Wenn Sie in Ihrem Unternehmen am 25. Mai den ersten Geburtstag der europäischen Datenschutzgrundverordnung feiern, vergessen Sie bitte nicht, sich vor der Veröffentlichung der Bilder Ihrer Feierstunde die erforderliche Einverständniserklärung der abgelichteten Personen einzuholen.
Manch einem wird dieser kleine Scherz nur ein bitteres Lächeln abringen können und doch gibt es nicht nur Grund zur Verärgerung, wenn wir die Frage stellen, was in den letzten 12 Monaten seit Inkrafttreten der DSGVO passiert ist und ob die allgemein ausgesprochenen Befürchtungen tatsächlich wahr geworden sind.
DSGVO Datenschutz nach neuen Maßstäben
Genau am 25. Mai 2018 trat für den gesamten Europäischen Wirtschaftsraum die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“, vereinfacht Datenschutzgrundverordnung oder kurz DSGVO, in Kraft und ersetzte damit in weiten Teilen die Vorschriften des bis dahin geltenden, nationalen Datenschutzgesetzes durch eine für Europa einheitliche Regelung zum Schutz personenbezogener Daten.
Die spontane Folge war in vielen Fällen nackte Panik, genährt von einem Mediengewitter, das nicht immer ausschließlich seriös über die zu erwartenden Folgen für Unternehmen, aber auch für Privatpersonen berichtete. Auch wir informierten über die einzelnen Bestimmungen der DSGVO bereits ausführlich in diesem Blog sowie in einem kompakten Factsheet und einem ausführlichen Whitepaper.
Grob zusammengefasst lässt sich die Zielsetzung der DSGVO als Versuch einer Verbesserung der Kontrolle des Einzelnen über von Dritten, insbesondere von Unternehmen, erhobene und verarbeitete Daten zur eigenen Person beschreiben. Damit sollte in erster Linie der wachsenden Datensammlungswut der digitalen Wirtschaft Rechnung getragen und wo möglich und sinnvoll Einhalt geboten werden. Zum einen bestimmt die DSGVO deshalb, dass Daten nur noch anlass- und verwendungsbezogen verarbeitet und aufbewahrt werden dürfen. Zum anderen erhält der Verbraucher das Recht, Auskunft über diese Datenverarbeitung einzufordern und auch deren umfassende und endgültige Löschung zu verlangen. Daneben müssen Unternehmen strengeren Regeln zur Sicherheit der Daten bei Speicherung und Übertragung nachkommen.
Das Monster im Aktenschrank
Schon damals wurde bei der Auseinandersetzung mit den unterschiedlichen Neuregelungen eines fast auf den ersten Blick klar: Nicht jede Bestimmung der DSGVO ist wirklich selbsterklärend und vieles scheint zumindest auf den ersten Blick sprichwörtlich mit der heißen Nadel gestrickt.
Inzwischen ist ein Jahr vergangen und wohl niemand wird behaupten können, dass ihm die DSGVO nicht schon im Alltag begegnet ist. Beim Surfen im Internet hat die Zahl der informativen Popups und zu setzenden Häkchen merklich zugenommen, bis heute landen immer wieder Briefe im Kasten, mit denen Firmen über veränderte Datenschutzbestimmungen informieren und spätestens wenn in der Schulklasse des eigenen Kindes darüber diskutiert wird, ob es überhaupt möglich ist, Klassenfotos anzufertigen, ohne einen Anwalt einzuschalten und sich Schulleitungen zur eigenen Absicherung kurzerhand entschließen, Aufnahmen auf dem Schulgelände pauschal zu verbieten, dann wird klar: Jetzt gilt die DSGVO seit einem Jahr, was das bedeutet ist aber noch immer nicht vollkommen klar.
Dabei sprechen wir bisher nur von der Verbraucherseite, der das gesamte Regelwerk ja dienen und deren Recht auf informationelle Selbstbestimmung es schützen soll. Weitaus größer war die Angst vor einem Jahr in deutschen Unternehmen. Eine Angst, die von ganz praktischen Befürchtungen genährt wurde: Das Schreckgespenst Abmahnung gewann durch die Berichterstattung zur DSGVO zunehmend an Schaurigkeit. Schon in der Zeit vor der DSGVO hatten sich etliche Anwälte darauf spezialisiert, Unternehmen das Leben schwer zu machen, indem sie Verstöße gegen Gesetze und Vorschriften suchten und durch Abmahnung zur kostenpflichtigen Anzeige brachten. Sei es das fehlende oder unvollständige Impressum auf der Unternehmenswebsite, die Verwendung eines nicht lizenzierten, urheberrechtlich geschützten Fotos oder Fehler bei Preisangaben – das Geschäft mit Abmahnungen ist lukrativ. Wenig verwunderlich, dass Unternehmen in Verbindung mit der eigenen Unwissenheit und Ratlosigkeit in Bezug auf die Vorschriften der DSGVO befürchteten, es werde binnen kürzester Zeit Abmahnungen von darauf spezialisierten Anwälten und Behörden hageln, die aufgrund der in Aussicht gestellten Höhe potentieller Strafen ihren wirtschaftlichen Ruin nach sich ziehen könnten.
Die gute Nachricht vorab: Die befürchtete Abmahnwelle ist ausgeblieben. Zwar hat es behördenseitig Abmahnungen gegeben, diese waren jedoch nur in Einzelfällen mit Strafen verbunden, die zudem deutlich unter den möglichen Maximalbeträgen geblieben sind. Die schlechte Nachricht: Unternehmen sind noch nicht aus dem Schneider. Warum es bisher nicht zu verstärkten Abmahnungen gekommen ist, hat nach Ansicht von Fachleuten vorrangig zwei Gründe: Behörden agieren bisher unter anderem zurückhaltend, da ihnen der Umstand sehr wohl bewusst ist, dass die DSGVO noch viele Fragen unbeantwortet gelassen hat. Zudem fehlt ihnen bisher schlicht die finanzielle und personelle Ausstattung, um Verstöße im großen Rahmen zu ermitteln und zu verfolgen. Dass sich die klassischen Abmahnanwälte bisher weitgehend zurückhalten, hat ebenfalls einen nachvollziehbaren Grund: Auch ihnen fehlt in vielen Bereichen die Rechtssicherheit. Bisher gibt es kaum Urteile zu Streitfällen in Bezug auf die DSGVO und selbst Anwälte sind sich nicht bei allen Bestimmungen sicher, wie diese auszulegen und entsprechend Verstöße zu belegen sind. Das heißt also, es steht zu befürchten, dass mit wachsender Sicherheit in Fragen der Umsetzung der DSGVO auch die Zahl der beanstandeten Verstöße wachsen wird.
Sturm im Wasserglas
Das Resümee zur Umsetzung der DSGVO in Unternehmen fällt nach einem Jahr grundsätzlich positiv aus. Auch in der Selbsteinschätzung geben in Umfragen Unternehmen mit großer Mehrheit an, die Einführung der DSGVO im eigenen Betrieb abgeschlossen zu haben. Das ändert jedoch nichts an der Tatsache, dass auch nach einem Jahr in vielen Bereichen noch Unsicherheit herrscht und Maßnahmen nach bestem Wissen und Gewissen, nicht aber immer in völliger Überzeugung durchgeführt wurden.
Ein guter Hinweis für die verbreitete Ratlosigkeit ist die enorme Anzahl an Beschwerden und Anfragen, der sich verantwortliche Behörden im vergangenen Jahr seit Einführung der DSGVO ausgesetzt sahen. Mehr als 1300 Anfragen gehen hier pro Monat ein, mehr als dreimal so viele, wie noch ein Jahr zuvor.
