Die DSGVO wird 2 – Ein Geburtstag im Zeichen der Reflexion

Im Dezember 2019 wagten wir bereits einen Ausblick auf die Datenschutzthemen des Jahres 2020. Wer konnte zu dem Zeitpunkt schon ahnen, dass dieses Jahr ganz im Zeichen eines Virus stehen würde, das den gesamten Globus in Beschlag nimmt? Anstatt brennende Fragen zum Brexit zu beantworten, sind wir momentan eher dabei, die Corona-Brandherde zu löschen. Nichtsdestotrotz lohnt es sich, für einen kurzen Moment innezuhalten und die Auswirkungen der nun seit zwei Jahren gültigen Datenschutz-Grundverordnung (DSGVO) zu evaluieren.

Der zweite Geburtstag der DSGVO steht im Übrigen auch ganz offiziell im Zeichen der Reflexion und Evaluation, denn das Gesetz selbst sieht in Art. 97 DSGVO eine Pflicht zur regelmäßigen Evaluation der Regelungen vor. Demnach ist die Kommission verpflichtet, „dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung“ der Verordnung vorzulegen – und zwar am 25.05.2020 (vgl. Art. 97 Abs. 1 DSGVO). Im Übrigen wird diese Evaluation alle vier Jahre wiederholt.

Die Evaluation gibt auch Interessensverbänden und den Datenschutz-Aufsichtsbehörden die Möglichkeit, Schwachstellen der aktuellen Regelungen aufzuzeigen und in den Evaluationsprozess einzubringen. Diese Möglichkeit wurde bereits von sehr vielen Stellen (insb. von verschiedenen nationalen und europäischen Interessensverbänden und den Datenschutz-Aufsichtsbehörden) genutzt, viele der Stellungnahmen sind online abrufbar und geben sinnvolle Einblicke in die Erfahrungen der verschiedenen Akteure.

Wofür steht nun aber die DSGVO der vergangenen zwei Jahre?

Kritiker mögen sagen: Die DSGVO steht vor allem für Rechtsunsicherheit, hohe Bußgelder, ein hohes Abmahnrisiko und – vor allem – für einen riesigen bürokratischen Aufwand. Die Kritik ist leider in manchen Punkten nicht ganz unberechtigt.

Die DSGVO als Vorbild

Gibt es nur Nachteile? Nein, denn die DSGVO hat viele positive Effekte – so hat sich der Stellenwert des Datenschutzes in der Gesellschaft und insbesondere auf dem Verbrauchermarkt deutlich verbessert. Darüber hinaus fungiert die DSGVO in vielen Ländern außerhalb Europas auch als eine Art Vorlage. Japan, Brasilien und auch die Vereinigten Staaten (speziell Kalifornien) haben eigene Datenschutzgesetze entwickelt bzw. bestehende Gesetze angepasst und sich dabei offensichtlich an den Maßgaben der DSGVO orientiert. Sicherlich vor dem Hintergrund, dass viele ihrer Unternehmen auf den europäischen Markt angewiesen sind. Denn angepasste und vergleichbare Datenschutzregelungen erhöhen die Chance auf einen Angemessenheitsbeschluss der EU-Kommission und somit auf einen privilegierten Datenverkehr der Unternehmen zwischen den jeweiligen Märkten.

Eine Katastrophe für die Marketing-Abteilung…

Auch wir bemerken, dass gewisse Abteilungen und Unternehmen schwer mit der DSGVO zu kämpfen haben. Besonders Unternehmen, die verstärkt auf Marketing- und Werbetätigkeiten setzen – egal ob online oder per guter alter Postsendung. Die Gerichte haben in den vergangenen zwei Jahren viele wichtige Urteile gefällt, die es vor allem Marketing-Abteilungen schwermachen. Cookies, Plug-Ins, Gewinnspiele – all das muss nun detailliert geprüft werden, bevor es eingesetzt werden kann. Hinzu kommt, dass die meisten dieser Tools nur mit Einwilligung der Betroffenen eingesetzt werden dürfen – das schmeckt einer Marketing-Abteilung natürlich weniger.

