DSGVO: EU-Kommission warnt vor Schludrigkeit und vor nationaler Überregulierung

Inhaltsverzeichnis

Ein gutes Jahr nach dem endgültigen Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hat die EU-Kommission am Mittwoch einen ersten Bericht veröffentlicht, in dem sie ein vorläufiges Resümee zu deren Folgen sowie zum Stand der nationalen Umsetzung zieht. Die Privatsphäre sei mit dem Regelwerk endlich zu einer "entscheidenden Größe" geworden, freute sich Justizkommissarin Vera Jourová bei der Präsentation der Ergebnisse in Brüssel. Die Bürger seien sich ihrer stärkeren Rechte bewusst geworden. Es gebe aber noch viel zu tun, um auf einen einheitlichen Schutzstandard in der EU und möglichst auch auf erweiterter internationaler Ebene hinzuarbeiten.

Schwerpunkt: Ein Jahr DSGVO – eine Bilanz

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung endgültig in Kraft - und löste trotz zwei Jahren Zeit für Vorbereitungen große Unsicherheit bei Anbietern und Nutzern aus. Nach einem Jahr zeigt die Bilanz, welche Auswirkungen die DSGVO hatte und was sich eigentlich Entscheidendes geändert hat.

• Ein Jahr DSGVO: Erfolge und Schwierigkeiten des neuen Datenschutzrechts
• Erkenntnisse für Unternehmen nach einem Jahr DSGVO
• So nutzen Sie Ihre Auskunftsrechte
• Was man beim Cloud-Computing bei externen Dienstleistern beachten muss
• So funktionieren die neuen Meldepflichten bei Datenpannen
• Rechtsgrundlagen und Funktionsweisen von Cookie-Hinweisen
• So fotografieren Sie rechtssicher
• Kommentar: Ein Jahr DSGVO - ein Grund zum Feiern!

Griechenland, Portugal und Slowenien haben laut der Analyse ihre nationalen Rechtsvorschriften zum Datenschutz noch nicht in Einklang mit der DSGVO gebracht. An die drei Mitgliedsstaaten richtete Jourová die klare Botschaft: "Beeilen Sie sich." Auch sonst werde die Kommission wachsam sein, dass die EU-Länder die Vorgaben im Sinne der Verordnung adaptieren. Diese dürften nicht verwässert werden, aber auch eine Überregulierung müsse ausgeschlossen werden. "Wir werden nicht davor zurückschrecken, Vertragsverletzungsverfahren einzuleiten, wenn sie erforderlich sind", betonte die Leiterin des Justizressorts. Als erste Schritte seien Warnschreiben aber wahrscheinlicher.

Volle Transparenz bei Algorithmen

Der Bundestag beschloss jüngst einen zweiten Gesetzentwurf, um das hiesige Recht an die DSGVO anzupassen. Die Abgeordneten haben dabei unter anderem Kontroll- und Betroffenenrechte bei einzelnen Behörden weiter eingeschränkt. Schon die erste einschlägige Initiative 2017 hatte die Kommission sehr skeptisch beäugt. Jourová nannte aktuell aber keine einzelnen Länder, die wegen Verstößen gegen Kernelemente der DSGVO vor dem Europäischen Gerichtshof landen könnten.

Als "größten Problembereich" machte die Tschechin die erforderliche "informierte Einwilligung" der Betroffenen in eine Datenverarbeitung aus. Bürger sollten zu jeder Zeit wissen, was mit ihren persönlichen Informationen passiert. Nötig sei ferner etwa die "volle Transparenz und Kontrolle" bei Algorithmen vor allem im Bereich Künstliche Intelligenz. Zudem müsse auch national die Medien- und Informationsfreiheit gewahrt bleiben.

Unternehmen hat die Verordnung nach Ansicht der Kommission geholfen, die Sicherheit ihrer Daten zu erhöhen und etwa das Prinzip "Privacy by Design" als Wettbewerbsvorteil zu nutzen. Die großen Befürchtungen vor zu viel Bürokratie oder Abmahnungen aus dem vorigen Jahr seien nicht eingetreten. Vor allem kleine und mittlere Unternehmen fühlten sich aber noch unsicher, konstatierte Jourová. Sie müssten noch besser aufgeklärt werden über einfach handhabbare Instrumente wie Standardvertragsklauseln, Verhaltenskodizes und neue Zertifizierungsmechanismen.

Weltweiter Referenzpunkt

Die nationalen Datenschutzbehörden haben ihre ausgebauten Befugnisse "bei Bedarf wirksam genutzt", heißt es in dem Bericht. Außerdem arbeiteten sie enger mit dem Europäischen Datenschutzausschuss (EDSA) zusammen. Bis Ende Juni seien 516 grenzübergreifende Fälle im Rahmen des Kooperationsmechanismus bearbeitet worden. Der EDSA sollte seine Führungsrolle stärken und den "Aufbau einer EU-weiten Datenschutzkultur" fortsetzen. Die nationalen Kontrolleure müssten ihre Anstrengungen bündeln und mehr gemeinsame Untersuchungen etwa von Internetkonzernen durchführen. Beobachter rechnen damit, dass sie etwa ihre Prüfung möglicher Rechtsverstöße durch Facebook bis Dezember abschließen.

Jourová wertete es als Erfolg, dass die DSGVO auch weltweit zu einem Referenzpunkt für einen modernen Datenschutzstandard geworden sei. Über 100 Länder seien bereits aktiv geworden. Neben Japan oder Südkorea arbeite etwa Chile an einem vergleichbaren Gesetz, sodass die dortigen Vorschriften früher oder später potenziell als "angemessen" zu den europäischen angesehen werden könnten. Damit werde es auch leichter, Daten zwischen diesen Staaten innerhalb eines "Raums des Vertrauens" fließen zu lassen. Einen umfassenden Umsetzungsbericht wird die Kommission im Frühjahr 2020 vorlegen.

Umsetzungsmängel

Laut einer Umfrage des European Business Awards im Auftrag der Wirtschaftsprüfungsgesellschaft RSM haben fast ein Drittel der europäischen Unternehmen vor allem aus dem Mittelstand die DSGVO noch nicht umgesetzt. 38 Prozent davon gaben an, nicht zu verstehen, wann die Zustimmung der Betroffenen in die Verarbeitung ihrer Daten erforderlich ist. 35 Prozent sind sich unsicher, wie sie den Einsatz personenbezogener Informationen durch ihre Mitarbeiter überwachen sollen. 34 Prozent kennen nicht die erforderlichen Verfahren um sicherzustellen, dass Verträge mit Drittanbietern DSGVO-konform sind.

Trotz der aufgedeckten Umsetzungsmängel wirkt sich die DSGVO laut der Umfrage, auf die rund 600 Antworten von Firmen eingingen, positiv auf die Cybersicherheit in der EU aus. 62 Prozent haben ihre Investitionen in diesem Bereich erhöht. 73 Prozent der EU-Unternehmen geben an, dass die DSGVO sie dazu motiviert hat, den Umgang mit Kundendaten zu verbessern. 21 Prozent der Teilnehmer verfügen bislang aber über gar keine eigene Cybersicherheits-Strategie. (jk)