsatzes betragen. Diese Zahlen schweben seitdem wie ein Damoklesschwert über den Verantwortlichen, frei nach dem Motto: Wer nicht hören will, muss fühlen.

Bußgelder zur Abschreckung

Positiv ist sicherlich, dass deutsche sowie europäische Aufsichtsbehörden nach anfänglichem Zögern von den nunmehr vorhandenen Möglichkeiten durchaus Gebrauch machen. Im November sorgte die Berliner Datenschutzbehörde für einen Paukenschlag. Ein Bußgeld von 14,5 Mio. EUR wurde gegen ein Berliner Immobilienunternehmen verhängt, da dieses Löschfristen nicht eingehalten hatte. Dieser Rekordbetrag sorgte für enormen Aufruhr in der Datenschutzwelt. Bei näherer Betrachtung zeigte sich allerdings, dass – wie so oft – nichts so heiß gegessen wird, wie es gekocht wird. Entscheidend war hier unter anderem, dass sich die Unternehmensleitung eher uneinsichtig gezeigt und trotz vorheriger dringender Mahnung durch die Aufsichtsbehörde keine Abhilfe geschaffen hatte.

Verbesserte Datenschutzstrategie

Tatsächlich kann man nach zwei Jahren DSGVO feststellen, dass sich in vielen Unternehmen etwas getan hat. Das verbesserte Bewusstsein für Datenschutz – sei es aus Überzeugung oder „nur“ aus Angst vor horrenden Bußgeldern – hat zumindest dafür gesorgt, dass vielerorts bessere Strukturen und Automatismen in Sachen Datenschutz vorhanden sind. Im Berateralltag ist zudem zu spüren, dass personenbezogene Daten als schützenswert angesehen werden. Dementsprechend sind Unternehmen seit Einführung der DSGVO oftmals eher bereit, eine Datenschutzstrategie auszuarbeiten, um vor allem den Schutz ihrer Mitarbeiter vollständig zu gewährleisten.

Oder doch nur ein Papiertiger?

Natürlich ist nicht alles Gold, was glänzt. Auch ein Bußgeld über 14,5 Mio. EUR kann nicht darüber hinwegtäuschen, dass es Europa bislang nicht gelungen ist, die großen Datenkraken unserer Zeit zu zähmen. Auch dies war und ist ein Ziel, welches sich die Europäische Union auf die Fahne geschrieben hatte. Ein Problem hierbei ist, dass die nationalen Datenschutzbehörden vielerorts noch nicht voll einsatzfähig sind. Der Vorbildfunktion der DSGVO für andere Länder ist man sich in Europa allerdings bewusst. Věra Jourová, als Vizepräsidentin der Brüsseler Regierungsinstitution für Werte und Transparenz zuständig, und Justizkommissar Didier Reynders betonten:

„Innerhalb der letzten zwei Jahre haben diese neuen Regeln nicht nur den Umgang mit personenbezogenen Daten in Europa revolutioniert, sondern sich auch zu einem weltweiten Vorbild im Bereich des Datenschutzes entwickelt.“

Dem kann man grundsätzlich zustimmen, ist doch die DSGVO tatsächlich Vorbild für neu geschaffene Datenschutzgesetze, unter anderem für den „California Consumer Privacy Act“ in den USA. Um mehr zu sein als nur ein Papiertiger, appellierten Jourová und Reynders an die EU-Mitgliedsstaaten, ihre Datenschutzbehörden

„mit angemessenen personellen, finanziellen und technischen Ressourcen auszustatten, damit sie ihre Durchsetzungsbefugnisse auch wirksam wahrnehmen können“.

Überforderung der Aufsichtsbehörden

Bislang machen diese allerdings eher den Eindruck, mit der datenschutzrechtlichen Gesamtsituation überfordert zu sein. Erst Ende April dieses Jahres hat das Unternehmen Brave die EU-Kommission aufgefordert, ein Vertragsverletzungsverfahren gegen sage und schreibe 26 Mitgliedsstaaten einzuleiten, weil es bei der Verfolgung von Datenschutzverstößen enorme Schwierigkeiten gebe. Brave kritisiert insbesondere, dass nahezu sämtliche nationalen Aufsichtsbehörden deutlich zu wenig Ressourcen hätten.

