3 Jahre DSGVO: Der Reformdruck wächst, an der Durchsetzung hapert's

Inhaltsverzeichnis

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). "Datenschutzregeln europäisch zu vereinheitlichen war und ist die richtige Entscheidung", erklärte zum Dreijährigen an diesem Dienstag der Präsident des IT-Verbands Bitkom, Achim Berg. Die bisherige Bilanz zeige aber auch: Das komplexe Gesetz habe sein wichtigstes Ziel, den rechtlichen Rahmen und die Anwendungspraxis beim Datenschutz europaweit zu harmonisieren, verfehlt. Dies liege an zu vielen Öffnungsklauseln, "die nationale Sonderwege ermöglichen".

Immer noch keine Harmonisierung

"Die Abstimmung unter 27 Aufsichtsbehörden auf EU-Ebene zu einer einheitlichen Auslegung und Durchsetzung der Regeln funktioniert in der Praxis nur schleppend", moniert Berg. Zudem legten allein in Deutschland 18 Aufsichtsbehörden von Bund und Ländern die DSGVO unterschiedlich aus. Diese regionale Kirchturmpolitik müsse beendet werden, fordert der Cheflobbyist. Viele Unternehmen seien noch immer unsicher, wie sie die Vorgaben umsetzen müssten. Umfangreiche Prüfungen und langwierige Debatten bänden Ressourcen.

Aus Sorge vor teils "existenzbedrohenden Bußgeldern" werde im Zweifelsfall auf Innovationen verzichtet, meint Berg. Wichtige Digitalisierungsvorhaben würden verzögert. Gerade während der Corona-Pandemie habe dies in der öffentlichen Verwaltung, in Schulen, im Gesundheitswesen und in Unternehmen beobachtet werden können. Andernfalls zeigte sich in den vergangenen Monaten auch, dass die Notlage den Datenschutz etwa im Bildungsbereich schleifte: teils gaben die Kontrolleure – zumindest zeitlich begrenzt – Technik frei, die nicht als DSGVO-konform gilt.

"Derzeit haben weder die User noch die Unternehmen in irgendeiner Art gewonnen", sieht auch der Chef des Reichweitenmessers Infoline, Wolfgang Lanzrath, keinen Grund zum Feiern des Jahrestags. Eher das Gegenteil sei der Fall: "Wer findet sich denn zwischen den ganzen Cookie-Bannern und endlosen Datenschutzerklärungen zurecht?" Nach der DSGVO sei vor dem TTDSG für den Datenschutz in der Kommunikation. Damit stünden potenziell weitere Einschränkungen an.

Deutlich mehr Datenpannen

Vielen in der Wirtschaft fällt es offenbar schwer, gerade die wegen der Corona-Pandemie wachsenden Datenmengen im Einklang mit der Verordnung zu verarbeiten. 26.057 Datenpannen wurden im vergangenen Jahr deutschlandweit gemeldet, so viele wie zwischen Mai 2018 bis Ende 2019 nicht. Am häufigsten kamen Vorfälle im Zusammenhang mit dem Versand von Dokumenten, Cyber-Angriffen und technischen Mängeln zur Sprache.

Die hiesigen Datenschutzbehörden verhängten 2020 Bußgelder in Höhe von 48,1 Millionen Euro, rund 50 Prozent mehr als im Vorjahr. Europaweit summierte sich die Höhe der Strafen in den 27 Mitgliedsländern auf knapp 159 Millionen Euro, ein Plus von rund 40 Prozent. Über den Anstieg und die höchsten verhängten Bußgelder geben Portale wie der Enforcement Tracker Auskunft. Den individuellen "Rekord" hält Google mit einer Strafe aus Frankreich in Höhe von 50 Millionen Euro auf einen Schlag.

Nicht alle IT-Firmen finden die Verordnung schlecht. "Wenn uns die öffentlich viel gescholtene DSGVO eins gebracht hat, dann die Stärkung der EU als Wirtschaftsstandort", findet Daniel Niesler, Chef des Datentransferdiensts FTAPI. Viele Unternehmen aus Drittstaaten hätten "den Datenschutz seit jeher als eine offene Hintertür" betrachtet. Daher falle inzwischen auf, dass Rechenzentren "oder gleich ganze Unternehmenssitze in die EU verlagert werden". Dennoch ändere sich die Mentalität nur langsam: "Viele Firmen vernachlässigen die Kombination von Datenschutz und Datensicherheit auf geradezu fahrlässige Weise."

Mindeststandards umgesetzt

"Ohne Vertrauen der Konsumenten kann unsere Branche nicht funktionieren", weiß auch Stefan Blumenthal, Deutschlandmanager der hierzulande gegründeten Datenplattform Zeotap. "Vielem, was wir schon immer gemacht haben, hat die DSGVO einen rechtlichen Rahmen gegeben und damit auch für faireren Wettbewerb gesorgt." Seit drei Jahren müssten sich alle Marktteilnehmer an bestimmte Mindeststandards halten. Nun gelte es aber, die rechtlichen Bedingungen für die Umsetzung noch "deutlich kundenfreundlicher zu gestalten".

"Unsere Datenschutzregeln bieten einen flexiblen Rechtsrahmen, der auch in Zeiten der Covid-19-Pandemie seinen Zweck erfüllt", unterstreicht Věra Jourová, die als Vizepräsidentin der EU-Kommission für Werte und Transparenz zuständig ist. Diese Erkenntnis aus der Theorie habe sich im vorigen Jahr in der Praxis bestätigt.

Im Juni hatte die EU-Kommission ihren ersten Evaluationsbericht zur DSGVO vorgelegt. Darin ging sie aber nicht auf Schwachstellen und Korrekturvorschläge ein, sondern befasste sich – sehr zum Unmut europäischer Datenschutzbeauftragten, anderer Vertreter der Mitgliedstaaten und Organen der EU sowie aus der Zivilgesellschaft – nur mit der Umsetzung des Regelwerks und sah daher noch keinen Reformbedarf.