Drei Jahre DSGVO – eine Bilanz mit Ausblick

In den Mitgliedstaaten der Europäischen Union gilt seit drei Jahren die europäische Datenschutz-Grundverordnung (DSGVO). Genau genommen sind es schon fünf Jahre, denn in Kraft getreten ist die DSGVO 2016. Das Jubiläumsdatum 25. Mai 2018 markiert lediglich das Ende der zweijährigen Übergangsfrist, die Unternehmen und öffentlichen Stellen gewährt wurde, um die neuen einheitlichen Datenschutzvorgaben in der Praxis auch umzusetzen. Ein Rück- und Ausblick.

 

Das Wichtigste in Kürze

  • Nach drei Jahren ist die DSGVO in der Praxis wie im Rechtsalltag angekommen und alles andere als ein stumpfes Schwert
  • Allein 2020 wurden europaweit Bußgelder in Höhe von rund 160 Millionen Euro verhängt
  • Die DSGVO hat das Grundrecht auf informationelle Selbstbestimmung nachhaltig gestärkt
  • Aber: gerade mal 20 Prozent aller Unternehmen in Deutschland haben die DSGVO in ihren Prozessen und Strukturen vollständig umgesetzt
  • Unterm Strich war der 25. Mai 2018 aber ein guter Tag für den Datenschutz: das Bewusstsein für den Datenschutz und das Recht auf informationelle Selbstbestimmung ist gewachsen
  • Die Mehrzahl der Unternehmen sieht den Datenschutz gemäß DSGVO inzwischen als Wettbewerbsvorteil

In diesem Beitrag

DSGVO: Fortschritt für den Datenschutz oder stumpfes Schwert?

Geschimpft wird gerne und leidenschaftlich, das gilt im Hinblick auf neue Vorgaben aus Brüssel ganz besonders. Zum einen, weil jede Veränderung zunächst verunsichert. Zum anderen, weil sich Unzulänglichkeiten und Vorteile einer Neuerung erst im Alltag zeigen. So war und ist es auch mit der Europäischen Datenschutz-Grundverordnung. Im Mai 2018, als das neue Datenschutzrecht europaweit Verbindlichkeit erlangte, waren etliche Unternehmen trotz zweijähriger Übergangsfrist nicht oder nur unzureichend vorbereitet. Die einen sahen sich im internationalen Wettbewerb benachteiligt und verweigerten sich in der Hoffnung, dass die neuen Vorgaben ein stumpfes Schwert blieben. Den anderen fehlte es schlicht an Manpower und Expertise für die Umsetzung. Vielen gemein war, dass sie die DSGVO als unerwünschte Hürde und unternehmerisches Ärgernis empfanden.

Und wie sieht es heute aus, drei Jahre nach dem endgültigen Inkrafttreten? Ein stumpfes Schwert ist die DSGVO jedenfalls nicht geworden. Im Gegenteil: Allein 2020 wurden gegen Unternehmen und öffentliche Institutionen europaweit Bußgelder in Höhe von rund 160 Millionen Euro verhängt. Dabei sind nicht nur große Konzerne mit Strafzahlungen in Millionenhöhe betroffen. Das Gros der Verstöße begehen kleine und mittlere Betriebe, die es dann meist mit Bußgeldern in durchaus schmerzhafter, aber noch überschaubarer Höhe zu tun bekommen (vgl. Bußgelddatenbank des DSGVO-Portals). Für Aufsehen und eine ebenso wirksame wie nachhaltige Bewusstseinsschärfung für den Datenschutz sorgen eher die spektakulären Fälle, zumal die allermeisten durch rechtzeitiges Ergreifen geeigneter Maßnahmen leicht vermeidbar gewesen wären (mehr unter Datenschutzverstoß: Meldepflicht, Bußgelder und Prävention).

Was besagt die DSGVO eigentlich, welche Bedeutung hat sie?

Aufgabe der DSGVO ist es, das Grundrecht auf informationelle Selbstbestimmung zu stärken. Verbürgt ist dieses Grundrecht in Artikel 8 der EU-Grundrechtecharta. Das deutsche Grundgesetzt erwähnt ein Datenschutz-Grundrecht nicht explizit, dennoch ist es laut Bundesverfassungsgericht gegeben und aus dem Allgemeinen Persönlichkeitsrecht gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG ableitbar. Der Schutz personenbezogener Daten ist zentral für das Recht auf informationelle Selbstbestimmung. Nötig war ein neuer Rechtsrahmen aus Sicht des EU-Parlaments geworden, weil die Digitalisierung und Entwicklungen wie Industrie 4.0, Big Data und die Vernetzung durch Cloud-Computing die Möglichkeiten der Nutzung von personenbezogenen Daten grundlegend verändert haben. Als negatives Extrembeispiel gilt die Volkrepublik China: mit umfassender staatlicher Überwachung des Einzelnen und einem digital gestützten Social Scoring für individuelles Verhalten.

