Fünf Jahre DSGVO – ein kritischer Rück- und Ausblick

Inhalt

Die EU-Datenschutz-Grundverordnung (DSGVO) wird fünf Jahre alt. Was hat sich für Verantwortliche geändert und wie gehen diese mit den Datenschutzvorschriften in der Praxis um? Wie hat sich der Markt für Datenschutzberater entwickelt und welche Rolle spielen Aufsichtsbehörden, Gerichte und Verbraucherschützer? Zeit für einen kurzen Rückblick, eine kritische Bestandsaufnahme und ein paar Vermutungen für die Zukunft.

Wie erging es den Verantwortlichen mit der DSGVO?

Seit dem 25. Mai 2018 ist die DSGVO in der gesamten Europäischen Union verbindlich und sie erzeugt Rechtswirkung noch weit über dieses Gebiet hinaus. Kaum ein Gesetzesvorhaben wurde mit so großem Unbehagen erwartet.

Die Zeit um das Jahr 2018 herum war gekennzeichnet von großer Verunsicherung. Die mediale Berichterstattung fokussierte auf die drastischen Konsequenzen der DSGVO bei Datenschutzverstößen. Viele Unternehmen befürchteten, aufgrund eines Verstoßes unmittelbar in existenzielle Schwierigkeiten zu geraten.

Dass die Datenschutz-Grundverordnung in vielerlei Hinsicht gar keine Neuerungen einführte, ging dabei oft unter. Verantwortliche sahen sich vor einem schwer zu überwindenden Berg unklarer Aufgaben. Jetzt rächte sich besonders, wenn die Anforderungen des ehemaligen Bundesdatenschutzgesetzes (BDSG) nicht umgesetzt waren und dadurch noch höherer Anpassungsbedarf als ohnehin schon bestand. Nicht wenige Manager hatten Angst, persönlich in die Haftung genommen zu werden.

Doch diese große Aufregung hat sich längst gelegt.

Viele Organisationen mit Verantwortungsbewusstsein oder Handlungsdruck haben sich den Aufgaben erfolgreich gestellt. Ein Datenschutz-Managementsystem (DSMS) wurde etabliert und erzeugte sogar spürbare positive Nebenwirkungen auf die Prozesse in einer Organisation, die sowieso durchdacht und geregelt werden mussten. Den Wettbewerbsvorteil belegbare Datenschutzkonformität gab es obendrauf.

Die wenigsten Verantwortlichen haben sich jedoch mit den Regelungen angefreundet. Viel verbreiteter ist eine erzwungene Hinnahme. Nachdem unangekündigte Besuche einer schnellen Eingreiftruppe der Aufsichtsbehörden und gravierende Nachteile flächendeckend ausblieben und Dienstleister in der Regel auch von Auftragsgebern wenig zu befürchten haben, sanken Blut- und Leidensdruck mit der Zeit ganz von allein. Die Taktik, stillzuhalten und maximal etwas Datenschutzkosmetik zu betreiben, funktionierte und funktioniert derzeit angesichts des ausbleibenden Gegenwinds immer noch erstaunlich oft. Die Umsetzung erfolgte oft mit einer greifbaren Ahnungs- und Hilflosigkeit und beschränkte sich auf Maßnahmen, die man als unvermeidlich erkannt zu haben glaubte.

Viele genervte Verantwortliche waren und sind primär bestrebt, das negativ besetzte Thema möglichst vollständig abzugeben.

Auch halten sich weiterhin viele Vorurteile oder Missverständnisse hartnäckig. So etwa, dass die DSGVO von kleinen Handwerksbetrieben oder Vereinen das Gleiche verlangt wie von Großkonzernen und demzufolge völlig unangemessene Anforderungen aufstellt. Dies, gepaart mit einem fehlenden Grundverständnis für die wesentlichen Mechanismen im Datenschutz, macht die Akzeptanz des Themas schwierig.

