Ein Jahr DSGVO: Erfolge und Schwierigkeiten des neuen Datenschutzrechts
Seit einem Jahr gilt das neue EU-Datenschutzrecht. Um kaum eine EU-Verordnung wurde so viel Wind gemacht: Rückschau und Bilanz im Schwerpunkt auf heise online.
Die Datenschutz-Grundverordnung der EU regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen grundsätzlich neu. Vor einem Jahr war es dann soweit: Die DSGVO trat nach einer zweijährigen Übergangsfrist endgültig in Kraft. Im Schwerpunkt "Ein Jahr DSGVO: eine Bilanz [1]" ziehen wir ein erstes Fazit über die Auswirkungen und stellen die Änderungen auf den Prüfstand.
Es war ein regelrechtes Mammutprojekt. Nach Jahren des Diskutierens und des Ringens mit Lobbyisten – der erste Entwurf lag bereits 2012 vor [10] – und nachdem sich das europäische Parlament mit nicht weniger als 3100 Änderungsanträgen beschäftigen musste, trat am 25. Mai 2016 die Datenschutzgrundverordnung (DSGVO) [11] in Kraft.
Wirksam wurden die neuen Regelungen erst nach einer Übergangsfrist von zwei Jahren, die von den allermeisten Datenverarbeitern jedoch weltverloren verschlafen wurde. Seit dem 25. Mai 2018 ist die DSGVO nunmehr anwendbar. Strenggenommen feiern wir also den dritten Geburtstag.
Harmonisiertes Datenschutzrecht
Anders als ihr Vorgänger, die europäische Datenschutzrichtlinie aus dem Jahr 1995, musste die DSGVO nicht in nationales Recht umgesetzt werden. Sie gilt unmittelbar in allen EU-Mitgliedsstaaten und hat gegenüber dem nationalen Recht Anwendungsvorrang, woraus die beabsichtigte Harmonisierung des Datenschutzrechts folgt.
Da der europäische Gesetzgeber den Mitgliedsstaaten durch sogenannte Öffnungsklauseln in einigen Bereichen jedoch einen gewissen Gestaltungsspielraum überlassen hat, wird die DSGVO vom Bundesdatenschutzgesetzt (BDSG) flankiert, dessen Neufassung ebenfalls vor einem Jahr in Kraft getreten ist.
Highlights des Sonderhefts: DSGVO-Praxis von Fachjuristen; was 2019 wirklich wichtig ist; neue Pflichten für Unternehmen; Anforderungen an die IT-Sicherheit; Inklusive Webinar, Kurzpapieren, FAQs, Checklisten.
Es gelten aber grundsätzlich europaweit einheitliche Regeln, die einerseits den Schutz personenbezogener Daten sicherstellen und anderseits den freien Datenverkehr innerhalb der EU gewährleisten sollen.
Der Vater der DSGVO
Die zentralen Schutzgüter der DSGVO sind pauschal die "Rechte und Freiheiten natürlicher Personen". In erster Linie soll aber das Grundrecht auf informationelle Selbstbestimmung gewährleistet werden. Jeder soll selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten bestimmen können. Darunter fallen neben dem Namen, Anschrift, Telefonnummer unter anderem auch Bilder von Personen, KFZ-Kennzeichen, IP-Adressen, das Kaufverhalten und vieles mehr.
Zum Schutz dieser Daten greift die DSGVO auf etliche hierzulande bereits bekannte Grundsätze zurück. Das liegt daran, dass das alte BDSG in vielerlei Hinsicht Pate für das neue Datenschutzrecht gestanden hat. Was wohl dem Vater der DSGVO zu verdanken ist, dem Grünen-Politiker Jan Philipp Albrecht. Als Berichterstatter im Europaparlament war er maßgeblich am Gesetzgebungsprozess des für 28 verschiedene Rechtsordnungen vorgesehenen Regelwerks beteiligt und hat sich hierfür einer langen Lobbyschlacht gestellt. Eindrucksvoll festgehalten ist dies im Dokumentarfilm "Democracy – Im Rausch der Daten [13]".
Vorbild Deutschland
Verglichen mit anderen Ländern änderte sich in Deutschland im Datenschutz daher gar nicht so viel. Dies gilt zum Beispiel für den Grundsatz des "Verbots mit Erlaubnisvorbehalt". Danach sind alle Arten der Verarbeitung personenbezogener Daten grundsätzlich verboten, es sei denn es existiert eine gesetzliche Erlaubnis oder der Betroffene hat ausdrücklich einwilligt.