Immerhin scheint sich seit kurzem etwas in die richtige Richtung zu bewegen. Vor wenigen Tagen hat die irische Aufsichtsbehörde deutlich gemacht, dass sie gegen die Betreiber von Twitter und Whatsapp wegen einer Vielzahl von Datenschutzverstößen vorgehen will.

Die Zukunft des Datenschutzes

Die spannende Frage lautet also: Quo vadis, Datenschutz? Aufgrund der höheren Sensibilisierung für Datenschutz sowie der weiter wachsenden Digitalisierung wird dieser Bereich auch in Zukunft immer wieder für Gesprächsstoff sorgen. Dies lässt sich besonders gut in der aktuellen Corona-Krise beobachten. Datenschutz spaltet Deutschland und die Welt quasi in zwei Lager. Auf der einen Seite stehen diejenigen, welche im Datenschutz eine Innovationsbremse sehen und am liebsten schon seit vorgestern Tracking-Apps und noch vieles mehr verpflichtend eingeführt hätten; und dies alles im Namen der Gesundheit. Derzeit geistern diverse Gesetzesvorhaben zur Datenerfassung durch den Bundestag. Zudem müssen Gaststättenbetreiber Kontaktdaten ihrer Gäste erfassen, damit man mögliche Infektionsketten nachvollziehen kann. Schöne Grüße an den Bundesgesundheitsminister an dieser Stelle!

Auf der anderen Seite machen sich viele Sorgen um ihre Grundrechte und befürchten, dass diese zu stark aufgeweicht werden. Und diese Sorgen sind offenbar berechtigt. Nicht nur die bekannte Virologin Dr. Melanie Brinkmann hat kürzlich empfohlen, den Datenschutz auf Grund der Pandemie „zeitlich befristet [zu] lockern“. Da zeigt sich, dass das allgemeine Verständnis von Grundrechten – und Datenschutz ist ein Grundrecht! – oft nicht besonders ausgeprägt ist. Eine gefährliche Entwicklung, der es entgegenzutreten gilt. Eine durchsetzungsstarke DSGVO wäre dabei sicherlich hilfreich.

Wie ist Ihre Meinung zur DSGVO? Wir freuen uns auf Ihre Kommentare.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Leider noch immer nicht mit Wirkung insbesondere in der öffentlichen Verwaltung angekommen. Die Grundeinstellung ist, dass die Datenschutzbeauftragten gefälligst wunschkonforme Stellungnahmen abgeben, um die Abläufe nicht zu stören oder gar zu unterbinden. Aber solange keine Bußgelder in dem Bereich drohen, bleibt die Aufsicht ein Papiertiger. Tatsächlich haben noch immer nicht alle Verwaltungen auf Landesebene einen bDSB benannt. Ist ja grade auch erst umzusetzen; man kennt ja die „Schnelligkeit“ der Verwaltungshengste.

  • Ich habe gerade eine ‚Erinnerung‘ an das Landesamt für Datenschutz in Niedersachsen abgeschickt: seit sechs Monaten keine Antwort auf meine Beschwerde. Kein Einzelfall !

    • In der Tat ist dies kein Einzelfall, sondern ein Problem, dass die Datenschutzaufsichtsbehörden seit Jahren plagt. Sollten Sie innerhalb der gesetzlichen Frist von 3 Monaten nicht über den Stand der Beschwerde informiert worden sein, können Sie eine Untätigkeitsklage erheben. Sollte indes nur eine Entscheidung ausstehen, gestaltet sich die Lage schwieriger. Näheres dazu können Sie dem unteren Abschnitt des Beitrags „Haftet die Datenschutzaufsichtsbehörde bei Untätigkeit?“ entnehmen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.