Seit dem 25.05.2018 sind die EU-Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG neu) in Anwendung. Für viele Unternehmen geriet das „Projekt Datenschutz“, gerade im Jahr 2018, zu einem regelrechten Mammutprojekt, da die Übergangsfrist von zwei Jahren verschlafen wurde. Dementsprechend feierten wir im Mai 2019 strenggenommen den dritten Geburtstag der DSGVO. Herzlichen Glückwunsch. Die anfängliche Panik vor dem unbekannten Datenschutzmonster ist nun, ein Jahr danach, verflogen und man hat das Gefühl, dass der Normalzustand wieder erreicht ist. Das ist ein guter Anlass eine Bestandsaufnahme durchzuführen.
Vielfach wurde vor dem Inkrafttreten der EU-DSGVO vor den hohen Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes gewarnt. Jeder Geschäftsführer konnte diese Zahlen herbeten und war bemüht, solche existenzbedrohenden Strafen zu vermeiden. Dementsprechend wurde die Umsetzung der DSGVO von oberster Stelle stetig vorangetrieben. Doch nach einem Jahr kann man zusammenfassen, dass es eine vorübergehende „Schonfrist“ bis Ende 2018 gab, da auch die Datenschutzbehörden nicht dafür gerüstet waren, die neue Gesetzgebung allumfassend zu kontrollieren. Eines der ersten „Opfer“ der DSGVO war das soziale Netzwerk knuddels.de mit einem Bußgeld von 20.000 Euro. Dies wurde fällig, als nach einem Hackerangriff hunderttausende Passwörter von Benutzern im Netz auftauchten.
In Deutschland sind mittlerweile rund 100 Bußgelder mit einer Gesamtsumme von knapp 500.000 Euro bekannt geworden. Da haben sich die Datenschutzbehörden noch jede Menge Luft nach oben gelassen. Spitzenreiter im europäischen Wettbewerb der Aufsichtsbehörden ist aktuell Frankreich mit einem 50 Millionen Euro Bußgeld gegen Google.
Der Ansatz der Vereinheitlichung der europäischen Datenschutzregelungen war sicherlich ein sehr nobler. Viele Menschen, die in der EU leben, haben von ihren Rechten Gebrauch gemacht und eine große Zahl von Beschwerden bei den Behörden eingereicht.
Doch die Umsetzung der Gesetzgebung innerhalb der EU ist sehr unterschiedlich, indem die verfügbaren Spielräume und Ausnahmen sehr breit ausgelegt werden. Uns allen sollte klar sein, dass die DSGVO nur so stark ist, wie ihr schwächstes europäisches Glied. Da Deutschland bezüglich des Datenschutzes seit den 1970er Jahren weltweiter Vorreiter ist, war hier auch schon vor 2018 ein hohes Datenschutzniveau vorhanden. Dies führte zu einem geringeren Umsetzungsaufwand im Vergleich zu den europäischen Nachbarn, deren Datenschutzregelungen deutlich rückständiger waren.
Die Datenübertragung im Konzern wurde durch die Erwägungsgründe der DSGVO deutlich erleichtert. Jedoch sind auch dabei die rechtlichen Anforderungen bezüglich der Verwendung formal hinreichender Verträge zwischen einzelnen Konzernunternehmen zu wahren. Viele Verträge und Vertragsmuster in den Unternehmen erfüllen diese Anforderungen nicht. Des Weiteren werden regelmäßig etablierte Datenströme zwischen Konzernunternehmen entdeckt, die ohne rechtliche Grundlage fließen und somit einen Verstoß gegen geltendes Recht darstellen.
In einem Jahr DSGVO gab es auch so manch skurrilen Tatbestand, der an der Sinnhaftigkeit zweifeln lässt. Viele Menschen wurden tagtäglich mit Opt-In-Mails erschlagen, in denen Newsletter-Anbieter um die Erlaubnis zur Zusendung baten, teils waren diese Anbieter dem Empfänger unbekannt. Unter dem Stichwort „Wiener Klingelschild-Posse“ findet man einen seltsamen Fall, in dem es um die Grundsatzfrage geht, ob Mieternamen auf Klingelschildern gegen die DSGVO verstoßen. Auch geschwärzte Gesichter in Kindergarten-Erinnerungsfotoalben, der Ausschluss europäischer Leser von den Webauftritten amerikanischer Zeitungen und abgeschaltete Vereins-Internetseiten waren Highlights der DSGVO.
Auch nach einem Jahr DSGVO sind längst nicht alle Vorgaben bezüglich des Datenschutzes vollumfänglich umgesetzt. Es müssen noch einige Prozesse angepasst, Vertragsmuster neugestaltet und Betriebsvereinbarungen neu vereinbart werden. Um auch hier den Datenschutzbehörden keinen Anlass für die Ausschöpfung des Bußgeldrahmens zu geben, gilt es den Datenschutz im Unternehmen in einem kontinuierlichen Prozess weiterzuentwickeln und ständig zu verbessern, denn Datenschutz geht uns alle etwas an.