Nichtsdestotrotz hat auch diese Entwicklung positive Effekte – vor allem natürlich für Verbraucher. Denn nie zuvor konnte man (auf gut gestalteten und datenschutzkonformen Webseiten) so genau einsehen, was bei Teilnahme an Marketingaktionen wirklich mit den eigenen Daten passiert, welche Tools eingesetzt werden und welche Dritten (man nenne nur stellvertretend Facebook, Instagram & Co.) sonst noch Informationen über die eigene Person übermittelt bekommen.

Der Dokumentationswelle etwas Positives abgewinnen

Die Kritik an dem hohen Aufwand, der mit der Umsetzung der DSGVO einhergeht, ist teilweise berechtigt. Denn die DSGVO geht mit viel Dokumentations- und auch mit Fleißarbeit einher. Zeit und insbesondere Wissen, das vielen Unternehmen fehlt, muss für eine wirksame Implementierung des Datenschutzes eingesetzt werden. Das fällt vor allem solchen Akteuren schwer, die das Thema Datenschutz vor Inkrafttreten der DSGVO ignoriert haben. Unternehmen oder auch Vereine, die sich allerdings bereits in Zeiten des zuvor geltenden Bundesdatenschutzgesetzes mit dem Thema Datenschutz beschäftigten, werden gemerkt haben, dass nicht alles neu oder sinnlos ist. Denn viele Grundsätze und Grundpfeiler der DSGVO waren auch schon durch das Bundesdatenschutzgesetz gesetzlich geregelt.

Doch eines wird klar: Die Umsetzung des Datenschutzes wurde und wird durch die DSGVO deutlich gestärkt. Durch die Dokumentationsvorgaben der DSGVO – insbesondere durch ein sinnvoll gestaltetes Verarbeitungsverzeichnis – ergeben sich auch positive Seiteneffekte. Zum Beispiel im Hinblick auf eine effizientere Gestaltung von Unternehmensprozessen. Viele Unternehmen merken erst durch die Erfassung der Verarbeitungstätigkeiten, an welchen Stellen es noch Potenzial zur Effizienzsteigerung gibt oder welche Prozesse einfach schief laufen. Das wiederum hilft dabei, die für den Datenschutz aufgewendete, vermeintlich „verlorene“ Zeit durch sinnvolle Prozessoptimierungen wieder reinzuholen. Also doch eine Win-Win-Situation!

Im Übrigen ist auch die Pflicht zur Führung eines Verarbeitungsverzeichnisses alles andere als neu!

Und am Ende geht es doch um‘s liebe Geld

Das Bundesdatenschutzgesetz wurde oft als zahnloser Tiger bezeichnet. Mit Inkrafttreten der DSGVO hat sich das sehr wirksam geändert. Die Aufsichtsbehörden haben in den vergangenen zwei Jahren bei Verstößen einige signifikant hohe Bußgelder verhängt. Auch wenn aus unserer Sicht die Kontrolldichte durch die Aufsichtsbehörden noch Potenzial nach oben hat. Speziell die „großen“ Akteure, wie Google, Microsoft, Facebook und andere, finden noch zu wenig Beachtung. Deutlich wurde dabei aber auch: Wer mit den Behörden kooperiert und sich nicht völlig stur stellt (sprich Anordnungen oder den kompletten Briefverkehr schlichtweg ignoriert), der wird i.d.R. von hohen Bußgeldern verschont. Das ist aus unserer Sicht der richtige Weg, denn Ziel des Datenschutzes ist es nicht, hohe Bußgelder zu verhängen, sondern die betroffenen Personen zu schützen. Und das schafft die DSGVO nach unserer Einschätzung tatsächlich.

In diesem Sinne: Happy Birthday DSGVO!