Datenschutz-Akademie » Datenschutz-News » Datenschutz-Bilanz 18 Monaten DSGVO
Die Bilanz nach 18 Monaten DSGVO
Seit dem 25. Mai 2018 ist die DSGVO wirksam. Vor ihrer Verabschiedung gab es Jahre lang die heftigste Lobbyschlacht in der Geschichte der EU. Auch in der Folgezeit war sie umstritten, obwohl die befürchtete Abmahnwelle ausblieb. Nachdem sie seit eineinhalb Jahren anwendbar ist, kann man nun folgende Bilanz ziehen.
Hoher Umsetzungaufwand der DSGVO hindert Unternehmen
Inzwischen haben zwei Drittel der Unternehmen die neuen Datenschutzregeln größten Teils umgesetzt. Allerdings hat erst ein Viertel die Umsetzung vollständig abgeschlossen. Das ist das Ergebnis einer Befragung unter mehr als 500 Unternehmen aus Deutschland, die der IT-Verband Bitkom im September vorgestellt hat. Rechtsunsicherheit und der schwer abzuschätzende Umsetzungsaufwand sind für jeweils zwei Drittel der Unternehmen die größten Herausforderungen. Am aufwändigsten ist es für Unternehmen, die neuen Informations- und Dokumentationspflichten zu erfüllen. 95 Prozent sind sogar der Meinung, die DSGVO sei nicht komplett umsetzbar. Und 74 Prozent berichten, dass ihre Kunden genervt seien von Infoblättern und Hinweisen zu den neuen Regeln. Doch die Unternehmen sehen auch Positives: So sind knapp zwei Drittel Prozent überzeugt, dass die DSGVO weltweit Maßstäbe für den Umgang mit Personendaten setzen wird. Und 57 Prozent erwarten, dass die DSGVO zu einheitlicheren Wettbewerbsbedingungen in der EU führt.
Nur eine Minderheit hat die DSGVO komplett umgesetzt
Ein überwiegend ernüchterndes Fazit zieht auch eine Studie der Unternehmensberatung Capgemini (ebenfalls vom September), für die 1100 Manager aus Europa, Indien und den USA befragt wurden. Zeigten sich im Vorjahr noch 78 Prozent der Führungskräfte optimistisch, die neuen Regulierungen zügig umsetzen zu können, so sind heute nur noch 28 Prozent der Ansicht, dieses Ziel vollständig erreicht zu haben. Knapp ein Drittel gab immerhin an, „weitgehend“ DSGVO-konform zu sein. Die komplette Erfüllung der DSGVO scheiterte vor allem an der Anpassung der IT-Systeme, der Komplexität der Regulierungsanforderungen und den hohen Kosten bei der Umsetzung. Andererseits bringt die Erfüllung messbare wirtschaftliche Vorteile mit sich, finden 92 Prozent der DSGVO-konformen Unternehmen. Dazu zählen sie Steigerungen und Verbesserungen in Cybersicherheit, Transformationsprozessen, Kundenvertrauen, Markenimage und Mitarbeitermoral.
Während die Aufsichtsbehörden sich zunächst bei Verstößen gegen die DSGVO auf das Informieren und Mahnen von Unternehmen beschränkt hatten, verhängen sie inzwischen teilweise saftige Bußgelder. Die Top Ten der Strafzahlungen 2019 belaufen sich auf 402,6 Millionen Euro. Spitzenreiter ist British Airways mit 204,6 Millionen Euro, gefolgt von der Hotelgruppe Marriott mit 110,4 Millionen und Google Frankreich mit 50 Millionen. Gegen die Österreichische Post ÖPAG wurde eine Sanktion von 18 Millionen Euro verhängt. Die ÖPAG hatte von 2,2 Millionen Bürgern neben Daten wie Name, Adresse, Geschlecht und Alter auch die Parteiaffinität abspeichert. In Deutschland war das höchste bisher verhängte DSGVO-Bußgeld ein Bescheid der Berliner Datenschutzbeauftragten in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE. Insgesamt hat die Berliner Behörde bis September 27 Bußgelder nach der DSGVO erlassen. Zuletzt sanktionierte der Bundesdatenschutzbeauftragte den Telekom- und Internet-Konzern 1&1 Drillisch. Seine Tochterfirma 1&1 Telecom soll 9,6 Millionen Euro zahlen.
