Allein wegen der Anwendung der DSGVO versprach das Jahr 2018 aus der Sicht der Datensicherheit ein aufregendes Jahr zu werden. Ein gutes halbes Jahr danach liegt viel Arbeit hinter den Firmen; nicht alle haben die Anforderungen bereits umgesetzt. Befürchtungen wegen einer Abmahnwelle haben sich so nicht bewahrheitet, und Geldbußen für Verstöße fielen eher moderat aus. Dafür gab es skurrile Vorfälle, die als Beleg für Untauglichkeit und Praxisferne des neuen Gesetzes herhalten sollten. Unterdessen hat die DSGVO andere Staaten angeregt, den eigenen Datenschutz nach dem Vorbild der EU zu gestalten oder zu erneuern. Hier eine Zwischenbilanz:
Zum Stand der Umsetzung der DSGVO stellte der IT-Branchenverband Bitkom Ende September „kaum Fortschritte bei der Umsetzung der Datenschutz-Grundverordnung“ im Vergleich zu einer entsprechenden Umfrage im Mai 2018 fest. Der Umfrage im September zufolge hat erst ein Viertel der Befragten die DSGVO vollständig umgesetzt, ein Drittel ist größtenteils durch damit. Immerhin 40 Prozent hängen im Niemandsland zwischen „noch nicht angefangen“ und „teilweise umgesetzt“ fest, und ein kleiner Rest weiß bei der Befragung nicht, wo die Firma steht.
Obwohl noch viel zu tun ist, macht sich das Geleistete offenbar bereits bemerkbar – das sollte jetzt kein Vorwand sein, die Weiterarbeit schleifen zu lassen: Laut einer Umfrage von Clearswift, Ende September veröffentlicht, ist die Zahl der durch Insider hervorgerufenen Sicherheits-Vorfälle in den EU-Staaten gesunken, während die US-Teilnehmer der Umfrage einen Anstieg beobachteten.
Abmahnwelle und Bußgelder
Nach dem 25. Mai sind die Unternehmen und Organisationen, die Webseiten betreiben, nicht in der befürchteten Abmahnwelle untergangen. Wobei die Wahrnehmungslage zum Thema Abmahnwelle widersprüchlich ausfällt: Die einen sehen eine oder haben eine gesehen, für andere zeichnet sie sich am Horizont ab, wieder andere vermögen weder für die Vergangenheit noch für die Zukunft derartiges erkennen. Ebenso widersprüchlich sind übrigens die Ergebnisse gerichtlicher Auseinandersetzungen zur Abmahnbarkeit von DSGVO-Verstößen auf Webseiten: Zwei Urteile dazu, eines vom Landgericht Würzburg und eines vom Landgericht Bochum, fallen konträr aus. Bis sich die Rechtsprechung auf eine Linie geeinigt hat, bleibt fürs erste nur eines: dafür sorgen, dass es keinen Anlass für eine Abmahnung gibt.
Die Bußgelder haben nicht, wie befürchtet, zahlreiche kleine Betriebe hinweggerafft. Das erste Bußgeld für ein Unternehmen in Deutschland wurde überhaupt erst im November verhängt und dem Chatanbieter Knuddels auferlegt, in moderater Höhe aufgrund der konstruktiven Zusammenarbeit mit der Datenschutzbehörde. Zuvor war ein Krankenhaus in Portugal mit einer Geldbuße von 400.000 Euro weniger glimpflich weggekommen, es soll bewusst gegen Bestimmungen der DSGVO gehandelt haben.
Geschwärzte Kindergesichter, namenlose Klingelschilder und Ärger beim Metzger
Welchen Aufruhr ein Gesetz wie die DSGVO hervorrufen kann, zeigten geschwärzte Kindergesichter auf Erinnerungsfotos und Namen auf Klingelschildern. Allerdings werden Klingelschilder mit Namen darauf gewöhnlich weder in einem Dateisystem gespeichert noch automatisiert verarbeitet und unterliegen somit nicht der DSGVO, wie die Bundesdatenschutzbeauftragte Andrea Voßhoff klarstellte. Kundinnen, die in bayerischen Metzgerläden mit ihrem Namen angesprochen werden, sollten sich ebenfalls besser nicht auf die DSGVO berufen.
Mit der DSGVO haben auch die geschwärzten Gesichter ziemlich wenig zu tun. Hier geht es um das Recht am eigenen Bild, das in Deutschland Teil des im Grundgesetz verankerten Rechtes auf informationelle Selbstbestimmung ist. Weder das Recht noch der Sachverhalt ist wirklich neu, es hat sich bisher nur niemand darum geschert. Aber wenn wir über den Umweg DSGVO auch im Hinblick auf andere Rechte von Personen sensibler und aufmerksamer werden, kann uns das doch nur recht sein.
Die DSGVO als Blaupause
Im Ausland nutzen Staaten die DSGVO als Vorlage, um die eigene Datenschutz-Gesetzgebung zu verbessern. Unternehmen aus Drittländern, die ihre Angebote an Kunden in der EU richten, müssen für diese ohnehin DSGVO-konform agieren. Länder mit engen wirtschaftlichen Beziehungen zur EU erleichtern ihrer Wirtschaft den Zugang zu diesem Markt mit seinen 500 Millionen Bürgern, wenn sie ihren Datenschutz anpassen. Im Mittleren Osten beispielsweise hat Bahrain im Hinblick auf Ambitionen, das Land zum Datacenter-Hub zu entwickeln, ein an der DSGVO orientiertes Gesetz auf den Weg gebracht; Katar hat bereits zwei Jahre zuvor die Vorbereitungen zur DSGVO zum Anlass genommen, ein Datenschutz-Gesetz zu erlassen. Australien, Brasilien und andere Staaten haben seit Inkrafttreten der DSGVO ihre Vorschriften überarbeitet. Über den jüngsten Zugang im Club, den US-Bundesstaat Kalifornien, haben wir in einem der letzten Beiträge berichtet.
Was die DSGVO bisher bewirkt hat, kann sich sehen lassen, trotz der Unzulänglichkeit einzelner Anforderungen, der Überstunden, der Kosten für Datenschutz-Beauftragte und technische Aufrüstung, des Papierkrams, der Missverständnisse, der schleppenden Bearbeitung gemeldeter Verstöße und so weiter: Datenschutz ist auf der Agenda, und zwar weltweit, mit der Folge, dass wir alle, als Privatperson und Konsument, als Mitarbeiter und Kollege, sorgsamer und bedachter mit eigenen und fremden Daten umgehen. Alles andere wird sich einpendeln.
