Ein Jahr Datenschutz-Grundverordnung
Am 25.5.2019 jährte sich die Geltung der Datenschutz-Grundverordnung (DS-GVO) zum ersten Mal (wir berichteten). Dabei liegt die Betonung auf „Geltung“, denn in Kraft getreten ist sie bereits 2016. Die zweijährige Übergangszeit, während der die Betroffenen sich an die neuen Vorgaben langsam gewöhnen sollten, verstrich jedoch weitestgehend ungenutzt. Zu tief scheint der menschliche Grundsatz verankert: „Probleme interessieren mich erst, wenn sie akut sind.“ Und so entstand im Mai 2018 der Eindruck, der Datenschutz wäre über Nacht revolutioniert worden. Plötzlich war die DS-GVO allgegenwärtig. Nachfrage und Angebot an Informationen, Schulungen und Beratung explodierten förmlich. Mit dem Stichtag 25.5.2018 konnte man sich der DS-GVO endgültig kaum noch entziehen. Keine Zeitung kam ohne Schlagzeilen zur „neuen“ DS-GVO aus. Und die Mail-Postfächer wurden von Nachrichten mit der Betreffzeile „Unsere Datenschutzbestimmungen“ überschwemmt, mit deren Absender man womöglich niemals in Kontakt getreten war und die irgendwie an die persönliche E-Mail-Adresse gekommen waren.
Zum Hintergrund: Die DS-GVO sollte die Rechte der Bürgerinnen und Bürger stärken, ihnen mehr Kontrolle über ihre personenbezogenen Daten ermöglichen und „Datenkraken“ wie Google, Facebook und Co. zähmen. Dabei war das Mittel der Wahl – und auch das ist bemerkenswert – der Erlass einer Europäischen Verordnung. Anders als sonst hat die EU hier keine Richtlinie erlassen, die mehr oder weniger einheitlich – man siehe nur die fortwährende Diskussion um die Frage des Opt-Outs bei Tracking nach deutschen und europäischen Vorgaben – erst durch die nationalen Gesetzgeber in anwendbares Recht transformiert werden muss, sondern mit der Verordnung direkt und unmittelbar anwendbares Recht geschaffen.
Nach vielen anfänglichen Wirren und Verunsicherungen – welche sicherlich auch der teilweise späten Umsetzung geschuldet waren – haben sich Unternehmen und Behörden zunehmend mit den Vorgaben der DS-GVO arrangiert und profitieren bisweilen auch von dem verbindlichen Regelwerk. Mehr Datensicherheit bedeutet mehr Vertrauen der Kunden und Nutzer, wie sich nach diversen Datenskandalen nicht zuletzt am Nutzerschwund des sozialen Netzwerks Facebook zeigt. Auch hier ist es der DS-GVO anzurechnen, dass sie den – zugegebenermaßen nicht neuen und in Deutschland zuvor auch nicht wesentlich weniger strengen – Datenschutz ins Bewusstsein der Bürgerinnen und Bürger gerufen und eine allgemeine Sensibilität für den Datenschutz geschaffen hat und weiterhin schafft. Zwei Drittel der Europäerinnen und Europäer haben bereits von der DS-GVO gehört, fast sechs von zehn Personen wissen, dass es in ihrem Land eine Datenschutzbehörde gibt. 2015 waren es noch vier von zehn Personen.
Datenschutzaufsichtsbehörden können nun wirksam gegen Verstöße vorgehen. Schon im ersten Jahr hat der neu geschaffene Europäische Datenschutzausschuss mehr als 400 grenzüberschreitende Fälle in ganz Europa registriert; Datenschutz macht nun nicht mehr an nationalen Grenzen halt. Aber auch das Beschwerdeaufkommen bei den Landesbehörden für Datenschutz hat sich gegenüber 2017 teilweise verdreifacht. Dabei begrüßen diese, dass die Bürgerinnen und Bürger ihre gestärkten Rechte wahrnehmen.
Die Umsetzung der Vorschriften ist jedoch nach wie vor in vollem Gange. Datenschutzaufsichtsbehörden versuchen, ihre Positionen zur Auslegung der DS-GVO zu vereinheitlichen. Doch manches ist bis heute unklar: etwa ob Tracking-Tools wie Google Analytics oder Matomo zulässig sind. Hier verstieg sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder kurz vor Geltung der DS-GVO in die Aussage, dass Tracking von Nutzern stets einer Einwilligung bedürfe. Jetzt, nunmehr ein Jahr später, relativierten sie diese Aussage mit einer umfangreichen Orientierungshilfe teilweise wieder. Dies zeigt, dass bei allen Erfolgen noch ein weiter Weg zu gehen ist. Auch sollte die DS-GVO nach dem Willen der EU nicht allein bleiben; geplant war der flankierende Erlass der E-Privacy-Verordnung, welche unter anderem die Verwendung von Cookies regeln soll. Ursprünglich war sie für kurz nach der DS-GVO angekündigt, doch jetzt wird eine verbindliche Anwendung erst für das Jahr 2022 erwartet.
Unternehmen sind daher aufgerufen, die relevanten Themen wie etwa einen datenschutzkonformen Onlineauftritt, die Festlegung und Dokumentation der technisch-organisatorischen Maßnahmen und der Meldeprozesse bei „Datenpannen“, der Umsetzung eines Löschkonzepts sowie gegebenenfalls eines Konzepts für den Umgang mit personenbezogenen Daten in der Unternehmensgruppe weiter voran zu treiben und den Datenschutz insgesamt als Unternehmensaufgabe zu begreifen.
Ansprechpartner: Dr. Jost Eder/Alexander Bartsch/Thomas Schmeding