Mehr als 100 Tage DSGVO: Was hat sich getan?

Vier Monate ist es her, dass am 25. Mai 2018 die europäische Datenschutz Grundverordnung DSGVO in Kraft getreten ist. Das Beben, das mit der Umsetzung durch Unternehmen jeder Größenordnung bis hin zu Vereinen ging, ist noch nicht abgeebbt.

DSGVO – Schutz vor dem Missbrauch persönlicher Daten

Vom Grundgedanken her mag die DSGVO in Zeiten der Digitalisierung bis in die tiefste Privatsphäre hinein sinnvoll sein: „Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“, heißt es in Artikel 1 der Datenschutz Grundverordnung. So weit so gut. Schützen wollte das Europäische Parlament die Menschen vor allem vor den Datenkraken der Internetkonzerne, die personenbezogene Daten zu wirtschaftlichen Zwecken in großen Umfang verarbeiten und nutzen. Doch getroffen hat das Regelwerk auch Kleinstunternehmen, Handwerksbetriebe, gemeinnützige Vereine, Mittelständler, für die die Umsetzung oftmals mit unverhältnismäßigem Aufwand verbunden war und nach wie vor ist.

Und die verunsichert sind, was sie tun müssen oder dürfen, um noch datenschutzkonform zu agieren, um Abmahnungen und Strafzahlungen zu entgehen. So sind zahlreiche Unternehmen bis heute nicht datenschutzkonform aufgestellt. Ihnen fehlen die entsprechenden Datenschutzkonzepte, von der praktischen Umsetzung ganz zu schweigen. Die Zahl der Unternehmens- und Vereinswebsites, die wegen der gestiegenen Anforderungen aus der DSGVO sicherheitshalber vom Netz genommen wurden, ist in den letzten Monaten deutlich in die Höhe gegangen. Bosch hatte beispielsweise für seine Online-Handwerker-Community zwischenzeitlich die Reißleine gezogen. Amerikanische Zeitungen wie die Chicago Tribune sperren europäische Leser aus ihrem Online-Angebot ganz aus, weil sie die DSGVO nicht umsetzen können oder wollen.

Rechtssicherheit für Unternehmen aller Größenordnungen

Bereits kurz nach Inkrafttreten der Verordnung wurde die Forderung laut, höhere Rechtssicherheit zu schaffen. Unklar ist unter anderem immer noch, ob Verstöße gegen den Datenschutz überhaupt abmahnfähig sind. Ist Datenschutz ein Wettbewerbsfaktor? Entstehen Wettbewerbern Nachteile durch fehlenden Datenschutz des Konkurrenten? Diese Fragen haben bislang weder der  Gesetzgeber noch die Gerichte geklärt. Im „Handelsblatt“ hat Bundesjustizministerin Katarina Barley (SPD) bereits im Juni angekündigt, gegen missbräuchliche Abmahnungen vorzugehen. „Wir werden professionellen Abmahnern das Wasser abgraben. Dafür brauchen wir eine umfassende Lösung. Gerade kleine Unternehmen und Selbständige, aber auch Vereine und Privatpersonen, brauchen einen wirksamen Schutz vor dem Treiben von professionellen Abmahnern.“ (Handelsblatt vom 13.6.2018)

Abmahnwelle ausgeblieben

Möglicherweise auch aufgrund der rechtlichen Unklarheit hat eine Abmahnwelle bislang nicht im prognostizierten Umfang stattgefunden. „Viele der um den 25. Mai in der Öffentlichkeit kursierenden Fehlinformationen zur DSGVO haben zu unnötiger Unsicherheit geführt. Es wurde eine Abmahnwelle befürchtet oder die massenweise Verhängung von Geldbußen durch die Aufsichtsbehörden. Solche Szenarien sind ausgeblieben“, verkündete Anfang September Andrea Voßhoff, Bundesbeauftragte für den Datenschutz. Die Datenschutzbehörden hatten darüber hinaus angekündigt, mit der Verhängung von Bußgeldern zunächst zurückhaltend umzugehen, vielmehr Beratung und Ermahnung in den Vordergrund zu stellen.

Bürger nutzen Rechte aus DSGVO verstärkt

Was nach dem 25. Mai 2018 laut Andrea Voßhoff deutlich zugenommen hat, sind indes die Anfragen und Beschwerden der Menschen bei den Behörden: „Bürgerinnen und Bürger nehmen ihre neuen Rechte nach der DSGVO verstärkt wahr. Dies ist auch anhand der signifikant gestiegenen Eingänge bei den Aufsichtsbehörden erkennbar. So erreichten mein Haus seit dem 25. Mai bis Mitte August insgesamt 1.020 Beschwerden und 1.453 allgemeine Anfragen. Auch die in meinen Zuständigkeitsbereich fallenden Institutionen nehmen ihre Pflichten ernst, meldeten im vorgenannten Zeitraum 4.254 potentielle Datenschutzverstöße und baten darüber hinaus um Beratung. Mit bisher 262 europaweit anhängigen Fällen haben die europäischen Datenschutzaufsichtsbehörden ihre gemeinsame koordinierende Tätigkeit aufgenommen. Diese Entwicklung ist zu begrüßen, denn sie zeigt: Die DSGVO lernt Laufen“, schreibt Voßhoff in einer Pressemitteilung vom 4. September.

Bundesjustizministerin will „Kleine“ schützen

Ende August hat Bundesjustizministerin Katarina Barley (SPD) in der Tagesschau übrigens angekündigt,  dass „kleine Unternehmen, Vereine und Selbstständige […] nach den Plänen bei kleineren Verstößen gegen die DSGVO von kostenpflichtigen Abmahnungen ausgenommen werden.“ Ein entsprechender Gesetzentwurf sollte bis Anfang September 2018 vorliegen.

Trotz dieser Anpassungen der DSGVO bleibt es Aufgabe und Pflicht aller Organisationen – vom gemeinnützigen Verein über den Einzelunternehmer und Handwerker bis zum Großkonzern – die Anforderungen der Vorschrift umzusetzen. Denn sie räumt den Menschen umfassende Rechte ein, denen Unternehmen und Vereine gerecht werden müssen. Dazu gehört das Recht auf Auskunft, welche personenbezogenen Daten erhoben werden, das Recht auf Korrektur falscher oder lückenhafter Daten, das Recht auf Datenlöschung und das Recht auf Datenübertragung. Um diesen Anforderungen zu genügen, sollten Unternehmen und Vereine jeder Größenordnung ein Datenschutzkonzept entwickeln und kurz- bis mittelfristig umsetzen.