Ebenso enthält die DSGVO die ehernen Grundsätze des Datenschutzes, wie Datensparsamkeit, Transparenz und das Gebot der Zweckbindung, um nur einige zu nennen. Auch der betriebliche Danteschutzbeauftragte ist erhalten geblieben.
Privacy by Default
Einige datenschutzrechtliche Grundsätze sind jedoch hinzugekommen. "Privacy by Design" bedeutet zum Beispiel, dass Datenschutzprobleme schon bei der Entwicklung neuer Technologien festgestellt und geprüft werden sollen. Der Grundsatz von "Privacy by Default" verlangt darüber hinaus datenschutzfreundliche Voreinstellungen. Unter anderem ein Grund, weswegen Facebook die Privatsphäre- und Datenschutzeinstellungen für die Nutzer neu gestalten musste [14].
Neu ist auch das Marktortprinzip, welches dafür sorgt, dass sich ausländische Firmen nicht ohne weiteres dem strengen europäischem Datenschutzregime entziehen können. Wer auf dem europäischen Markt tätig ist, muss die DSGVO voll anwenden. Das gilt selbst für Firmen, die keine Niederlassung in der EU haben.
Verbraucherschutz
An die Verbraucher hat man ebenfalls gedacht. Neben besser ausstaffierten Auskunftsrechten wurde das Recht auf Datenübertragbarkeit völlig neu geschaffen. Nach Artikel 20 DSGVO [15] hat etwa der Nutzer beispielsweise eines sozialen Netzwerks oder der Kunde einer Versicherung das Recht, dass ihm der Betreiber sämtliche ihn betreffenden personenbezogenen Daten in einem "strukturierten, gängigen und maschinenlesbaren Format" aushändigt, damit er damit zu einem anderen Anbieter "umziehen" kann – so jedenfalls die Theorie.
Das durch die Rechtsprechung des EuGH aufgegriffene "Recht auf Vergessenwerden" [16] hat ebenfalls seinen Weg in die DSGVO gefunden. Demnach müssen Unternehmen personenbezogene Daten oder Links zu diesen nicht nur auf ihrer eigenen Internetseite löschen, sondern zusätzliche Maßnahmen ergreifen, damit diese aus dem Netz verschwinden.
Welche Überraschung!
Etliche Markteilnehmer waren von den Neuerungen sichtlich überfordert, mit dem Ergebnis, dass viele deutsche Firmen kurz vor dem Stichtag im Mai 2018 immer noch nicht auf die DSGVO vorbereitet waren [17].
Ein Schuldiger war schnell gefunden, man schob es auf die geringe Unterstützung seitens der Datenschutzbehörden [18] – dass man zwei Jahre Zeit gehabt hätte, die neuen Regelungen umzusetzen, ließ man einfach mal außen vor.
Alles neu macht der Mai
Vielerorts wurde allerdings auch schlicht der bürokratische Aufwand unterschätzt: Jede Datenschutzerklärung musste den neuen und deutlich umfangreicheren Informationspflichten angepasst werden. Textbausteine für die Einwilligung in Datenverarbeitungsvorgänge mussten überprüft und den rechtlichen Vorgaben getreu umformuliert werden. Sogenannte "Verzeichnisse von Verarbeitungstätigkeiten" wurden als Grundlage jedes vernünftigen Datenschutzmanagements benötigt.
Bei besonders risikobehafteten Datenverarbeitungen mussten "Datenschutz-Folgenabschätzung" durchgeführt werden. Wem dann noch Kapazitäten zur Verfügung standen, setzte sich schon einmal mit den neuen Meldepflichten bei Datenpannen auseinander und bildete interdisziplinäre Teams, um einen "Data Breach" innerhalb von 72 Stunden bei den Datenschutzbehörden anzeigen zu können.
Folterfragebogen
Damit nicht genug drohten mittels Folterfragebogen (zum Beispiel der c't [19]) erbetene datenschutzrechtliche Selbstauskünfte die Unternehmen zu überfluten. Wer die umfangreichen Fragen in Bezug auf die des Auskunftsuchenden gespeicherten Daten nicht innerhalb der Monatsfrist beantworten konnte, musste damit rechnen, dass dies der Datenschutzbehörde gemeldet werden würde.
In einer FAQ hat die c't zudem die einzelnen Aspekte der neuen Datenschutzregeln aufgeschüsselt und die wichtigsten Fragen beantwortet:
Die To-Do-Liste, welche Unternehmen bis zum Start der DSGVO hätten abarbeiten müssen, war lang. Angesichts der Tatsache, dass ohne eine gefestigte Rechtsprechung und den nur nach und nach veröffentlichten Orientierungshilfen der Datenschutzkonferenz (DSK) [21] eine enorme Rechtsunsicherheit herrschte, florierte das Geschäftsfeld der Datenschutzberater und Datenschutzkanzleien ganz besonders gut.
