Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Sechs Monate DSGVO : Ein Resümee des ersten halben Jahres

Viel wurde über die EU-Datenschutzgrundverordnung (DSGVO) vor und nach ihrem vollständigen Inkrafttreten geschrieben und diskutiert – dabei gab es auch reichlich Anlass zu Verwirrung und Sorge. Wie steht es ein halbes Jahr nach dem Stichtag um ihre Umsetzung? Welche Konsequenzen sind bereits zu beobachten? Die hat Aufsichtsbehörden, Unternehmen und Verbände nach ihren Erfahrungen und Beobachtungen gefragt.

Allgemein
Lesezeit 16 Min.

Wie weit ist die Umsetzung der Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO)? Ist mittlerweile ein rechtskonformer Betrieb von IT- und Sicherheitssystemen zu beobachten? Wie steht es um die „Reife“ von Produkten, Dienstleistungen und Verfahren in Bezug auf die DSGVO? Wo „hakt“ es gegebenenfalls noch? Diese und weitere Fragen (s. u.) hat die den Aufsichtsbehörden des nichtöffentlichen Bereichs in Bund und Ländern sowie Unternehmen und Verbänden gestellt. Rund die Hälfte der angeschriebenen Organisationen konnte uns in der vorgesehenen Zeit antworten – einige weitere teilten uns mit, dass aufgrund des hohen derzeitigen Arbeitsaufkommens leider keine Beantwortung möglich sei.

Umsetzung und Defizite

Die Frage, wie verbreitet die DSGVO schon in der Praxis umgesetzt ist, lässt sich naturgemäß von außen kaum beantworten – darauf haben diverse Organisationen hingewiesen. Einerseits wäre eine „Totalüberwachung“ gerade in Sachen Datenschutz wohl kaum zielführend, andererseits brauchen Beschwerden und Prüfungen Zeit und noch immer sind die Aufsichtsbehörden teils knapp aufgestellt.

So gab etwa Ulrike Müller, Pressesprecherin beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (LfDI HE), zu bedenken, dass es allein in ihrem Bundesland rund 260 000 Betriebe gibt, wozu noch der gesamte öffentliche Sektor kommt: „Sie werden sicher verstehen, dass eine Behörde mit derzeit 43 Mitarbeiterinnen und Mitarbeitern keine allgemeingültige Aussage dazu abgeben kann, ob überall ein rechtskonformer Betrieb von IT- und vor allem Sicherheitssystemen zu beobachten ist.“

Und für die Landesbeauftragte für den Datenschutz Niedersachsen (LfD NI) antwortete der Leiter Presse- und Öffentlichkeitsarbeit Johannes Pepping: „Um eine generelle Aussage über die Umsetzung der DSGVO zu treffen, ist es aus unserer Sicht noch zu früh. Die LfD Niedersachsen führt derzeit umfangreiche Prüfungen durch, um sich zu dieser Frage einen ersten Überblick zu verschaffen – zum einen prüfen wir 50 niedersächsische Unternehmen, zum anderen 150 niedersächsische Kommunen. Die Abschlussberichte für beide Prüfungen werden im kommenden Jahr vorliegen.“

Konkretere Zahlen – allerdings zum Stand von Ende September – gibt es vom BITKOM, der in einer repräsentativen Umfrage bei mehr als 500 Unternehmen ermittelt hatte, dass damals knapp zwei Drittel der deutschen Unternehmen die DSGVO entweder „größtenteils“ oder „vollständig“ umsetzten – weitere 30 % nur „teilweise“ und 5 % hatten da gerade erst mit notwendigen Anpassungen begonnen (vgl. www.bitkom.org/Presse/Presseinformation/Kaum-Fortschritt-beider-Umsetzung-der-DatenschutzGrundverordnung.html).

Dass ein Teil der Unternehmen die aktuellen Anforderungen noch nicht umsetzt und manche sich sogar noch „im Stadium der ersten Analyse“ befinden, bestätigt auch Rechtsanwältin Barbara Scheben, Partner bei KPMG: „Dies nehmen auch wir in unserer täglichen Beratungsarbeit wahr. Eine der größten Herausforderungen aus technischer Sicht ist nach wie vor die Konzeption und Umsetzung der Löschung von Daten. Dies ist zwar keine neue Anforderung nach der DSGVO, sondern war bereits nach dem alten Bundesdatenschutzgesetz (BDSG) verlangt – in der Praxis wurde dieses Thema aber stiefmütterlich behandelt.“

Begründete Beschwerden zeigen zudem, dass bei vielen Unternehmen noch Nachbesserungsbedarf bei der Erfüllung der Informationspflichten, der Auskunftsrechte und bei den Dokumentationspflichten besteht“, ergänzt Carsten Nock für den Landesbeauftragten für den Datenschutz Sachsen-Anhalt (LfD ST). Generell gehe man aber davon aus, dass die überwiegende Zahl der Verantwortlichen die Anforderungen der DSGVO bereits umgesetzt habe. „Jetzt geht es bei diesen Unternehmen darum, eine interne Qualitätskontrolle durchzuführen und zu prüfen, ob die durchgeführten Maßnahmen ausreichend sind“, ergänzt Nock.

Deutlich drastischer beschreibt der Vorsitzende des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. Thomas Spaeing die aktuelle Situation: „Die Umsetzung der neuen Bestimmungen ist bei etwa der Hälfte der Unternehmen im Gang – die andere (knappe) Hälfte wartet noch ab. Das korreliert auch mit dem Vorhandensein eines betrieblichen Datenschutzbeauftragten (DSB), der den Unternehmen aufzeigt, was wie zu tun ist.“ Nach wie vor hätten jedoch viele Unternehmen keinen DSB benannt und gingen die Umstellung daher auch nicht an. „Unserer Erfahrung nach entstehen ohne einen erfahrenen DSB oft kuriose und bürokratische Lösungen“, berichtet Spaeing: „Die Presse war ja die letzten Monate voll davon. Der Gesetzgeber hat das vorausgesehen und daher die Benennungspflicht im BDSG verankert.“ Wie bereits die letzten Jahrzehnte sei auch nun wieder zu beobachten, dass der Datenschutz mit einem qualifizierten DSB „ein lösbares Thema“ sei, ohne ihn jedoch eher nichts geschehe.

Mehr als Technik – mehr als Recht

Dr. Consuela Utsch, Geschäftsführerin der Acuroc Solutions, gibt zu bedenken: „Aktuell ist es bei den meisten Unternehmen so, dass ein Jurist die jeweiligen Verträge wie Datenschutzvereinbarungen, Auftragsdatenverarbeitungen, technisch-organisatorische Maßnahmen (TOM) und vieles mehr überarbeitet hat und die Organisation nun das Gefühl hegt, der Prozess sei abgeschlossen – ein Trugschluss, der teuer werden kann. Bedauerlicherweise haben nämlich die allerwenigsten Unternehmen tatsächlich die Neuerungen und wesentlichen Elemente wie etwa Risikomanagement oder Löschverpflichtungen überarbeitet beziehungsweise ausgebaut. Darüber hinaus mangelt es vor allem auch an einer Risikofolgenabschätzung – wann und wie diese durchzuführen ist, haben aktuell nur sehr wenige Unternehmen für sich geklärt.“

Dass die Einführung der DSGVO insgesamt eine große Herausforderung für Unternehmen ist, betonten mehrere Antworten. „Anfangs hat sich das für uns als Aufsichtsbehörde besonders daran gezeigt, dass es enorm viele Unternehmensanfragen (sowohl telefonisch als auch schriftlich) zu einzelnen Auslegungsfragen der DSGVO gegeben hat. Mittlerweile hat sich diese Anfrageflut ein wenig beruhigt und konzentriert sich schwerpunktmäßig auf Problemkreise, die bisher auf nationaler und europäischer Ebene noch keiner gesicherten Lösung zugeführt worden sind“, berichtet etwa Martin Schemm, Referent für Presse- und Öffentlichkeitsarbeit beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (LfDI HH): „Eine große Rolle haben dabei die von den Datenschutzaufsichtsbehörden veröffentlichten Kurzpapiere und die Vorgaben des jetzigen Europäischen Datenschutzausschusses gespielt (vormals Art.- 29-Gruppe), die mehr Sicherheit im Umgang mit der DSGVO hergestellt haben.“ Gleichwohl sei nicht zu verhehlen, dass weiterhin Unsicherheiten zu einzelnen Fragen bestehen. „Aufgrund der hohen Auslastung durch Beschwerden und Anfragen Betroffener ist die Behörde derzeit nur in Ausnahmefällen in der Lage, eine Beratung von Unternehmen zu datenschutzrechtlichen Anfragen sicherzustellen“, bedauert Schemm.

Auch Sven Müller, Pressesprecher der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA BB), berichtet von einer leichten Entspannung: „Der massive Anstieg von Beratungsanfragen begann bereits Monate vor dem Wirksamwerden des neuen Datenschutzrechts und erreichte seinen Höhepunkt etwa zum 25. Mai 2018 – inzwischen stellen wir hier eine rückläufige Tendenz fest.

Unklare Vorgaben und uneinheitliche Auslegung?

Neben den Aufsichtsbehörden sieht Christin Patricia Müller, PR-Referentin Politik & Recht beim eco – Verband der Internetwirtschaft e. V., auch Legislative und Gerichte verstärkt in der Pflicht: „Die seitens der Wirtschaft immer wieder geforderte einheitliche Umsetzung der DSGVO ist in Deutschland noch nicht auf einem guten Weg. Bayern hat zwar eine Gesetzesinitiative auf den Weg gebracht, um Auslegungsschwierigkeiten zu beseitigen – ob dieser Entwurf aber umgesetzt wird und wie sich die Rechtsprechung in ganz Deutschland weiterhin entwickelt, bleibt abzuwarten.“

Die Aufsichtsbehörden müssten derweil zügig an einer einheitlichen Auslegung der Regeln arbeiten: „Der Datenschutz könnte andernfalls nicht nur in Europa, sondern auch in Deutschland zerfallen“, warnt Christin Müller. „Die Unternehmen in Deutschland erwarten von den Aufsichtsbehörden konkretere Vorstellungen und Maßgaben für Datenschutz-Prüfungen. Eine einheitliche Umsetzung des europaweit geltenden DatenschutzRechtsrahmens ist nach einem halben Jahr noch nicht erkennbar“, sekundiert Andreas Weiss, Direktor EuroCloud Deutschland_eco e. V.

Mit Blick auf global agierende Internetkonzerne muss es den Aufsichtsbehörden gelingen, den Datenschutz gemäß DSGVO durchzusetzen und dazu – wo nötig – schnelle und wirksame Verfahren einzuleiten und durchzuführen. Es wird sich hier zeigen, ob der Europäische Datenschutzausschuss und die darin vertretenen nationalen Behörden es schaffen, einen einheitlichen und effektiven Schutz der Rechte und der Freiheiten Betroffener in diesem Bereich herzustellen. Dies ist eine ganz zentrale Frage, die über Erfolg oder Misserfolg der neuen Regelungen letztlich entscheidet“, betont auch Martin Schemm (LfDI HH).

Allzu idealistische Vorstellungen dämpft Sven Müller (LDA BB): „Dass die DSGVO plötzlich zu einer umfassenden Rechtskonformität führen würde, war von vornherein nicht zu erwarten. Defi zite beziehungsweise Unsicherheiten bestehen aus unserer Sicht insbesondere bei der Datenschutz-Folgenabschätzung, den Dokumentations- und Nachweispfl ichten, der Auftragsverarbeitung und dem Sicherheitskonzept.“ Entgegen den Erwartungen der Behörde seien hingegen beispielsweise der Datenschutz durch Technikgestaltung und datenschutzgerechte Voreinstellungen bislang kaum Gegenstand von Beratungsanfragen gewesen. „Das bedeutet jedoch nicht, dass entsprechende Produkte oder Verfahren bereits die erforderliche Reife haben“, mahnt Sven Müller: „Vielmehr gehen wir davon aus, dass auch hier noch eine erhebliche Unsicherheit bei der Auslegung der Norm und den daraus konkret resultierenden Anforderungen besteht.“

Marit Hansen
Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein: „Viele Firmen und Behörden haben ihre Prozesse zur Information der Kunden und Bürger an die DSGVO angepasst und interne Abläufe überprüft – viele können jetzt auch ausreichend schnell auf Anfragen der Betroffenen reagieren und haben Prozesse zum Melden von Datenpannen aufgesetzt. Aber es gibt auch noch Datenverarbeiter, die auf den ‚Weckruf DSGVO‘ bisher nicht angemessen reagiert haben.“

Privacy by Design? Fehlanzeige!

Als ein großes Problem beschreibt Marit Hansen, Landesbeauftragte für Datenschutz Schleswig Holstein (LfD SH): „Leider unterstützen viele weit verbreitete Standardprodukte (Betriebssysteme, Datenbanken, Kommunikationssysteme, Apps), Plattformen und Services noch keine vorbildliche DSGVO-konforme Datenverarbeitung. Zum Beispiel fehlen ausreichende Informationen über Funktionsweisen und Risiken, Daten werden nicht richtig gelöscht, unberechtigte Zugriffe lassen sich nicht ausschließen und manchmal gibt es intransparente Datenweitergaben an Hersteller oder Anbieter, die solche Daten zu eigenen Zwecken verwenden. Das ist problematisch, weil die Verantwortlichen dann ihren Rechenschaftspflichten nicht nachkommen können.“ Kaum ein Hersteller hätte das Prinzip „Datenschutz by Design & by Default“ verinnerlicht und umgesetzt: „Meist ist von eingebautem Datenschutz keine Spur, die Voreinstellungen sind bei Weitem nicht datenschutzgerecht“, resümiert Hansen.

Thomas Spaeing (BvD): „Die DSGVO ist durch die fehlenden Informationen und die Verwirrung in Verruf geraten, gleichwohl stellt sie einen bahnbrechenden Fortschritt dar und kann für die deutsche wie europäische Wirtschaft ein echter Innovationstreiber und Marktvorteil sein.“
Thomas Spaeing (BvD): „Die DSGVO ist durch die fehlenden Informationen und die Verwirrung in Verruf geraten, gleichwohl stellt sie einen bahnbrechenden Fortschritt dar und kann für die deutsche wie europäische Wirtschaft ein echter Innovationstreiber und Marktvorteil sein.“

Auch Thomas Spaeing (BvD) sieht hier Defi zite: „Bei IT-Produkten zeigen sich langsam die ersten Ansätze von neuen Funktionen, die den Unternehmen helfen sollen, die neuen Pfl ichten zu erfüllen.“ Diese Funktionen müssten die Unternehmen jedoch extra kaufen: „Selbstverständlich sind sie also nicht – somit muss man feststellen, dass DSGVO-konforme Software im Standard noch nicht zu haben ist. Viele Hersteller arbeiten noch daran, Daten löschen zu können. Die Erfüllung der Betroffenenrechte ist noch in weiter Ferne. Der Stand hätte nach der Frist von zwei Jahren deutlich besser sein können.“

Anfragen und Eingaben

Die Aufsichtsbehörden berichten übereinstimmend von einem hohen Aufkommen an Anfragen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI BW), Dr. Stefan Brink, erklärt für sein Haus: „In zwei Drittel der Fälle wünschen die Bürgerinnen und Bürger Informationen im Zusammenhang mit der DSGVO, bei den restlichen Eingaben handelt es sich um Beschwerden. Die Zahl der Eingaben hat sich seit Mai 2018 circa verdreifacht.“ Als Themenschwerpunkte bei Beschwerden und Anfragen nennt Brink vor allem Informationspflichten auf Webseiten, rechtswidrige Videoüberwachungen, Beschäftigtendatenschutz sowie die Zustellung von Werbung.

In Hessen hat sich die Zahl der Beschwerden und Anfragen nach Auskunft des LfDI ebenfalls ungefähr verdreifacht – die LfD Schleswig-Holstein spricht bei Beschwerden vom „Faktor 3 bis 4 im Vergleich zum Vorjahr“, der LfDI Hamburg in etwa von einer Verdopplung. Aus Sachsen-Anhalt hieß es, die Anzahl der Beschwerden habe „deutlich zugenommen“, allerdings nicht so stark wie die Beratungsanfragen.

Dr. Imke Sommer (LfDI HB): „Es ist sicherlich nicht übertrieben, zu behaupten, dass die pure Existenz der DSGVO das Datenschutzniveau iin Europa erhöht hat. Letztlich kommt sie genau dort an, wo sie wirken wollte: Direkt bei den Menschen in Europa.“
Dr. Imke Sommer (LfDI HB): „Es ist sicherlich nicht übertrieben, zu behaupten, dass die pure Existenz der DSGVO das Datenschutzniveau iin Europa erhöht hat. Letztlich kommt sie genau dort an, wo sie wirken wollte: Direkt bei den Menschen in Europa.“

Dr. Imke Sommer, Bremische Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI HB), berichtet: „Im Land Bremen ist mit 30 Eingaben nach Art. 77 DSGVO (ohne Anzeigen, Anfragen, Datenschutzpannenmeldungen etc.) der Monatsdurchschnitt im Zeitraum von Mai bis Oktober 2018 im Vergleich zu 17,5 im Zeitraum von Januar bis April um mehr als die Hälfte angestiegen.“

Und die LfDI Saarland verlautbarte: „Nach Wirksamwerden der DSGVO war hiesigerseits vor allem eine Zunahme an Beratungsanfragen zu verzeichnen. Das Beschwerdevolumen verharrte auf einem hohen Niveau, ohne dass eine signifikante Zunahme festzustellen war.“

Eine Zunahme von Anfragen gibt es nach Erkenntnissen von KPMG auch bei Verarbeitern und Nutzern personenbezogener Daten: „Mit dem Stichtag 25. Mai 2018 ist in vielen Unternehmen eine Steigerung der Betroffenenanfragen zu verzeichnen. Dies betrifft häufig die Geltendmachung des Auskunftsrechts, aber auch andere Themen, wie die Berichtigung oder Löschung von personenbezogenen Daten“, berichtet Barbara Scheben.

Maßnahmen und Sanktionen

Von ihren neuen Befugnissen haben die Aufsichtsbehörden, die uns geantwortet haben, vor allem Anordnungen zur Auskunftserteilung genutzt sowie vereinzelt Warnungen und Verwarnungen ausgesprochen. Die LDA Brandenburg merkte an, dass der Verhängung von Sanktionen und Bußgeldern umfangreiche Verfahren vorausgingen, die „in den relevanten Fällen noch nicht abgeschlossen sind“ – zudem sei man teilweise noch „mit Bußgeldverfahren beschäftigt, die Fälle nach der alten Rechtslage betreffen“.

Marit Hansen (LfD SH) erläuterte: „Wir bearbeiten zurzeit einige hundert Fälle. Warnungen, Verwarnungen und Anordnungen nach der DSGVO sind schon vielfach schriftlich an die Verantwortlichen kommuniziert worden. Bußgelder wurden noch nicht verhängt; einige der laufenden Verfahren können nach jetziger Einschätzung aber zu einem Bußgeld führen, sofern sich in der Aufklärung des Sachverhalts kein anderes Bild ergibt.“ Auch in Sachsen-Anhalt wurden Bußgeldverfahren bereits eingeleitet, aber noch nicht abgeschlossen.

Erste Bußgelder wurden bereits in Hamburg und BadenWürttemberg verhängt, auch wenn sich dort die Mehrzahl der Verfahren ebenfalls noch im Ermittlungsstadium befindet. Wie auch den Medien im November zu entnehmen war, hat die Bußgeldstelle des LfDI Baden-Württemberg wegen der Speicherung von Nutzer-Passwörtern im Klartext einem dort ansässigen Social-Media-Anbieter eine Geldbuße von 20.000 e auferlegt (vgl. www.badenwuerttemberg.datenschutz.de/lfdibaden-wuerttemberg-verhaengtsein-erstes-bussgeld-in-deutschlandnach-der-ds-gvo/). Dabei wurde eine relativ milde Höhe angesetzt, weil sich das Unternehmen äußerst kooperativ verhalten und umgehend in weitere Sicherheitsmaßnahmen investiert habe. „Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Stefan Brink (LfDI BW): „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“ In seiner Antwort an die prognostizierte Brink aber dennoch: „Es werden in den nächsten Monaten noch weitere Bußgelder in erheblichem Umfang anfallen.“

Das EU-weit erste Bußgeld nach DSGVO war Medienberichten zufolge bereits Mitte Oktober in Portugal gegen ein Krankenhaus verhängt worden, das wegen zweier Verstöße insgesamt 400.000 e zahlen soll – unter anderem hätten zu viele Personen Zugriff auf die Patientendaten gehabt.