Lange Datenschutzerklärungen überfordern die Verbraucher
Eine Evaluation der DSGVO vom November 2019 im Auftrag des Verbraucherzentrale Bundesverbands (vzbv) machte viele Verbesserungsvorschläge. So überfordern den Verbraucher oft ungeeignete Informationen und unübersichtliche Entscheidungszwänge. Das ist die Folge der Praxis, über alle vagen, langfristig möglichen Datenverarbeitungen bereits beim ersten Kontakt durch Verweis auf eine umfassende Datenschutzerklärung zu informieren. Notwendig sei daher ein neues, an den Interessen der Verbraucher orientiertes Informationskonzept. Danach müssen die Datenschutzinformationen entscheidungsrelevant, interessenabhängig in der jeweiligen Situation und rechtzeitig vor der Datenverarbeitung angeboten werden. Die Technik müsse datenschutzfreundlich so gestaltet werden, dass Datenschutz nicht zur Belästigung des Verbrauchers werde, sondern situationsadäquat und wo möglich auch automatisiert erfolge. Einwilligungen könnte man etwa nach vordefinierten Kriterien automatisiert durch ein digitales „Alter Ego“ des Verbrauchers in seinem Auftrag erteilen und Geräteeinstellungen ebenfalls automatisiert an seine Wünsche anpassen. Schließlich empfiehlt das vzbv-Gutachten, dass die Aufsichtsbehörden und Gerichte neben der Rechtsdurchsetzung auch handhabbare Erläuterungen geben sollten, die klarstellen, wie die oft unscharf umrissenen Vorgaben der Grundverordnung umzusetzen sind.
Externer Datenschutzbeauftragter
Gern können Sie uns als externen Datenschutzbeauftragten (DSB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.
Darüber hinaus hat sich das Regelwerk auch auf die Mail-Verschlüsselung ausgewirkt. Während Unternehmen aus stark regulierten Branchen wie Banken und Versicherungen sowie Pharmaunternehmen schon länger die Ende-zu-Ende-Verschlüsselung einsetzen, interessieren sich aktuell besonders der Handel und die Lebensmittelindustrie dafür. Der Grund dafür ist, dass viele große Handelsketten mit den Lebensmittelherstellern nur verschlüsselt kommunizieren wollen, um sich bei Bestellmengen, Preisen und anderen Konditionen nicht in die Karten schauen zu lassen. Hohes Interesse zeigen daneben Notare und Ärzte, die zu den Berufsgeheimnisträgern zählen.
Im Übrigen ist damit zu rechnen, dass viele positive Auswirkungen der DSGVO für Verbraucher und Markt erst in Zukunft eintreten werden, da Rechtsdurchsetzungsverfahren oft mehrere Jahre dauern. Gemäß Artikel 97 DSGVO muss die EU-Kommission dem Europäischen Parlament und dem Rat bis zum 25. Mai 2020 einen Bericht über die Bewertung und Überprüfung der DSGVO vorlegen. Falls erforderlich, soll sie geeignete Änderungsvorschläge machen.
Fazit
Noch hapert es in vielen Unternehmen mit der vollständigen Umsetzung der DSGVO. Doch auch wenn das Regelwerk kompliziert und abstrakt ist, bringt seine Einhaltung viel Nutzen. So werden die Transformationsprozesse und das Image besser und die Kunden fassen Vertrauen.
- Datenschutzbeauftragte berichten aus der Praxis - 26. März 2020
- Datenschutz und Datensicherheit im Homeoffice - 26. März 2020
- Nutzung sozialer Netzwerke durch Behörden - 9. März 2020