Um ein Profiling durch staatliche oder private Akteure in Europa zu verhindern und das Grundrecht des Einzelnen auf informationelle Selbstbestimmung zu schützen, hat die EU mit der DSGVO einen verbindlichen Rechtsrahmen geschaffen.

Wichtig: Die EU hat die gesetzlichen Neuregelungen bewusst nicht als Richtlinie formuliert, sondern die Form der Verordnung gewählt. Der Unterschied: Anders als eine EU-Richtlinie, welche immer eine Umsetzung in nationales Recht bedarf, hat die Verordnung allgemein Geltung und ist somit verbindlich und unmittelbar in jedem Mitgliedstaat geltend. Die DSGVO ist somit vorrangig anzuwenden (Anwendungsvorrang).

Dahingegen greift das Bundesdatenschutzgesetz (BDSG) nur dort, wo die DSGVO nicht unmittelbar gilt. Sogenannte Öffnungsklauseln ermöglichen es den Mitgliedstaaten dann, weitgehende Regeln, wie bspw. die Benennungspflicht bei mehr als 20 Mitarbeitern, treffen zu können.

Die DSGVO ist seit dem 25. Mai 2018 in allen EU-Staaten das offizielle Datenschutzgesetz und der nationalen Gesetzgebung übergeordnet. Dies bedeutet: Alle Unternehmen und öffentlichen Einrichtungen, die personenbezogene Daten verarbeiten, müssen die neuen EU-Regeln zum Datenschutz befolgen und entsprechende Maßnahmen umsetzen. Damit wurde erstmals eine europaweite Harmonisierung des Datenschutzrechts erreicht.

Die wichtigsten Rechtsprinzipien der DSGVO:

  • Verbot mit Erlaubnisvorbehalt: Das Verarbeiten personenbezogener Daten ist generell verboten – es sei denn, es liegt eine Erlaubnis vor.
  • Zweckbindung: Daten dürfen ausschließlich zweckgebunden erhoben und verarbeitet werden. Der Zweck der Datenerhebung muss klar kommuniziert und die Verwendung der Daten dokumentiert werden. Beispiel: Erhebt ein Unternehmen personenbezogene Daten zur Erfüllung eines Auftrags, so darf es diese Daten später nicht ohne Weiteres für Werbezwecke nutzen.
  • Speicherbegrenzung: Das verantwortliche Unternehmen muss dafür sorgen, dass die Identifizierung der betroffenen Personen nur für die Dauer des Zwecks, für den die Daten verarbeitet wurden, möglich ist.
  • Richtigkeit: Personenbezogene Daten müssen immer sachlich richtig und gegebenenfalls auf dem neusten Stand sein. Unrichtige Daten müssen unverzüglich gelöscht oder berichtigt werden.
  • Datensparsamkeit: Unternehmen müssen dafür sorgetragen, dass sie nur so viele Daten erheben, wie für den genannten Zweck unbedingt notwendig. Datenerhebungen auf Vorrat sind unzulässig.
  • Transparenz: Verbraucher müssen die Verarbeitung ihrer personenbezogenen Daten jederzeit nachvollziehen können. Die setzt verständlich formulierte Datenschutzerklärungen und Datenschutzeinwilligungen voraus. Zudem müssen Unternehmen jederzeit Auskunft geben können und mitteilen, welche Daten ihnen vorliegen und wie sie diese verwenden.
  • Vertraulichkeit: Unternehmen müssen durch geeignete Technische und Organisatorische Maßnahmen (TOM) die Vertraulichkeit personenbezogener Daten sicherstellen. Wichtig: Die TOM müssen dem Risiko und der Art der gespeicherten Daten angemessen sein.

Verstöße gegen die DSGVO können mit Bußgeldern bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes geahndet werden.

Wo stehen wir nach drei Jahren DSGVO?

Drei Jahre nach dem endgültigen Inkrafttreten der DSGVO gibt es europaweit immer noch viele Unternehmen und Institutionen, die erhebliche Mängel im Datenschutz aufweisen. So ergab eine repräsentative Befragung von mehr als 500 Unternehmen in Deutschland durch den Digitalverband Bitkom, dass nur 20 Prozent der Unternehmen mit 20 oder mehr Mitarbeitern die DSGVO vollständig umgesetzt haben. Noch erstaunlicher: Sechs Prozent der Unternehmen in Deutschland hatten, so das Ergebnis der Bitkom-Umfrage, im Herbst 2020 gerade erst mit der Umsetzung begonnen.

