Anzeige

DSGVO

Vor zwei Jahren trat die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Zeit, ein Fazit zu ziehen. Was ist gut gelaufen? Wo hakt es? Wo muss nachgebessert werden? Die EU-Kommission wird im Mai ihre Bilanz in Form einer Evaluation präsentieren. Hier gibt es vorab eine Einschätzung vom IT-Sicherheitsexperten Rohde & Schwarz Cybersecurity.  

Keine IT-Verordnung hat Unternehmen und Gesellschaft in den vergangenen Jahren so tiefgreifend beschäftigt wie die EU-DSGVO. Ob Konzern, Verein oder Start-up – jede Organisation muss seit dem 25. Mai 2018 die Regeln zum Schutz persönlicher Daten umsetzen. Zumindest ein Ziel wurde damit erreicht: Die EU-DSGVO hat das Thema Datenschutz ganz oben auf die Agenda all derer gesetzt, die personenbezogene Daten speichern oder verarbeiten. Zudem lässt sich die Zahl der real erfolgten Hackerangriffe erstmals ermitteln. Denn Verstöße gegen personenbezogene Daten, die Betroffene schädigen könnten, müssen den Behörden laut Datenschutzgrundverordnung gemeldet werden. Diese Informationen sind eine wichtige Hilfe im Kampf gegen die Cyberkriminalität.   

Mammutprojekt Datendokumentation

Gleichzeitig tun sich viele Unternehmen schwer, die Regelungen umzusetzen. Nach einer Umfrage des BITKOM aus dem September 2019 hatte nur jedes vierte Unternehmen mehr als ein Jahr nach Inkrafttreten der EU-DSGVO alle Vorgaben umgesetzt. Vor allem die Pflicht, zu dokumentieren, welche Daten ein Unternehmen erhebt, zu welchem Zweck es sie verwendet und wie es sie weiterverarbeitet, ist ein Mammutprojekt. Unternehmen fällt die Umsetzung leichter, die bereits ein Verzeichnis der Datenverarbeitungsverfahren geführt haben. Wer die Hürde allerdings einmal genommen hat, dem bietet die Dokumentation erstmals einen umfassenden Überblick seiner Datenschätze und eine wertvolle Grundlage zukünftiger Arbeit. Der Aufwand lohnt sich also.

Richtig ist aber auch, dass die EU-DSGVO vor allem für kleine Organisationen eine bürokratische Hürde darstellt, die dem Ziel nicht immer angemessen ist. Das hat auch die Bundesregierung erkannt und sorgt für Erleichterungen. Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten wurde bereits gelockert: Sie gilt nun erst für Unternehmen mit mindestens 20 Mitarbeitern, und nicht wie zuvor bereits bei 10 Mitarbeitern.

Rechtsunsicherheit versus Pragmatismus

Laut BITKOM-Umfrage ist die Unsicherheit bei der Auslegung der Vorgaben eine weitere große Hürde bei deren Umsetzung. Die EU-DSGVO bleibt beispielsweise bei der Einwilligungspflicht für das Setzen von Cookies unkonkret. Inzwischen hat ein EuGH-Urteil Klarheit geschaffen. Tracking-Cookies dürfen nur noch mit ausdrücklicher Einwilligung der Nutzer gesetzt werden. Für Unsicherheit sorgten auch besonders strenge Auslegungen der EU-DSGVO, die die Nutzung von Klingelschildern, Visitenkarten und Klassenfotos einbezogen. Die Unsicherheit scheint inzwischen einem gesunden Pragmatismus gewichen zu sein: Visitenkarten gehen wie eh und je von Hand zu Hand und über den meisten Klingeln hängt nach wie vor ein Namensschild. 

Zu einer entspannteren Haltung mag auch die Tatsache beitragen, dass die große Abmahnwelle bisher ausblieb. Nach Angaben von DLA Piper verhängten die EU-Staaten seit Inkrafttreten der DSGVO bis zum 17. Januar 2020 Bußgelder von 114 Millionen Euro. Im Vergleich zu den möglichen Höchststrafen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes pro Unternehmen, die nach der EU-DSGVO verhängt werden können, erscheint dies relativ gering. Dennoch wurden Sanktionen ausgesprochen und damit wichtige Zeichen gesetzt. Mit dem bislang höchsten Bußgeld wurde in Deutschland 2019 der Immobilienkonzern Deutsche Wohnen belegt. Es belief sich auf 14,5 Millionen Euro. Auf Platz zwei folgte Ende 2019 mit 9,6 Millionen Euro ein Bußgeld gegen den Telekommunikationskonzern 1&1 Drillisch. Die Firma hatte sich nicht ausreichend geschützt, um Dritten den Zugriff auf persönliche Kundendaten zu verwehren.  

Lücken im System

In den kommenden Jahren könnten die Strafzahlungen deutlich steigen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat ein schärferes Vorgehen bei Verstößen gegen die Vorgaben angekündigt. Im Visier hat er dabei vor allem größere Konzerne. Aber auch mittlere und kleine Unternehmen sollten das Thema Datenschutz unverändert ernst nehmen. Auch deshalb, weil ein verantwortungsvoller Umgang mit den Daten der Kunden und Mitarbeiter das Image stärkt und die Wettbewerbsfähigkeit fördert. 

Allerdings fehlen in der EU-DSGVO einige wichtige Regeln zum Schutz personenbezogener Daten. Zum Onlinehandel gibt es beispielsweise kaum explizite Vorgaben. Hier soll die e-Privacy-Verordnung (ePVO) bald für Klarheit sorgen. Sie wird den Schutz persönlicher Daten bei der Nutzung digitaler Kommunikation europaweit regeln. Ursprünglich sollte die ePVO gemeinsam mit der EU-DSGVO in Kraft treten. Da sich die Mitgliedsstaaten noch nicht auf eine gemeinsame Linie einigen konnten, kam es zu Verzögerungen. Nun wird die ePVO voraussichtlich 2020 veröffentlicht werden. Noch ist nicht öffentlich bekannt, wie die Regelung aussehen soll. 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Brief von der Datenschutz Behörde
Apr 24, 2020

Zunehmende DSGVO-Geldbußen rücken „Privacy by Design“ ins Interesse

Der Datenschutz hat sich seit der Einführung der Datenschutz-Grundverordnung (DSGVO) in…
Datenstrom
Mär 04, 2020

Wie geht Datenverkehr DSGVO-konform?

Im Jahr 2019 bewegten sich täglich 293,6 Milliarden E-Mails weltweit über das Internet.…
EU Flagge
Feb 21, 2020

DSGVO-konform? Reifegrad in großen Organisationen

Zum Stand ihrer Umsetzung von Datenschutzmaßnahmen zwei Jahre nach Inkrafttreten der…

Weitere Artikel

DSGVO Concept

Wir brauchen endlich klare Ansagen der Datenschützer!

Am 25. Mai 2020 ist die DSGVO seit genau zwei Jahren in Kraft. ownCloud gratuliert der Datenschutz-Grundverordnung zum Geburtstag – und wünscht sich klare Ansagen der obersten Datenschützer.
DSGVO

Zwei Jahre DSGVO: Wichtige Wissenslücken schließen

Nach zwei Jahren DSGVO haben viele Unternehmen immer noch mit dem Aufspüren personenbezogener Informationen in ihren Datenbeständen zu kämpfen. IntraFind erläutert, wie ihnen Enterprise Search-Technologie helfen kann. Am 25. Mai 2020 ist die DSGVO seit genau…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!