Subscribe & Follow:

Es war das große Thema im Mai 2018: die Datenschutzgrundverordnung, kurz: DSGVO. Wie kaum ein anderes Gesetz im Digitalbereich schreckte es so ziemlich jedes Unternehmen auf, verunsicherte Vereine, erzeugte Diskussionen in Medien, Politik und der Wirtschaft. Einerseits sorgten Szenarien vom „Ende der modernen Presse- und Öffentlichkeitsarbeit“, einem „DSGVO-Chaos“ und drohenden Abmahnwellen vor allem bei kleinen und mittleren Unternehmen für Unsicherheit, andererseits herrschte Einigkeit darüber, dass ein gemeinsamer europäischer Datenschutz längst überfällig sei. Ein halbes Jahr nach dem Inkrafttreten der DSGVO ist es deshalb Zeit für ein erstes Fazit. Was hat die Verordnung bewirkt? Welche Befürchtungen sind wahr geworden, welche Szenarien nicht? Was bedeutet die DSGVO für Behörden und Unternehmen?

Die Macht der Daten – und ihr Schutz

Der Hintergrund, der zur Einführung der DSGVO führte, lautet in etwa so: Daten gelten – so eine mittlerweile etwas überstrapazierte Metapher – als das „neue Öl“, sie befeuern das Geschäft vieler großer Digitalunternehmen wie Facebook – und diese Unternehmen agieren weltweit. Der Regulierung des Datenmarktes kommt man daher nicht mit den Flickenteppichen nationaler Datenschutz-Gesetze bei, weshalb die Europäische Union mit der DSGVO, die am 25. Mai 2018 in Kraft trat, diese Lücke schließen wollte.

Das regelt die DSGVO

Die DSGVO regelt seither den Umgang mit personenbezogenen Daten, also solchen Daten, die sich auf eine identifizierbare Person beziehen – ergo Daten wie Name, Adresse, Geburtsdatum oder Hobbys. Im Zentrum der Verordnung steht das sogenannte Verbot mit Erlaubnisvorbehalt: die Verarbeitung von personenbezogenen Daten ist generell untersagt, es sei denn, es liegt ein Erlaubnistatbestand, unter anderem die Einwilligung des Betroffenen oder ein berechtigtes Interesse an der Verarbeitung, vor. Darüber hinaus stärkt die DSGVO über das Recht auf Vergessenwerden, das Recht auf Datenportabilität, erweiterte Auskunftsrechte und die Einführung der Prinzipien „Privacy-by-Design“ und „Privacy-by-Default“ digitale Verbraucherrechte. Besonderen Nachdruck erhalten diese Rechte durch die Sanktionsmöglichkeit, in Fällen von Datenschutzverstößen Bußgelder in Höhe von bis zu 20 Millionen Euro zu verhängen.

DSGVO-Abmahnwellen bleiben aus

Es dauerte fast genau auf den Tag ein halbes Jahr, bis eine deutsche Landesdatenschutzbehörde zum ersten Mal ein Bußgeld wegen eines Verstoßes gegen die DSGVO verhängte. Am 22. November 2018 traf es das erste Unternehmen, das wegen eines Daten-Leaks 20.000 € Bußgeld zahlen musste. Aber die von Unternehmen befürchteten Abmahnwellen durch Mitbewerber blieben (bisher) aus einem einfachen Grund weitestgehend aus: jede Abmahnung gegen Mitbewerber setzt voraus, dass das entsprechende Unternehmen selbst eine „weiße Weste“ vorzuweisen hat – sonst drohen Abmahnungen durch die Gegenseite. Dieses Risiko scheint so gut wie allen Unternehmen derzeit (noch) zu hoch.