Dies erklärt auch die inzwischen alles andere als zurückhaltenden Aktivitäten der zuständigen Aufsichtsbehörden. Selbst wenn Corona-bedingt die Anzahl der verhängten Bußgeldbescheide vorübergehend zurückgegangen sein mag, zeigt sich über die vergangenen drei Jahre hinweg doch ein deutlicher Anstieg. Welches die drei größten Schwachstellen sind?

Am häufigsten werden Bußgelder aus den folgenden Gründen verhängt:

  • Verstöße gegen die Auskunfts- und Informationspflichten (Art. 12 bis 15 DSGVO)
  • Fehlende Erlaubnistatbestände und eine daher unrechtmäßige Verarbeitung personenbezogener Daten (Art. 5 und 6 DSGVO)
  • Fehlende oder unzureichende Technische und Organisatorische Maßnahmen zum Schutz personenbezogener Daten (Art. 32 DSGVO)

War der 25. Mai 2018 ein guter Tag für den Datenschutz?

Ja, das war er, denn seit dem die DSGVO am 25. Mai 2018 ihre alleinige Gültigkeit offiziell erhielt, hat in Europa und Deutschland ein grundlegender Bewusstseinswandel stattgefunden. Die Aufmerksamkeit der Öffentlichkeit und das Wissen der Bürger um ihr Grundrecht auf informationelle Selbstbestimmung sind merklich gewachsen. So haben laut einer Umfrage von Eurobarometer unter 27.000 Europäerinnen und Europäern mindestens 80 Prozent der Befragten schon von der DSGVO gehört. 73 Prozent der Menschen kennen sogar mindestens eines der Datenschutzrechte, die ihnen gemäß Datenschutz-Grundverordnung zustehen. Zum Beispiel das Recht auf Löschung der eigenen Daten.

Diese enorm hohen Bekanntheitswerte verdeutlichen den Stellenwert, den der Datenschutz in Wirtschaft und Gesellschaft heute genießt. Unternehmen und öffentliche Institutionen, die sich in puncto Datenschutz vorbildlich verhalten und durch geeignete technische und Organisatorische Maßnahmen alles tun, um die persönlichen Daten ihrer Kunden, Partner und Mitarbeiter zu schützen, genießen einen Vertrauensvorsprung und damit handfeste Wettbewerbsvorteile. Dies sehen – trotz aller Kritik, die es ebenfalls gibt – auch die Unternehmen so. Laut einer Statista-Befragung im September 2020 glauben zwei Drittel der Unternehmen in Deutschland, dass die DSGVO innerhalb der EU zu einheitlicheren Wettbewerbsbedingungen führt. 62 Prozent sind der Ansicht, dass die DSGVO insgesamt ein Wettbewerbsvorteil für die europäische Unternehmen ist.

In unserem Whitepaper "So nutzen Sie Datenschutz zu Ihrem Wettbewerbsvorteil" erfahren Sie unter anderem, mit welchen Argumenten Sie dies erreichen und welche Vorteile Sie dadurch bei Investoren, Partnern und Kunden gewinnen.

Welche Bedeutung hat die DSGVO außerhalb Europas?

Sieben von zehn Unternehmen denken laut der erwähnten Statista-Befragung sogar, dass die DSGVO weltweit Maßstäbe für den Umgang mit personenbezogenen Daten setzt. Seit die Datenschutz-Grundverordnung in Europa den rechtlichen Rahmen vorgibt, hat sie zumindest einen regen internationalen Diskurs über Datenschutzrechte angestoßen. In der westlichen Welt weitgehend unumstritten ist, dass das Recht auf Privatheit im digitalen Zeitalter gefährdet ist und daher besonderer Aufmerksamkeit bedarf. Wie diese aussehen soll und welche rechtlichen Rahmenbedingungen daraus abzuleiten sind, wird international jedoch durchaus kontrovers diskutiert.

Nichtsdestotrotz wirkt die DSGVO weit über die Grenzen Europas hinaus. Das ist sowohl inhaltlich bedingt als auch zum Teil rein wirtschaftlichen Zwängen geschuldet. So hat die DSGVO eine so große fachliche und datenschutzrechtliche Strahlkraft, dass sie international vielen als vorbildlich gilt: der Legislative des US-Bundesstaates Kalifornien zum Beispiel. Diese hat 2020 mit dem California Consumer Privacy Act ausgerechnet in der Heimat des Silicon Valley und der US-Tech-Giganten ein neues Datenschutzrecht in Kraft gesetzt, das stark an die DSGVO erinnert.