Abmahnwelle ausgeblieben

Ein vielfach befürchteter massiver Zuwachs an Abmahnungen durch Dritte (Konkurrenten) ist nach allgemeiner Aussage bislang ausgeblieben. Dr. Imke Sommer (LfDI HB) weist hierbei darauf hin, dass die Rechtmäßigkeit von Abmahnungen im Bereich der DSGVO „vom wichtigsten Kommentar zum Gesetz über den unlauteren Wettbewerb (GWB – Prof. Köhler) bestritten wird, weil das Sanktionssystem der DSGVO abschließend ist“. Hierzu gibt es zudem bereits drei Urteile, die sich jedoch teilweise widersprechen: Während das Landgericht Bochum der Meinung aus der Literatur gefolgt ist (Urteil vom 07. Aug. 2018, Az. 12 O 85/18), hat das Landgericht Würzburg eine gegenteilige Ansicht vertreten (Beschluss vom 13. Sept. 2018, Az. 11 O 1741/18). Das Oberlandesgericht Hamburg kam indessen zu dem Ergebnis, dass es auf die konkrete Norm ankomme, auf die sich eine Abmahnung stütze (Urteil vom 25. Okt. 2018, Az. 3 U 66/17).

„Die beiden entgegenstehenden Urteile werden wahrscheinlich spätestens vom Europäischen Gerichtshof korrigiert werden. Auch ist der bundesgesetzliche Gesetzgeber offensichtlich entschlossen, eine entsprechende Klarstellung (Abmahnungen sind ausgeschlossen) zu verabschieden, sollte sich – anders als bislang – eine Abmahnpraxis entwickeln“, ergänzt Sommer.

Auswirkungen und Ausblick

Auf die Frage nach der größten bereits jetzt zu beobachtenden Veränderung, welche die DSGVO bewirkt hat, erhielt die viele Antworten mit Bezug auf ein gestiegenes Bewusstsein bei Betroffenen – verbunden mit einer erhöhten Bereitschaft, ihre Rechte auch einzufordern. „Wir beobachten zum Beispiel, dass nun deutlich mehr Menschen von ihrem Auskunftsrecht gegenüber Unternehmen und Websitebetreibern Gebrauch machen, um zu erfahren, welche Daten über sie dort gespeichert sind. Auch das Betroffenenrecht auf Löschung wird offenbar von vielen Menschen genutzt, um personenbezogene Daten aus dem Internet entfernen zu lassen“, erklärt Johannes Pepping (LfD NI).

Doch auch bei den Verantwortlichen ist eine gesteigerte Wahrnehmung des Themas zu beobachten. „Mitunter stellten wir fest, dass Anforderungen an den Datenschutz erstmalig wahrgenommen wurden, auch wenn sie nach alter Rechtslage längst bestanden. Dies gilt insbesondere für kleinere Vereine, Unternehmen und Behörden“, kommentierte etwa Sven Müller (LDA BB). Auch Monika Grethel, Landesbeauftragte für Datenschutz und Informationsfreiheit im Saarland (LfDI SL) sieht eine erhöhte Reichweite des Datenschutzes: „Aufgrund der medialen Präsenz der DSGVO, vor allem angesichts der drohenden Sanktionen, wurden Verantwortliche/Entscheider erreicht, die sich bisher mit datenschutzrechtlichen Fragestellungen nicht oder allenfalls am Rande auseinandergesetzt haben.“

Als indirekte Auswirkung von Medienpräsenz und erhöhtem Bewusstsein bei Verbrauchern dürfte zudem „der überwiegende Teil der Unternehmen auch erkannt haben, dass ein datenschutzkonformer Umgang mit personenbezogenen Daten nicht nur Rechtspflicht ist, sondern vor dem Hintergrund der Erwartungshaltung potenzieller Kunden eben auch ein Wettbewerbsvorteil sein kann“, erwartet Grethel weiter.

Das macht vor Ländergrenzen nicht halt: „Insbesondere in Bezug auf globale Akteure lässt sich in unserem Zuständigkeitsbereich feststellen, dass die Signalwirkung der DSGVO weit über die EU hinaus besteht. So integriert beispielsweise eBay die innerhalb der EU geltenden Datenschutzbestimmungen zusätzlich zu seinen verbindlichen unternehmensinternen Vorschriften in das gesamte Datenschutzprogramm und sein Kontrollumfeld auch für die Geschäftstätigkeit außerhalb des gemeinsamen Binnenmarktes“, berichtet Sven Müller (LDA BB).

„Positiv zu beurteilen ist das Vorhaben den europäischen Rechtsrahmen zu vereinheitlichen. Ein einheitlicher europäischer Datenschutz hat das Potenzial, auf den Weltmärkten zu einem Wettbewerbsvorteil zu werden“, kommentierte auch Christin Patricia Müller (eco), gab jedoch zu bedenken: „Die Unternehmen in Deutschland haben viel Aufwand betrieben, um sich fit zu machen für die DSGVO, und machen sich jetzt insgesamt sehr viele Gedanken zum Datenschutz. Das ist positiv zu beurteilen, jedoch gerade kleine und mittlere Unternehmen sind häufig noch überfordert, die abstrakten Vorgaben auf ihren Wirkungsbereich umzusetzen. Unternehmen benötigen auf die jeweiligen Anwendungsbereiche zugeschnittene Orientierungshilfen, um sich DSGVO-konform verhalten zu können.“

Ein kritisches Fazit zieht Dr. Consuela Utsch (Acuroc Solutions): „In erster Linie sorgte das Inkrafttreten der DSGVO für völlige Irritation bei Mitarbeitern und Führungskräften – begleitet von einer großen Verunsicherung, weil niemand genau zu wissen scheint, was wie umzusetzen ist und wo die Grenzen liegen. Das ist fatal, denn damit erreicht die Verordnung genau das Gegenteil der gewünschten Wirkung: Statt Datensicherheit und Aufklärung stiften das Gesetz und die Berichterstattung darüber nur mehr Unruhe.“

Thomas Spaeing (BvD) beklagt ebenfalls Verwirrung: „Durch die fehlende konkrete Information der Unternehmen und Behörden ist ein Raum für Scharlatane und selbsternannte Experten entstanden, der in den Unternehmen für erhebliche Verunsicherung gesorgt hat.“ Dennoch sieht er in der DSGVO einen „bahnbrechenden Fortschritt“: „Die DSGVO kann für die deutsche wie europäische Wirtschaft ein echter Innovationstreiber und Marktvorteil sein. Leider beherrschen gerade in Deutschland die Ewiggestrigen die Szene und stellen nur die Nachteile in den Vordergrund. Die anderen Länder der Welt reagieren schon und beginnen, eigene Regelungen auf Basis der DSGVO aufzustellen. Der Vorteil schwindet also schnell. Wenn wir hier nur diskutieren, statt zu handeln, dann bleibt uns – wie oft bei den digitalen Themen – nur einer der hinteren Plätze.“

Optimistischer blickt Marit Hansen (LfD SH) in die Zukunft: „Die DSGVO ist da und wird auch nicht mehr verschwinden. Sie wirkt nicht nur innereuropäisch, sondern wird auch außerhalb Europas zunehmend als Maßstab für Datenschutz angesehen. Ich erwarte zukünftig eine eindeutige Marktbewegung in Richtung ‚Datenschutz by Design‘ – jedes Produkt und jedes Angebot sollte dann die DSGVO-konforme Dokumentation zur Verfügung stellen. Das macht es den Verantwortlichen einfach, ihre Pflichten zu erfüllen, und wir erreichen endlich ein gutes Datenschutzniveau, wie es für unsere Informationsgesellschaft notwendig ist.“

Diesen Beitrag teilen: