Die Datenschutzgrundverordnung (DSGVO) ist seit dem 25. Mai 2018 nun 5 Jahre in Kraft getreten und sie polarisiert noch immer. Ihre Befürworter sehen in ihr den weltweit führenden Standard für den Datenschutz, ihre Gegner sehen hingegen nur ein Hindernis für Wachstum und Wohlstand. Wir blicken daher zurück auf die vergangenen 5 Jahre sowie auf die Errungenschaften und Erfolge der DSGVO.
Ein holpriger Start – allgemeine Verunsicherung und Panikmache
An die Einführung der DSGVO im Jahre 2018 erinnern sich viele sicher noch mit Unbehagen, denn nicht alle Unternehmen waren damals ausreichend gerüstet, um die neuen Anforderungen der Verordnung zu erfüllen. Das Thema Datenschutz rückte unweigerlich in den Fokus von Unternehmen unterschiedlichster Größe und notwendige Maßnahmen mussten umgesetzt werden. Dies reichte vom Einsatz speziell geschulter Datenschutzbeauftragter bis hin zur Implementierung technischer Lösungen, um den Überblick über Daten und Fristen zur Löschung von Inhalten zu behalten. Gezielte Panikmache, insbesondere mit Hinblick auf drohende Bußgelder und das Ende des digitalen Fortschritts, heizte die Stimmung zusätzlich an. Nun 5 Jahre später kann man mit einem gutem Gewissen feststellen, dass sich das anfängliche Chaos zu einer allgemeinen Routine entwickelt hat. Die überwiegende Mehrheit der Unternehmen hat ihre Internetseiten, Regelungen und internen Abläufe an die DSGVO angepasst und das Thema Datenschutz ist sowohl in den Köpfen der Geschäftsleitungen, den Mitarbeitenden, aber auch vieler Privatpersonen fest verankert. Die damals prophezeiten Bußgelder für Privatpersonen und kleine Unternehmen sind bislang ausgeblieben. Aber unsere digitale Welt entwickelt sich schneller denn je.
Errungenschaften und Erfolge der DSGVO
Zweifellos nahm die Einführung der DSGVO einen erheblichen Einfluss auf den Datenschutz in Europa und in der Welt. Die wohl größte Errungenschaft ist die Regulierung eines einheitlichen Datenschutzniveaus innerhalb der EU, denn vor Einführung der DSGVO hat jedes Land sein eigenes Süppchen gekocht.
Die 5 größten Stärken
1. Ein eingelöstes Versprechen: Höhere Bußgelder Für all jene, die den Datenschutz wiederholt entweder absichtlich oder grob fahrlässig verletzen, sollte es teuer werden. Tatsächlich hatten die europäischen Datenschutzbehörden in den vergangenen fünf Jahren Bußgelder in Höhe von rund 2,8 Milliarden EUR verhängt. Passend zum Geburtstag kam eine Rekordgeldbuße in Höhe von 1,2 Milliarden EUR dazu. Hintergrund war die andauernde Übermittlung von Daten in die USA im Rahmen der Bereitstellung der Plattform Facebook. Die eingesetzten Schutzmaßnahmen bildeten keinen ausreichenden Schutz gegen die damit verbundenen Risiken für die Grundrechte und -freiheiten betroffener Personen. Die bis dahin höchste Bußgeldsumme lag bei 750 Millionen EUR gegen Amazon Luxemburg. Die DSGVO zeigt sich daher nicht -wie anfangs befürchtet - als zahnloser Tiger, sondern ist durchaus ein taugliches Instrument zur Durchsetzung europäischer Datenschutzprinzipien.
Allerdings fallen die meisten Strafen deutlich geringer aus. Beispielsweise muss Vodafone in Spanien regelmäßig fünfstellige Strafen für unerwünschte Marketing-Maßnahmen zahlen. Jedoch nutzen die Aufsichtsbehörden viel zu selten die Möglichkeit sowohl Bußgelder zu verhängen als auch bestimmte Datenverarbeitungen zu untersagen. Zukünftig könnten bald Strafbescheide von Behörden um eine weitere Maßnahme ergänzt werden. Im Mai 2023 ebnete der Europäische Gerichtshof den Weg für Entschädigungen von Personen, welche durch Datenschutzverstöße geschädigt wurden.
2. Das Recht auf Auskunft - ein wirksames Werkzeug Betroffene haben das Recht auf Auskunft über die gespeicherten Daten bzw. eine Löschung verlangen zu können. Globale Unternehmen, wie beispielsweise Facebook, Twitter und weitere, stellen bereits die gespeicherten Daten auf Knopfdruck zur Verfügung. Das volle Potenzial hat dieses Recht aber noch nicht entfaltet, denn Unternehmen versuchen oftmals Anfragende mit oberflächlichen Auskünften abzuspeisen. Nicht selten resultieren aus diesen Fällen Beschwerden bei den Aufsichtsbehörden. 3. Stark dank der Zivilgesellschaft - Die Macht der Vielen Damit Datenschutzbehörden tätig werden können, braucht es in den meisten Fällen Beschwerden über Datenschutzverstöße. Nur selten nehmen Behörden sich Themenbereiche proaktiv vor und führen Kontrollen durch. Deshalb ist es gut, dass es Verbraucherschutz- und Bürgerrechtsorganisationen gibt. Dank der DSGVO können diese Institutionen für Bürger tätig werden und sowohl Beschwerden einreichen als auch Verfahren führen. 4. Mehr IT-Sicherheit - ein wichtiger Nebeneffekt Im Bereich der IT-Sicherheit hat die DSGVO die Maßstäbe konkret und scharf festgelegt. Datenverarbeiter müssen bereits im Vorfeld sowohl technische als auch organisatorische Maßnahmen ergreifen, um personenbezogene Daten vor unbefugten Zugriffen zu schützen. Hierbei müssen sie sich am Stand der Technik orientieren, also etwa Verschlüsselungstechniken nutzen. Durch diese strengen Regelungen sind auch die Anzahl der verhängten Bußgelder, bei denen es um Probleme mit IT-Sicherheit geht, relativ hoch. Somit trägt die DSGVO mehr zur IT-Sicherheit bei als so manches IT-Sicherheitsgesetz. 5. Gute Ideen, Potenzial noch nicht voll ausgeschöpft ist Die DSGVO setzt sowohl bei den Datenverarbeitern als auch bei den Nutzern auf Eigenverantwortung. Der risikobasierte Ansatz sieht vor, dass Unternehmen sich selbst Gedanken über Datenschutzrisiken und wie sie diese reduzieren können, machen müssen.
Die Datenschutzfolgeabschätzung ist hierfür ein wichtiges Instrument, welches Unternehmen anfertigen müssen, wenn sie ein potenziell größeres Risiko für die Rechte von betroffenen Personen erkennen. Die Idee ist allerdings besser als die Umsetzung in der Praxis. Denn Datenschutzfolgeabschätzungen müssen weder veröffentlicht noch bei den Aufsichtsbehörden hinterlegt werden. Oftmals werden sie erst dann erstellt, wenn es Probleme gibt oder die Behörden sie einfordern.
Darüber hinaus schreibt die DSGVO bereits bei Einführung von neuen Anwendung die Umsetzung von technischen Einstellungen wie „by design“ und „by default“ vor. Jedoch fehlt es hier an klaren Standards. Da in diesem Fall nur die Datenverarbeiter haftbar sind, nicht jedoch die Hersteller von Hard- und Software. Doch durch strenge Kontrollen dieser Vorgaben können Regulierungsbehörden Druck auf Technologieunternehmen ausüben, wie jüngst im Fall von ChatGPT geschehen, wo die italienische Datenschutzbehörde den Dienst vorübergehend sperrte.
Die 5 größten Schwächen
1. Die Trägheit der Aufsichtsbehörden - ein unerwartetes Problem Jede Verordnung ist nur so gut wie ihre Durchsetzung und genau diese ist bei der DSGVO mangelhaft. Der österreichische Datenschutzaktivist Max Schrems und seine Organisation NGO hatte in den zurückliegenden 5 Jahren mehr als 800 strategische Datenschutzbeschwerden eingereicht. Von diesen Anzeigen sind derzeit über 85% noch nicht entschieden. Er kommt zu dem Entschluss, die Datenschutzbehörden (insbesondere die deutschen Behörden) agieren zu langsam, zu zaghaft und nicht konsequent genug. 2. Das Irland-Problem – unerwünschtes Nadelöhr Die grenzüberschreitende Zusammenarbeit der Behörden stellt auch eine große Hürde dar. In der DSGVO ist geregelt, dass bei Verfahren von Betroffenen in mehreren EU-Staaten, die Behörde federführend dafür verantwortlich ist, in dem das beteiligte Unternehmen den Sitz hat. Daher wählen globale Unternehmen, wie Microsoft, Facebook, Google usw. ihren Unternehmenssitz in Irland. Dies geschieht aus unterschiedlichen Gründen, sowohl auf Grund der niedrigen Steuern als auch weil die irische Datenschutzbehörde die DSGVO äußerst milde auslegt. Medienberichten zu folge enden mehr als 80 Prozent der Verfahren in Irland mit einer einvernehmlichen Lösung. Auch in anderen EU-Staaten gibt es Probleme, beispielsweise setzte Ungarn während der Pandemie die DSGVO teilweise aus. 3. Immer Ärger mit der Einwilligung - ein schwerwiegender Konstruktionsfehler Seit in Kraft treten der DSGVO können Personen mit ihrer Einwilligung jede denkbare Nutzung ihrer Daten erlauben oder auch entsprechend verweigern. In der Praxis wird meist nur der erste Teil umgesetzt. Eine Einwilligung abzulehnen ist meist nur erschwert bis gar nicht möglich. Viele Unternehmen setzen hierbei die Ideen kreativ um – bedenken wir allein das nervige Thema um die Cookie-Banner. 4. fehlende Standards - eine trickreiche Täuschung Eines der Versprechen der DSGVO lautet, Datenschutz für Unternehmen verpflichtend zu machen. Die Hoffnung bestand darin, wenn die Bußgelder so hoch ausfallen würden, dass sie ein Unternehmen in die roten Zahlen treiben können, dann würde der Datenschutz zur Chefsache werden. Und tatsächlich ist die DSGVO nach 5 Jahren auf der Agenda vieler Firmen. Derzeit ist aber eher das Gegenteil zu beobachten, denn es ist gängige Praxis geworden, Unternehmen dahin gehend zu beraten, dass sie sich rechtlich möglichst gut absichern können. An der tatsächlichen Datennutzung ändere sich jedoch nur wenig, da Unternehmen oft nur Passagen vorgeschoben werden, um auf der sicheren Seite zu sein. Das geht sogar so weit, dass sich selbst die schlimmsten Datenkraken als DSGVO-konform darstellen. Dies ist vor allem möglich, weil die EU die durch die DSGVO entstandenen Möglichkeiten zum Nutzen von Standards bislang kaum nutzt.
5. Eine große Lücke – Verbot automatisierte Entscheidungen und künstliche Intelligenz Als die DSGVO Mitte der 2010er-Jahre verfasst wurde, war der Begriff „Big Data“ in aller Munde, heute werden ähnliche Diskussionen zum Thema Künstliche Intelligenz (KI) geführt. Sowohl damals auch heute sollen Maßnahmen vor Diskriminierung, Manipulation und die Regelungen zum Schutz vor allwissenden Maschinen gewahrt werden. Jedoch bietet die DSGVO keinen wirksamen Schutz gegen die Macht der Algorithmen, obwohl die damaligen Schöpfer diese Thematik bereits auf dem Schirm hatten. In der DSGVO wurde geregelt, dass eine Person nicht einer ausschließlich automatisierten Entscheidung unterworfen werden darf. Beispielsweise zielt dies auf das sogenannte Profiling ab, in dem auf Basis von Datenspuren Profile erstellt und Score-Werte errechnet werden, welche dann zur Einstufung der Bonität verwendet werden. Allerdings wird bereits seit Jahren kritisiert, dass die Regeln zu schwammig formuliert und Schlupflöcher vorhanden sind. Derzeit verhandeln die EU-Institutionen einen AI-Act (Verordnung zur Regulierung Künstlicher Intelligenz), welcher Abhilfe schaffen könnte. Die bisherigen Vorschläge weisen allerdings große Lücken auf.
Fazit
Die DSGVO hat in den ersten fünf Jahren viel verändert und einiges bewirkt. Das große Versprechen, den Überwachungskapitalismus zu bändigen, hat die DSGVO jedoch bis heute nicht eingelöst. Das gegen Meta verhängte Bußgeld zeigt, dass die Sanktionen ein taugliches Instrument zur Durchsetzung europäischer Datenschutzprinzipien sind, welches den ohnehin bestehenden Druck, den transatlantischen Datenverkehr zwischen der EU und den USA endlich datenschutzkonform zu regeln und unterstreicht, dass die EU in dieser Auseinandersetzung ein gleichwertiger Partner ist. Gleichzeitig zeigt das Bußgeldverfahren aber auch, dass bei der Durchsetzung der Datenschutzgrundverordnung Nachholbedarf besteht. Doch auch wenn ein Meilenstein erreicht ist, muss der Blick nach vorne gerichtet werden, um sicherzustellen, dass Daten und Inhalte auch in Zukunft sicher und verantwortungsvoll verarbeitet werden. Denn Größer denn je sind die Herausforderungen, denen sich die DSGVO im Jahr 2023 stellen muss. Denn die Entwicklungen neuer Technologien wie Künstliche Intelligenz oder Big Data werfen noch viele unbekannte Fragen auf.
Auch neben den neuen Rechtsvorschriften und Gesetzen wird die DSGVO sich behaupten und ihren Platz finden müssen.
Bei Fragen stehen wir Ihnen gerne zur Verfügung. Ihr Team der RKM Data GmbH