Viele Unternehmen ziehen heute bereits ein erstes Fazit und stellen fest, dass die Umsetzung der DSGVO sie in vielen Arbeitsbereichen erkennbar ausbremst und auch durch die eigene Unsicherheit in Bezug auf die Vorschriften erkennbar beschränkt.
Der kleine Kollateralschaden
Eines zeigt sich nach einem Jahr DSGVO deutlich: Leidtragende der veränderten Datenschutzrichtlinien sind vor allem kleine und mittelständische Unternehmen, aber auch Vereine. Für diese gelten nach DSGVO weitgehend die gleichen Regeln und Vorschriften wie auch für große Unternehmen und dies auch unabhängig davon, ob sie in Branchen agieren, in denen verstärkt mit sensiblen Kundendaten gearbeitet wird. Unterschiede anhand der Unternehmensgröße finden sich alleine bei den Vorschriften zur Einsetzung eines Datenschutzbeauftragten, von der Unternehmen befreit sind, in denen weniger als zehn Mitarbeiter mit Daten arbeiten.
Besonders schwerwiegend und im Alltag hinderlich gestaltet sich für kleine Unternehmen die Dokumentations- und Rechenschaftspflicht zum Beispiel in Gestalt der Pflicht zur Erstellung von Verarbeitungsverzeichnissen. Hieraus entsteht ein bürokratischer Aufwand, der dem elementaren Tagesgeschäft merklich im Wege stehen kann. So sind selbst kleine Handwerksbetriebe und sogar Einzelunternehmer prinzipiell verpflichtet, mit Kundendaten nach den gleichen Maßstäben umzugehen, wie international agierende Großkonzerne mit Millionen von Datensätzen.
Im Rahmen einer für 2020 angekündigten Evaluierung durch den Bundesbeauftragten für Datenschutz erhoffen sich grade Verantwortliche von Mittelstandsvertretungen, dass in diesem Bereich nachgebessert wird, um kleine und mittelständische Unternehmen zu entlasten. Inwieweit dies allerdings überhaupt im Angesicht des Status der DSGVO als gesamteuropäischer Verordnung ohne deutlichen Umsetzungsspielraum möglich ist, bleibt bis dahin fraglich.
Fazit – Erfolgsgeschichte mit Schönheitsfehlern
Aus Sicht des Verbrauchers ist die DSGVO ein Erfolg. Auch die Folgen für Unternehmen sind bei weitem nicht so dramatisch, wie vereinzelt vor einem Jahr angenommen. Letztlich ist Datenschutz kein vollständiges Neuland gewesen und Unternehmen mussten sich schon vor dem 25. Mai 2018 mit den Vorschriften des Bundesdatenschutzgesetzes auseinandersetzen. Zugegeben hat die DSGVO die Spielregeln verschärft, Unternehmen neue Pflichten, insbesondere Auskunftspflichten, auferlegt und zum Teil eine Veränderung der IT-Infrastruktur notwendig gemacht. Insgesamt hat sie Unternehmen jedoch zusätzlich zum Thema Datenschutz sensibilisiert und bietet auch die Chance, durch engagierte Auseinandersetzung einen Wettbewerbsvorteil zu erzielen und sich dem Kunden als verantwortungsbewusster Geschäftspartner zu präsentieren. Manch Betroffenem ist es sogar gelungen, mit Humor und einem Augenzwinkern das Thema zu nutzen, um Aufmerksamkeit zu wecken, sein Image zu verbessern und letztlich Kunden zu gewinnen.
Für kleine Unternehmen, für Vereine und in einigen Fällen auch für die Privatperson im Alltag stehen jedoch tatsächlich noch Fragen im Raum, die zu klären sind. Es sind Lösungen gefragt, die Datenschutz zu einer Selbstverständlichkeit werden lassen und die Betroffenen Sicherheit bieten, ohne andere unzumutbar zu belasten oder konkret zu schädigen.
