WiWo App 1 Monat für nur 0,99 €
Anzeigen

Ein Jahr Datenschutzgrundverordnung Was seit Einführung der DSGVO passiert ist

Die DSGVO ist seit einem Jahr wirksam. Doch was hatte sie in den ersten zwölf Monaten zur Folge? Quelle: imago images

Die Datenschutzgrundverordnung ist seit einem Jahr in Kraft. Viele Befürchtungen sind bisher nicht eingetreten. Was aber ist passiert in dem Jahr, vor dem viele Angst hatten?

  • Artikel teilen per:
  • Artikel teilen per:

Als Peter Hense am 25. Mai 2018 in den Zug stieg, schien die Sonne. „Die Welt war noch nicht untergegangen“, sagt er und lacht. Hense ist Jurist für Datenschutzrecht. Heute kann er einen Witz darüber machen. Am Tag selbst soll aber wohl den wenigsten Unternehmern zu Lachen zumute gewesen sein. Am 25. Mai ist nämlich die europäische Datenschutzgrundverordnung wirksam geworden. Verstöße können seit diesem Tag mit Bußgeldern in Höhe von bis zu vier Prozent des Jahresumsatzes bestraft werden. Doch was ist passiert seit dem sonnigen Tag im Mai 2018?

Zuerst einmal nicht viel: Die großen Abmahnwellen sind ausgeblieben und die Datenschutzbehörden begannen, Unternehmen über notwendige Maßnahmen aufzuklären. Im Laufe der Monate wurden dann die ersten Datenschutzverstöße angezeigt. Mittlerweile sind mehr als 95.000 Beschwerden bei den Datenschutzbehörden eingegangen. Die Europäische Kommission hat im Januar bekannt gegeben, dass mehrere Verfahren gegen Unternehmen in der EU laufen und dass einige von ihnen die Höchststrafe von vier Prozent des Jahresumsatzes bekommen könnten. In Deutschland wurden laut einer Auswertung der Wirtschaftsprüfer von EY im ersten Jahr 42 Bußgelder verhängt und 54 Verwarnungen ausgesprochen.

Wirklich große Bestrafungen hat es bereits drei gegeben: Deutschland hat 20.000 für das soziale Netzwerk Knuddels wegen unsicherer Nutzerdatenspeicherung verhängt, für ein belgisches Sportwetten-Café gab es 5280 Euro Strafe wegen unrechtmäßiger Videoüberwachung und Frankreich hat Google eine Geldstrafe von 50 Millionen Euro aufgedrückt, weil sie ihre Nutzer nicht um Zustimmung für die Schaltung von Werbeanzeigen gebeten hatten. Hense findet es gut, dass Prozesse in Gang kommen. „Ohne solch einen Druck fragt sich jedes Unternehmen: warum kümmere ich mich überhaupt um den Datenschutz?“

Doch ein Unternehmen scheint unter den obigen zu fehlen. Das soziale Netzwerk Facebook stand schließlich wegen Datenpannen in den vergangenen Monaten und Jahren am häufigsten in der Kritik. Das Unternehmen hat mehrfach eingeräumt, Nutzerdaten fahrlässig behandelt zu haben. Das ist im Falle von Facebook besonders gefährlich, weil viele Nutzer ihren Facebook-Zugang auch für andere Dienste verwenden. Ulrich Kelber (SPD), der Bundesbeauftragte für den Datenschutz, ist fassungslos: „Facebook setzt seine Kunden einem unnötigen Risiko aus. Das ist in etwas so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert“, sagte Kelber in einer Erklärung. Doch sanktioniert wurde Facebook bisher nicht. Kelber selbst sind in diesem Fall die Hände gebunden. Für Facebook ist nämlich der irische Datenschutzbeauftragte zuständig, weil Facebook dort seinen EU-Firmensitz angemeldet hat.

Mehr Bußgelder im zweiten Jahr der DSGVO?

