DSGVO Gesetz: Zwischenfazit zum Data Privacy Day 2021

Von A bis Zoom: Den heutigen Europäischen Datenschutztag nehmen wir zum Anlass, eine allgemeine Zwischenbilanz zum DSGVO Gesetz zu ziehen. In letzter Zeit nimmt das Thema Datenschutz immer breiteren Raum ein, wie Diskussionen um Clubhouse, Corona-Warn-App oder WhatsApp zeigen.

„Wieder dieser lästige Datenschutz!“, hört man oft Leute klagen. Richtig ist, dass insbesondere seit dem Inkrafttreten der DSGVO vieles gefühlt etwas umständlicher geworden ist: Angefangen beim Cookie-Banner auf Internetseiten bis zu mehrseitigen Formularen zu Datenschutzerklärungen. Datenschutz verlangt uns allen einiges an zusätzlicher Aufmerksamkeit ab. Vor allem Unternehmen müssen fortlaufend erhebliche Ressourcen einsetzen und lange Checklisten abarbeiten, um beim Datenschutz auf dem aktuellen Stand der Dinge zu sein.

Dennoch stellt wohl kaum jemand die grundsätzliche Bedeutung von Datenschutz infrage. Es geht letztlich um unsere schutzbedürftige Privatsphäre, die zunehmend unter Beschuss gerät. Mit Unbehagen stellt man leider fest, wie naiv („Ich habe doch gar nichts zu verbergen!“) oder mittlerweile resignativ („Google und Facebook wissen doch sowieso schon alles über mich!“) in vielen Fällen reagiert wird, wenn Datenschutzbedenken geäußert werden. Dabei profitieren gerade wir EU-Bürger von der langjährigen Beschäftigung mit dem Datenschutz.

40 Jahre „Datenschutzkonvention 108“ – fast 3 Jahre DSGVO

Wir haben guten Grund, auf die Datenschutzkonvention 108 stolz zu sein, die heute ihr 40-jähriges Jubiläum feiert. Es war der erste völkerrechtlich verbindliche Vertrag zum Datenschutz und Vorbild für eine Vielzahl datenschutzrechtlicher Regelungen. Die Unterzeichnung am 28. Januar 1981 ist der Anlass zum jährlichen Europäischen Datenschutztag. Mit der seit dem 25. Mai 2018 anwendbaren Datenschutz-Grundverordnung (DSGVO) hat die Europäische Union schließlich eine im gesamten Europäischen Wirtschaftsraum einheitliche Regelung zum Umgang mit personenbezogenen Daten geschaffen.

Der Datenschutztag 2021 lädt zu einem Rückblick ein:  Welche Bilanz können wir nach fast drei Jahren DSGVO Gesetz ziehen? Können Unternehmen die Bestimmungen schon weitgehend umsetzen oder haben sie mit Herausforderungen zu kämpfen? Und wie sieht es mit der allgemeinen Datenschutzkultur  aus?

Menschenmasse von oben, DSGVO Gesetz

Datenschutz in den Schlagzeilen

Schauen wir auf die Meldungen der vergangenen Monate, taucht das Thema in vielen Diskussionen auf. Wohl jeder von uns hatte Erfahrung mit einer der folgenden Anwendungen. Und nicht immer ist klar, ob sich die Firmen korrekt nach dem DSGVO Gesetz hielten:

  • Zoom: Lockdown-bedingt waren Videokonferenz-Lösungen wie Microsoft Teams oder Cisco Webex die großen Gewinner. Doch alle redeten nur von Zoom. Mit dem Nutzeransturm traten schnell Sicherheitsbedenken zutage, was den Einsatz in Unternehmen betrifft.
  • Corona-Warn-App: Sie sollte im Rahmen der Corona-Pandemie zur Nachverfolgung von Infektionsketten genutzt werden, um die Ausbreitung schnell und gezielt eindämmen zu können. Als hilfreiche zusätzliche Schutzmaßnahme wurde Sie bereits hier im Blog empfohlen, auch weil sie den Datenschutz-Test bestand.
  • TikTok: Kein Social Media Dienst wuchs schneller als TikTok. Der chinesische Betreiber Bytedance knackte mit der App in kurzer Zeit die 2-Milliarden-Marke. Der Videodienst, beliebt bei Kindern und Jugendlichen, schaffte es sogar in die Weltpolitik. US-Präsident Trump drohte mit einem Verbot, der Verkauf von TikTok an einen amerikanischen Konzern kam nicht zustande. Es bleiben weiterhin neben Daten- auch Jugendschutzbedenken bestehen.  Nach dem tragischen Tod eines Mädchens erwägt Italien derzeit eine Sperrung aller nicht-verifizierten Benutzerkonten.
  • Clubhouse: Die gehypte Audio-Plattform fällt bislang durch undurchsichtige Datenschutzbestimmungen und erzeugte Schattenprofile unbeteiligter Dritte negativ auf. Ein Hamburger Sicherheitsexperte deckte zahlreiche Schwachstellen auf. Mittlerweile gehen Verbraucherschützer juristisch gegen die App vor.
  • WhatsApp: Der derzeit bekannteste Fall dürfte der beliebte Messenger WhatsApp sein, der zum Facebook-Konzern aufgekauft wurde. Nutzer erhielten Anfang des Jahres ein Ultimatum: Entweder sie stimmen den neuen AGBs und damit dem Datenaustausch mit Facebook zu oder die App wird unbrauchbar.  Nach der Abwanderung zahlreicher Nutzer und reagierte Facebook und verschob die Einführung auf den 15. Mai.

DSGVO in Unternehmen: Rechtsunsicherheit und Bußgelder

Werfen wir einen Blick auf die Unternehmensseite. Die Herausforderungen bei der DSGVO-Umsetzung setzen sich auch im Pandemiejahr 2020 fort. Als wären die technischen Hürden, für die Belegschaft ein gesetzeskonformes Homeoffice sowie eine Remote-Administration einzurichten, nicht schon hoch genug. Die zusätzlichen  Datenschutzanforderungen erschwerten vielen Unternehmen die Aufrechterhaltung ihres Betriebs.

Laut einer Bitkom-Umfrage hat nur jedes fünfte Unternehmen (20 Prozent) die DSGVO vollständig umgesetzt. 89 Prozent der Unternehmen gaben an, dass die DSGVO praktisch nicht vollständig umsetzbar sei. Durch unklare Vorschriften und zusätzliche Anforderungen der Datenschutzbehörden ist aus der DSGVO ein Fass ohne Boden geworden.

Es gibt zahlreiche Stolpersteine bei der Umsetzung: Verpflichtende Aufbewahrungszeiträume für geschäftliche Unterlagen, beispielsweise im Steuerrecht, stehen der DSGVO gegenüber. Darüber hinaus bergen Cloud-Lösungen wie Microsoft 365 Datenschutz-Risiken und lassen sich nur mithilfe von zusätzlichen Maßnahmen DSGVO-konform einsetzen. Zusätzlich stehen Organisationen nach dem EuGH-Urteil „Schrems II“, das den „Privacy Shield“ zwischen USA und EU für unzulässig erklärte, in der Pflicht,Prozesse neu zu evaluieren und anzupassen werden.

Verstöße gegen DSGVO Gesetz immer teurer

Eine weitere Herausforderung ist die Bestimmung eines Datenschutzbeauftragten, was ab einer bestimmten Unternehmensgröße verpflichtend ist. Einen internen Mitarbeiter dafür zu ernennen, der ein umfangreiches Fachwissen mitbringen und fortlaufend weitergebildet werden muss, nimmt viel Zeit und Kosten in Anspruch. Deshalb setzen immer mehr Unternehmen auf einen externen Datenschutzbeauftragten bzw. -berater „on Demand“ und damit auf einen zertifizierten Experten mit entsprechender Erfahrung. Dieser kann dann auch bei zusätzlichen Aufgaben wie Audits, Schulungen und Dokumentation des Datenschutzes unterstützen.

Nach einem Jahr DSGVO warteten viele Unternehmen noch ab, in welche Richtung sich die Bußgelder entwickeln. Die Erwartungen an eine deutliche Erhöhung 2020 wurden bestätigt. Um 39 Prozent im Vergleich zu den 20 Vormonaten stiegen die von der EU verhängten Strafen auf insgesamt  158,5 Millionen Euro. Allein in Deutschland wurden 77.747 Verstöße gemeldet und 69 Millionen Euro an Strafen verhängt.

Die höchsten Bußgelder in Deutschland (Gesamtübersicht EU) betrafen bisher:

  • H&M Hennes & Mauritz Online Shop: 35 Mio. Euro Bußgeld aufgrund mehrjähriger  Bespitzelung von Callcenter-Mitarbeitern in Nürnberg
  • Deutsche Wohnen SE: 14,5 Mio. Euro Bußgeld

Es gibt noch viel zu tun – auf beiden Seiten!

Wir schauen in eine Zukunft, die noch stärker von Daten geprägt sein wird. Schon jetzt in dieser Corona-Krise wird deutlich, welchen Stellenwert Daten einnehmen: Schaubilder, Quoten und Werte bestimmen maßgeblich die Entscheidungen der Politik und damit unseren Lebensalltag. Auch Unternehmen stellen sich zunehmend datengetrieben auf. Wer auf eine große Datenmenge bei guter Datenqualität zurückgreifen kann, sichert sich den entscheidenden Vorsprung.

Unsere persönlichen Daten sind außerordentlich wertvoll und müssen entsprechend geschützt werden. Dass Europa beim Thema Datenschutz Vorbild und Wegbereiter für viele andere internationale Gesetze ist, sollten wir würdigen und noch wichtiger: in unserem beruflichen als auch privaten Umfeld sensibel mit persönlichen Daten umgehen.

Aber auch der Gesetzgeber steht in der Pflicht, nachzubessern und endlich klare sowie nachvollziehbare Regeln zu formulieren. Das würde die flächendeckende DSGVO-Umsetzung beschleunigen und den steigenden Aufwänden Einhalt gebieten. Datenschutz darf letztlich nicht Innovationen behindern.

Mit der DSGVO hat die EU ein erstes Fundament gelegt. Darauf muss jetzt aufgebaut und Hemmnisse aus dem Weg geräumt werden. Nur so können wir beim nächsten Jahrestag wesentliche Fortschritte melden.

Welche Erfahrungen haben Sie, liebe Leserinnen und Leser, bisher mit der DSGVO und mit Datenschutz allgemein gemacht? Wir freuen uns auf Ihre Gedanken zum Datenschutztag!

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *