Ein aktueller Stand zur Datenschutz-Grundverordnung: Was bisher geschah…

Voiced by Amazon Polly

Datenschutz-Grundverordnung – wie ist der aktuelle Stand?

Die DSGVO ist nun seit fast drei Monaten wirksam. Vor dem 25. Mai wurde so stetig und penetrant über mögliche Sanktionen berichtet, dass selbst der Kleinunternehmer sich am Ende vor Millionen-Strafen fürchtete.
Mittlerweile hat sich die Aufregung merklich gelegt. Die Schlagzeilen sind nicht mehr ausschließlich mit dem Begriff DSGVO gespickt und lösen keine Massenpanik mehr aus. Datenkraken wie Facebook, Amazon und Co. sind nach wie vor lebendig. Und auch die Aufregung in den heimischen Fitnessstudios und Friseursalons hat sich gelegt.
Wir möchten die aktuelle Sachlage einmal genauer beleuchten und halten fest, was bisher geschah – und was eigentlich nicht!

Die Abmahnwelle ist abgeebt, bevor diese zur gefürchteten Flut wurde.

Ist die prophezeite Abmahnwelle eingetreten?

So mancher Rechtsanwalt oder Datenschützer hat sich dank der prophezeiten Abmahnwelle sicherlich ein goldenes Näschen verdient. So wurden im Mai in sämtlichen Kanzleien und Büros Überstunden geleistet, um beispielsweise Datenschutzerklärungen zu überarbeiten oder auch das ein oder andere Löschkonzept zu schreiben. Und das alles um Klienten vor den Abmahnungen wegen Verstößen gegen die DSGVO zu schützen.

Und das nicht grundlos – kaum war das Gesetz wirksam, nutzten viele Unternehmen die Gunst der Stunde, um konkurrierenden Unternehmen (teils absurde) wettbewerbsrechtliche Abmahnungen zukommen zu lassen. Bislang ist noch unklar, ob diese Verstöße gegen Datenschutzrecht aus wettbewerbsrechtlichen Gründen zu einer Abmahnung oder Klage führen.

Laut Aussagen von Rechtsportalen im Netz, führten folgende Verstöße gegen die DSGVO am häufigsten zu Abmahnungen:

  • Fehlende/fehlerhafte Datenschutzerklärung
  • Fehlende Verschlüsselung von Kontaktformularen
  • Einbindung von Google Fonts
  • Einbindung von Facebook „like“- und „share“-Buttons
  • Fehlerhafte Einbindung von Google Analytics (fehlende IP-Anonymisierung, fehlende Opt-Out Möglichkeiten und nicht erfolgte Erwähnung von Google Analytics in der Datenschutzerklärung)

Zahlreiche Untersuchungen und Studien bestätigen allerdings den Eindruck, dass die Zahl der Abmahnungen im Hinblick auf die DSGVO überschaubar bleibt. Der Bundesverband Digitale Wirtschaft [BVDW] befragte zum Thema Abmahnungen zur DSGVO 278 Experten aus BVDW-Mitgliedsunternehmen. So gaben 91% der Experten an, bisher keine Abmahnung mit Bezug zur DSGVO erhalten zu haben. Allerdings rechneten zum Zeitpunkt der Erhebung immerhin 28 Prozent der Befragten fest mit ebensolchen Abmahnungen.

Der Syndikusrechtsanwalt und Datenschutzexperte der d.velop AG, Nils Bremann, bringt die Situation wie folgt auf den Punkt:
„Sicherlich kam es zu Abmahnungen von Wettbewerbern und Aufsichtsbehörden gegenüber Unternehmen mit einem Internetauftritt wegen nicht DSGVO-konformen Datenschutzerklärungen. Zur Informationspflicht der Unternehmen gegenüber ihren Website-Besuchern macht die DSGVO u.a. in Art. 13 DSGVO nämlich klare Vorgaben. Doch diese Abmahnungen gab es auch vor dem 25.05.2018 und eine wirklich spürbare Steigerung entsprechender Maßnahmen kann zu diesem Zeitpunkt noch nicht mit absoluter Sicherheit festgestellt werden.“

Nach gut 85 (Stand: FREITAG 17.08.2018) Tagen lässt sich schlussfolgern, dass die gefürchtete Abmahnwelle vorerst ausgeblieben ist. Trotzdem herrscht noch spürbare Unsicherheit. BVDM-Experte Duhr beschreibt es so: „Jetzt regiert die Unsicherheit, die in diesem Fall eine gesamte Wirtschaft lähmt“.

Wie läuft die Umsetzung der DSGVO in deutschen Unternehmen?

Während Google, Facebook und auch Amazon sich bereits seit Jahren auf die DSGVO vorbereiteten, um pünktlich den Anforderungen gerecht zu werden, zeichnet sich insbesondere im deutschen Mittelstand ein anderes Bild ab.

Laut Bitkom befinden sich diese aktuell noch mitten in der Umsetzung oder nehmen die Herausforderungen der DSGVO gerade erst in Angriff. Der Mittelstandverband warnt deshalb vor einer drohenden „Entdigitalisierung“ als Folge der Überforderung. Eingestellte Newsletter oder deaktivierte Homepages sind bereits erste erkennbare Anzeichen hierfür.

In einer Studie des BVDW  gaben 50 % von 278 befragten Unternehmen an, dass die DSGVO sich bereits negativ auf die Umsatzentwicklungen im Unternehmen auswirke.

Wo liegen die Herausforderungen?

Unternehmen suchen aktuell noch dringend nach Datenschutzbeauftragen

Nach in Deutschland geltendem Datenschutzrecht haben Unternehmen einen Datenschutzbeauftragten zu benennen, wenn bei ihnen mindestens 10 Personen „ständig“ mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Die meisten Unternehmen stehen in diesem Zusammenhang aktuell immer noch vor zwei großen Problemen:
Zunächst ist ihnen nicht klar, was „ständig“ bedeutet. Weil immer mehr Datenverarbeitungsabläufe automatisiert werden, kann es natürlich sein, dass bereits in einem Unternehmen mit knapp über 10 Mitarbeitern die Benennung eines Datenschutzbeauftragten verpflichtend ist.
Das zweite, vielleicht aktuell noch viel größere Problem ist ein Praktisches. Es gibt faktisch zu wenige Datenschutzbeauftragte. Die Nachfrage übersteigt also das Angebot bei weitem.

In Ihrer Not wenden sich viele Betroffene an die zuständigen Aufsichtsbehörden.
Neuer Call-to-Action

Die Aufsichtsbehörden ächzen unter der Aufgabenlast

Die Rolle der Aufsichtsbehörden war bereits bei Inkrafttreten der EU-Datenschutz-Grundverordnung 2016 klar positioniert. So enthält alleine Artikel 57 EU-DSGVO einen Aufgabenkatalog von 22 unterschiedlichen Einzelaufgaben. Die Aufsichtsbehörden fungieren somit aktuell als erste Auskunftsstelle. Damit rutschen die Behörden eher in eine beratende als sanktionierende Funktion.

Das Aufkommen der Anfragen ist derzeit so enorm hoch, sodass die Behörden trotz Personalaufstockung unter der Aufgabenlast ächzen und ein Abflachen der Anfragen herbeisehnen: „Wir wünschen, dass der Hype abebbt.“, so die eindeutige Aussage von Stefan Brink, Behördenleiter der baden-württembergischen Aufsichtsbehörde in einem Interview mit der F.A.Z.

Experten halten die mangel- und fehlerhafte Informationsbereitstellung im Vorfeld für einen der Hauptgründe, warum man sich dort jetzt einer Flut an Anfragen ausgesetzt sieht. Europapolitiker Jan Philipp Albrecht stellt in einem Interview mit der Zeit heraus: „Es wäre notwendig, dass noch mehr Informationen im Detail von den Behörden und Regierungen der Mitgliedsstaaten kommen“.

Im Vergleich gibt es in Deutschland jedoch vergleichsweise viele Anlaufstellen. So sind die Aufsichtsbehörden auf Landesebene angesiedelt und nicht auf Bundesebene, während in anderen EU-Ländern oftmals nur eine zentrale Anlaufstelle existiert.

Ausgelastete Behörden und Diskussionen im Netz machen schnell klar, dass schwer kalkulierbar bleibt, welches Ausmaß die Umsetzung der DSGVO in Unternehmungen im Unternehmen annimmt. Von Fall zu Fall gestaltet sie sich komplexer als angenommen.

DSGVO auch als Chance begreifen

Auch die d.velop AG musste sich der Herausforderung DSGVO stellen. Wir haben bei unserem internen Datenschutzkoordinator, Sebastian Ochtrup, nachgefragt, was sich für ihn im Unternehmen geändert hat. Er empfindet das Ganze weit weniger negativ:

„Die DSGVO hat mir oder uns geholfen, sich sämtliche Verarbeitungstätigkeiten vor Augen zu führen und diese auch einmal zu dokumentieren. Das war schon spannend, weil man so einen guten Überblick bekommt, was eigentlich alles für Prozesse im Unternehmen laufen und mit welchen Daten wir so arbeiten. Allerdings lässt sich auch sagen, dass die Auswirkungen der DSGVO für uns als B2B-Unternehmen im täglichen Arbeiten bislang deutlich geringer ausgefallen sind, als es durch die Medien prophezeit worden ist.“

Die Verordnung nur als Risiko wahrzunehmen ist also nicht richtig. Es schafft nicht nur sichere Prozesse, sondern regt auch Unternehmen dazu an, diese zu überdenken und zu verbessern.

Die EU als Vorbild in Sachen Datenschutz. Wie reagiert die Welt?

Was man definitiv sagen muss: Die DSGVO hat weltweite Standards für Datenschutz gesetzt. So verwundert es kaum, dass auch aus anderen Ländern Reaktionen kommen. Japan beispielsweise schließt aktuell mit der EU einen Pakt, die geltenden Regelungen auf beiden Seiten anzuerkennen. Und auch die USA denken über eine eigene Variante der DSGVO nach (wenn auch etwas weniger streng als die der EU).

Das bedeutet: Ein weltweites Umdenken ist im Gange.

Überlegungen zur Einführung eines Datenschutzgesetzes oder zur Verschärfung bestehender Richtlinien

Dabei muss im Hinterkopf behalten werden, dass die Verarbeitung personenbezogener Daten von EU-Bürgern sowie die Datenverarbeitung mit europäischen Unternehmen meist auch bei außereuropäischen Unternehmen mit einer Geschäftstätigkeit in der EU nach den Richtlinien der DSGVO gestaltet werden muss. Im Umgang mit diesen Herausforderungen gibt es verschiedene Wege. Google beispielsweise erkennt die DSGVO unternehmensweit an und hat laut eigenen Angaben bis dato über „500 Menschenjahre“ investiert um das gesamte Unternehmen inklusive aller Produkte DSGVO-konform zu gestalten. Andere Unternehmen machen es sich da einfacher. Sie stellen ihre Produkte und Services für den europäischen Markt einfach ein. Viele US-Nachrichtenseiten, wie z.B. die Los Angeles Times, sind aktuell aus Europäischen Ländern nicht erreichbar.

Los Angles Times GDPR

 

„Einmal Daten löschen, bitte!“ – So reagieren Privatpersonen auf die DSGVO

Die Anfragen von Personen an Unternehmen, Auskunft über die Verarbeitung ihrer Daten zu bekommen, häufen sich. Rechtsexperte Nils Bremann zieht in Anbetracht dieser Entwicklung folgende logische Schlussfolgerung:
„Zwar ist das Auskunftsrecht im Datenschutz nicht ganz neu und bestand auch nach dem alten BDSG bereits – jedoch hat der Hype um die DSGVO in den letzten Monaten dazu geführt, dass bei vielen Personen erst jetzt ein Bewusstsein für ihre Rechte geschaffen wurde. Es ist nachvollziehbar, dass viele von ihren Rechten nun auch Gebrauch machen möchten.“

Das Fazit nach 85 Tagen DSGVO

Trotz aller Kritik an der Datenschutzgrundverordnung, hat der Schutz von Daten in heutigen Zeiten einen wichtigen Stellenwert. Die DSGVO hat Regierungen, Unternehmen und Privatpersonen gleichermaßen aufgerüttelt und für das Thema sensibilisiert.
Viele kleine und mittelständische Unternehmen stehen aber nach wie vor vor der Frage, wie sich ein DSGVO-konformes Arbeiten überhaupt realisieren lässt.

Sie möchten den Anfordrungen der EUDSGVO in Ihrem Unternehmen gerecht werden?

Laden Sie sich jetzt das Whitepaper herunter und erfahren Sie auf über 30 Seiten, wie Sie in Ihrem Unternehmen DSGVO konform arbeiten können.

Oder lassen Sie jetzt das d.velop GDPR compliance center in einer cloudbasierten Demoumgebung zeigen und testen Sie die Lösung, die Ihre Umsetzungsprozesse im Hinblick auf Prozessanalysen und Dokumentation unterstützt und dessen Status transparent macht.

Live Webinar DSGVO