Vor zwei Jahren wurde die europäische Datenschutzgrundverordnung (DSGVO) eingeführt. Das Versprechen: Mit harten Bußgeldern sollen die digitalen Grundrechte der Bürger effektiver durchgesetzt werden, vor allem gegen Big-Data-Unternehmen. Doch auch zwei Jahre später tun sich nicht nur Unternehmen, sondern auch Datenschutzaufsichtsbehörden mit der Umsetzung in der Praxis schwer.

Aufsichtsbehörden halten sich zurück

Die europäischen Aufsichtsbehörden sind immer noch personell wie technisch schlecht ausgestattet. Vor-Ort-Prüfungen finden nur ausnahmsweise statt. Anlasslose, strategische Überprüfungen bestimmter Anwendungsbereiche fanden schon vor der Verabschiedung der DSGVO kaum statt. Angesichts der Flut an Beschwerden, die alle bearbeitet werden müssen, stellten viele Behörden eine selbst initiierte Prüfung komplett zurück. Auch Beratungen wurden vielerorts eingestellt.

Regelungsdetails zur DSGVO bleiben unklar

Ein Grund für die Zurückhaltung sehen Beobachter in der komplexen Gesetzesmaterie, die eher grobe Richtungsvorgaben macht: Viele Regelungsdetails werden erst in den nächsten Jahren im Rahmen der Rechtsprechung herausgearbeitet. Doch diese müssten die Aufsichtsbehörden mit Entscheidungen erst einmal in Gang setzen.

Zurückhaltende Bußgeldpraxis

Zwar verhängte die französische Aufsichtsbehörde CNIL mit 50 Mio. Euro ein Rekordbußgeld gegen Google. Auch wurden größere Bußgelder gegen Immobilienunternehmen, Versicherer, Post- und Telekommunikationsunternehmen verhängt. Doch gegen Missstände im Gesundheitswesen und in Behörden hielten sich die Aufsichtsbehörden weitgehend zurück. Auch der Werbemarkt mit seinem Real Time Bidding arbeitet nahezu ungestört weiter wie gehabt.

Mangelnde Ausstattung

Vor der Rechtsdurchsetzung scheuen sich die Aufsichtsbehörden weitgehend, da ihnen das Personal und damit auch wichtiges technisches Know-how fehlt. Einigen Behörden wie der irischen Aufsichtsbehörde wurde mittlerweile von den Parlamenten und Regierungen viel mehr Personal zugestanden, aber sie befinden sich noch in der Aufbau- und Umstrukturierungsphase.

Mangelnde Methodik der DSGVO

Noch immer haben sich die europäischen Aufsichtsbehörden auf keine einheitliche Methode für die Durchführung von Abschätzungen für Datenschutzfolgen geeinigt. Auch hinsichtlich der Prüfmethode gibt es keine Einigung. Entsprechend gibt es noch immer keinen internationalen Standard zur Zertifizierung nach DSGVO. Damit zögert sich die Umsetzung in der Praxis hinaus.

Compliance verbessert

Weltweit haben internationale Unternehmen auf die Einführung der DSGVO mit einem verbesserten Privacy-Regularium reagiert. Viele haben die DSGVO zum Anlass genommen, um den Datenschutzstandard nicht nur für ihre europäischen, sondern für alle Kunden weltweit zu verbessern.

Brexit

Mit dem Abschied Großbritanniens aus der Europäischen Union scheidet auch die britische Aufsichtsbehörde ICO aus dem Europäischen Datenschutzausschuss aus. Neben den deutschen Aufsichtsbehörden und der französischen CNIL gehörte sie zu den Schwergewichten im Ausschuss, die dort Themen setzten und vorantrieben. Damit könnte sich die Umsetzung von DSGVO-orientierten Datenschutzstandards im internationalen Raum verlangsamen.

Internationale Rechtsangleichung an die DSGVO

Von Seite der Gesetzgeber kam einiges in Gang: In den USA orientiert sich das kalifornische Datenschutzgesetz an der DSGVO, auch in Brasilien und Indien wurden Vorschriften verschärft. Denn zunehmend stehen die Unternehmen vor der Wahl, entweder Regularien aus westlichen Demokratien zu übernehmen oder Vorgaben aus Ländern wie China umzusetzen, die allerdings erheblich mehr staatliche Eingriffe einfordern. Im Zweifelsfall haben sie sich bislang für die Vorgaben nach der DSGVO entschieden, die sich damit weltweit als Goldstandard in Sachen Datenschutz etablieren kann.

Gemischte Zwischenbilanz zur DSGVO

Aus Sicht der Bürger wurde das große Versprechen der DSGVO, Rechtsstandards auch bei internationalen Konzernen durchzusetzen, bei weitem noch nicht eingelöst. Aus Sicht der Unternehmen kam jedoch weltweit ein Prozess in Gang, der mittelfristig zu deutlichen Verbesserungen in der Praxis führen wird. Er steckt zweifellos noch in den Kinderschuhen, doch die Richtung ist klar: den Bürgern mehr Mitspracherechte zu gewähren, damit technische Verarbeitungsprozesse so gestaltet werden, dass sie das eingeforderte Vertrauen auch verdienen. Letztlich ist Vertrauen die Basis für Innovation in einer digitalen Gesellschaft.


Informationssicherheit


This could also be of interest:

1 Jahr DSGVO: 3 Fragen an… Andreas Meißel

Am 25. Mai 2019 wurde die Datenschutzgrundverordnung ein Jahr alt. Da sie bereits vor ihrem offiziellen Inkrafttreten für viel Wirbel und Kritik gesorgt hat, ist…

Datenschutz in der Cloud

Vertrauen in eine Cloud darf nicht allein auf der Reputation eines Anbieters und seiner Kunden basieren, sondern muss systemisch begründet sein. Nur wenn ein System…

Datenschutz-Brexit, was nun?

Bis Mitte Juni stehen nur noch zwei weitere Verhandlungsrunden zwischen Großbritannien und der Europäischen Kommission aus. Doch Fortschritte seien trotz des knappen Zeitplans bislang kaum…

Newsletter

Niederlassungen

Brainloop Aktiengesellschaft
Mühldorfstraße 8a
81671 München
Germany
+49 (0) 89 444 699 0