Ein Jahr DSGVO: Es ist noch viel zu tun

Die Bilanz nach einem Jahr Datenschutzgrundverordnung (DSGVO) fällt zwiespältig aus.

Inhalt

Ein Jahr DSGVO: Position der IHK zur Evaluierung

Die Modernisierung und Harmonisierung des Datenschutzrechts ist das Ziel der EU-Datenschutzreform. Als wichtige rechtliche Rahmenbedingung soll das Datenschutzrecht die
Digitalisierung in Europa fördern. Die Datenschutz-Grundverordnung (DSGVO) ist hierbei ein
wichtiger Meilenstein. Diese gilt seit dem 25.05.2018 verbindlich und unmittelbar in allen
EU-Mitgliedsstaaten.

Diese Erwartungen hat die EU-Reform zum Teil nicht erfüllt. Zwar führt die DSGVO zu einer
transparenteren Datenverarbeitung. Jedoch verpflichtet sie die Wirtschaft zu erhöhten Anforderungen
und damit zu erheblichen Anpassungen. Vielfach fehlt es an Rechtsklarheit. Im Vorgriff auf die zum 25.05.2020 anstehende Evaluierung ist die DSGVO zu bewerten und zu überprüfen. Anpassungen sind dort vorzunehmen, wo Mehraufwand vermieden und Rechtsklarheit geschaffen werden muss.

Wichtig ist Folgendes:

  • Rechtssicherheit schaffen
  • Bürokratische Aufwände abbauen
  • Datenschutzregeln im Zuge der Anpassungsgesetzgebung nicht erhöhen


Hier finden Sie das Positionspapier der IHK zur DSGVOzum Download.

Zurück zum Inhalt

DSGVO differenziert zu wenig zwischen Mittelstand und Großunternehmen

Seit einem Jahr ist die Datenschutz-Grundverordnung DSGVO in Kraft. IHK-Juristin Rita Bottler zieht eine zwiespältige Bilanz:„Wir haben jetzt EU-weit einheitliche Regeln, auch wenn durch die vielen Öffnungsklauseln in der DSGVO nationale Spielregeln zum Datenschutz wie z. B. bei Betroffenenrechten oder zum Beschäftigtendatenschutz sich unterscheiden. Das hat die Wirtschaft gefordert – aber das hatte auch seinen Preis. Die Umstellung aller Prozesse war für die Unternehmen zum Teil sehr aufwändig, die Unsicherheit bei vielen kleineren Unternehmen ist unverändert groß“, sagt sie. Die IHK habe die Firmen schon im Vorfeld der Neuregelung mit hohem Aufwand beraten und unterstützt. Ähnlich wie der Branchenverband Bitkom sieht die IHK-Juristin ein Grundproblem. „Die Verordnung enthält weitreichende Pflichten. Es wird zu wenig zwischen Konzernen und dem Mittelstand unterschieden“, erklärt Bottler. Die EU werde im Mai 2020 eine erste Evaluierung der Verordnung vornehmen. „Wir werden uns beteiligen und auf die Punkte hinweisen, die unseren Firmen das Leben unnötig schwer machen“, stellt Bottler fest.

Eine Zielgruppe steht als Gewinner schon heute fest: Berater machen mit der Unsicherheit der Unternehmen gutes Geschäft. Thomas Spaeing, Vorstandsvorsitzender beim Bundesverband der Datenschutzbeauftragten in Deutschland, sagte gegenüber Spiegel Online, der Beratermarkt habe sich rasant entwickelt. Spaeing schätzt, das Angebot habe sich verdreifacht – und leider sei nicht jeder der Datenschutzconsultants seriös und sachkompetent.

Zurück zur Inhaltsnavigation

Deutsche Unternehmen sind besonders anfällig für Datenschutz-Risiken

Als bedenklich bezeichnet Bottler ferner eine Studie, die der IT-Sicherheits-Dienstleister Varonis am 24. Mai veröffentlicht hat. Weltweit wurden insgesamt 700 Unternehmen aus rund 30 Branchen und mehr als 30 Ländern untersucht. Laut der Studie sind die Datenrisiken in Deutschland – trotz DS-GVO – seit vergangenem Jahr „tendenziell noch gestiegen“. Nach Einschätzung der IT-Experten sind deutsche Unternehmen für zwei Risiken besonders anfällig:

  • 19 Prozent der sensiblen Daten sind allen Mitarbeitern zugänglich.
  • 58 Prozent der gespeicherten Daten werden weder genutzt noch kontrolliert.