Datenschutz kurios
Nicht zuletzt getrieben von der Panik vor Bußgeldern neigten einige Stellen zu unüberlegtem Aktionismus und vermeintlich vorauseilendem Datenschutz-Gehorsam. Man erinnere sich nur an die Wiener Klingelschild-Posse [22]; Eine kommunale Hausverwaltung hatte die Klingelschilder ihrer Mieter entfernen lassen, weil man der Ansicht war, dass die Verbindung von Nachname und Wohnungsnummer gegen die DSGVO verstoße.
In Dormagen schwärzte man in einem Kindergarten sämtliche Gesichter in den liebevoll gestalteten Erinnerungsfotoalben der Kinder [23]. Nur das entsprechende Kind, für welches das Album als Geschenk vorgesehen war, blieb verschont. (Allerdings ist Datenschutz bei Fotos tatsächlich ein rechtliches Minenfeld [24].)
Mail-Flut
Viele User zeigten sich auch schwer genervt von den unzähligen "Lass uns Freunde bleiben"- und "Wir wollen dich nicht verlieren"-Mails, die im Zuge großangelegter Re-Opt-in-Kampagnen von Unternehmen verschickt wurden, um eine zweifelhafte Einwilligung für den Empfang von E-Mails zu erbetteln. Weitere Anekdoten finden sich im DSGVO-Absurditätenkabinett [25]. Ein regelrechtes DSGVO-Armageddon [26] haben die Aktivistin Katharina Nocun und Information Security Manager Lars Hohl in einem Vortrag für die diesjährige re:publica zusammengefasst.
Panik vor Abmahnungen
Richtig angefeuert wurde die Datenschutz-Hysterie, als Rechtsanwaltskanzleien von ersten Abmahnungen wegen angeblicher Verstöße gegen die neue DSGVO berichteten. Auf heise online war die Meldung DSGVO: Die Abmahn-Maschinerie ist angelaufen [27] die am meisten geklickte Nachricht im Jahr 2018.
Die befürchtete Abmahnwelle blieb indes aus. Dies liegt vor allem an der auch hier unsicheren Rechtslage. Es ist immer noch unklar, ob und welche Datenschutzverstöße abmahnbar sind. Ein schneller Euro lässt sich so für Abmahner jedenfalls nicht machen.
Angst vor Bußgeldern
Realer ist da schon die Gefahr horrender Bußgelder. 20 Millionen Euro oder 4% des weltweit erzielten Jahresumsatzes, das ist der maximale Bußgeldrahmen der DSGVO, den Dank medialer Überpräsenz jeder Geschäftsführer der Republik im Schlaf herunterbeten kann. Dem vormals zahnlosen Tiger Datenschutzbehörde waren über Nacht Zähne gewachsen.
Nach einer vorübergehenden "Schonfrist" wurde Ende 2018 das erste Bußgeld fällig. "Opfer" war das soziale Netzwerk knuddels.de. Nach einem Hackerangriff waren Hunderttausende Passwörter von Knuddels-Nutzer im Netzt aufgetaucht. Weil das Unternehmen Passwörter unverschlüsselt speicherte, wurde ein Bußgeld in Höhe von 20.000 EUR verhängt [28].
Die erste wirklich hohe Strafe traf Google. Im Januar brummte die französische Datenschutzbehörde dem Konzern wegen diverser Datenschutzverstöße ein Bußgeld von rund 50 Millionen Euro auf [29]. Google ist diesbezüglich in Berufung gegangen.
Gekommen, um zu bleiben
In Deutschland sind mittlerweile rund 100 Bußgelder nach der DSGVO mit einer Gesamtsumme von 483.500 EUR bekannt geworden [30]. Da ist noch Luft nach oben – vor allem, wenn man bedenkt man, dass ebenfalls in einem Zeitraum von einem Jahr die Bundesnetzagentur allein wegen unerlaubter Telefonwerbung 1,1 Millionen EUR an Bußgeld "erwirtschaftet" hat und dieser Behörde nur ein maximales Bußgeld von 300.000 EUR zur Verfügung steht.
Wir werden uns also in den nächsten Wochen und Monaten immer wieder mit der DSGVO beschäftigen müssen: Sie ist gekommen, um zu bleiben, sowohl für die Nutzer als auch die Anbieter, für Privatleute ebenso wie für Unternehmen. Die folgenden Artikel des Schwerpunkts "Ein Jahr DSGVO - ein Fazit" sollen noch einmal die wichtigsten Aspekte und Auswirkungen der neuen Datenschutzregeln erläutern. Und schließlich auch einen Ausblick in die Zukunft des Datenschutzes nach der DSGVO geben. (jk [31])
URL dieses Artikels:
https://www.heise.de/-4431402
Links in diesem Artikel:
[1] https://www.heise.de/thema/DSGVO
[2] https://www.heise.de/news/Ein-Jahr-DSGVO-Erfolge-und-Schwierigkeiten-des-neuen-Datenschutzrechts-4431402.html
[3] https://www.heise.de/hintergrund/Datenschutz-Erkenntnisse-fuer-Unternehmen-nach-einem-Jahr-DSGVO-4425573.html
[4] https://www.heise.de/news/DSGVO-So-nutzen-Sie-Ihre-Auskunftsrechte-4429886.html
[5] https://www.heise.de/ratgeber/DSGVO-Was-man-beim-Cloud-Computing-bei-externen-Dienstleistern-beachten-muss-4425677.html
[6] https://www.heise.de/hintergrund/DSGVO-So-funktionieren-die-neuen-Meldepflichten-bei-Datenpannen-4426089.html
[7] https://www.heise.de/news/DSGVO-Rechtsgrundlagen-und-Funktionsweisen-von-Cookie-Hinweisen-4430026.html
[8] https://www.heise.de/ratgeber/DSGVO-So-fotografieren-Sie-rechtssicher-4426548.html
[9] https://www.heise.de/news/Kommentar-Ein-Jahr-DSGVO-ein-Grund-zum-Feiern-4433915.html
[10] https://www.heise.de/newsticker/meldung/Reding-stellt-EU-Datenschutzreform-vor-1421418.html
[11] https://dejure.org/gesetze/DSGVO
[12] https://shop.heise.de/katalog/ct-wissen-dsgvo
[13] https://www.bpb.de/gesellschaft/digitales/democracy/254255/der-film
[14] https://www.heise.de/newsticker/meldung/Facebook-gestaltet-Einstellungen-fuer-Privatsphaere-und-Datenschutz-neu-3953257.html
[15] https://dejure.org/gesetze/DSGVO/20.html
[16] https://www.heise.de/newsticker/meldung/Recht-auf-Vergessen-Google-muss-Links-zu-personenbezogenen-Daten-entfernen-2188014.html
[17] https://www.heise.de/ix/meldung/EU-DSGVO-Deutsche-Unternehmen-schlecht-vorbereitet-4027887.html
[18] https://www.heise.de/newsticker/meldung/DSGVO-Unternehmen-beklagen-geringe-Unterstuetzung-der-Behoerden-4049220.html
[19] https://www.heise.de/newsticker/meldung/DSGVO-Folterfragebogen-im-Selbsttest-3974512.html
[20] https://vorschau.heise-cms.de/ct/artikel/Ein-Jahr-DSGVO-Was-ist-neu-was-hat-sich-geaendert-4421311.html
[21] https://www.datenschutzkonferenz-online.de/kurzpapiere.html
[22] https://www.heise.de/newsticker/meldung/Anonymer-Wohnen-mit-DSGVO-Wiener-Mieter-kriegen-Klingelschilder-ohne-Namen-4190060.html
[23] https://rp-online.de/nrw/staedte/dormagen/wegen-datenschutz-kita-gibt-erinnerungsfotos-mit-geschwaerzten-koepfen-heraus_aid-24139227
[24] https://www.heise.de/newsticker/meldung/DSGVO-und-Fotografie-OLG-Koeln-schafft-etwas-Klarheit-4092556.html
[25] https://www.heise.de/security/meldung/l-f-Das-DSGVO-Absurditaetenkabinett-4057866.html
[26] https://www.heise.de/newsticker/meldung/re-publica-zum-DSGVO-Armageddon-Wenn-Kirchen-nicht-mehr-live-streamen-duerfen-4417069.html
[27] https://www.heise.de/newsticker/meldung/DSGVO-Die-Abmahn-Maschinerie-ist-angelaufen-4061044.htm%20l
[28] https://www.heise.de/newsticker/meldung/Passwoerter-im-Klartext-20-000-Euro-Bussgeld-nach-DSGVO-gegen-Knuddels-de-4229798.html
[29] https://www.heise.de/newsticker/meldung/DSGVO-Verstoesse-Frankreich-verhaengt-Millionen-Strafe-gegen-Google-4283765.html
[30] https://www.cmshs-bloggt.de/tmc/datenschutzrecht/100-bussgelder-dsgvo-deutschland-uebersicht/#
[31] mailto:jk@heise.de
Copyright © 2019 Heise Medien