Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen Von Renate Grimming, dpa
23.05.2019 05:45
Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich
nach einem Jahr gelegt. Es gibt inzwischen viel Lob - aber auch
weiterhin Kritik. In jedem Fall lässt die «Zeitenwende im
Datenschutz» die Arbeit für alle nicht ausgehen.
Berlin (dpa) - Seit einem Jahr lebt Europa nach neuen
Datenschutz-Regeln. Die Datenschutzgrundverordnung DSGVO, die am 25.
Mai 2018 zur Pflicht in der EU wurde, hat für viele Diskussionen
gesorgt - und auch heute sind noch längst nicht alle Fragen geklärt.
Doch: «Die große Aufregung hat sich gelegt», konstatiert die
Rechtsanwältin und Datenschutzexpertin Vera Jungkind von der Kanzlei
Hengeler Mueller. Vor dem Stichtag im vergangenen Mai habe geradezu
Endzeitstimmung geherrscht. «Viele Unternehmen und Organisationen
haben dann aber gemerkt, dass sich die Welt weiter dreht.»
Inzwischen würden die Unternehmen besser und konzentrierter an ihren
Datenschutz-Einstellungen arbeiten und auch langfristige Ziele in
Angriff nehmen, sagt Jungkind. «Der Aktionismus ist vorbei.» Zum
Stichtag hatte die Verordnung trotz zweijähriger Vorlaufzeit in
vielen Unternehmen geradezu für Panik gesorgt. Immerhin drohen
seither erstmals teils hohe Bußgelder bei Verstößen.
Für Viviane Reding, einstige EU-Kommissarin und Wegbereiterin der
DSGVO, war diese Reaktion unverständlich. «Eines würde ich heute
anders machen», sagte Reding. «Ich würde den Marktteilnehmern keine
zweijährige Übergangsfrist mehr einräumen.» Wenn kurz vor
Inkrafttreten Panik ausbreche, heiße das doch: «Zwei Jahre ist nichts
passiert.» Zwei Jahre hätten Regierungen und Unternehmen «im
Tiefschlaf» gelegen. «Dann lieber Panik sofort, dafür aber auch den
Datenschutz sofort.»
Viele Befürchtungen haben sich zwar nicht bestätigt, doch Beschwerden
gibt es zuhauf, die bei den Datenschutzbehörden eingehen. Waren es
2017 noch im Schnitt 400 Beschwerden und Anfragen pro Monat,
schnellte die Zahl allein zwischen Juni und Dezember 2018 mit rund
1370 auf mehr als das Dreifache hoch, wie aus dem Tätigkeitsbericht
des Bundesdatenschutzbeauftragten Ulrich Kelber hervorgeht.
Auch die Aufsichtsbehörden hält die Umsetzung auf Trab. Dennoch hält
Kelber die DSGVO für eine «Zeitenwende im Datenschutz». Eine
befürchtete Abmahnwelle sei ausgeblieben, auch «plakative
Falschmeldungen» hätten sich nicht bewahrheitet. Es dürften weiter
Fotografien angefertigt und Namen an Klingelschildern angebracht
werden, betonte Kelber.
Einen Anstieg von Meldungen über Verstöße konstatiert auch der
Anbieter für IT-Sicherheitslösungen FireEye. Die DSGVO habe in
Unternehmen und Organisationen aber auf jeden Fall für mehr
Transparenz gesorgt, resümiert das Unternehmen seine Erfahrungen. Die
Dokumentationspflicht zwinge sie zudem, sich intensiver mit ihrem
eigenen Umgang mit Daten auseinanderzusetzen.
«Das Bewusstsein für Datenschutz ist auf allen Seiten höher», sagt
auch Achim Berg, Präsident des Bitkom. Der Digitalverband zieht aber
eine eher «gemischte Bilanz». Große internationale Plattform-Anbieter
profitierten nun von dem einheitlich gesteckten Rechtsrahmen, sagt
Berg. Der deutsche Mittelstand und kleine Unternehmen dagegen
kämpften weiter mit der Umsetzung. «Das Problem liegt nach wie vor
darin, dass die DSGVO nicht zwischen einem Kleingartenverein und
einem Großkonzern unterscheidet.»
Die Umsetzung der Verordnung in den Unternehmen sei aber nicht eine
Frage der Größe, sondern eher der Reife, schätzt Rechtsanwältin
Jungkind. «Datenschutz ist ja nicht neu.» Ob internationale
Unternehmen oder gemeinnützige Organisationen - viele hätten
lediglich «eine Schippe drauflegen» müssen. Probleme habe es dagegen
bei der Umsetzung in Unternehmen gegeben, deren IT-Organisation
beispielsweise nach vielen Zukäufen nicht habe Schritt halten können
oder die veraltete Systeme betreiben, bei denen die Daten nicht
gelöscht oder getrennt werden könnten.
Für Unternehmen jeder Größe bedeute die DSGVO auch weiterhin «einen
hohen Umsetzungsaufwand, und immer noch bestehen viele
Rechtsunsicherheiten», sagte Berg. Der Bundesverband Digitale
Wirtschaft (BVDW) ermittelte in einer Befragung unter seinen
Mitgliedern sogar spürbare negative Auswirkungen. So rechneten 39
Prozent der Digitalexperten in den 237 Mitgliedsunternehmen mit
Umsatzeinbußen. 32 Prozent haben demnach ihre digitalen Aktivitäten
eingeschränkt. BVDW-Vizepräsident Thomas Duhr macht als Ursachen
dafür die «massive Rechtsunsicherheit» aus.
Der Bundesverband der deutschen Industrie BDI lobt die DSGVO als
wichtigen Grundstein für einen gemeinsamen Markt in der EU, betont
aber auch, dass die Verordnung teuer für die Unternehmen sei. Sie
habe das Zeug, sich zu einem weltweiten Standard zu entwickeln, sagt
Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung. Doch auch der
BDI fordert mehr Rechtssicherheit ein.
Und: «Datenschutz in der EU darf kein Standortnachteil werden»,
verlangt Plöger. Bisher stünden sich Datenschutz und Technologien wie
künstliche Intelligenz «diametral entgegen». Etwa bei der
Anonymisierung von Daten brauche es deshalb mehr Freiraum, damit die
Entwicklung künstlicher Intelligenz nicht abwandere.
Insgesamt hat die Datenschutzgrundverordnung die Wirtschaft
nachhaltig verändert und das Bewusstsein für Datenschutz auf allen
Seiten erhöht. «Am Ende geht es darum, die richtige Balance zwischen
Datenschutz einerseits und innovativen, datenbasierten Anwendungen
andererseits zu finden», sagte Berg.
Unterdessen strahlen die Auswirkungen der DSGVO bereits weit über die
Grenzen Europas hinaus. Auch in Japan oder Kalifornien sei die
Verordnung positiv und mit Interesse verfolgt worden, betont der
oberste Datenschützer Kelber. Selbst Facebook-Chef Mark Zuckerberg,
der in Sachen Datenschutz unter Dauerbeschuss steht, hat lobende
Worte übrig, obgleich Beschwerden über Facebooks Messenger-Dienst
WhatsApp sowie außereuropäische Mail-Anbieter die Aufsichtsbehörden
nach deren Angaben am häufigsten beschäftigen.
Die erste dicke Strafe auf Basis der DSGVO traf unterdessen Google.
Im Januar stellte die französische Datenschutzbehörde CNIL Verstöße
gegen die Datenschutzgrundverordnung fest und verdonnerte den Konzern
zur Zahlung von rund 50 Millionen Euro. Google ist in Berufung
gegangen. Die DSGVO müsse sich jetzt erst einmal beweisen, sagte Ingo
Dachwitz von «netzpolitik.org» kürzlich auf der Internet-Konferenz
re:publica. Es sei die erste großen Strafe - «mal schauen, ob die
durchkommen».