Ein Jahr DS-GVO – Die Richtung stimmt!

Am 25. Mai 2019 wird die Datenschutz-Grundverordnung ein Jahr alt. Ihre Wirkungen sind unübersehbar und erheblich. Sie betreffen Datenverarbeitungen in der Europäischen Union, insbesondere aber auch die Wahrnehmung der Notwendigkeit von Datenschutz in Europa und darüber hinaus. Das Bewusstsein für den Datenschutz durchdringt nunmehr verstärkt Wirtschaft, Verwaltung und Gesellschaft. Das ist nicht zuletzt der Verdienst der Datenschutz-Grundverordnung.

Die Datenschutz-Grundverordnung hat Verbesserungen für die Bürgerinnen und Bürger gebracht. Sie verfügen nunmehr über weitgehende Rechte, um sich in der digitalen Welt zu behaupten. Betroffene müssen umfassend und angemessen informiert werden. Sie haben Ansprüche auf Auskunft, Berichtigung, Löschung einschließlich des Rechts auf Vergessenwerden und noch weitere Rechte, um insbesondere gegenüber großen Digitalkonzernen ihre Positionen geltend zu machen und die Verfügungsmacht über ihre Daten zu behalten. In ihrer Ausrichtung auf den Menschen ist die Datenschutz-Grundverordnung Ausdruck effektiven Grundrechtsschutzes.

Die Verantwortlichen sind einem gewissen und teils vermehrten Aufwand unterworfen. Dabei wird aber in Wirtschaft und Verwaltung vielfach transparenter, welche Datenverarbeitungen es überhaupt schon gibt, wie sie zusammenhängen und wie auch Optimierungsmöglichkeiten ausgenutzt werden können. Die Datenschutz-Grundverordnung bringt Nutzen über den Datenschutz hinaus, weil sie einen digitalen Kassensturz anstößt. Es soll nicht verschwiegen werden, dass die Datenschutz-Grundverordnung durchaus Mühe und Kosten in Wirtschaft, Verwaltung und Gesellschaft verursachen kann. Diese Mühen und Kosten sind aber nicht alle neu, sondern bauen auf Notwendigkeiten bereits der alten Rechtslage auf. Weiterentwicklungen sind immer wieder notwendig, um der Dynamik der digitalen Entwicklungen gerecht zu werden.

Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder sind dem Grundrechtsschutz verpflichtet und unterstützen insbesondere Bürgerinnen und Bürger dabei, ihr Grundrecht auf Datenschutz nicht nur zu haben, sondern auch durchzusetzen. Dies hat für die Aufsichtsbehörden zu einer erheblichen Steigerung des Arbeitsaufwandes geführt. Dieser vermehrte Arbeitsaufwand ist aber zielführend, weil er den Bürgerinnen und Bürgern dient. Trotz angespannter Ressourcenlage ist es den Aufsichtsbehörden im ersten Jahr gelungen, durch umfassende Beratung und Information vielfältige Unsicherheiten zu verringern. Zahlreiche Einzelfälle konnten erfolgreich abgeschlossen werden. Erfolg heißt hier, den Datenschutz zu sichern und nicht vorrangig, Sanktionen zu erlassen. Allerdings zögern die Datenschutzaufsichtsbehörden auch nicht, im Fall von Verstößen gegen das Datenschutzrecht effektive Sanktionen und Maßnahmen zu verhängen, wenn dies erforderlich ist.

Die Datenschutz-Grundverordnung hat zu Beginn Kritik erfahren. Viele dieser Kritikpunkte konnten ausgeräumt werden, nachdem durch sachliche Information hysterische und überzogene Reaktionen richtig gestellt wurden. Manche Kritikpunkte beziehen sich im Kern auf die Frage, welche Verantwortlichen welche Maßnahmen in welcher Form umsetzen müssen. Kleine mittelständische Unternehmen des produzierenden Gewerbes müssen den Anforderungen der DS-GVO  grundsätzlich ebenso Rechnung tragen wie die großen Digitalunternehmen. Die DS-GVO bietet jedoch mit ihrem risikobasierten Ansatz und der notwendigen Angemessenheit von Maßnahmen Möglichkeiten der Differenzierung. Durch ein Tätigwerden der Aufsichtsbehörden in der Anwendung der DS-GVO, das Rechtsunsicherheiten vermindert, werden Ansatzpunkte für Kritik verringert. Aber das geltende Recht legen die Gesetzgeber fest.

Auch bald drei Jahre nach Erlass der DS-GVO deutet einiges darauf hin, dass bei vielen Verantwortlichen noch keine vollständige Umsetzung erfolgt ist. Dies ist in starkem Maße abhängig von der Größe der betroffenen Institutionen. Während im Bereich der Großunternehmen die Umsetzung der Datenschutz-Grundverordnung vielfach als Projekt organisiert und mit Zielvorgaben und Ressourcen unterlegt wurde, scheint diese in anderen Bereichen eher punktuell erfolgt zu sein. Die Gründe dafür sind unterschiedlich. Vielfach schienen, trotz verfügbarer  Materialien und mehrerer Beratungs- und Informationsinitiativen weiterhin Unsicherheiten hinsichtlich der notwendigen Umsetzungsmaßnahmen zu bestehen. Insbesondere in kleineren unternehmerischen und Verwaltungseinheiten mögen auch begrenzte Ressourcen notwendige Umsetzungsprozesse erschwert haben.

Die vorliegenden Erkenntnisse zeigen aber auch, dass sich Defizite oftmals nicht mit Blick auf neue Anforderungen der DS-GVO ergeben haben, sondern offenbar bereits zu Zeiten der alten Rechtslage bestanden. Der mit der DS-GVO verbundene Umsetzungs- und Sanktionsdruck macht diese allerdings nunmehr erkennbar.

Ähnliches gilt für die Meldepflicht von Datenpannen; auch hier ist nicht davon auszugehen, dass sich die Zahl der Vorfälle mit der DS-GVO wesentlich erhöht hat. Der enorme Anstieg der Meldungen von Datenpannen mag weniger durch eine tatsächlich erhöhte Anzahl von Vorfällen, als vielmehr ebenfalls durch drohende Sanktionen, aber auch durch die deutlich verschärften Anforderungen an die gesetzliche Meldepflicht verursacht worden sein. Insgesamt hat die gesteigerte Wahrnehmung datenschutzrechtlicher Anforderungen durch die DS-GVO zu einer gesteigerten Aktivität geführt. Mehr Verantwortliche tun viel mehr als vor dem 25. Mai 2018. Aber nicht alle tun genug.

Nach einem Jahr gelangt die Datenschutz-Grundverordnung in ruhigeres Fahrwasser. Sie geht in die richtige Richtung und in der konkreten Anwendung und der Durchformulierung ihrer Anforderungen wird deutlich, dass vielfältige Spielräume sinnvoll genutzt werden können. Auf diesem Weg wollen und werden die Datenschutzaufsichtsbehörden des Bundes und der Länder die Bürgerinnen und Bürger weiter begleiten. Ziel ist und bleibt, Freiheit in der digitalen Welt zu sichern.


Weitere Informationen:

Informationen zur Datenschutz-Grundverordnung

Video zur Datenschutz-Grundverordnung (englisch)

Webseite der Konferenz der unabhängigen Datenschutzaufsichtsbehörden (Datenschutzkonferenz)

Webseite des Europäischen Datenschutz-Ausschusses

Infografik des European Data Protection Board