Schwerpunkte

Zwischenbilanz zur EU-DSGVO

Erst der Anfang

19. Mai 2020, 15:06 Uhr   |  Autor: Falk Herrmann / Redaktion: Diana Künstler | Kommentar(e)

Erst der Anfang
© nali / Adobe Stock

Vor knapp zwei Jahren trat die Europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Die EU-Kommission präsentiert daher im Mai ihre Bilanz in Form einer Evaluation. Eine Einschätzung vorab: Was ist gut gelaufen? Wo hakt es? Wo muss nachgebessert werden?

Keine IT-Verordnung hat Unternehmen und Gesellschaft in den vergangenen Jahren so tiefgreifend beschäftigt wie die EU-DSGVO. Ob Konzern, Verein oder Start-up – jede Organisation muss seit dem 25. Mai 2018 die Regeln zum Schutz persönlicher Daten umsetzen. Ein Ziel wurde damit erreicht: Das Thema Datenschutz wurde ganz oben auf die Agenda all derer gesetzt, die personenbezogene Daten speichern oder verarbeiten. Zudem lässt sich die Zahl der real erfolgten Hackerangriffe erstmals ermitteln. Denn Verstöße gegen personenbezogene Daten, die Betroffene schädigen könnten, müssen den Behörden laut Datenschutzgrundverordnung gemeldet werden. Diese Informationen sind eine wichtige Hilfe im Kampf gegen die Cyberkriminalität.   

Mammutprojekt Datendokumentation
Gleichzeitig tun sich viele Unternehmen schwer, die Regelungen umzusetzen. Nach einer Umfrage des Bitkom aus dem September 2019 hatte nur jedes vierte Unternehmen mehr als ein Jahr nach Inkrafttreten der EU-DSGVO alle Vorgaben umgesetzt. Vor allem die Pflicht, zu dokumentieren, welche Daten ein Unternehmen erhebt, zu welchem Zweck es sie verwendet und wie es sie weiterverarbeitet, ist ein Mammutprojekt. Unternehmen, die bereits ein Verzeichnis der Datenverarbeitungsverfahren geführt haben, fällt die Umsetzung leichter. Wer die Hürde einmal genommen hat, dem bietet die Dokumentation erstmals einen umfassenden Überblick seiner Datenschätze und eine wertvolle Grundlage zukünftiger Arbeit. Der Aufwand lohnt sich also.

Richtig ist aber auch, dass die EU-DSGVO vor allem für kleine Organisationen eine bürokratische Hürde darstellt, die dem Ziel nicht immer angemessen ist. Das hat auch die Bundesregierung erkannt und sorgt für Erleichterungen. Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten wurde bereits gelockert: Sie gilt nun erst für Unternehmen mit mindestens zwanzig Mitarbeitern, und nicht wie zuvor bereits bei zehn Mitarbeitern.

Datenschutz im Wandel – Auf dem Weg zur EU-DSGVO

Rechtsunsicherheit versus Pragmatismus
Laut Bitkom-Umfrage ist die Unsicherheit bei der Auslegung der Vorgaben eine weitere große Hürde bei deren Umsetzung. Die EU-DSGVO bleibt beispielsweise bei der Einwilligungspflicht für das Setzen von Cookies unkonkret. Inzwischen hat ein EuGH-Urteil Klarheit geschaffen. Tracking-Cookies dürfen nur noch mit ausdrücklicher Einwilligung der Nutzer gesetzt werden. Für Unsicherheit sorgten auch besonders strenge Auslegungen der EU-DSGVO, die die Nutzung von Klingelschildern, Visitenkarten und Klassenfotos einbezogen. Die Sorge scheint inzwischen einem gesunden Pragmatismus gewichen zu sein: Visitenkarten gehen wie eh und je von Hand zu Hand und über den meisten Klingeln hängt nach wie vor ein Namensschild.

Zu einer entspannteren Haltung mag auch die Tatsache beitragen, dass die große Abmahnwelle bisher ausblieb. Nach Angaben von DLA Piper verhängten die EU-Staaten seit Inkrafttreten der DSGVO bis zum 17. Januar 2020 Bußgelder von 114 Millionen Euro. Im Vergleich zu den möglichen Höchststrafen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes pro Unternehmen, die nach der EU-DSGVO verhängt werden können, erscheint dies relativ gering. Dennoch wurden Sanktionen ausgesprochen und damit wichtige Zeichen gesetzt. Mit dem bislang höchsten Bußgeld wurde in Deutschland 2019 der Immobilienkonzern Deutsche Wohnen belegt. Es belief sich auf 14,5 Millionen Euro. Auf Platz zwei folgte Ende 2019 mit 9,6 Millionen Euro ein Bußgeld gegen den Telekommunikationskonzern 1&1 Drillisch. Die Firma hatte sich nicht ausreichend geschützt, um Dritten den Zugriff auf persönliche Kundendaten zu verwehren. 

Lücken im System
In den kommenden Jahren könnten die Strafzahlungen deutlich steigen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat ein schärferes Vorgehen bei Verstößen gegen die Vorgaben angekündigt. Im Visier hat er dabei vor allem größere Konzerne. Aber auch mittlere und kleine Unternehmen sollten das Thema Datenschutz unverändert ernst nehmen. Auch deshalb, weil ein verantwortungsvoller Umgang mit den Daten der Kunden und Mitarbeiter das Image stärkt und die Wettbewerbsfähigkeit fördert.

Allerdings fehlen in der EU-DSGVO einige wichtige Regeln zum Schutz personenbezogener Daten. Zum Onlinehandel gibt es beispielsweise kaum explizite Vorgaben. Hier soll die E-Privacy-Verordnung (ePVO) bald für Klarheit sorgen. Sie wird den Schutz persönlicher Daten bei der Nutzung digitaler Kommunikation europaweit regeln. Ursprünglich sollte die ePVO gemeinsam mit der EU-DSGVO in Kraft treten. Da sich die Mitgliedsstaaten noch nicht auf eine gemeinsame Linie einigen konnten, kam es zu Verzögerungen. Nun wird sie voraussichtlich 2020 veröffentlicht werden. Noch ist nicht öffentlich bekannt, wie die Regelung aussehen soll.

Seite 1 von 2

1. Erst der Anfang
2. EU-DSGVO wird unterlaufen

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Ein Wendepunkt für den Chief Data Officer?
BSI empfiehlt: DSGVO-konforme Apps und Dienste, 5 Jahre Updates
Wie man Smartphones sicher und DSGVO-konform nutzt
Cyberangriffe werden schneller entdeckt

Verwandte Artikel

Rohde & Schwarz Cybersecurity, BITKOM e. V.