Seit einem Jahr lebt Europa nach neuen Datenschutz-Regeln. Die Datenschutzgrundverordnung DSGVO, die am 25. Mai 2018 zur Pflicht in der EU wurde, hat für viele Diskussionen gesorgt - und auch heute sind noch längst nicht alle Fragen geklärt. Doch: "Die große Aufregung hat sich gelegt", konstatiert die Rechtsanwältin und Datenschutzexpertin Vera Jungkind von der Kanzlei Hengeler Mueller. Vor dem Stichtag im vergangenen Mai habe geradezu Endzeitstimmung geherrscht. "Viele Unternehmen und Organisationen haben dann aber gemerkt, dass sich die Welt weiter dreht."
Inzwischen würden die Unternehmen besser und konzentrierter an ihren Datenschutz-Einstellungen arbeiten und auch langfristige Ziele in Angriff nehmen, sagt Jungkind. "Der Aktionismus ist vorbei." Viele Befürchtungen haben sich zwar nicht bestätigt, doch Beschwerden gibt es zuhauf, die bei den Datenschutzbehörden eingehen. Waren es 2017 noch im Schnitt 400 Beschwerden und Anfragen pro Monat, schnellte die Zahl allein zwischen Juni und Dezember 2018 mit rund 1.370 auf mehr als das Dreifache hoch, wie aus dem Tätigkeitsbericht des Bundesdatenschutzbeauftragten Ulrich Kelber hervorgeht.
Mehr Wirbel als Substanz
Auch die Aufsichtsbehörden hält die Umsetzung auf Trab. Dennoch hält Kelber die DSGVO für eine "Zeitenwende im Datenschutz". Eine befürchtete Abmahnwelle sei ausgeblieben, auch "plakative Falschmeldungen" hätten sich nicht bewahrheitet. Es dürften weiter Fotografien angefertigt und Namen an Klingelschildern angebracht werden, betonte Kelber.
Einen Anstieg von Meldungen über Verstöße konstatiert auch der Anbieter für IT-Sicherheitslösungen FireEye. Die DSGVO habe in Unternehmen und Organisationen aber auf jeden Fall für mehr Transparenz gesorgt, resümiert das Unternehmen seine Erfahrungen. Die Dokumentationspflicht zwinge sie zudem, sich intensiver mit ihrem eigenen Umgang mit Daten auseinanderzusetzen.
"Das Bewusstsein für Datenschutz ist auf allen Seiten höher", sagt auch Achim Berg, Präsident des Bitkom. Der Digitalverband zieht aber eine eher "gemischte Bilanz" nach einem Jahr DSGVO. Große internationale Plattform-Anbieter etwa profitierten nun von dem einheitlich gesteckten Rechtsrahmen, sagt Berg. Der deutsche Mittelstand und kleine Unternehmen dagegen kämpften weiter mit der Umsetzung. "Das Problem liegt nach wie vor darin, dass die DSGVO nicht zwischen einem Kleingartenverein und einem Großkonzern unterscheidet." Und hier müsse nachgebessert werden.
Veraltete IT-Systeme
Die Umsetzung der Verordnung in den Unternehmen sei aber nicht eine Frage der Größe, sondern eher der Reife, schätzt Rechtsanwältin Jungkind. "Datenschutz ist ja nicht neu." Ob internationale Unternehmen oder gemeinnützige Organisationen - viele hätten lediglich "eine Schippe drauflegen" müssen. Probleme habe es dagegen bei der Umsetzung in Unternehmen gegeben, deren IT-Organisation beispielsweise nach vielen Zukäufen nicht habe Schritt halten können oder die veraltete Systeme betreiben, bei denen die Daten nicht gelöscht oder getrennt werden könnten.
Für Unternehmen jeder Größe bedeute die DSGVO auch weiterhin "einen hohen Umsetzungsaufwand, und immer noch bestehen viele Rechtsunsicherheiten", sagte Berg. Der Bitkom fordert zudem, dass die Auslegung in der gesamten EU einheitlicher werden müsse. Wirksame Hilfestellungen müssten dabei von der Politik kommen, damit der Rechtsrahmen praktikabler und verständlicher gemacht werde.
Vision vom weltweiten Standard
Der Bundesverband der deutschen Industrie BDI lobt die DSGVO als wichtigen Grundstein für einen gemeinsamen Markt in der EU, betont aber auch, dass die Verordnung teuer für die Unternehmen sei. Sie habe das Zeug, sich zu einem weltweiten Standard zu entwickeln, sagt Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung. Doch auch der BDI fordert mehr Rechtssicherheit ein.
Und: "Datenschutz in der EU darf kein Standortnachteil werden", verlangt Plöger. Bisher stünden sich Datenschutz und Technologien wie künstliche Intelligenz "diametral entgegen". Etwa bei der Anonymisierung von Daten brauche es deshalb mehr Freiraum, damit die Entwicklung künstlicher Intelligenz nicht abwandere.
Insgesamt hat die Datenschutzgrundverordnung die Wirtschaft nachhaltig verändert und das Bewusstsein für Datenschutz auf allen Seiten erhöht. "Am Ende geht es darum, die richtige Balance zwischen Datenschutz einerseits und innovativen, datenbasierten Anwendungen andererseits zu finden", sagte Berg.
DSGVO erntet Lob
Unterdessen strahlen die Auswirkungen der DSGVO bereits weit über die Grenzen Europas hinaus. Auch in Japan oder Kalifornien sei die Verordnung positiv und mit Interesse verfolgt worden, betont der oberste Datenschützer Kelber. Selbst Facebook-Chef Mark Zuckerberg, der in Sachen Datenschutz unter Dauerbeschuss steht, hat lobende Worte übrig, obgleich Beschwerden über Facebooks Messenger-Dienst WhatsApp sowie außereuropäische Mail-Anbieter die Aufsichtsbehörden nach deren Angaben am häufigsten beschäftigen.
Die erste dicke Strafe auf Basis der DSGVO traf unterdessen Google. Im Januar stellte die französische Datenschutzbehörde CNIL Verstöße gegen die Datenschutzgrundverordnung fest und verdonnerte den Konzern zur Zahlung von rund 50 Millionen Euro. Google ist in Berufung gegangen. Die DSGVO müsse sich jetzt erst einmal beweisen, sagte Ingo Dachwitz von "netzpolitik.org" kürzlich auf der Internet-Konferenz re:publica. Es sei die erste großen Strafe - "mal schauen, ob die durchkommen". (dpa/rs)