header_corporate-blog_2019_1920x559px

17 Monate DSGVO – eine Bilanz

ChristianGolzDas Kürzel DSGVO ist seit Anfang 2018 in aller Munde. Oft und nicht selten populistisch wurde über die EU-Datenschutz-Grundverordnung und ihre möglichen Auswirkungen berichtet. Mit Spannung erwartete man nach dem Stichtag, dem 25. Mai 2018, eine Abmahnwelle oder hohe Strafen gegen Internetkonzerne, für die der Datenschutz bis dato kaum eine Rolle zu spielen schien. Passiert ist seinerzeit nichts, erst zum Jahresende kam auf Seiten der Aufsichtsbehörden Bewegung in die Sache. Im Oktober aktualisierte die Datenschutzkonferenz die Liste der Verarbeitungstätigkeiten, für die eine Datenschutzfolgenabschätzung durchzuführen ist. Die Datenschutzaufsichtsbehörden verhängten die ersten Sanktionen. Wir haben übrigens schon einige Blogbeiträge zur DSGVO verfasst – schau einfach mal rein.

Rückblickend war die Debatte zumindest ein Anlass dafür, dass jeder Einzelne den Datenschutz nun bewusster wahrnimmt. Doch zunächst in aller Kürze: wozu bedarf es der DSGVO und was ist das Ziel dieser EU-Verordnung.

Die Datenschutz-Grundverordnung dient der Verbesserung des Grundrechtschutzes1 der Bürgerinnen und Bürger. Weiterhin soll die DSGVO den Datenschutz in allen EU-Mitgliedsstaaten auf gleiches Niveau bringen, denn zuvor waren die nationalen Datenschutzgesetze sehr unterschiedlich bis hin zu nicht vorhanden, so dass eine Vereinheitlichung zwingend nötig war. Dadurch soll nebenbei auch der freie Datenverkehr innerhalb der EU erleichtert und rechtliche Schranken im Umgang mit personenbezogenen etabliert werden.

private-1647769_1920-1Image by notnixon from Pixabay 

Bereits 1983 formulierte das deutsche Bundesverfassungsgericht (im so genannten Volkszählungsurteil) Gefahren für die Menschenwürde und für die freie Entfaltung der Persönlichkeit. Daher sind Normen wie die Datenschutz-Grundverordnung beim Umgang mit der Informationstechnologie unverzichtbar. Schon allein deshalb war es richtig und wichtig, dass sich die Europäische Union mit der DSGVO ein in allen Mitgliedstaaten verbindliches Regelwerk gegeben hat.

Exportschlager DSGVO

Die DSGVO scheint eine Vorbildfunktion zu haben, denn in mehreren US-Bundesstaaten, Japan und weiteren Ländern will man «unsere» DSGVO quasi als Blaupause zur Verbesserung des Datenschutzes anwenden. Es gilt jedoch abzuwarten, ob es nicht nur bei Lippenbekenntnissen bleibt.

Hierzulande war die Verunsicherung über das, was die DSGVO mit sich bringen vermag, recht gross. Wir erinnern uns an die «Klingelschild-Panik», also die Angst davor, statt eines Namens nurmehr eine Nummer auf den Haustürklingeln zu finden. Oder die Angestellten einer katholischen Kita, die ihre Angst vor möglichen Datenschutzverstössen offenbar derart überwältigte, dass in Erinnerungsmappen umgehend jedes Kindergesicht auf Bildern geschwärzt wurde – ausser dem Foto des Kindes, das die jeweilige Mappe erhielt.

DSGVO-Start: viel Unsinn führte zu Unruhe

Und erhielten wir nicht alle E-Mails im Minutentakt knapp vor dem 25. Mai, in denen Unternehmen eine Einwilligung zur Datenspeicherung forderten (die in dieser Form gar nicht nötig oder vorschriftsmässig war). Für alle, die sich den DSGVO-Wahnsinn nochmal in all seinen Kuriositäten zu Gemüte führen wollen, an dieser Stelle ein Video-Tipp: Die beiden Datenschutzexperten Katharina Nocun und Lars Hohl haben im Rahmen der re:publica 2019 in ihrem Vortrag «Best of DSGVO-Armageddon» die besten Stilblüten zusammengefasst. Der Nährboden für die Panik-Reaktionen waren letztlich allerhand falsche Informationen, die gestreut wurden und die «Sache» alles andere als besser machten.

regulation-3246979_1280Image by Pete Linforth from Pixabay 

Über ein Jahr nach Inkrafttreten der DSGVO sind die meisten Aufreger entlarvt, und vieles ist deutlich verständlicher als zuvor. Aber freuen wir uns nicht zu früh: Die DSGVO ist noch jung, den Kinderschuhen quasi noch nicht entwachsen. Deshalb gibt es noch viel zu klären. Dabei ist man auf richterliche Entscheidungen in Präzedenzfällen angewiesen und natürlich auf die Empfehlungen sowie Stellungnahmen der Aufsichtsbehörden.

DSGVO – der Beginn einer Erfolgsgeschichte

Es lässt sich festhalten, dass die Betroffenen im besten Fall wieder die Hoheit über ihre Daten zurückerhalten werden. Derweil sind Aufsichtsbehörden in allen EU-Ländern aktiv dabei, Datenschutzverletzungen zu ahnden, wobei die Sanktionen je nach Land unterschiedlich ausfallen können. Also ist die DSGVO kein zahnloser Papiertiger, wie einige Unternehmer mutmassten. Es ist erkennbar, dass die Bürgerinnen und Bürger sich ihrer Rechte bewusster geworden sind und diese auch einfordern. Das bekommen derzeit viele Unternehmen zu spüren und deshalb mussten sie teils ihr Personal im Bereich Datenschutz aufstocken.

Drohende Sanktionen gemäss der DSGVO führten ausserdem bereits vor ihrem Inkrafttreten schon dazu, dass man auf Seiten der Unternehmen das Thema Datenschutz deutlich ernster nahm und zusätzliche Ressourcen bereitstellte. Externe Berater, zumeist Anwälte aus dem Bereich Datenschutz, erlebten durch die Datenschutzgrundverordnung eine bisher nicht dagewesene Konjunktur. Neben Aufstockung und Umsetzung beginnen grössere Unternehmen bereits damit, ihre Dienstleister auf die Einhaltung der DSGVO hin zu auditieren. Denn die Verordnung verpflichtet zur regelmässigen Prüfung – nicht nur der eigenen technisch-organisatorischen Massnahmen, sondern auch der Dienstleister. Es bleibt also spannend, und es bleibt ein neues Geschäftsfeld, wie auch die jüngsten Datenschutzvorfälle zeigen: Daten von Patienten aus Deutschland und den USA landeten ungeschützt im Internet. Wer daran schuld und nach der DSGVO zur Rechenschaft gezogen werden kann, wird sich in mühsamen Ermittlungen zeigen.

Was die DSGVO für BI-Systeme bedeutet Artikel hier herunterladen!

1 Der Schutz der Grundrechte in der Europäischen Union ist durch Art. 6 des Vertrages über die Europäische Union primärrechtlich verankert

 

Weiterführende Informationen

 

Topics: Kommentar Sicherheit Security GDPR Data Privacy