Im Mai 2021 hat sich die größte Umwälzung der Datenschutzgesetzgebung zum dritten Mal gejährt. Schon im Entwurfsstadium verbreitete die DSGVO einiges an Unruhe und löste, was die Durchsetzung der Maßnahmen anbelangt, etliche Diskussionen aus.
Die endgültige Version wartete denn auch mit einigen Änderungen auf, behielt aber ihre Schlagkraft bei. Ist es gelungen die Versprechen in der Realität einzulösen? Zuckerbrot oder Peitsche?
Von den Anfängen der DSGVO bis zu ihrer Ratifizierung (und darüber hinaus) machten vor allem die mit der DSGVO verbundenen Strafen Schlagzeilen. Bis zu vier Prozent des weltweiten Umsatzes bedeuten für einige Unternehmen Hunderte von Millionen Euro. Sicherlich eine Summe, die ausreichend abschreckend wirken sollte. Man darf wohl davon ausgehen, dass Aufsichtsbehörden und Geschäftswelt gleichermaßen Compliance gegenüber einer willkürlichen Form des Geldverdienens bevorzugen würden. Aber gleichzeitig erlaubte die Höhe der möglichen Strafen, die Muskeln spielen zu lassen, sollte Compliance eben nicht gewährleistet sein.
Die DSGVO bietet einen großartigen Rahmen, um robuste Datenschutzverfahren zu implementieren, aber sie leidet an einem fatalen Engpass – der rein physischen Fähigkeit der Aufsichtsbehörden zur Durchsetzung der Vorgaben.
Seit 2018 haben die EU-Behörden 661 Bußgelder in Höhe von insgesamt über 292 Millionen Euro verhängt. Italien führt die Rangliste der Nationen mit den höchsten Bußgeldern an, während Spanien den Spitzenplatz für die Nation mit den meisten Bußgeldern sowie die höchste, jemals an eine Einzelperson verhängte Geldbuße einnimmt. Die Zahlen klingen beeindruckend und sie deuten darauf hin, dass die Gesetzgebung funktioniert. Jeder wird sich an den Fall British Airways erinnern. Die Geldbuße von 183 Millionen britischer Pfund (in der Berufung auf 20 Millionen £ reduziert) ist ein klares Beispiel dafür, was getan werden kann. Die DSGVO ist also ein voller Erfolg, oder? Nicht ganz…
Zumindest mir sind Unternehmen persönlich bekannt, bei denen es zu Datenschutzverletzungen bei personenbezogenen Daten in speziellen Kategorien gekommen ist. Die britische Datenschutzbehörde ICO räumte dahingehend ein, es werde mindestens drei Monate dauern, bis sie sich die Sache überhaupt ansehen können. Das ist nicht die Schuld der Behörde. Es gibt schlicht und einfach nicht genug Vollstreckungsbeamte, um mit der Anzahl der gemeldeten Datenschutzverletzung fertig zu werden. Ich für meinen Teil zweifle nicht daran, dass die Behörde sich der Vorfälle annimmt. Aber drei Monate sind eine lange Zeit, wenn die Rechte und Freiheiten von Betroffenen verletzt werden.
Wie auch immer man den Erfolg der DSGVO bemisst, die Einschätzung ist fast zwangsläufig subjektiv. Wenn Ihr Ziel darin besteht, das Bewusstsein zu schärfen und Unternehmen zu zwingen, sich mit dem Thema auseinanderzusetzen, dann schneidet die DSGVO vermutlich ziemlich gut ab. Wenn Ihr Maßstab sich eher daran orientiert, wie sich das Geschäftsgebaren in der eigenen Stadt verändert hat und wie man dort mit Datenschutzproblemen umgeht (und ich meine hier nicht Unternehmen im Bereich IT und Technologie) – nun, in diesem Fall ist die Jury noch unentschieden.
Obwohl die Verordnung die Ernennung eines Datenschutzbeauftragten (DSB) nur unter bestimmten Umständen vorschreibt, ist das für jedes Unternehmen eine gute Idee. Ein DSB bringt eine Fülle von Wissen und Erfahrung mit und ist in der Lage, einem Unternehmen Orientierung und Anleitung zu geben. Zudem fungiert er als zentrale Anlaufstelle, an die sich jeder mit allen datenbezogenen Fragen und Anliegen wenden kann. Die Rolle des Datenschutzbeauftragten hat in den letzten Jahren exponentiell an Bedeutung gewonnen. Er wird sich in die überwiegende Zahl aller Unternehmensbereiche einbringen, um Compliance sicherzustellen. Artikel 38 der DSGVO macht deutlich, wie sehr sämtliche Geschäftsbereiche auf einen DSB angewiesen sein werden, damit alles so bleibt, wie es sein soll. In Zukunft werden wir deshalb immer häufiger Datenschutzbeauftragte als Mitglied von Vorständen und Führungsteams sehen. Inzwischen ist die Relevanz der Position und deren Zweckmäßigkeit allgemein anerkannt. Darüber hinaus braucht jedes Unternehmen aber mittlerweile einen Datenschutzbeauftragten, um in der jeweiligen Branche überhaupt erfolgreich zu bestehen.
In letzter Zeit wurden Fragen laut, inwieweit die DSGVO noch aktuell ist und „sich lohnt“. Wir wissen nicht, ob wir kurzfristig irgendwelche Änderungen oder größere Modifikationen erwarten können, obwohl das eher zweifelhaft ist. Eines ist allerdings sicher. Die DSGVO hat weltweit Maßstäbe für die Datenschutzgesetzgebung gesetzt. Der britische Data Protection Act 2018, der California Consumer Privacy Act und die anstehenden Überarbeitungen der australischen Datenschutzgesetze basieren sämtlich auf dem DSGVO-Rahmenwerk und Angemessenheitsentscheidungen werden anhand des Standards beurteilt. Auch wenn es in den nächsten sechs Jahren zu Änderungen kommen mag, die aus der Verordnung hervorgegangenen Grundlagen und Konzepte bleiben langfristig erhalten.