Bei etlichen Verantwortlichen nahm die Bereitschaft, Einschränkungen durch den Datenschutz hinzunehmen, schon wieder deutlich ab; fast schon als Trotzreaktion erhält die pragmatische Lösung zunehmend Vorrang vor der rechtlich korrekten. Dies ist auch der Vielzahl von Fragen ohne klare und einfache Antwort geschuldet, die nun vermehrt ignoriert statt gelöst werden.

Auf der anderen Seite werden aufgrund diffuser Fehlvorstellungen nicht selten immer noch unnötige Aufwände betrieben. So begegnen in der Beratungspraxis beispielsweise weiterhin Einwilligungen, die vermeintlich erforderlich sind, aber bei korrekter Betrachtung völlig unnütz eingeholt werden. Statt gezielt die richtigen Dinge zu tun, werden en masse irgendwelche Maßnahmen ergriffen, solange sich diese nur schnell erledigen und vorweisen lassen.

Zusammengefasst bestehen bei der Umsetzung von Datenschutzanforderungen auch nach fünf Jahren Geltung verbreitet noch Defizite. Verantwortliche sind nach wie vor oft unsicher, was konkret von ihnen verlangt wird oder sind mit der Umsetzung überfordert. Die Akzeptanz des Themas und der zugrundeliegenden Wertung des Gesetzgebers sind längst nicht selbstverständlich.

Was tat sich im Bereich der Datenschutzberatung?

Der Markt an Datenschutzdienstleistungen explodierte mit Einführung der DSGVO und auch aktuell treten immer wieder Einzelkämpfer und Unternehmen als neue Anbieter auf. Nicht selten handelt es sich um Quereinsteiger ohne irgendwelche relevante Erfahrung, dafür teilweise mit großer finanzieller Unterstützung von Investoren, die lukrative Geschäfte wittern.

Und auch wenn Datenschutzberatern derzeit nicht mehr jedes Schlangenöl unbesehen aus den Händen gerissen wird, ist es nach wie vor leicht, Unterstützung im Datenschutz anzubieten. Nachfrager von Datenschutzberatungsleistungen sind sehr oft nicht in der Lage, geeignete Angebote von ungeeigneten zu unterscheiden (siehe dazu unseren Artikel zur Auswahl eines geeigneten externen Datenschutzbeauftragten).

Der Markt ist sicher oft kostensensitiv aber sonst kaum kritisch und bleibt so für Anbieter jeglicher Couleur interessant. Die Auswahl eines tatsächlich geeigneten Angebots bleibt für Verantwortliche eine bedeutende Herausforderung. Gelegentlich wird sie aber nicht als solche erkannt.

Nach einigen Jahren der Betätigung bemerken mittlerweile auch viele interne Datenschutzbeauftragte, dass die Erfüllung der Aufgaben schwieriger und vor allem zeitintensiver ist, als erwartet. Der Wunsch nach externer Unterstützung wächst ebenso spürbar, wie die Bereitschaft, die Position gänzlich abzugeben. Auch in diesem Zusammenhang wächst die Nachfrage.

Wie war und ist das mit Strafen und Haftung?

Die ursprünglich große Angst vor den Aufsichtsbehörden stellte sich als unbegründet heraus. In einigen Einzelfällen gab es sicher aufsehenerregende Entscheidungen; erst in diesen Tagen wurde das Rekordbußgeld gegen Meta bekannt. Gerade die deutschen Aufsichtsbehörden sind aber sehr zurückhaltend, insbesondere was Sanktionen angeht. In einzelnen Bundesländern werden faktisch keine Bußgelder verhängt. Es scheint fast, als würde das Hauptgewicht auf abstrakte Hinweise gelegt und im Einzelfall fast angestrengt weggesehen. Allerdings gehen die Aufsichtsbehörden wohl weiterhin in Arbeit unter und dürften daher auch auf weitere Sicht nachvollziehbar kaum auf Eigeninitiative hin tätig werden.

Das Risiko, erwischt zu werden, ist damit für Verantwortliche überschaubar und dramatische Konsequenzen sind in aller Regel nicht zu erwarten. Nicht zuletzt sind zentrale Fragen bei der Ahndung von Datenschutzverstößen bislang ungeklärt und die Aufsichtsbehörden müssen auch noch Erfahrung mit der Verhängung von Bußgeldern erwerben. Regelmäßig werden entsprechende Bußgeldbescheide mit allen Mitteln angefochten und dies teils auch erfolgreich.

Erschwerend kommt hinzu, dass die Aufsichtsbehörden innerhalb der EU und selbst innerhalb Deutschlands oft keinen einheitlichen Ansatz verfolgen. Die Abstimmung ist mühsam und langsam. Im Ergebnis werden nicht wenige Fragen auch erst durch die Rechtsprechung verbindlich beantwortet werden können – und das dauert alles in allem erst recht.

Vielfach unterschätzt und deutlich gefährlicher ist aus aktueller Sicht der private Bereich. Betroffene haben längst verstanden, dass sich Datenschutzrechte als wirksames Hilfs- und Druckmittel einsetzen lassen. Die eigenen Rechte taugen sehr gut, um zurückzuärgern. Manche Ex-Mitarbeiter verstehen es, sich den Abschied versilbern zu lassen oder aber dem unliebsamen Ex-Arbeitgeber nach Kündigung durch eine gezielte Weitergabe von Insiderwissen an die Aufsichtsbehörde noch eins mitzugeben.

Erste Abmahnwellen, mit denen Einzelpersonen in kollusivem Zusammenwirken mit einzelnen Anwälten versuchten, auf zweifelhafte Art schnelles Geld zu machen, haben wir gerade hinter uns (Stichwort: Google Fonts). Die Zeit von berechtigten und ernster zu nehmenden Massenklagen, auch durch Verbraucherschutzverbände, steht uns vermutlich bevor.

All diese privaten Initiativen können Unternehmen jederzeit und härter treffen als das Einschreiten einer Behörde. Immerhin haben die privaten Gegner ein erhebliches Eigeninteresse, den Prozess zu betreiben, sind daher kaum kompromissbereit oder nachsichtig und das Kostenrisiko kann bei einer großen Zahl von Betroffenen in der Summe schnell erheblich sein, selbst wenn im Einzelfall die im Raum stehenden Beträge gering sein mögen.

Was sagen die Gerichte zur DSGVO?

Neues Recht führt meist auch zu neuer Rechtsprechung. Zu auslegungsbedürftig sind viele Formulierungen der DSGVO und häufig stellen sich Fragen zum Verhältnis der Verordnung zu bestehenden nationalen Vorschriften. Die schiere Fülle an Gerichtsurteilen mit Bezug auf die DSGVO unterstreicht dies eindrucksvoll.

Nach einer Anlaufphase, in der die nationalen Rechtswege beschritten wurden, landen nun schließlich auch zentral wichtige Fragen zur letztverbindlichen Klärung beim Europäischen Gerichtshof. Die Entscheidung zum Drittlandtransfer (Privacy Shield / Schrems II) ist nur ein prominentes Beispiel aus der vergangenen Zeit, welche nach wie vor erhebliche Lösungsschwierigkeiten bereitet, dem Markt allerdings in Form des Transfer Impact Assessment ein neues Produkt bescherte.

Auch die aktuellen Entscheidungen des EuGHs zum Schadensersatz und zur Haftung haben erhebliche Auswirkungen auf Unternehmen und deren Verantwortliche.

Allgemein ist klar vorhersehbar, dass jedes verbraucher- bzw. datenschutzfreundliche Urteil, Zunder für entsprechende Auseinandersetzungen liefern wird – und zwar beginnend ab der ersten Instanz.

Bemerkenswert ist, dass die flächendeckende Durchsetzung des Datenschutzes im Ergebnis derzeit und wohl auch in der weiteren Zukunft eher über die Judikative als durch die Exekutive erfolgen dürfte.

Zwei sehr interessante Folgefragen sind übrigens in diesem Zusammenhang bislang offenbar noch gar nicht weiter gestellt und beantwortet worden.

  1. Was ist mit der Haftung des Managers, der sich nicht ausreichend gekümmert hat oder schlechten Rat einholte?
  2. Wie sieht es im letzteren Fall mit Regressforderungen gegenüber dem Berater aus?

Beide Themen dürften sicher künftig eine Rolle spielen und spürbare Auswirkungen auf Verantwortliche sowie insbesondere die Anbieter von Datenschutzdienstleistungen haben.

Wie wird die DSGVO international gesehen?

Beim internationalen Zusammenspiel lassen sich vor allem zwei Dinge bei Verantwortlichen bemerken:

So wird das Verständnis der DSGVO oft vom heimischen Rechtsverständnis überlagert, was fast zwangsläufig zu unrichtigen Ergebnissen führt. Vor allem haben außerhalb der EU angesiedelte Muttergesellschaften sehr oft Probleme, die individuelle Verantwortlichkeit auch kleinerer Töchter in der EU zu verstehen und dann anzuerkennen. Konzernzentralen betrachten die Unternehmensgruppe als Einheit und verorten daher sowohl Verantwortung als auch Entscheidungsbefugnis oft falsch.

Auch dass die Datensicherheit andere datenschutzrechtliche Voraussetzungen, allem voran eine notwendige Rechtsgrundlage, nicht entbehrlich macht, scheint schwierig zu verstehen. Nicht selten wird das Pferd von hinten aufgezäumt und Folgepflichten werden eifrig und mit erheblichem Aufwand erfüllt. Die alles entscheidende Frage aber, ob und durch wen die entsprechenden Daten denn überhaupt verarbeitet werden dürfen, bleibt ungeklärt.

Hinsichtlich vieler, meist in den USA ansässigen, Anbieter von Software oder Onlineplattformen bleibt das ernüchternde Fazit, dass das Marktortprinzip der DSGVO großteilig missachtet wird. Demnach gilt eigentlich das Recht des Landes, in dem sich die betroffene Person aufhält. Die Datenschutzvorgaben der DSGVO werden von vielen Konzernen jedoch nur langsam und meist nur durch den Druck von Bußgeldern oder Gerichtsurteilen angewendet. Eine ganz typische Frage bei der Beratung internationaler Mandaten ist nicht die nach der Rechtmäßigkeit, sondern danach, ob etwas bereits gerichtlich durchgesetzt oder sonst geahndet wurde. Die wirtschaftliche Entscheidung wird unverblümt am Risiko orientiert, zur Rechenschaft gezogen zu werden.

Auf Ebene der Gesetzgebung hat die DSGVO international große Strahlkraft entwickelt. Zahlreiche neue bzw. novellierte Datenschutzgesetze orientieren sich an den Vorgaben der DSGVO oder verwenden zumindest bestimmte Rechtsauffassungen. Dazu gehören etwa das Schweizer Datenschutzgesetz, Südkoreas Personal Information Protection Act (PIPA), das California Consumer Privacy Act (CCPA) und sogar Chinas Personal Information Protection Law (PIPL).

Fazit

Auch fünf Jahre nach ihrem Inkrafttreten bereitet die DSGVO allen Beteiligten weiter viele Schwierigkeiten.

Datenschutz wird überwiegend als Hemmschuh begriffen, die damit verbundenen Chancen werden nur selten erkannt. Solange Verantwortliche jedoch den Datenschutz und seine Grundgedanken nicht verstehen und akzeptieren und allein die erwarteten oder erlittenen Repressalien Anlass für eine möglichst oberflächliche Auseinandersetzung mit dem Gebiet liefern, wird sich hieran vermutlich auch nichts ändern.

Die Klärung der vielen alten und neuen Fragen wird erst durch die Gerichte erfolgen und dort stauen sich die Angelegenheiten.

Dieses Vorgehen vieler Verantwortlicher ist schwerlich strategisch zu nennen. Und das, obwohl Daten zu den wichtigsten Assets der modernen Wirtschaft gehören. Und damit auch der Schutz dieser Daten bzw. ihre rechtskonforme Verarbeitung.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.