Der 25. Mai 2018 ist ohne aufsehenerregende Ereignisse verstrichen. Wahrscheinlich war auch Ihr Postfach in den Tagen davor voll mit aktualisierten Datenschutzrichtlinien und Aufforderungen, Newsletter-Abos beizubehalten. Vielleicht haben Sie sogar selbst welche an Ihre Kunden verschickt, und vielleicht haben Sie die Gelegenheit zum Ausmisten genutzt. Wie sich die Unternehmen nach dem Stichtag fühlen? Werfen wir einen Blick auf die Rahmenbedingungen:
Als Verordnung ist die DSGVO für alle EU-Staaten verpflichtend und hat Vorrang vor nationalen Datenschutz-Gesetzen. Diese müssen an die DSGVO angepasst werden. Da die Bedingungen aber nicht überall dieselben sind, enthält die DSGVO etwa 70 sogenannte Regelungsräume. Sie werden gern als „Öffnungsklauseln“ bezeichnet. Allerdings trifft der Begriff sachlich nicht genau ins Schwarze, denn die nationalen Gesetzgeber können lediglich ergänzen oder konkretisieren, aber nicht über Bord werfen, was ihnen nicht passt. Wo Spielräume bestehen, ist übrigens auch in der DSGVO festgelegt.
Bis jetzt haben neun der 28 EU-Staaten, darunter Belgien, Deutschland, Frankreich, Großbritannien Kroatien und andere, ihre Datenschutz-Gesetzgebung aktualisiert und dabei auch die Regelungsräume genutzt. Die anderen haben Entwürfe vorgelegt, teilweise erst knapp vor dem Stichtag. Rein theoretisch wird die DSGVO zwar seit vergangenem Freitag angewendet, aber in der Praxis hängt die Durchsetzung von den jeweiligen nationalen Datenschutz-Behörden ab. Und solange es in einigen Staaten noch keine klaren Richtlinien gibt, dürfte die Durchsetzung dort schwierig sein.
Die Länder, die ihre Datenschutzgesetze bereits angepasst haben, mussten dabei auch entscheiden, wie streng sie die Durchsetzung der DSGVO ab dem 25. Mai zu handhaben gedenken. Die EU-Justiz-Kommissarin Věra Jourová regte eine bis zu zweijährige Toleranzzeit für Unternehmen an, die noch an der Umsetzung arbeiten. Die französische Datenschutzbehörde Commission nationale de l’informatique et des libertés (CNIL) hat sich für ein strenges Vorgehen entschieden auch für Unternehmen, die nicht schon bereits vor der Anwendung der DSGVO über einschlägige Datenschutz-Grundlagen verfügen. Trotzdem hat sie Nachsicht für die ersten Monate angekündigt, solange Unternehmen nachweisen können, dass sie an Maßnahmen zur Umsetzung arbeiten. Die britische Datenschutzbehörde ICO (Information Commissioner’s Office) setzt zunächst auf die sanfte Tour mit Aufklärung und Förderung, bevor sie auf Strafen zurückgreift. In Deutschland, wo die Zuständigkeit zwischen Berlin und den Ländern aufgeteilt ist, unterscheidet sich das Vorgehen von Bundesland zu Bundesland: Der Norden mit Hamburg und Schleswig-Holstein beispielsweise besteht auf sofortiger Durchsetzung, während Baden-Württemberg und Bayern im Süden eher auf Nachsicht setzen.
Schlussendlich sind es die Bürger in der EU, die den größten Nutzen von der DSGVO haben. Die Behörden der einzelnen Länder mögen unterschiedliche Haltungen bei der Durchsetzung vertreten, aber die treibende Kraft wird am Ende die Zahl der Beschwerden sein, die sie von den Bürgern bekommen. Und das hängt davon ab, wie wichtig den Bürgern ihre neuen Rechte sind und ob sie sie einfordern. Über Unternehmen, die die Rechte missachten, können sie sich beschweren, der Beschwerde muss die Datenschutzbehörde nachgehen. Das dürfte der beste Weg sein, um auf nicht DSGVO-konforme Firmen aufmerksam zu machen. Werden die Behörden dann immer noch Milde walten lassen oder doch durchgreifen? Das kommende halbe Jahr wird es zeigen.
