Mit grosser Aufregung wurde sie nach zweijähriger Vorlaufzeit erwartet – die DS-GVO. Nun ist ein Jahr rum, Zeit für eine (Zwischen-)bilanz (?)
Viele Unternehmen sind noch mit der Umsetzung der neuen Regelungen und Implementation der technischen Anforderungen/ Maßnahmen beschäftigt.
Gerade Fragen wie: Welche Kundendaten werden erhoben, wo ist was gespeichert und wer hat Zugriff darauf mussten und müssen beantwortet werden. Eine intensive Auseinandersetzung mit dem eigenen Umgang mit Daten folgte und ist bislang wohl noch nicht abgeschlossen.
Laut Achim Berg, Präsident des Digitalverbandes (Bitkom) profitieren gerade große internationale Plattform-Anbieter nun von dem einheitlich gesteckten Rechtsrahmen, wohingegen der deutsche Mittelstand und kleine Unternehmen weiter mit der Umsetzung kämpfen.
Bereits vor dem Wirksamwerden am 25. Mai 2018 herrschte eine große Diskussion hinsichtlich dessen, wie die gesetzlichen Regelungen zu interpretieren sind, welche Maßnahmen sofort, welche langfristig ergriffen werden müssen, um einen bestmöglichen (Daten-)Schutz zu gewährleisten und das Risiko der erstmals drohenden Geldbußen auszuschließen oder im Sinne eines verhältnismäßigen Riskmanagements auf ein Minimum zu reduzieren.
Immer noch bestehen viele Rechtsunsicherheiten. Die erste große Geldbuße, rund 50 Millionen Euro, traf den Konzern Google, nachdem die französische Datenschutzbehörde (CNIL) Verstöße gegen die Datenschutz-Grundverordnung feststellte. Google ist diesbezüglich in Berufung gegangen. Eine Entscheidung, die mehr Klarheit hinsichtlich der Anforderungen bringen könnte, steht also noch aus.
In Deutschland wurden bisher 81 DS-GVO Bußgelder mit einer Gesamtstrafe von 485.490 Euro verhängt, wobei in Baden-Württemberg mit einer Buße von 80.000 Euro die höchste Strafe verhängt wurde, nachdem Gesundheitsdaten im Internet landeten.
Laut Tätigkeitsbericht von Ulrich Kelber, amtierender Bundesdatenschutzbeauftragter sei die DSGVO eine „Zeitenwende im Datenschutz“. Dies zeigt sich auch daran, dass die Auswirkungen der DSGVO auch weit über die Grenzen Europas reichen.
Kalifornien nimmt sich so z.B. ein Beispiel an der Datenschutz-Grundverordnung und setzt den Consumer Privacy Act im kommenden Jahr in Kraft.
Noch bedeutsamer ist allerdings der Angemessenheitsbeschluss für Japan den die Europäische Kommission angenommen und damit entschieden hat, dass das Datenschutzniveau in diesem Drittstaat angemessen hoch ist, sodass ein ungehinderter Datenverkehr zwischen der EU und Japan möglich ist.
Zwar ist die befürchtete Abmahnwelle bislang ausgeblieben, allerdings wollen mehrere Aufsichtsbehörden zukünftig verstärkt die Sanktionierung von Verstößen in den Fokus nehmen, nachdem sich die Anzahl an Beschwerden und Meldungen in allen Bundesländern, wegen potenzieller DS-GVO Verstöße im Vergleich zum Jahr 2017 mehr als verdreifacht hat.
Aufgrund dieser Flut an Beschwerden und den damit einhergehenden Prüfungen und längeren Verfahren durch die Aufsichtsbehörden, wurden bislang noch relativ wenige Bußgelder verhängt. Es bleibt abzuwarten und die Zeit zur weiteren Umsetzung der DS-GVO zu nutzen.