Kuriositäten und DSGVO-Verunsicherung

Vielmehr dominieren derzeit Kuriositäten den Diskurs. So empfahl der Eigentümerverband Haus & Grund seinen Mitgliedern, vorsorgliche alle Klingelschilder ihrer Mietwohnungen zu entfernen. Die Begründung dafür: ohne Einwilligung der Mieter sei die Nennung der Namen auf den Klingelschildern möglicherweise rechtswidrig. Dabei würde, so der Berliner Datenschutzbeauftragte, die DSGVO im Falle von Klingelschildern nicht greifen. Ein weiteres Kuriosum ereignete sich in der fränkischen Kleinstadt Roth. Über Jahre war es hier Usus, dass Kinder auf dem Weihnachtsmarkt ihre Wünsche an einen aufgestellten Christbaum hängen konnten – inklusive ihrer Adressen. Bei Kindern unter 16 Jahren verlangt die DSGVO bei jedweder Datenverarbeitung auch die Einwilligung der Eltern – diese Hürde veranlasste die Stadt Roth, die Wunschzettel-Aktion abzusagen.

Landesdatenschutzbehörden klagen über Personalmangel

Diese Beispiele zeigen vor allem eines: Ein halbes Jahr nach Inkrafttreten der Verordnung herrscht noch immer große Verunsicherung über die konkreten Anforderungen der DSGVO. Das führt insbesondere dazu, dass die DSGVO von Unternehmensseite teilweise übermäßig strikt ausgelegt wird. Und das, obwohl sich die DSGVO maßgeblich am alten Bundesdatenschutzgesetz (BDSG) orientiert und es in Deutschland damit im europaweiten Vergleich vergleichsweise wenig Anpassungsbedarf gab. Abfedern könnte diese Verunsicherung die Landesdatenschutzbehörden, die nicht nur für Abmahnungen zuständig sind, sondern auch in Sachen Datenschutz beraten. Allerdings klagen diese über Personalmangel und können deshalb ihren Aufgaben nicht mehr in vollem Umfang nachkommen.

Datenschutz wird ernst genommen

Welches Fazit lässt sich – außer überlasteten Behörden und verunsicherten Bürgern – also nach einem halben Jahr DSGVO ziehen? Das wichtigste Stichwort ist wohl „Information“. Die umfangreichen Informations- und Auskunftsrechte mit korrespondierenden Pflichten sorgen im – oftmals intransparenten Big-Data-Bereich – für mehr Transparenz im Umgang mit persönlichen Daten und damit trotz Cookie-Banner und Datenschutzerklärungen für einen spürbaren Mehrwert beim Nutzer.

Wichtig ist aber auch: der gesetzliche Druck veranlasst viele Unternehmen, Vereine und Verbände dazu, sich mit dem Thema Datenschutz intensiver zu befassen, interne Abläufe auf Datenschutzkonformität zu prüfen und Verfahren auf konforme Beine zu stellen. Auch aufgrund der drohenden Bußgelder nimmt kein Akteur den Datenschutz mehr auf die leichte Schulter. Dokumentationspflichten wie die Erstellung eines Verarbeitungsverzeichnisses mögen zwar lästig wirken, machen aber deutlich, dass die Verarbeitung von personenbezogenen Daten nicht mehr nur Vertriebs- und Marketingabteilungen durchzieht, sondern längst zu einem Querschnittsthema geworden ist.

Die Verordnung hat ein Vermittlungsproblem

Die große Verunsicherung und die Schreckensszenarien vor dem Inkrafttreten der Verordnung verdeutlichen aber auch: die DSGVO hat ein (politisches) Vermittlungsproblem. Sechs Monate nach Inkrafttreten der Verordnung bleibt vor allem der Apell zu mehr Austausch zwischen Unternehmen, Politik und Zivilgesellschaft. Denn: mit der ePrivacy-Verordnung, die als lex specialis Grundrechte und Grundfreiheiten bei der Nutzung von elektronischen Kommunikationskanäle garantieren soll, steht die nächste Novelle schon in den Startlöchern.

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.

Schließen