Vor gut vier Monaten brachte uns der Fristablauf zur Umsetzung der Datenschutz-Grundverordnung (DSGVO) viel Aufregung und Fehlinformationen. Das Ende war nah. Vier Monate später ziehen Verbände und Institutionen eine erste Bilanz.
Der Inhalt im Überblick
Unternehmen beklagen Aufwand und fordern Nachbesserung
Die Bitkom, der Branchenverband der deutschen Informations- und Telekommunikationsbranche, hat eine repräsentative Umfrage unter 502 Unternehmen in Deutschland (alle Branchen, ab 20 Mitarbeiter) durchgeführt. Knapp ein Viertel der Unternehmen in Deutschland hat die DSGVO, laut eigenen Angaben, vollständig umgesetzt. Die große Mehrheit der Unternehmen beklagt höhere Aufwände durch die Datenschutz-Grundverordnung im laufenden Betrieb. Knapp 80 Prozent geben dies an. Vor allem die erweiterten Dokumentations- und Informationsplichten machen den Unternehmen zu schaffen.
Fast alle Unternehmen (96 Prozent) fordern deshalb, dass die neuen Regeln nachgebessert werden. An erster Stelle stehen dabei grundsätzliche Erleichterungen für kleinere Betriebe. 90 Prozent derer, die Nachbesserungen fordern, geben dies an. 83 Prozent fordern, die Informationspflichten der Datenschutz-Grundverordnung praxisnäher zu gestalten. Die Pflicht zur Bestellung eines Datenschutzbeauftragten ist nur für gut ein Drittel (37 Prozent) der Unternehmen Grund zur Beschwerde. Auch sagen 63 Prozent der befragten Unternehmen, dass die DSGVO ihre Geschäftsprozesse komplizierter macht.
Viele Befragte sehen aber auch positive Effekte der DSGVO. 62 Prozent meinen, die neuen Datenschutzregeln werden zu einheitlicheren Wettbewerbsbedingungen in der EU führen. 46 Prozent sehen in der Datenschutz-Grundverordnung einen Wettbewerbsvorteil für europäische Unternehmen. Insgesamt 30 Prozent sind der Meinung, dass ihnen die DSGVO Vorteile bringt.
Nun sollte man nicht unterschätzen, dass die Bitkom ein Branchenverband ist, der natürlich eine eigene Agenda verfolgt, auch mit repräsentativen Umfragen.
Was sagen die Aufsichtsbehörden?
Bundesdatenschutzbeauftragte
Andrea Voßhoff spricht von „signifikant gestiegenen Eingängen bei den Aufsichtsbehörden“. Ihre Dienststelle erreichten seit dem 25. Mai bis Mitte August insgesamt 1020 Beschwerden und 1453 allgemeine Anfragen. Die europäischen Datenschutzaufsichtsbehörden haben ihre gemeinsame koordinierende Tätigkeit mit bisher 262 europaweit anhängigen Fällen aufgenommen. Frau Voßhoff sagt weiterhin:
„Viele der um den 25. Mai in der Öffentlichkeit kursierenden Fehlinformationen zur DSGVO haben zu unnötiger Unsicherheit geführt. So wurde das Ende der Fotografie vorhergesagt und die DSGVO als überflüssiges Bürokratiemonster bezeichnet. Es wurde eine Abmahnwelle befürchtet oder die massenweise Verhängung von Geldbußen durch die Aufsichtsbehörden. Solche Szenarien sind ausgeblieben.“
Kurz nach dem 25. Mai 2018 hatten einzelne Anwälte, Abmahnungen wegen tatsächlicher oder vermeintlicher Datenschutzverstöße verschickt. Kürzlich hat das Landgericht Würzburg nun einen Beschluss zu einer dieser Abmahnungen gefasst (Beschl. v. 13.09.2018, Az.: 11 O 1741/18).
Die Berliner Beauftragte
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat ebenfalls erste Zahlen zu den Monaten Mai bis Juli veröffentlicht.
Die Anzahl der Beschwerden, die bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit eingehen, sind seit dem 25. Mai 2018 stark gestiegen. In den Monaten Mai bis Juli 2018 erreichten die Behörde 1380 Datenschutzbeschwerden von Bürgerinnen und Bürgern. Im gleichen Vorjahreszeitraum gab es lediglich 344 solcher Eingaben zu bearbeiten.
