Zwei Jahre EU-DSGVO – eine Zwischenbilanz

Vor zwei Jahren trat die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Zeit, ein Fazit zu ziehen. Was ist gut gelaufen? Wo hakt es? Wo muss nachgebessert werden? Die EU-Kommission wird im Mai ihre Bilanz in Form einer Evaluation präsentieren. Hier gibt es vorab eine Einschätzung vom IT-Sicherheitsexperten Rohde & Schwarz Cybersecurity.  

Keine IT-Verordnung hat Unternehmen und Gesellschaft in den vergangenen Jahren so tiefgreifend beschäftigt wie die EU-DSGVO. Ob Konzern, Verein oder Start-up – jede Organisation muss seit dem 25. Mai 2018 die Regeln zum Schutz persönlicher Daten umsetzen. Zumindest ein Ziel wurde damit erreicht: Die EU-DSGVO hat das Thema Datenschutz ganz oben auf die Agenda all derer gesetzt, die personenbezogene Daten speichern oder verarbeiten. Zudem lässt sich die Zahl der real erfolgten Hackerangriffe erstmals ermitteln. Denn Verstöße gegen personenbezogene Daten, die Betroffene schädigen könnten, müssen den Behörden laut Datenschutzgrundverordnung gemeldet werden. Diese Informationen sind eine wichtige Hilfe im Kampf gegen die Cyberkriminalität.   

Anzeige

Mammutprojekt Datendokumentation

Gleichzeitig tun sich viele Unternehmen schwer, die Regelungen umzusetzen. Nach einer Umfrage des BITKOM aus dem September 2019 hatte nur jedes vierte Unternehmen mehr als ein Jahr nach Inkrafttreten der EU-DSGVO alle Vorgaben umgesetzt. Vor allem die Pflicht, zu dokumentieren, welche Daten ein Unternehmen erhebt, zu welchem Zweck es sie verwendet und wie es sie weiterverarbeitet, ist ein Mammutprojekt. Unternehmen fällt die Umsetzung leichter, die bereits ein Verzeichnis der Datenverarbeitungsverfahren geführt haben. Wer die Hürde allerdings einmal genommen hat, dem bietet die Dokumentation erstmals einen umfassenden Überblick seiner Datenschätze und eine wertvolle Grundlage zukünftiger Arbeit. Der Aufwand lohnt sich also.

Richtig ist aber auch, dass die EU-DSGVO vor allem für kleine Organisationen eine bürokratische Hürde darstellt, die dem Ziel nicht immer angemessen ist. Das hat auch die Bundesregierung erkannt und sorgt für Erleichterungen. Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten wurde bereits gelockert: Sie gilt nun erst für Unternehmen mit mindestens 20 Mitarbeitern, und nicht wie zuvor bereits bei 10 Mitarbeitern.

Rechtsunsicherheit versus Pragmatismus

Laut BITKOM-Umfrage ist die Unsicherheit bei der Auslegung der Vorgaben eine weitere große Hürde bei deren Umsetzung. Die EU-DSGVO bleibt beispielsweise bei der Einwilligungspflicht für das Setzen von Cookies unkonkret. Inzwischen hat ein EuGH-Urteil Klarheit geschaffen. Tracking-Cookies dürfen nur noch mit ausdrücklicher Einwilligung der Nutzer gesetzt werden. Für Unsicherheit sorgten auch besonders strenge Auslegungen der EU-DSGVO, die die Nutzung von Klingelschildern, Visitenkarten und Klassenfotos einbezogen. Die Unsicherheit scheint inzwischen einem gesunden Pragmatismus gewichen zu sein: Visitenkarten gehen wie eh und je von Hand zu Hand und über den meisten Klingeln hängt nach wie vor ein Namensschild. 

Zu einer entspannteren Haltung mag auch die Tatsache beitragen, dass die große Abmahnwelle bisher ausblieb. Nach Angaben von DLA Piper verhängten die EU-Staaten seit Inkrafttreten der DSGVO bis zum 17. Januar 2020 Bußgelder von 114 Millionen Euro. Im Vergleich zu den möglichen Höchststrafen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes pro Unternehmen, die nach der EU-DSGVO verhängt werden können, erscheint dies relativ gering. Dennoch wurden Sanktionen ausgesprochen und damit wichtige Zeichen gesetzt. Mit dem bislang höchsten Bußgeld wurde in Deutschland 2019 der Immobilienkonzern Deutsche Wohnen belegt. Es belief sich auf 14,5 Millionen Euro. Auf Platz zwei folgte Ende 2019 mit 9,6 Millionen Euro ein Bußgeld gegen den Telekommunikationskonzern 1&1 Drillisch. Die Firma hatte sich nicht ausreichend geschützt, um Dritten den Zugriff auf persönliche Kundendaten zu verwehren.  

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Lücken im System

In den kommenden Jahren könnten die Strafzahlungen deutlich steigen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat ein schärferes Vorgehen bei Verstößen gegen die Vorgaben angekündigt. Im Visier hat er dabei vor allem größere Konzerne. Aber auch mittlere und kleine Unternehmen sollten das Thema Datenschutz unverändert ernst nehmen. Auch deshalb, weil ein verantwortungsvoller Umgang mit den Daten der Kunden und Mitarbeiter das Image stärkt und die Wettbewerbsfähigkeit fördert. 

Allerdings fehlen in der EU-DSGVO einige wichtige Regeln zum Schutz personenbezogener Daten. Zum Onlinehandel gibt es beispielsweise kaum explizite Vorgaben. Hier soll die e-Privacy-Verordnung (ePVO) bald für Klarheit sorgen. Sie wird den Schutz persönlicher Daten bei der Nutzung digitaler Kommunikation europaweit regeln. Ursprünglich sollte die ePVO gemeinsam mit der EU-DSGVO in Kraft treten. Da sich die Mitgliedsstaaten noch nicht auf eine gemeinsame Linie einigen konnten, kam es zu Verzögerungen. Nun wird die ePVO voraussichtlich 2020 veröffentlicht werden. Noch ist nicht öffentlich bekannt, wie die Regelung aussehen soll. 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.