Ein Jahr DSGVO: Viel Arbeit – und viele offene Fragen

Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr gelegt. Es gibt inzwischen viel Lob - aber auch weiterhin Kritik. In jedem Fall lässt die "Zeitenwende im Datenschutz" die Arbeit für alle nicht ausgehen.
Am 25. Mai 2018 ist die Datenschutzgrundverordnung in den Staaten der EU in Kraft getreten.

Von Renate Grimming, dpa, und Thomas Thieme

Seit einem Jahr lebt Europa nach neuen Datenschutz-Regeln. Die Datenschutzgrundverordnung DSGVO, die am 25. Mai 2018 zur Pflicht in der EU wurde, hat für viele Diskussionen gesorgt – und auch heute sind noch längst nicht alle Fragen geklärt. Doch: „Die große Aufregung hat sich gelegt“, konstatiert die Rechtsanwältin und Datenschutzexpertin Vera Jungkind von der Kanzlei Hengeler Mueller. Vor dem Stichtag im vergangenen Mai habe geradezu Endzeitstimmung geherrscht. „Viele Unternehmen und Organisationen haben dann aber gemerkt, dass sich die Welt weiter dreht.“

Inzwischen würden die Unternehmen besser und konzentrierter an ihren Datenschutz-Einstellungen arbeiten und auch langfristige Ziele in Angriff nehmen, sagt Jungkind. „Der Aktionismus ist vorbei.“ Zum Stichtag hatte die Verordnung trotz zweijähriger Vorlaufzeit in vielen Unternehmen geradezu für Panik gesorgt. Immerhin drohen seither erstmals teils hohe Bußgelder bei Verstößen.

Für Viviane Reding, einstige EU-Kommissarin und Wegbereiterin der DSGVO, war diese Reaktion unverständlich. „Eines würde ich heute anders machen“, sagte Reding. „Ich würde den Marktteilnehmern keine zweijährige Übergangsfrist mehr einräumen.“ Wenn kurz vor Inkrafttreten Panik ausbreche, heiße das doch: „Zwei Jahre ist nichts passiert.“ Zwei Jahre hätten Regierungen und Unternehmen „im Tiefschlaf“ gelegen. „Dann lieber Panik sofort, dafür aber auch den Datenschutz sofort.“


Statements zur DSGVO finden Sie in unserer Bildergalerie:


Viele Befürchtungen haben sich zwar nicht bestätigt, doch Beschwerden gibt es zuhauf, die bei den Datenschutzbehörden eingehen. Waren es 2017 noch im Schnitt 400 Beschwerden und Anfragen pro Monat, schnellte die Zahl allein zwischen Juni und Dezember 2018 mit rund 1370 auf mehr als das Dreifache hoch, wie aus dem Tätigkeitsbericht des Bundesdatenschutzbeauftragten Ulrich Kelber hervorgeht.

Befürchtete Abmahnwelle ist ausgeblieben

Auch die Aufsichtsbehörden hält die Umsetzung auf Trab. Dennoch hält Kelber die DSGVO für eine „Zeitenwende im Datenschutz“. Eine befürchtete Abmahnwelle sei ausgeblieben, auch „plakative Falschmeldungen“ hätten sich nicht bewahrheitet. Es dürften weiter Fotografien angefertigt und Namen an Klingelschildern angebracht werden, betonte Kelber.

Einen Anstieg von Meldungen über Verstöße konstatiert auch der Anbieter für IT-Sicherheitslösungen FireEye. Die DSGVO habe in Unternehmen und Organisationen aber auf jeden Fall für mehr Transparenz gesorgt, resümiert das Unternehmen seine Erfahrungen. Die Dokumentationspflicht zwinge sie zudem, sich intensiver mit ihrem eigenen Umgang mit Daten auseinanderzusetzen.

„Das Bewusstsein für Datenschutz ist auf allen Seiten höher“, sagt auch Achim Berg, Präsident des Bitkom. Der Digitalverband zieht aber eine eher „gemischte Bilanz“ nach einem Jahr DSGVO. Große internationale Plattform-Anbieter etwa profitierten nun von dem einheitlich gesteckten Rechtsrahmen, sagt Berg. Der deutsche Mittelstand und kleine Unternehmen dagegen kämpften weiter mit der Umsetzung. „Das Problem liegt nach wie vor darin, dass die DSGVO nicht zwischen einem Kleingartenverein und einem Großkonzern unterscheidet.“ Und hier müsse nachgebessert werden.

