Happy Birthday DSGVO! #DATENSCHUTZ #TRANSPARENZ

Die Datenschutz-Grundverordnung, kurz DSGVO, ist heute Unternehmen wie auch Verbrauchern ein Begriff. Vor ihrer Einführung im Mai 2018 standen besonders Websitebetreiber unter Druck; es herrschte Unsicherheit und vor allem keine Rechtssicherheit.

2018 wurde man auf zukünftige Gerichtsurteile verwiesen. Kein Unternehmen wollte allerdings das Erste sein, über welches geurteilt wird. Bei Nichteinhaltung der DSGVO drohen noch immer empfindliche Geldstrafen in Höhe von bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens.

Bei einer repräsentativen Umfrage des Meinungsforschungsinstituts YouGov im Auftrag der Onlinedienste GMX und Web.de gaben nur 9% der Befragten an, eine Verbesserung ihres Datenschutzes zu verspüren, seit die DSGVO in Kraft getreten ist. 38% der Befragten sehen gar keine Verbesserung und nicht einmal ein Drittel, nur 31%, verspürt einen teilweise besseren Schutz. Nach fünf Jahren ist das ein ernüchterndes Urteil.

Dabei hat die DSGVO doch einige Veränderungen mit sich gebracht, die den Bürgern Europas mehr Datenschutz gewähren sollten. Die Rechenschaftspflicht zum Beispiel fordert Unternehmen dazu auf, nachzuweisen und zu belegen, dass diese DSGVO-konform arbeiten. Sie „bedeutet einen kulturellen und organisatorischen Wandel im europäischen Datenschutz“, so Dr. Jörn Voßbein, UIMC-Geschäftsführer.

Proaktive Transparenz gilt als das Grundprinzip des Datenschutzes und beinhaltet Zweckbindung, Datenminimierung, Transparenzgebot und das Verbot mit Erlaubnisvorbehalt. Im Wesentlichen heißt das, dass alle Informationen zum Datenschutz leicht zugänglich und verständlich sein müssen. Sie sollten in klarer und einfacher Sprache formuliert sein. Außerdem müssen natürliche Personen proaktiv über die geplante Datenverarbeitung informiert werden. Hier müsste doch also eine deutliche Verbesserung des Datenschutzes wahrzunehmen sein?

Die DSGVO sieht vor, dass Verstöße zeitnah den Aufsichtsbehörden mitgeteilt werden, die daraufhin 72 Stunden Zeit haben, um eine Meldung zu erstatten. Dies ist auch ohne Wochenenden oder Feiertage wenig Zeit, um einen detaillierten Bericht zu erstellen.

Die Höhe der möglichen Bußgelder gehören zu den größten Veränderungen, die mit der DSGVO einhergegangen sind. In den ersten vier Jahren der DSGVO haben europäische Datenschutzbehörden Bußgelder in Höhe von 1,6 Mrd. Euro verhängt. In Deutschland wurde die bislang höchste Strafe 2020 gegen H&M angewiesen; das Unternehmen musste 35 Millionen Euro Strafe bezahlen.

Vor der DSGVO gab es innerhalb Europas ein versprengtes Datenschutzrecht. Dies führte unter anderem dazu, dass es eine Wettbewerbsungleichkeit gab und Unternehmen mit Sitz in Ländern, die weniger strenge Gesetze hatten, profitierten. Die DSGVO hat diesen Flickenteppich an Gesetzen vereinheitlicht und Bürger europaweit über ihre Rechte informiert.

Gerade in Deutschland sind viele Betroffenenrechte aber gar nicht neu gewesen, sie wurden 2018 jedoch in der Öffentlichkeit gestärkt und sind seitdem präsenter. Datenschutzrecht kann in vielerlei Hinsicht als Recht auf Selbstbestimmung über die eigenen Daten betrachtet werden. Selbstbestimmung bedeutet aber auch Selbstinitiative. Unternehmen liefern Verbrauchern spätestens seit 2018 alle Informationen, die sie brauchen, um ihre Datenverarbeitung zu kontrollieren. 53% der befragten Studienteilnehmer:innen gaben aber an, sich über Cookie Banner zu ärgern. Genau diese Cookie Banner informieren User:innen über den Umgang mit ihren Daten; genau hier können User ihre Selbstbestimmung ausüben. Datenschutzbeauftrage überlegen daher schon länger, ob eine Vereinfachung der Datenschutztexte innerhalb der Cookie Banner sinnvoll wäre. Sogar eine grafische Darstellung wird diskutiert, um diejenigen auch wirklich zu erreichen, für die der Cookie Consent ursprünglich umgesetzt wurde.

Nach fünf Jahren DSGVO sind sich Datenschutzbeauftragte sicher, dass die europäische Gesetzgebung erst der Anfang war. Denn von Anfang an ließ die DSGVO Spielraum für nationale Spezifikationen. Diese sind auch in Deutschland nicht vollständig erlassen, weshalb es auch noch 2023 Rechtsunsicherheiten und Unstimmigkeiten unter den Aufsichtsbehörden gibt.

Auch Hersteller werden bislang in der Datenschutz-Grundverordnung nicht beachtet. So können beispielsweise Software-Lizenzen in der EU gekauft werden, die aber aus Datenschutzgründen gar nicht genutzt werden dürfen. Datenschutzbeauftragte fordern hier ein Nachrüsten der Gesetzeslage, so dass nicht mehr nur die Kunden dieser Hersteller in der Verantwortung stehen.

Sie möchten Ihre Kunden über die Verarbeitung ihrer Daten informieren, oder benötigen eine Analyse Ihrer erhobenen Daten?

Let´s get in touch!

Quellen: