Datenschutzgrundverordnung

Längst nicht überall umgesetzt

Seit dem 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung angewandt. Ein knappes Jahr mit der DSGVO liegt somit hinter allen Beteiligten. Grund genug zu schauen, was sich verändert hat, ob tatsächlich hohe Strafen verhängt wurden und ob die Regeln innerhalb und außerhalb der EU zu mehr Datenschutz in Unternehmen geführt haben. „Mit der DSGVO gilt erstmals in der EU ein unmittelbar anwendbares europäisches Datenschutzrecht. Die europaweite rechtliche Harmonisierung ist vor dem Hintergrund globaler Verarbeitung personenbezogener Daten ein datenschutzrechtlicher Quantensprung“, unterstreicht der erfahrene Datenschutzfachmann Dr. Jörn Voßbein von der UIMC. Die DSGVO hat nicht nur die öffentliche Verwaltung und private Wirtschaft beschäftigt, sondern ist mit der allgemeinen Diskussion schon fast in den alltäglichen Sprachgebrauch eingegangen. Die Betrachtung konkreter Entwicklungen liefert die Belege: Seit Anwendungsbeginn der DSGVO hat sich die Anzahl von Beschwerden und Anfragen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) stark erhöht. Im Jahre 2017 und den ersten fünf Monaten des Jahres 2018 erreichten den Bundesbeauftragten durchschnittlich ca. 400 Beschwerden und Anfragen pro Monat. In den Monaten Juni bis Dezember 2018 stieg diese Zahl rasant auf etwa 1370 pro Monat an. Schwerpunkte bei den Bürgereingaben bildeten die Betroffenenrechte auf Datenauskunft und Datenlöschung. Auch der Datenschutzbeauftragte des Landes Nordrhein-Westfalen konnte nach Inkrafttreten der DSGVO keinen Arbeitsmangel feststellen: 12.000 schriftliche Anfragen im Jahr 2018 und dazu rund 140 Anrufe pro Tag. Es steht außer Frage: Die DSGVO war für in der EU tätige Unternehmen ein entscheidender Wendepunkt im Umgang mit Daten. Sie hat die Messlatte für die Datenerfassung und  verarbeitung gegenüber der vorhergehenden Datenschutzrichtlinie angehoben und große, mittelständische und kleine Unternehmen gleichermaßen an ein einheitliches Regelwerk gebunden. Die Stichworte Auftragsverarbeitung, Informationspflichten, Risikobewertung und Datenschutz-Folgenabschätzung sowie die Meldung von Datenpannen sollten spätestens seit Mai 2018 in jedem Unternehmen präsent sein. „Leider müssen wir immer wieder erfahren, dass es immer noch Behörden und Unternehmen gibt, die mit der Umsetzung der DSGVO nicht einmal begonnen haben“ berichtet Dr. Voßbein aus seinen Erlebnissen, der dafür kein Verständnis hat: „Eine derart weitreichende Einführung neuer Regeln führt naturgemäß auch zu Unsicherheiten, aber zu Untätigkeit darf sie nicht führen.“ Auf einen Verstoß gegen die Regelungen der DSGVO sollte man es nicht ankommen lassen. Denn auch die Höhe der Strafen wurde mit der DSGVO massiv nach oben verändert. Wo zuvor das deutsche BDSG einen maximalen Bußgeldbetrag von 300.000 Euro vorgesehen hatte, gilt nun ein Maximalbetrag von 20 Millionen Euro, beziehungsweise von 4 % des weltweiten Jahresumsatzes. Bußgelder wurden von den Behörden schon verhängt, wenn auch nicht in jener Höhe wie zunächst befürchtet. Laut einem Bericht des Europäischen Datenschutzausschusses (EDPB – European Data Protection Board) lässt sich die Gesamtsumme auf 56 Mio. Euro beziffern. Sie relativiert sich, wenn man erfährt, dass das größte Bußgeld von der französischen Datenschutzbehörde CNIL mit 50 Mio. Euro gegen den Internetgiganten Google verhängt wurde. Eine Abmahnwelle, wie im Mai 2018 noch befürchtet und danach oftmals herbeigeschrieben, hat es allerdings nicht gegeben. „Was man jedoch nicht vergessen darf“, so ergänzt Datenschutzfachmann Dr. Heiko Haaz, „dass auch die Aufsichtsbehörden sich erst richtig ‚aufstellen‘ und Personal aufbauen mussten. Somit ist in den nächsten Jahren mit einer höheren Kontrolldichte und intensiveren Bußgeldern zu rechnen.“ Die DSGVO führte aber auch zu einer Menge Stilblüten: Von der sehr öffentlichkeitswirksamen Posse um die Klingelschilder bei der Wiener Wohnen über Ärzte, dessen Wartezimmertüren „aufgrund der DSGVO“ nun geschlossen bleiben mussten bis hin zu vermeintlich erforderlichen Einwilligungserklärungen für weitere Datenverarbeitung (obwohl ein gülter Vertrag mit dem Betroffenen vorliegt). Ferner schien vielerorts die Auffassung vertreten worden zu sein, dass für jede Datenübermittlung an einen Vertragspartner ein Vertrag zur Auftragsverarbeitung erforderlich ist. Hierbei hat sich aber (größtenteils auch inhaltlich) gegenüber der vorherigen Rechtsauffassung nichts geändert. Des Weiteren versuchten Trittbrettfahrer wie z. B. von der „Datenschutzauskunfts-Zentrale“ die Verunsicherung von Unternehmen auszunutzen. Auch wenn die Rechte der Betroffenen durch die DSGVO etwas modifiziert wurden, so waren diese Rechte auch in vorherigen Gesetzen enthalten und sind nicht gänzlich neu. Dennoch gilt: Ein Betroffener hat nicht nur das Recht, Auskunft über die über ihn verarbeiteten Daten zu verlangen, sondern auch eine Kopie dieser Daten zu erhalten. Auch sind Daten dann zu löschen, wenn der Zweck für die Datenverarbeitung entfällt (beispielsweise nach Vertragskündigung und den steuerrechtlichen Aufbewahrungspflichten). Bis zum 25. Mai 2020 soll ein Bericht über die Bewertung und Überprüfung der Verordnung vorgelegt werden. Für Unternehmen bedeutet dies aber nicht, noch ein Jahr zu warten. „Ich bin zwar passionierter Teetrinker, doch würde ich keinem Unternehmer empfehlen, dies mit Abwarten zu kombinieren“, ergänzt Dr. Voßbein mit einem Schmunzeln.