Beides sind internationale Spitzenwerte. Bottler warnt in diesem Kontext vor einem Denkfehler. „Mit der Umstellung auf die Verordnung ist es nicht getan. Datenschutz ist ein permanenter Prozess. Die Aufklärung der Mitarbeiter muss Top-Priorität haben“, betont die IHK-Fachfrau.

Zurück zur Inhaltsnavigation

Keine Abmahnwelle wegen der DSGVO in Sicht

Zumindest in einem Punkt haben sich die anfänglichen Befürchtungen der Wirtschaft aber nicht bestätigt. „Wir sehen derzeit keine Anzeichen für eine Abmahnwelle im Datenschutz“, berichtet IHK-Juristin Amelie Winkhaus. Ihre Einschätzung gilt offensichtlich bundesweit. Der Deutsche Anwaltsverein meldet ebenfalls, es habe keine massenhaften Abmahnungen gegeben.

Wichtig sei eine gesetzliche Klarstellung, dass Datenschutzvorschriften keine Marktverhaltensregeln sind und damit nicht abgemahnt werden können. „Die IHK-Organisation fordere dies zeitnah“, so Bottler. Denn die DSGVO sei hier zum einen vom Sanktionsregime her abschließend. Und zum anderen dürfen Unternehmen nicht mit einem Abmahnrisiko belastet werden, wenn es bei der Umsetzung der DSGVO noch zahlreiche Rechtsunsicherheiten gebe.

Zurück zur Inhaltsnavigation

Ziel der DSGVO muss Prävention sein

EU-Justizkommissarin Věra Jourová hat die Angst der Firmen vor Sanktionen stets für unbegründet erklärt. Ziel der Verordnung sei die Prävention, nicht die Sanktion. Jourová darf sich von der bisherigen Vollzugspraxis bestätigt fühlen. Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht, erklärte zu Jahresbeginn auf IHK-Anfrage, er habe bislang kein Bußgeld verhängt. „Die Welt“ berichtet über 75 DSGVO-Bußgelder in Deutschland mit einer Durchschnittshöhe von 6.000 Euro. Die meisten Sanktionen wurden in Norddeutschland und in Nordrhein-Westfalen verhängt. „Spiegel Online“ beziffert den nationalen Bußgeldrekord mit 80.000 Euro. Verhängt gegen ein Unternehmen, bei dem Gesundheitsdaten öffentlich abrufbar waren. „In solchen Fällen“, meint Rita Bottler, „ist das Bußgeld noch das geringste Problem. Der Image- und Vertrauensschaden kann zu wirtschaftlichen Einbußen führen und schlimmstenfalls die Insolvenz bedeuten.“

Die EU-Kommission selbst meldet 450 grenzüberschreitende Ermittlungen aufgrund von Datenschutz-Verstößen. In Frankreich gibt es einen brisanten juristischen Konflikt. Google soll dort 50 Millionen Euro zahlen. Die Datenschutzbehörde CNIL wirft Google vor, ohne ausreichende Information Nutzerdaten für Werbung verwendet zu haben – das hat wirtschaftspolitische Dimensionen.

Gerade vor diesem Hintergrund wertet EU-Justizkommissarin Jourová die Datenschutz-Grundverordnung als großen Erfolg. Sie betont, damit habe Europa weltweit einen Standard gesetzt. Die Folge sei ein Datenschutzabkommen mit Japan. Länder wie Argentinien, Kanada, Mexiko und Indien seien daran, eigene Gesetze nach DSGVO-Vorbild zu entwickeln.

Allerdings sieht auch Jourová Handlungsbedarf. Grund: Einige EU-Mitgliedsländer legen ihren Worten zufolge nationale Umsetzungsspielräume so großzügig aus, dass dies dem Datenschutz widerspricht. Lässt die EU das zu, hätte Europa wieder ein fragmentiertes Datenschutzrecht. Mit Sorge sieht man in Brüssel zudem, wie nationale Regierungen versuchen, Einschnitte in die Pressefreiheit mit Datenschutz zu rechtfertigen.

Zurück zur Inhaltsnavigation