5 Jahre DSGVO

DSGVO-Bilanz: Bürokratiemonster oder sinnvolle Reform?

Sie sei ein „sperriges Bürokratiemonster“ hieß es 2018 beim Inkrafttreten der Datenschutz-Grundverordnung (DSGVO). Und sie würde zu Massenabmahnungen führen, die Unternehmen teuer zu stehen kommen. Doch wie bewerten Unternehmen die DSGVO heute? War die Panikmache vor fünf Jahren gerechtfertigt? Wo gibt es Nachbesserungsbedarf?

24.05.2023

Nutzerdaten aus der EU in die USA weiterleiten? Das geht gar nicht! Und dieses Vorgehen kommt Meta nun teuer zu stehen. 1,2 Milliarden Euro muss der Facebook-Mutterkonzern zahlen – wegen Verstoß gegen die europäische Datenschutz-Grundverordnung (DSGVO).

Es ist eine Rekordstrafe, die die irische Datenschutzkommission verhängt hat. Zudem bleiben Meta jetzt fünf Monate Zeit, um den Datenfluss zwischen der EU und den USA zu unterbinden. Denn solange personenbezogene Daten über den Atlantik geschickt werden, könnten US-Geheimdienste auf Informationen europäischer Nutzerinnen und Nutzer zugreifen. Schließlich unterliegt Meta den US-Überwachungsgesetzen.

Was regelt die DSGVO?

Die Entscheidung aus Irland war ein Paukenschlag – und der kam pünktlich zum fünfjährigen Bestehen der DSGVO.

Seit dem 25. Mai 2018 ist die Verordnung in Kraft. Die DSGVO regelt EU-weit einheitlich, wie Unternehmen, Behörden und Organisationen mit den personenbezogenen Daten ihrer Mitarbeitenden, Mitglieder, Kundinnen und Kunden umzugehen haben. Es müssen sich grundsätzlich alle an die Verordnung halten, die persönliche Daten erheben, verarbeiten oder an Dritte übermitteln.

„Die Einführung der DSGVO war der bisher historisch wichtigste Schritt zum Schutz personenbezogener Daten in Europa. Der Schutz dieser Daten und die Freiheit, selbst über deren Verwendung zu entscheiden, wurde damit zum unantastbaren Grundrecht jedes einzelnen Menschen innerhalb der EU“, sagt Henrik Hasenkamp, CEO des Infrastructure- und Platform-as-a-Service-Anbieters gridscale. „Alleine durch diese Tatsache hat die DSGVO schon enorm viel verändert und wird ihrem Zweck meiner Meinung nach definitiv gerecht. Vor allem aus einem Grund: Sie schützt personenbezogene Daten dezidiert vor den wesentlich lascheren Datenschutzbestimmungen in Ländern wie den USA und China.“

Mehr als ein Gesetz regelt den Datenschutz in Deutschland

Der Datenschutz durch die DSGVO fußt auf vier Grundprinzipien: der Zweckbindung, der Datenminimierung, dem Transparenzgebot und dem Verbot mit Erlaubnisvorbehalt. So müssen betroffene Personen etwa proaktiv über die geplante Art der Datenverarbeitung informiert werden und dem problemlos wiedersprechen können.

Wer Daten verarbeitet, unterliegt zudem der Rechenschaftspflicht: Man muss nachweisen und belegen können, dass die vier Grundsätze eingehalten werden und die Verarbeitung personenbezogener Daten entsprechend der DSGVO erfolgt.

In Deutschland gelten neben der DSGVO allerdings noch weitere Gesetze – etwa das Bundesdatenschutzgesetz und diverse Landesdatenschutzgesetze. Und weil hierzulande eben nicht nur ein Gesetz den Datenschutz regelt, wird es komplex. Daher betrachtet Klaus Meffert, Geschäftsführer von IT Logic und Fachexperte für Datenschutz beim E-Learning-Anbieter lawpilots, die DSGVO auch nicht als das Bürokratiemonster, als das sie gerne dargestellt wird.

„Was als Bürokratie angesehen wird, gab es in Wirklichkeit schon zu Zeiten des Bundesdatenschutzgesetzes. Nur hatte sich damals kaum jemand damit beschäftigt. Der Nachholbedarf hat alte Probleme so erneut sichtbar gemacht“, so Meffert, der zudem betont: „Wer Datenschutz ernst nimmt, hat sogar einen Wettbewerbsvorteil. Siehe die zahlreichen Verfahren gegen amerikanische Internetkonzerne, deren Marktmacht so reduziert wurde.“

Hohe Strafen für Tech-Riesen

Die Strafen bei DSGVO-Verstößen können – das zeigt nicht zuletzt das aktuelle Meta-Urteil – empfindlich sein. Aufsichtsbehörden können pro Fall ein Bußgeld von bis zu 20 Millionen Euro verhängen; bei weltweit agierenden Unternehmen drohen Bußgelder von bis zu vier Prozent des globalen Vorjahresumsatzes.

Der „GDPR Enforcement Tracker“ der Kanzlei CMS zeigt, dass es in erster Linie die US-Tech-Riesen sind, die massiv zur Kasse gebeten werden.

  • Amazon musste nach einer Entscheidung der luxemburgischen Aufsichtsbehörde 746 Millionen Euro zahlen. Denn Daten wurden nicht nur auf der eigenen Plattform, sondern auch auf Drittseiten gesammelt, um personalisierte Werbung ausspielen zu können. Eine Möglichkeit, diese Empfehlungen zu deaktivieren, gab es nicht.
  • Instagram musste in Irland 405 Millionen Euro zahlen. Der Grund: 13- bis 17-Jährige konnten Geschäftskonten nutzen, die öffentlichen Zugriff auf ihre E-Mail-Adresse und Telefonnummer ermöglichten. Zudem waren die Accounts von Minderjährigen nicht standardmäßig auf Privat gestellt und somit teils öffentlich einsehbar.
  • WhatsApp wurde in Irland mit einem Bußgeld von 225 Millionen Euro belegt, weil der Messengerdienst seinen Informationspflichten in Europa nicht ausreichend nachgekommen ist.
  • Die französische Datenschutzbehörde hat Google ein Bußgeld von 90 Millionen Euro aufgebrummt. Bei Google und YouTube gab es zwar eine Schaltfläche zur sofortigen Annahme von Cookies, aber keine gleichwertige Lösung zum Ablehnen von Cookies.
  • Erst im Januar 2023 musste Meta in Irland eine Strafe in Höhe von 390 Millionen Euro hinnehmen. Der Grund: Nutzerinnen und Nutzer von Facebook und Instagram wurden gezwungen, personalisierter Werbung zuzustimmen.

Das alles sind enorme Summen. Dagegen halten sich die deutschen Aufsichtsbehörden eher zurück. Die Bußgelder der letzten fünf Jahre summieren sich hierzulande nur auf 52,1 Millionen Euro – bei 63 öffentlich gewordenen Bescheiden. Die höchste Einzelstrafe: Der Modekonzern H&M musste wegen schwerwiegender Verstöße gegen den Beschäftigtendatenschutz 35 Millionen Euro zahlen.

Die DSGVO – ein weltweiter Standard

„Die DSGVO bringt Marktmächte wie Asien oder die USA sicher nicht kurzfristig dazu, ihren Umgang mit personenbezogenen Daten zu ändern. Aber mittel- und langfristig setzt sie ein starkes Zeichen, dass auch die großen Hyperscaler nicht ignorieren können“, so gridscale-Chef Hasenkamp.

Einen weltweiten Standard habe die EU mit der Verordnung allemal geschaffen, zeigt sich Hasenkamp überzeugt. „Allerdings hat es fast 50 Jahre gedauert, diesen überhaupt in Europa zu etablieren. Ein Stück dieser Zeit müssen wir auch anderen Ländern geben. Allerdings werden beispielsweise die USA spätestens nachziehen, wenn ihnen klar wird, wie sehr die DSGVO europäische Cloud- und Datenverarbeitungsanbieter jetzt schon gestärkt hat. Und dies zu Lasten der großen Hyperscaler, die ihre Daten vergleichsweise ungeschützt außerhalb der EU verarbeiten.“

Daten als wichtiges Asset für Unternehmen

Die Kritik an den EU-Datenschutz-Regelungen war 2018 groß – und sie ist nie wirklich abgeebbt. Nach wie vor stehen sich zwei gegensätzliche Positionen gegenüber.

Die einen betrachten die DSGVO als Innovationstreiber. Denn sie ermöglicht es Unternehmen, Daten auf Basis einer soliden Rechtsgrundlage zu nutzen und zu verarbeiten. Das wird immer relevanter, denn grundsätzlich steigt das Interesse an Datennutzung im eigenen Unternehmen.

In einer Umfrage des Digitalverbands Bitkom gaben zwölf Prozent der Befragten an, dass datengetriebene Geschäftsmodelle sehr stark zu ihrem Geschäftserfolg beitragen. Vor einem Jahr waren es lediglich sieben Prozent. Insgesamt scheint die deutsche Wirtschaft langsam, aber sicher auf dem Weg in die Datenökonomie zu sein: Nur 14 Prozent der Unternehmen haben sich noch gar nicht mit datengetriebenen Geschäftsmodellen auseinandergesetzt – im Vorjahr waren es noch 24 Prozent.

Deutlich zurückhaltender sind Unternehmen allerdings geworden, wenn es um das Teilen der eigenen Daten mit Dritten geht: 17 Prozent stellen ihre Daten anderen zur Verfügung; ein Rückgang um vier Prozentpunkte. Die Gründe dafür:

  • 56 Prozent der Unternehmen, die keine Daten anbieten, gehen davon aus, dass der Datenschutz dies nicht erlaubt.
  • 35 Prozent sind unsicher, ob das Teilen rechtlich möglich ist.

Datenschutz als Bremsklotz bei Innovationen?

Es sind solche Aussagen, es ist die noch immer vorhandene Verunsicherung in der Wirtschaft, die die DSGVO-Skeptiker auf den Plan ruft. Und die sind offenbar auch nach fünf Jahren noch in der Mehrheit. Das legen zumindest Zahlen vom Bitkom nahe.

Knapp zwei Drittel der Befragten sind der Meinung, dass durch strenge Regeln innovative datengetriebene Geschäftsmodelle in Deutschland im Keim erstickt oder aus dem Land vertrieben werden. Und 60 Prozent haben schon einmal selbst Pläne für Innovationen gestoppt, weil datenschutzrechtliche Vorgaben oder Unsicherheiten sie dazu gezwungen haben.

„Datenschutz ist in unserer digitalen Welt extrem wichtig. Aktuell erleben wir aber eine lähmende Angst vor Fehlern und eine einseitige Abwägung zwischen Datenschutz und Mehrwerten der Datennutzung“, sagt Bitkom-Präsident Achim Berg. Genau das beobachtet er zum Beispiel bei länderübergreifenden Kooperationsprojekten, in der medizinischen Forschung sowie bei der Digitalisierung des Gesundheitswesens und der Verwaltung.

Die DSGVO bietet viel Raum für Interpretationen

„Nach fünf Jahren Datenschutz-Grundverordnung muss man festhalten: Die DSGVO hat ihr Versprechen, für europaweit einheitliche, verständliche und praxistaugliche Datenschutz-Regeln zu sorgen, nicht eingelöst“, so Berg. „Stattdessen führt die von jeder nationalen und regionalen Aufsicht eigenständige Interpretation der Regeln zu Rechtsunsicherheit. Viele Unternehmen verzichten deshalb auf die Entwicklung neuer Technologien und Dienste – oder verlagern ihre Projekte ins Ausland.“

Die Unterschiede in der Auslegung der DSGVO zeigen sich laut dem Bitkom-Präsidenten nicht zuletzt an Verboten für innovative Technologien wie ChatGPT in einzelnen EU-Mitgliedstaaten.

„Die vorhandenen Spielräume der DSGVO werden in Deutschland kaum genutzt“, sagt Berg. „Wir müssen Datenverarbeitungen als Chance verstehen, nicht immer nur als Risiko. Wenn wir fünf Jahre so weitermachen wie zuletzt, schwächen wir unsere Innovations- und Wettbewerbsfähigkeit.“

Was muss sich in der Praxis ändern?

Dass die DSGVO Schwachstellen hat, dass es in der praktischen Umsetzbarkeit für Unternehmen Optimierungsbedarf gibt – das sieht auch Hasenkamp so.

„Es ist im täglichen Arbeiten gerade für kleine und mittelgroße Unternehmen schwer einige Prozesse der DSGVO umzusetzen. Hier müssen wir ansetzen und uns fragen: Wie können wir kritische Daten schützen und Unternehmen den Umgang mit ihnen gleichzeitig leichter machen?“, so der gridscale-Chef. „Die Umsetzung der DSGVO im Unternehmen ist in manchen Teilen kompliziert und birgt trotz großer Sorgfalt auch das Risiko, dabei an anderer Stelle eine Verletzung der Datenschutzgrundverordnung zu begehen. Durch die hohen Strafen kann das für kleinere Unternehmen schnell existenzgefährdend werden.“

Eine häufige Schwachstelle sei der Webauftritt, sagt Meffert. „Insbesondere im Internetbereich besteht aufgrund der Komplexität der Materie erheblicher Nachholbedarf. So sind sich Unternehmen oft nicht bewusst, dass deren Internetauftritte nicht rechtskonform sind“, so der IT- und Datenschutzexperte.

Und das hat Folgen: „Weil jeder im Internet nachschauen kann, welche Probleme existieren, steigt so das Rechtsrisiko. Gleichzeitig sorgt eine augenscheinlich fehlerfreie Präsenz für mehr Vertrauen“, betont Meffert und ergänzt: „Auch Arbeitgeber sollten stärker darauf achten, die Daten ihrer Angestellten ordentlich zu verarbeiten. Heutzutage sind gute Mitarbeiter mehr Wert denn je.“