Vor zwei Jahren wurde die europäische Datenschutzgrundverordnung (DSGVO) eingeführt. Das Versprechen: Mit harten Bußgeldern sollen die digitalen Grundrechte der Bürger effektiver durchgesetzt werden, vor allem gegen Big-Data-Unternehmen. Doch auch zwei Jahre später tun sich nicht nur Unternehmen, sondern auch Datenschutzaufsichtsbehörden mit der Umsetzung in der Praxis schwer.
Aufsichtsbehörden halten sich zurück
Die europäischen Aufsichtsbehörden sind immer noch personell wie technisch schlecht ausgestattet. Vor-Ort-Prüfungen finden nur ausnahmsweise statt. Anlasslose, strategische Überprüfungen bestimmter Anwendungsbereiche fanden schon vor der Verabschiedung der DSGVO kaum statt. Angesichts der Flut an Beschwerden, die alle bearbeitet werden müssen, stellten viele Behörden eine selbst initiierte Prüfung komplett zurück. Auch Beratungen wurden vielerorts eingestellt.
Regelungsdetails zur DSGVO bleiben unklar
Ein Grund für die Zurückhaltung sehen Beobachter in der komplexen Gesetzesmaterie, die eher grobe Richtungsvorgaben macht: Viele Regelungsdetails werden erst in den nächsten Jahren im Rahmen der Rechtsprechung herausgearbeitet. Doch diese müssten die Aufsichtsbehörden mit Entscheidungen erst einmal in Gang setzen.
Zurückhaltende Bußgeldpraxis
Zwar verhängte die französische Aufsichtsbehörde CNIL mit 50 Mio. Euro ein Rekordbußgeld gegen Google. Auch wurden größere Bußgelder gegen Immobilienunternehmen, Versicherer, Post- und Telekommunikationsunternehmen verhängt. Doch gegen Missstände im Gesundheitswesen und in Behörden hielten sich die Aufsichtsbehörden weitgehend zurück. Auch der Werbemarkt mit seinem Real Time Bidding arbeitet nahezu ungestört weiter wie gehabt.
Mangelnde Ausstattung
Vor der Rechtsdurchsetzung scheuen sich die Aufsichtsbehörden weitgehend, da ihnen das Personal und damit auch wichtiges technisches Know-how fehlt. Einigen Behörden wie der irischen Aufsichtsbehörde wurde mittlerweile von den Parlamenten und Regierungen viel mehr Personal zugestanden, aber sie befinden sich noch in der Aufbau- und Umstrukturierungsphase.
Mangelnde Methodik der DSGVO
Noch immer haben sich die europäischen Aufsichtsbehörden auf keine einheitliche Methode für die Durchführung von Abschätzungen für Datenschutzfolgen geeinigt. Auch hinsichtlich der Prüfmethode gibt es keine Einigung. Entsprechend gibt es noch immer keinen internationalen Standard zur Zertifizierung nach DSGVO. Damit zögert sich die Umsetzung in der Praxis hinaus.
Compliance verbessert
Weltweit haben internationale Unternehmen auf die Einführung der DSGVO mit einem verbesserten Privacy-Regularium reagiert. Viele haben die DSGVO zum Anlass genommen, um den Datenschutzstandard nicht nur für ihre europäischen, sondern für alle Kunden weltweit zu verbessern.
Brexit
Mit dem Abschied Großbritanniens aus der Europäischen Union scheidet auch die britische Aufsichtsbehörde ICO aus dem Europäischen Datenschutzausschuss aus. Neben den deutschen Aufsichtsbehörden und der französischen CNIL gehörte sie zu den Schwergewichten im Ausschuss, die dort Themen setzten und vorantrieben. Damit könnte sich die Umsetzung von DSGVO-orientierten Datenschutzstandards im internationalen Raum verlangsamen.
Internationale Rechtsangleichung an die DSGVO
Von Seite der Gesetzgeber kam einiges in Gang: In den USA orientiert sich das kalifornische Datenschutzgesetz an der DSGVO, auch in Brasilien und Indien wurden Vorschriften verschärft. Denn zunehmend stehen die Unternehmen vor der Wahl, entweder Regularien aus westlichen Demokratien zu übernehmen oder Vorgaben aus Ländern wie China umzusetzen, die allerdings erheblich mehr staatliche Eingriffe einfordern. Im Zweifelsfall haben sie sich bislang für die Vorgaben nach der DSGVO entschieden, die sich damit weltweit als Goldstandard in Sachen Datenschutz etablieren kann.
Gemischte Zwischenbilanz zur DSGVO
Aus Sicht der Bürger wurde das große Versprechen der DSGVO, Rechtsstandards auch bei internationalen Konzernen durchzusetzen, bei weitem noch nicht eingelöst. Aus Sicht der Unternehmen kam jedoch weltweit ein Prozess in Gang, der mittelfristig zu deutlichen Verbesserungen in der Praxis führen wird. Er steckt zweifellos noch in den Kinderschuhen, doch die Richtung ist klar: den Bürgern mehr Mitspracherechte zu gewähren, damit technische Verarbeitungsprozesse so gestaltet werden, dass sie das eingeforderte Vertrauen auch verdienen. Letztlich ist Vertrauen die Basis für Innovation in einer digitalen Gesellschaft.
Geschrieben von Nadine Stimmer
This could also be of interest:
1 Jahr DSGVO: 3 Fragen an… Andreas Meißel
Datenschutz in der Cloud
Datenschutz-Brexit, was nun?