Die verschiedenen Zuständigkeiten sind nur eine Hürde bei der Umsetzung der DSGVO. Die nationalen Datenschutzbehörden haben momentan noch damit zu tun, Unternehmen zu informieren und Empfehlungen für die Implementierung der DSGVO zu geben. Doch auch die großen Prozesse in Deutschland werden kommen, ist Rechtsanwalt Hense überzeugt. „Es ist typisch deutsch, die Dinge erst einmal vollständig zu durchdringen“, sagt er. Er rechnet für 2020 vermehrt mit Bußgeld-Forderungen und Klagen von Betroffenen.

Bis dahin gebe es vermutlich auch mehr eindeutige Rechtsprechungen zur konkreten Auslegung der DSGVO. „Viele unserer Kunden fragen uns, welche Maßnahmen denn nun wirklich nötig sind“, sagt Thomas Regier vom Datenschutzunternehmen DataGuard. Doch auch er könne trotz diverser Rechts- und IT-Experten an seiner Seite nicht immer eindeutige Antworten geben. Eine bis dahin ungeklärte Frage hat ein Gerichtsurteil Anfang April beantwortet. Der Europäische Datenschutzausschuss hat sich geeinigt, dass die Verarbeitung von Nutzerdaten nur dann in Ordnung ist, wenn sie zur Vertragserfüllung wirklich gebraucht werden. Wenn ein Unternehmen also beispielsweise personenbezogene Onlinewerbung schaltet, kann sie das nicht mehr mit Vertragserfüllung begründen.

Dass die DSGVO schon 2016 in Kraft getreten ist und im Mai 2018 erst zur Anwendung kam, ignorierten bis dahin viele Unternehmen. Ebenso wie das Bundesdatenschutzgesetz, das es schon davor gegeben hatte. „Viele Firmen wollten quasi über Nacht DSGVO-konform werden“, erinnert sich Thomas Regier von DataGuard. „Das ging natürlich nicht“, sagt er. Er riet seinen Kunden dazu, sich zuerst um alles zu kümmern, was von außen einsehbar ist, die Datenschutzerklärung auf der Homepage zum Beispiel. Das sollte die Kunden vor Abmahnanwälten schützen, die nach genau solchen Dingen suchen könnten.

Rückblickend sagt er: „Das Thema führte berechtigterweise zu Verzweiflung bei Kleinunternehmen.“ Im Mai 2018 ging bei DataGuard ein Anruf von der Geschäftsführerin einer Druckerei ein. Ihr Großkunde hätte ihr gesagt, sie bräuchte einen Datenschutzbeauftragten und sie müsse die DSGVO umsetzen, sonst dürfte sie für den Kunden keine Flyer mehr drucken. „Vier Personen haben dort Flyer gedruckt. Da wurden überhaupt keine personenbezogenen Daten verarbeitet“, sagt Regier. Ein Team von DataGuard fuhr zur Druckerei, prüfte die Prozesse und die Druckerei konnte ihren Auftraggeber behalten.

Die DSGVO schreibt vor, dass Betriebe ab zehn Mitarbeitern einen Datenschutzbeauftragten brauchen, die Druckerei brauchte also keinen. Zugangsbeschränkungen zu diesem Beruf gibt es übrigens keine, ein kurzer Lehrgang reicht aus. „Ein Datenschutzbeauftragter muss Ahnung von IT und Recht haben“, sagt Thomas Regier von DataGuard. „Sonst googlen selbst die Datenschutzbeauftragten panisch ihre Fragen, glauben irgendwelchen Unsinn und schaden damit dem Unternehmen“, sagt er.

Das abermals volle E-Mail-Postfach

Viele Gerüchte sind mittlerweile aus der Welt geräumt, doch die Unsicherheit über die Notwendigkeit einiger Maßnahmen besteht weiter. „Einige Kunden sagten zu mir: ,Dann mache ich lieber gar nichts, bevor ich meine Mitarbeiter frustriere, ohne zu wissen, ob ich die Maßnahmen wirklich brauche‘“, sagt Regier.

Das klingt trotzig, aber das Argument kommt nicht von irgendwo, bemängelt auch Jura-Professorin Anne Lauber-Rönsberg. Die nationalen Gesetzgeber hätten die DSGVO, die schon seit 2016 besteht, viel eher in nationales Recht umsetzen sollen. „Dann hätten alle Unternehmen Zeit gehabt, herauszufinden, was sie tun müssen“, sagt sie im WirtschaftsWoche-Interview.

Jeder Bürger hat nun das Recht, einen potenziellen Datenschutzverstoß anzuzeigen. Rechtsanwalt Hense versucht, mit einem Beispiel deutlich zu machen, wie schnell es passieren kann, dass ein Unternehmen überprüft wird. Er erinnere sich an einen Fall, bei dem ein Patient einen zahnärztlichen Notdienst aufgesucht und eine gefälschte Krankenkassenkarte vorgelegt hat, um Schmerzmittel zu ergattern. Als der Arzt seinen Personalausweis sehen wollte, hat sich der Patient bei der Datenschutzaufsichtsbehörde beschwert. Sobald eine Beschwerde – egal weswegen – vorliegt, muss die Behörde den gesamten Betrieb prüfen. Dann müssen das Datenschutzkonzept, Datenverarbeitungsprotokolle und ähnliches bereit liegen.

Ein Bereich, der ähnlich heikle Daten wie Ärzte verarbeitet, ist der des Personals. Personalberatungen und Personaler in Unternehmen müssen sicherstellen, dass die Bewerberdaten nach der Nutzung gelöscht werden und nur für die vakante Position zuständige Personen die Informationen einsehen können. Eine Checkbox zur Einwilligung der Datenspeicherung hatte Hardy Scherer von der Personalberatung Rochus Mummert schon vor der DSGVO. Durch die neue Verordnung musste er diese erweitern und jedem, der die Box angeklickt hat, auch eine E-Mail schicken, in der er noch einmal um Zustimmung bittet.

Das erledigen viele Personalverwaltungssysteme mittlerweile aber von selbst, ebenso wie die fristgerechte Löschung, erklärte der Chef der Personalsoftware Personio, Hanno Renner im Interview. An die Einwilligungs-E-Mails sollten sich viele erinnern, wenn sie an den Mai 2018 zurückdenken. Überlaufende E-Mail-Postfächer waren das Aufreger-Thema Nummer eins in sozialen Netzwerken und in Büro-Fluren. Ernstgemeinte Sätze wie „schön, dass ich nochmal gefragt werde, ob meine Daten auch wirklich verarbeiten dürfen“, fielen hingegen selten.

Das eigentliche Ziel der EU-Kommission ist es nicht, die Bürger zu nerven und den Unternehmen Geld aus den Taschen zu ziehen. Es geht darum, die Rechte der Bürger zu stärken und sie sowie ihre Daten zu schützen, die im Zuge der Digitalisierung immer wertvoller und nach Ansicht der EU-Kommission auch schützenswerter werden.

Diese Rechte haben Bürger dank der DSGVO

Rechtsanwalt Peter Hense freut es. „Die Verbraucherrechte wurden massiv gestärkt“, sagt er. „Aber noch trauen sich viele nicht, ihre Rechte durchzusetzen“, erklärt er. Er hoffe, dass sich das in den kommenden Jahren ändert und er sich dann auf künftigen Zugfahrten auch keine Sorgen mehr um seine Datensicherheit beim Surfen im Internet machen muss.

Jetzt auf wiwo.de

Sie wollen wissen, was die Wirtschaft bewegt? Hier geht es direkt zu den aktuellsten Beiträgen der WirtschaftsWoche.
Diesen Artikel teilen:
  • Artikel teilen per:
  • Artikel teilen per:
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%