Hinzu kommen wirtschaftliche Zwänge durch die EU-Gesetzgebung selbst. Eine Übermittlung personenbezogener Daten ist demnach eingeschränkt, aber dennoch auf verschiedene Arten DSGVO-konform umsetzbar. Dazu zählt beispielsweise ein Angemessenheitsbeschluss der EU-Kommission für ein Drittland gemäß Art. 45 DSGVO, laut diesem auch keine weiteren Maßnahmen zu treffen sind (Bsp. Datentransfer in die Schweiz). Sollten ein solcher Beschluss nicht bestehen, kann dennoch ein Datentransfer erfolgen. Dessen Rechtmäßigkeit beruht auf angemessenen Garantien gemäß Art. 46 DSGVO. Zudem lassen sich noch weitere Ausnahmen, wie eine ausdrückliche Einwilligung der betroffenen Person, in Art. 49 DSGVO finden. Für internationale Unternehmen, die in Europa tätig sind, personenbezogene Daten aber auf Servern außerhalb der EU speichern, kann dies zu einer Herausforderung werden. Die Folgen: Die Internetangebote einiger US-amerikanischer Dienste, darunter zum Beispiel einige große US-Tageszeitungen, sind für Nutzer mit europäischen IP-Adressen nur noch eingeschränkt zugänglich. Die Anbieter blocken Zugriffe aus Europa lieber, als dass sie die Anforderungen der DSGVO erfüllen.

Wie geht es in Zukunft mit dem Datenschutz weiter?

Der Datenaustausch mit Drittländern ist nur einer von mehreren Bereichen, in denen es noch viele offene Fragen gibt. Mit dem Brexit sind es in diesem Bereich allerdings gerade besonders viele offene Fragen. Aktuell sind die Unterschiede zwischen der EU und dem Vereinigten Königreich in Sachen Datenschutz sehr gering. Einem Angemessenheitsbeschluss dürften keine Bedenken entgegenstehen. Ob dies auf lange Sicht so bleibt, ist allerdings fraglich. Das Vereinigte Königreich wird seine Datenschutzgesetze nun losgelöst von Europa weiterentwickeln. Ob Brüssel die Angemessenheit des Datenschutzniveaus dann auch in Zukunft noch bescheinigt, bleibt offen.

Sicher ist nur: Der Datenschutz wird sich mit fortschreitender Digitalisierung auch in Zukunft verändern und weiterentwickeln müssen. Umso wichtiger ist es für Unternehmen und öffentliche Institutionen, auf dem Laufenden zu bleiben und die eigenen Prozesse, Strukturen sowie Technische und Organisatorische Maßnahmen (TOM) fortwährend den Anforderungen anzupassen. Darin besteht die eigentliche Aufgabe.

Über den Autor

Boris Otterbach Boris Otterbach
Boris Otterbach

Principal Privacy

Boris Otterbach ist Jurist und zertifizierter Datenschutzbeauftragter mit über fünf Jahren Erfahrung in diesem Bereich. Bereits während seines Studiums hat er sich vertieft mit den Bereichen Europarecht, Völkerrecht und Menschenrechtsschutz beschäftigt. Dabei war auch das Thema Datenschutz ein zentraler Aspekt. Die DSGVO hilft dabei, gemeinsam europäische Rahmenbedingungen zu schaffen, damit alle denselben Schutz erfahren – und diese Rahmenbedingungen müssen mit pragmatischen, alltagsfähigen Lösungen befüllt werden. Bei DataGuard arbeitet Boris an der Entwicklung pragmatischer Lösungen für DSGVO-Schutzmaßnahmen, damit Unternehmen DSGVO-konform werden können. Die tägliche Arbeit durch mehr Automatisierung effektiver zu gestalten, treibt ihn an, bei DataGuard jeden Tag neue Herausforderungen zu meistern und sicherzustellen, dass Unternehmen aus datenschutzrechtlicher Sicht geschützt sind und neueste Technologien optimal genutzt werden. Als Berater betreute er vor allem Kunden aus den Bereichen Personalwesen, Hotel und Gastgewerbe. In seiner Rolle als Principal Professional Services bei DataGuard unterstützt er die Datenschutz- , Informationssicherheit- und Compliance- Teams mit seinem umfassenden Know-how und seiner Erfahrung, um die Menschen hinter den Daten zu schützen.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren