Ein Jahr DSGVO: Erfolge und Schwierigkeiten des neuen Datenschutzrechts

Seit einem Jahr gilt das neue EU-Datenschutzrecht. Um kaum eine EU-Verordnung wurde so viel Wind gemacht: Rückschau und Bilanz im Schwerpunkt auf heise online.

In Pocket speichern vorlesen Druckansicht 140 Kommentare lesen
DSGVO: Worauf sich die Datenschutz-Aufsichtsbehörden konzentrieren
Lesezeit: 10 Min.
Von
  • Nicolas Maekeler
Inhaltsverzeichnis

Die Datenschutz-Grundverordnung der EU regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen grundsätzlich neu. Vor einem Jahr war es dann soweit: Die DSGVO trat nach einer zweijährigen Übergangsfrist endgültig in Kraft. Im Schwerpunkt "Ein Jahr DSGVO: eine Bilanz" ziehen wir ein erstes Fazit über die Auswirkungen und stellen die Änderungen auf den Prüfstand.

Schwerpunkt: Ein Jahr DSGVO – eine Bilanz

(Bild: 

mixmagic / shutterstock.com

)

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung endgültig in Kraft - und löste trotz zwei Jahren Zeit für Vorbereitungen große Unsicherheit bei Anbietern und Nutzern aus. Nach einem Jahr zeigt die Bilanz, welche Auswirkungen die DSGVO hatte und was sich eigentlich Entscheidendes geändert hat.

Es war ein regelrechtes Mammutprojekt. Nach Jahren des Diskutierens und des Ringens mit Lobbyisten – der erste Entwurf lag bereits 2012 vor – und nachdem sich das europäische Parlament mit nicht weniger als 3100 Änderungsanträgen beschäftigen musste, trat am 25. Mai 2016 die Datenschutzgrundverordnung (DSGVO) in Kraft.

Wirksam wurden die neuen Regelungen erst nach einer Übergangsfrist von zwei Jahren, die von den allermeisten Datenverarbeitern jedoch weltverloren verschlafen wurde. Seit dem 25. Mai 2018 ist die DSGVO nunmehr anwendbar. Strenggenommen feiern wir also den dritten Geburtstag.

Anders als ihr Vorgänger, die europäische Datenschutzrichtlinie aus dem Jahr 1995, musste die DSGVO nicht in nationales Recht umgesetzt werden. Sie gilt unmittelbar in allen EU-Mitgliedsstaaten und hat gegenüber dem nationalen Recht Anwendungsvorrang, woraus die beabsichtigte Harmonisierung des Datenschutzrechts folgt.

Da der europäische Gesetzgeber den Mitgliedsstaaten durch sogenannte Öffnungsklauseln in einigen Bereichen jedoch einen gewissen Gestaltungsspielraum überlassen hat, wird die DSGVO vom Bundesdatenschutzgesetzt (BDSG) flankiert, dessen Neufassung ebenfalls vor einem Jahr in Kraft getreten ist.

Mehr Infos

Highlights des Sonderhefts: DSGVO-Praxis von Fachjuristen; was 2019 wirklich wichtig ist; neue Pflichten für Unternehmen; Anforderungen an die IT-Sicherheit; Inklusive Webinar, Kurzpapieren, FAQs, Checklisten.

Es gelten aber grundsätzlich europaweit einheitliche Regeln, die einerseits den Schutz personenbezogener Daten sicherstellen und anderseits den freien Datenverkehr innerhalb der EU gewährleisten sollen.

Die zentralen Schutzgüter der DSGVO sind pauschal die "Rechte und Freiheiten natürlicher Personen". In erster Linie soll aber das Grundrecht auf informationelle Selbstbestimmung gewährleistet werden. Jeder soll selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten bestimmen können. Darunter fallen neben dem Namen, Anschrift, Telefonnummer unter anderem auch Bilder von Personen, KFZ-Kennzeichen, IP-Adressen, das Kaufverhalten und vieles mehr.

Zum Schutz dieser Daten greift die DSGVO auf etliche hierzulande bereits bekannte Grundsätze zurück. Das liegt daran, dass das alte BDSG in vielerlei Hinsicht Pate für das neue Datenschutzrecht gestanden hat. Was wohl dem Vater der DSGVO zu verdanken ist, dem Grünen-Politiker Jan Philipp Albrecht. Als Berichterstatter im Europaparlament war er maßgeblich am Gesetzgebungsprozess des für 28 verschiedene Rechtsordnungen vorgesehenen Regelwerks beteiligt und hat sich hierfür einer langen Lobbyschlacht gestellt. Eindrucksvoll festgehalten ist dies im Dokumentarfilm "Democracy – Im Rausch der Daten".

Verglichen mit anderen Ländern änderte sich in Deutschland im Datenschutz daher gar nicht so viel. Dies gilt zum Beispiel für den Grundsatz des "Verbots mit Erlaubnisvorbehalt". Danach sind alle Arten der Verarbeitung personenbezogener Daten grundsätzlich verboten, es sei denn es existiert eine gesetzliche Erlaubnis oder der Betroffene hat ausdrücklich einwilligt.

Ebenso enthält die DSGVO die ehernen Grundsätze des Datenschutzes, wie Datensparsamkeit, Transparenz und das Gebot der Zweckbindung, um nur einige zu nennen. Auch der betriebliche Danteschutzbeauftragte ist erhalten geblieben.

Einige datenschutzrechtliche Grundsätze sind jedoch hinzugekommen. "Privacy by Design" bedeutet zum Beispiel, dass Datenschutzprobleme schon bei der Entwicklung neuer Technologien festgestellt und geprüft werden sollen. Der Grundsatz von "Privacy by Default" verlangt darüber hinaus datenschutzfreundliche Voreinstellungen. Unter anderem ein Grund, weswegen Facebook die Privatsphäre- und Datenschutzeinstellungen für die Nutzer neu gestalten musste.

Neu ist auch das Marktortprinzip, welches dafür sorgt, dass sich ausländische Firmen nicht ohne weiteres dem strengen europäischem Datenschutzregime entziehen können. Wer auf dem europäischen Markt tätig ist, muss die DSGVO voll anwenden. Das gilt selbst für Firmen, die keine Niederlassung in der EU haben.

An die Verbraucher hat man ebenfalls gedacht. Neben besser ausstaffierten Auskunftsrechten wurde das Recht auf Datenübertragbarkeit völlig neu geschaffen. Nach Artikel 20 DSGVO hat etwa der Nutzer beispielsweise eines sozialen Netzwerks oder der Kunde einer Versicherung das Recht, dass ihm der Betreiber sämtliche ihn betreffenden personenbezogenen Daten in einem "strukturierten, gängigen und maschinenlesbaren Format" aushändigt, damit er damit zu einem anderen Anbieter "umziehen" kann – so jedenfalls die Theorie.

Das durch die Rechtsprechung des EuGH aufgegriffene "Recht auf Vergessenwerden" hat ebenfalls seinen Weg in die DSGVO gefunden. Demnach müssen Unternehmen personenbezogene Daten oder Links zu diesen nicht nur auf ihrer eigenen Internetseite löschen, sondern zusätzliche Maßnahmen ergreifen, damit diese aus dem Netz verschwinden.

Etliche Markteilnehmer waren von den Neuerungen sichtlich überfordert, mit dem Ergebnis, dass viele deutsche Firmen kurz vor dem Stichtag im Mai 2018 immer noch nicht auf die DSGVO vorbereitet waren.

Ein Schuldiger war schnell gefunden, man schob es auf die geringe Unterstützung seitens der Datenschutzbehörden – dass man zwei Jahre Zeit gehabt hätte, die neuen Regelungen umzusetzen, ließ man einfach mal außen vor.