Es sind viermal so viele Beschwerden und 10-mal mehr gemeldete Datenpannen (111 Vorfälle) im Vergleich zum Vorjahr eingegangen. Insgesamt haben 7000 Unternehmen ihren Datenschutzbeauftragten gemeldet.
Bayern und Niedersachsen
Seit dem 25. Mai gab es in Bayern 1139 gemeldete Datenpannen. Bei etwa 50 Prozent der gemeldeten Datenschutzverstöße handelte es sich um einen Fehlversand (i.d.R. von E-Mails). Im selben Zeitraum erreichten die Aufsichtsbehörde 1498 Beschwerden. Das Online-Portal zur Meldung von Datenschutzbeauftragten wurde in Bayern erst am 17. Juli 2018 freigeschaltet. In den ersten 40 Tagen wurden 10.000 Datenschutzbeauftragte in Bayern online gemeldet.
Einen aktuellen Einblick bekamen unsere Münchener Kollegen auf der „Data Protection Intensive“ der IAPP in München. Unabhängig voneinander betonten Frau Thiel (Aufsichtsbehörde Niedersachen) und Frau Möldner (BayLDA) die Wichtigkeit des „Verzeichnisses der Verarbeitungstätigkeiten“ (VVT) als Kernbereich des betrieblichen Datenschutzes. Dies sei ein wichtiger Indikator hinsichtlich der Umsetzung des Datenschutzmanagementsystems. Insbesondere beim VVT müssen die Unternehmen „nach bestem Wissen und Gewissen“ arbeiten.
„Wir Aufsichtsbehörden sind auch nicht allwissend“
Barbara Thiel (Landesbeauftragte für den Datenschutz Niedersachsen)
Mit Blick auf die hohe Arbeitsbelastung der Aufsichtsbehörden wurde von beiden Referentinnen betont, dass eine Priorisierung auf Beschwerden liegt. Proaktive Kontrollen werden von den vorhandenen Ressourcen abhängig sein.
Rheinland-Pfalz
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Prof. Kugelmann, sagte im Rahmen der Veranstaltung „125 Tage DSGVO“: „Die Datenschutz-Grundverordnung hat voraussichtlich eine Verfünffachung der eingehenden Beschwerden zur Folge“. Außerdem vermutet er eine „Verdreißigfachung der Meldungen von Datenschutzverletzungen“.
Nutzervertrauen in große Digitalkonzerne
Im Rahmen einer Civey-Umfrage im Auftrag der „NEXT Conference 2018“ wurden über 5000 Internet-Nutzer in Deutschland befragt. Dabei kam heraus, dass die Kritik an den großen Digitalkonzernen immer lauter wird. Kernpunkte sind dabei unter anderem deren Marktmacht, aber auch der Datenschutz. Vor allem die jüngsten Vorfälle wie der Missbrauch von Facebook-Daten durch Cambridge Analytica (und nun das Datenleck bei Google+) haben die Nutzer sensibilisiert und misstrauischer gemacht.
So wundert es nicht, dass vier von fünf Befragten wenig oder gar kein Vertrauen in die großen Digitalkonzerne haben. 79,2 Prozent der Deutschen wollen, dass Konzerne wie Facebook, Amazon oder Google stärker reguliert werden. Allerdings scheitert, bei aller Kritik an den Online-Konzernen, ein Wechsel zu anderen Anbietern oft an der eigenen Bequemlichkeit, am Unwissen oder am Desinteresse. Damit die Potentiale der DSGVO bestmöglich ausgeschöpft werden, muss die Zivilgesellschaft aktiv werden.
Grundwasser der Informationsgesellschaft
Vier Monate nach Fristablauf zur Umsetzung der Datenschutz-Grundverordnung stehen wir natürlich noch auf nicht kartiertem Gelände. Aber es ist etwas in Bewegung geraten. Es gibt viele Hinweise, die darauf hindeuten, dass die DSGVO Staaten außerhalb Europas positiv beeinflusst. Das falsche Bild von „Daten sind das neue Öl“ bröckelt. Wikimedia Deutschland hat das Bild von Daten als „neues Grundwasser der Informationsgesellschaft“ entworfen. Abraham Taherivand beschreibt die Metapher
„So ähnlich wie Wasser, das aus einer Quelle fließt, entstehen Daten […] jederzeit neu, wandeln sich, ohne sich zu verbrauchen und dürfen nur unter bestimmten Bedingungen zur Ware werden“.
Eventuell kann eine neue Metapher helfen, die Potenziale einer am Gemeinwohl orientierten Datenpolitik zu fördern.
