DSGVO seit fünf Jahren in Kraft

Am 25. Mai 2023 wird die europäische Datenschutzgrundverordnung DSGVO fünf Jahre alt. Pünktlich zum Geburtstag hat die irische Datenschutzbehörde gegen den Facebook-Konzern Meta wegen eines Datenschutz-Verstoßes ein Bußgeld in Höhe von 1,2 Milliarden Euro verhängt. Nicht zuletzt diese Bußgeldpraxis der europäischen Datenschutzbehörden hat aus der DSGVO in den letzten fünf Jahren ein gefürchtetes Instrument zum Schutz der europäischen Datensicherheit gemacht.

Von großer Verunsicherung und riesigem Medienrummel begleitet war die Startphase der DSGVO vor fünf Jahren. Natürlich gab es auch vorher schon ein Bundesdatenschutzgesetz in Deutschland, doch der Datenschutz war im Bewusstsein der Unternehmen nicht sonderlich tief verankert und kein Thema, dem mehr Beachtung geschenkt wurde als unbedingt nötig. Zumal auch die Geldbußen bei Verstößen selten waren und eher niedrig ausfielen (300.000 Euro war die größtmögliche Summe, die theoretisch hätte fällig werden können). So herrschte im Vorfeld des 25. Mai 2018 große Unsicherheit, wie die neuen Regelungen der DSGVO im betrieblichen Alltag anzuwenden seien.

Holpriger Start für die DSGVO

Verbunden mit der Sorge um eine möglicherweise nicht korrekte Anwendung der neuen Bestimmungen war die Angst vor Abmahnungen mit enormen Bußgeldsummen. Nach der DSGVO wurde erstmals der Unternehmensumsatz als Maßstab für die Bußgeldhöhe herangezogen werden, was bei größeren, umsatzstarken Unternehmen Strafen in bisher ungekannten Höhen ermöglichte. Da viele Unternehmen im Mai 2018 das neue Recht noch nicht implementiert hatten, war die Besorgnis, es würden nun bundesweit drastische Bußgelder verhängt, zunächst groß. Doch die meisten Datenschutzbehörden gingen zunächst mit Augenmaß zu Werke, die befürchtete Flut an drakonischen Strafen für Datenschutzverstöße blieb aus.

Für den Datenschutz ein großer Schritt nach vorne

Die Vereinheitlichung der europäischen Datenschutzregeln, damals von vielen Unternehmen mit wenig Begeisterung begrüßt, gilt heute in Zeiten von Cyberattacken, Big Data und KI, digitaler Transformation und virtueller Kriegsführung in Form von Hackerangriffen als Meilenstein und Europa kann sich rühmen, den vielfältigen globalen Bedrohungen der Datensicherheit die fortschrittlichste Datenschutzgesetzgebung der Welt entgegengesetzt zu haben. Datenschutzaufsichtsbehörden, Gerichtsurteile des EuGH sowie der nationalen Gerichte und ein viel bewussterer und verantwortungsvollerer Umgang mit Daten durch Staaten und Unternehmen hat den Datenschutz in den letzten fünf Jahren einen großen Schritt vorangebracht. Selbst große US-Konzerne kommen an der DSGVO nicht mehr vorbei und müssen ihr Geschäftsgebaren auf dem europäischen Markt an die Standards der DSGVO anpassen. Mittlerweile haben die in über 1.600 Fällen verhängten Geldbußen insgesamt die Marke von drei Milliarden Euro überschritten. Europa setzt seinen Datenschutz durch.

Föderale Strukturen erschweren die Durchsetzung

Doch es gibt auch viel Kritik. Die Abstimmung unter 27 Aufsichtsbehörden auf EU-Ebene zu einer einheitlichen Auslegung und Durchsetzung der DSGVO-Regeln funktioniert in der Praxis nur schleppend. Weltweite Großkonzerne siedeln ihre Niederlassungen in den europäischen Staaten an, wo man es mit den DSGVO-Regeln nicht ganz so streng nimmt. Wer das aus Deutschland mit erhobenem Zeigefinger kommentieren wollte, dem sei geraten, sich erst einmal vor der eigenen Haustüre umzusehen. Allein in Deutschland legen 18 Aufsichtsbehörden von Bund und Ländern die DSGVO teilweise höchst unterschiedlich aus und was dem Hessen recht ist, muss dem Bayern noch lange nicht billig sein.

Gleiches Recht für den Handwerker und den DAX-Konzern

Vor allem für kleine und mittlere Betriebe bringen die Regelungen der DSGVO einen hohen bürokratischen Mehraufwand mit sich. Auch Kunden kleiner Firmen müssen umfassend darüber aufgeklärt werden, wofür personenbezogene Daten erhoben werden, wie diese verarbeitet und wie sie aufbewahrt werden. Was global agierende Internetkonzerne zu mehr Transparenz zwingt, führt bei Kleinbetrieben zu unverhältnismäßig hohen und praxisfernen Auflagen. Dass nicht nach Größe der Unternehmen differenziert wird und dass ein Handwerker und ein Dax-Konzern die gleichen Auflagen erfüllen müssen, gilt als Geburtsfehler der DSGVO. Hier sehen Datenschutzexperten dringenden Korrekturbedarf.

Allerdings – nächstes Problem der DSGVO – müssen sich die Kleinbetriebe wenig Sorgen machen, bei Datenschutzverstößen belangt zu werden. Die Schlagkraft der Datenschutzbehörden, welche die DSGVO vollstrecken müssen, ist in der Praxis nur minimal. Gerade die Verstöße kleiner Betriebe werden so gut wie nie sanktioniert, weil sich die chronisch personell unterbesetzten und finanziell dürftig ausgestatteten Behörden auf die großen Fische konzentrieren müssen. Es soll zahlreiche Handwerkskammern in Deutschland geben, denen nach fünf Jahren DSGVO-Geltung noch kein einziger Bußgeldfall gemeldet wurde.

Datenschutz-Verfahren dauern viel zu lange

Die zu komplex konstruierten Strukturen der Aufsichtsbehörden sowohl auf europäischer als auch auf nationaler Ebene führen dazu, dass selbst die banalsten Verfahren unter Umständen Jahre dauern können. Ganz schlimm wird es bei grenzüberschreitenden Verfahren. Sind Rechtspositionen nicht durchsetzbar, leidet die Glaubwürdigkeit des Datenschutzes. Eine grundlegende Reform des aufsichtsbehördlichen Wirkens wäre dringend nötig, wird aber wohl nicht so schnell kommen. Die nächste Evaluierung der DSGVO durch die Europäische Kommission ist erst für 2024 angesetzt.

Fazit: Ein DSGVO-Update ist dringend nötig

Zwar sehen viele deutsche Unternehmen die DSGVO mittlerweile als einen internationalen Vorteil im globalen Wettbewerb. Aber zwei Drittel der Unternehmer beschweren sich auch, dass die DSGVO ganz konkret die Umsetzung datengetriebener Geschäftsmodelle in ihren Unternehmen hemmt. Produkte oder Geschäftsmodelle ziehen aus der besonders strengen deutschen Interpretation der DSGVO keine Wettbewerbsvorteile.

Die Datenschutzgrundverordnung braucht fünf Jahre nach ihrem Start dringend ein Update. Ihren Anspruch, die europäische Datenschutzgesetzgebung und Datenschutzpraxis zu vereinheitlichen und damit schlagkräftiger zu machen, hat die DSGVO bislang nur teilweise erreicht.


Das könnte Sie auch interessieren:

Alles neu im Beschäftigtendatenschutz?

Rechtliche Spielregeln für den Einsatz von ChatGPT im Arbeitsverhältnis

EuGH lässt hohe Anforderungen an Abberufung von Datenschutzbeauftragten zu

Was bei der Mitarbeiterüberwachung erlaubt ist


Schlagworte zum Thema:  Datenschutz-Grundverordnung, Datenschutz