Das Problem liegt nach wie vor darin, dass die DSGVO nicht zwischen einem Kleingartenverein und einem Großkonzern unterscheidet.“

Die Umsetzung der Verordnung in den Unternehmen sei aber nicht eine Frage der Größe, sondern eher der Reife, schätzt Rechtsanwältin Jungkind. „Datenschutz ist ja nicht neu.“ Ob internationale Unternehmen oder gemeinnützige Organisationen – viele hätten lediglich „eine Schippe drauflegen“ müssen. Probleme habe es dagegen bei der Umsetzung in Unternehmen gegeben, deren IT-Organisation beispielsweise nach vielen Zukäufen nicht habe Schritt halten können oder die veraltete Systeme betreiben, bei denen die Daten nicht gelöscht oder getrennt werden könnten.

Verband Bitkom fordert europaweite Einheitlichkeit

Für Unternehmen jeder Größe bedeute die DSGVO auch weiterhin „einen hohen Umsetzungsaufwand, und immer noch bestehen viele Rechtsunsicherheiten“, sagte Berg. Der Bitkom fordert zudem, dass die Auslegung in der gesamten EU einheitlicher werden müsse. Wirksame Hilfestellungen müssten dabei von der Politik kommen, damit der Rechtsrahmen praktikabler und verständlicher gemacht werde.

Der Bundesverband der deutschen Industrie BDI lobt die DSGVO als wichtigen Grundstein für einen gemeinsamen Markt in der EU, betont aber auch, dass die Verordnung teuer für die Unternehmen sei. Sie habe das Zeug, sich zu einem weltweiten Standard zu entwickeln, sagt Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung. Doch auch der BDI fordert mehr Rechtssicherheit ein. Und: „Datenschutz in der EU darf kein Standortnachteil werden“, verlangt Plöger. Bisher stünden sich Datenschutz und Technologien wie künstliche Intelligenz „diametral entgegen“. Etwa bei der Anonymisierung von Daten brauche es deshalb mehr Freiraum, damit die Entwicklung künstlicher Intelligenz nicht abwandere.

Am Ende geht es darum, die richtige Balance zwischen Datenschutz einerseits und innovativen, datenbasierten Anwendungen andererseits zu finden“

Insgesamt hat die Datenschutzgrundverordnung die Wirtschaft nachhaltig verändert und das Bewusstsein für Datenschutz auf allen Seiten erhöht. „Am Ende geht es darum, die richtige Balance zwischen Datenschutz einerseits und innovativen, datenbasierten Anwendungen andererseits zu finden“, sagte Berg.

Die Deutschen Verbraucher erkennen die wichtige Rolle von Daten mehr und mehr an, wie aus einer repräsentativen Studie im Auftrag der GlobalDMA, des Deutschen Dialogmarketing Verbands (DDV) und Acxiom zum Thema Datenschutz in Deutschland hervorgeht: Mit insgesamt 74 Prozent, bestehend aus Datenpragmatikern und unbekümmerten Verbrauchern, ist ein Großteil der Bevölkerung bereit, Daten zu teilen und es werbetreibenden Unternehmen zu ermöglichen, personalisiertes Marketing auszuüben. Dabei sind jüngere Verbraucher wesentlich offener als ältere, für sie gehört das Digitale selbstverständlich zum Leben dazu. Mehr als jeder dritte befragte Deutsche findet sogar, dass der Austausch personenbezogener Daten für den reibungslosen Ablauf in der modernen Gesellschaft von grundlegender Bedeutung ist.

Selbst Facebook-Chef Zuckerberg lobt die Verordnung

Unterdessen strahlen die Auswirkungen der DSGVO bereits weit über die Grenzen Europas hinaus. Auch in Japan oder Kalifornien sei die Verordnung positiv und mit Interesse verfolgt worden, betont der oberste Datenschützer Kelber. Selbst Facebook-Chef Mark Zuckerberg, der in Sachen Datenschutz unter Dauerbeschuss steht, hat lobende Worte übrig, obgleich Beschwerden über Facebooks Messenger-Dienst WhatsApp sowie außereuropäische Mail-Anbieter die Aufsichtsbehörden nach deren Angaben am häufigsten beschäftigen.

Die erste dicke Strafe auf Basis der DSGVO traf unterdessen Google. Im Januar stellte die französische Datenschutzbehörde CNIL Verstöße gegen die Datenschutzgrundverordnung fest und verdonnerte den Konzern zur Zahlung von rund 50 Millionen Euro. Google ist in Berufung gegangen. Die DSGVO müsse sich jetzt erst einmal beweisen, sagte Ingo Dachwitz von „netzpolitik.org“ kürzlich auf der Internet-Konferenz re:publica. Es sei die erste großen Strafe – „mal schauen, ob die durchkommen“.