NEWS

2 Jahre DSGVO – ein Resümee

Am 25. Mai 2018 trat mit der Datenschutz-Grundverordnung (DSGVO) einer der einflussreichsten Gesetzestexte der letzten Jahre in Kraft. Sie hatte zum Ziel, den Datenschutz in der EU zentral zu regeln und die Rechte der Verbraucher zu stärken. Doch wie erfolgreich war die Einführung? Was hat die DSGVO bisher erreicht? Eine Zusammenfassung.


Eines ist sicher: Die DSGVO hat ein neues Bewusstsein für die Wichtigkeit des Datenschutzes geweckt – sowohl bei Unternehmen als auch bei Verbrauchern. Regelmäßig werden datenschutzrechtliche Verfahren und verhängte Bußgelder in den Medien diskutiert und auch im Kampf gegen die COVID-19-Pandemie werden datenschutzrechtliche Erwägungen in Betracht gezogen. International findet die DSGVO Bewunderer und Nachahmer, allerdings auch viele Kritiker.

In den vergangenen zwei Jahren wurden in Deutschland und der EU Bußgelder in Millionenhöhe gegen Unternehmen verhängt, die gegen die Auflagen der DSGVO verstoßen oder die in ihr vorgeschriebenen Maßnahmen zu spät umgesetzt hatten. Das höchste, in Deutschland verhängte Bußgeld musste die Deutsche Wohnen SE in Berlin zahlen – 14,5 Mio. Euro für die unzulässige Speicherung von Mieterdaten. Im Vergleich zum europäischen Ausland sind die Strafen in Deutschland bisher aber recht klein ausgefallen. Am härtesten hat die britische Aufsichtsbehörde Information Commissioner‘s Office (ICO) durchgegriffen, die im Juli 2019 mit gleich zwei dreistelligen Millionenbußgeldern für Aufsehen gesorgt hat.

Dank der durch die DSGVO erreichten neuen Transparenz bleibt der Datenschutz auch weiterhin Fokuspunkt des öffentlichen Interesses, wie auch derzeit im Umgang mit (Gesundheits-)Daten während der Corona-Krise. Dieses konkrete Beispiel zeigt, dass die EU dem Ziel, das Bewusstsein für Datenschutz zu steigern, in den letzten zwei Jahren sehr viel nähergekommen ist.

Die DSGVO findet nur Anwendung, wenn Datenverarbeiter und/oder betroffene Person in der EU ansässig sind, und ist somit nur in einem eingeschränkten geographischen Rahmen gültig. Dies führt für international tätige Unternehmen zu großen Herausforderungen. Allerdings ziehen andere Legislaturen bereits nach. So hat der amerikanische Bundesstaat Kalifornien 2018 den California Consumer Privacy Act CCPA verabschiedet. Auch wurde zwischenzeitlich ein sogenannter „Angemessenheitsbeschluss“ der EU-Kommission für Japan erlassen; Südkorea wird wohl bald folgen. Darin wird bestätigt, dass diese Länder über vergleichbare Regelungen im Datenschutz verfügen und diese auch durchgesetzen werden. So werden dem Datenverkehr mit diesen Ländern keine unnötigen Hürden mehr im Wege stehen.

 

Allerdings ist noch nicht alles getan – die Zusammenarbeit mit Behörden funktioniert noch nicht reibungslos, viele Unternehmen haben immer noch nicht alle vorgeschriebenen Maßnahmen vollumfänglich umgesetzt, und mit der e-Privacy-Verordnung fehlt noch ein großer Teil des Puzzles Datenschutz, der zu einer unsicheren Rechtslage im für das Thema Datenschutz besonders wichtigen Internet sorgt. Endlos lange, unverständliche Datenschutzhinweise und zahllose undurchsichtige Cookie Banner sind nun das Ergebnis dieser Regelungslücke.

In ihrem Statement zum Jahrestag der DSGVO hat die EU-Kommission nationale und regionale Datenschutzbehörden aufgefordert, weiterhin in ihre (finanziellen wie personellen) Ressourcen zu investieren. Die so ausgebauten Kapazitäten sollen die Um- und Durchsetzung der Verordnung und damit die Compliance in Unternehmen weiter vorantreiben. Auch der Europäische Datenschutzausschuss sprach sich im Februar 2020 für die kontinuierliche Verbesserung der Zusammenarbeit mit den Behörden aus.

Das ist auch bitter nötig, denn viele Fragen bleiben weiterhin offen. So gibt es auch zwei Jahre nach Inkrafttreten der DSGVO noch kein offiziell anerkanntes Zertifizierungsverfahren, wie in Artikel 42 DSGVO vorgesehen. Nichtsdestotrotz gibt es auf dem Markt viele fragwürdige „Zertifikate“, die einen solch offiziell anerkannten Eindruck vorgaukeln.

Die EU-Kommission hat aber ebenfalls noch Aufgaben zu erledigen. Die e-Privacy-Verordnung, die die Cookie- und die e-Privacy-Richtlinie ersetzen wird, sollte eigentlich zeitgleich mit der DSGVO in Kraft treten. Weil die Verordnung im Schutz personenbezogener Daten im Kontext elektronischer Kommunikationsdienste wohl weitreichende Konsequenzen für Geschäftsmodelle internetbasierter Unternehmen nach sich ziehen wird, ist auch zwei Jahre nach Inkrafttreten der DSGVO immer noch kein Startdatum für die e-Privacy-Verordnung in Sicht. So bleibt das europäische Datenschutzrecht lückenhaft und nicht kohärent.

Darüber hinaus gibt es viele Kritiker, die in der DSGVO ein bürokratisches Monstrum sehen. Eine richtige Stärkung von Verbraucherrechten gegenüber großen Datenkraken wie Google & Co. konnte nicht erreicht werden. Stattdessen stellt die DSGVO die gleichen Anforderungen an eben diese Mega-Konzerne, an große Mittelständler und kleinere Familienunternehmen oder gemeinnützige Vereine. Dies sorgte insbesondere zu Beginn zu vielen Unsicherheiten und panischen Reaktionen einzelner Unternehmen.

 

Abschließend ist jedoch zu vermerken, dass die DSGVO ihr Hauptziel, den Datenschutz zu vereinheitlichen und in den Fokus des öffentlichen Interesses zu rücken, zu großen Teilen erreicht hat. Die Transparenz im Umgang mit ihren Daten hat klare Vorteile für Verbraucher und auch Unternehmen haben die Maßgaben mittlerweile zu großen Teilen umgesetzt.

Um aber zu einem wirklichen, realisierten Daten“schutz“ zu kommen, haben sowohl Gesetzgeber als auch Unternehmen noch eine To-do-Liste: Das Regelwerk muss vervollständigt und nach Möglichkeit auch flexibler gestaltet werden. Nur so können alle Gesetzeslücken geschlossen und Verarbeiter angemessen reglementiert werden.

Ebenso ist in Unternehmen Datenschutz keine „One and Done“-Aufgabe. Einem initialen Audit der Ist-Situation muss nicht nur die Implementierung von Maßnahmen und Guidelines folgen, sondern auch ein System für die kontinuierliche Bearbeitung von Anfragen oder Fällen etabliert werden.

CLARIUS.LEGAL verfolgt weiterhin die Entwicklungen im europäischen (und deutschen) Datenschutz und steht Unternehmen sowohl als Datenschutzberater als auch als externer Datenschutzbeauftragter nach Artikel 37 DSGVO mit Rat und Tat zur Seite.