Seit dem offiziellen Inkrafttreten der DSGVO ist ein Dreivierteljahr vergangen. Dem umfangreichen Regelwerk, welches fortan die Erhebung und Speicherung personenbezogener Daten in der europäischen Union regelt, ist seitdem viel Skepsis entgegengebracht worden. Während manche die DSGVO als Goldstandard für einen internationalen Datenschutz sehen, tönen aus anderen Ecken viel Kritik und Häme. Die DSGVO sei ein Papiertiger, eine Zumutung oder gar eine Katastrophe. Welche konkreten Entwicklungen können bisher verzeichnet werden?

Anstoß für internationalen Datenschutzdiskurs

Die zahlreichen und teils recht emotionalen Diskussionen, welche die DSGVO nach wie vor begleiten, sind nicht auf Europa beschränkt. Die offizielle Einführung des EU-Regelwerkes hat auch international die Debatte um Datenschutz angestoßen. Denn die DSGVO betrifft nicht nur Dienste aus und in Europa, sondern vielmehr jeden, der von EU-Usern Daten erhebt.

Vielerorts wird seitdem über den Sinn und Unsinn von Datenschutz diskutiert – vor allem im Netz. Denn die Datenschutz-Grundverordnung ist nicht nur ein Versuch, eine einheitliche, juristische Handhabe für digitale Daten zu schaffen; die strengen Auflagen können ebenso als eine Reaktion auf die marktrechtliche Vormachtstellung und den daraus resultierenden Missbrauch großer Internetkonzerne begriffen werden.

Besonders ist diese verstärkte Sensibilisierung in der Berichterstattung um Facebook und deren skandalöse Kooperation mit der Datenanalysefirma Cambridge Analytica zu beobachten. Gleichwohl fragwürdige Praktiken bzgl. der Datenerhebung des Internetriesen eigentlich keine Neuigkeit sind, hat das öffentliche Ansehen der Marke nachhaltig unter den Enthüllungen gelitten.

Datenschutzgrundverordnung in der EU

Schreckgespenst Abmahnwelle und die Panik vor Datenschutzverstößen

Eine der größten Bedenken, die mit Lancierung der Gesetzesnovelle einhergingen, waren massenhafte Abmahnungen gegen Seitenbetreiber. Diese sind zwar nicht in dem Umfang eingetreten, wie zuvor befürchtet wurde; nichtsdestotrotz gab es Phasen von Abmahnwellen, vor allem kleine Anbieter waren hiervon betroffen. Denn es war weitestgehend unklar, welche konkreten Anforderungen die DSGVO nun an Seitenbetreiber stellt, sodass viele den Umstieg versäumten.

Auch die Zahl der Datenschutzbeschwerden ist nach Einführung des neuen Regelwerks regelrecht explodiert: Eine Umfrage der Welt am Sonntag im Juni 2018 ergab, dass die Datenschutzbeauftragten des Bundes und der Länder nach DSGVO-Einführung bis zu zehn Mal mehr Hinweise auf Datenschutzverstöße in Unternehmen erhielten.

Im Zuge dessen wurde auf Juristenseite viel diskutiert, ob solche wettbewerbsrechtlichen Abmahnungen mit Bezug auf die DSGVO überhaupt zulässig sind und auch, ob solche Abmahnungen durch andere Wettbewerber ausgesprochen werden dürfen.

Fakt ist: Zum momentanen Zeitpunkt steht eine abschließende gerichtliche Bestätigung noch aus. Jedoch hat das Landgericht Würzburg im September ein entscheidendes Urteil gefällt: Ein wettbewerbsrechtlicher Unterlassensanspruch eines Mitbewerbers, begründet durch Verstöße gegen die DSGVO, wurde als zulässig erklärt. In dem konkreten Fall hatte eine Rechtsanwältin auf ihrer Internetseite Daten in einem Kontaktformular nicht verschlüsselt, zudem war die Datenschutzerklärung zu kurz und im Impressum untergebracht. Die Entscheidung wird seither häufig als Präzedenzfall angeführt.

Zudem hat die Angst um vermeintliche Datenschutzvergehen zeitweise recht kuriose Blüten getrieben. So machte etwa der Immobilienverband „Haus & Grund“ von sich reden, da dieser die Namensschilder all ihrer Mietwohnungen anonymisieren wollte. Auch eine Kita sorgte für Schlagzeilen, da diese auf Fotos die Gesichter von Kindern schwärzte. Solche und ähnliche Meldungen sind natürlich medienwirksam und zeigen, dass noch einiger Erklärungsbedarf besteht – Privatpersonen sollten sich jedoch nicht von solch künstlicher Panikmache verunsichern lassen.

Die Bildfrage: Was darf ich noch veröffentlichen?

Die DSGVO wirft nach wie vor hinsichtlich der Aufnahme und Verbreitung von Bildern eine Menge Fragen auf. Denn Fotografien zählen zu den personenbezogenen Daten laut der DSGVO.

Nicht nur professionelle Fotografen, auch Journalisten und Privatpersonen plagten viele Bedenken: Was darf überhaupt noch aufgenommen werden? Ist wirklich jedes Mal die Erlaubnis jeder abgebildeten Person einzuholen, wenn beispielsweise ein Schnappschuss in soziale Netzwerke geladen wird? Besonders pessimistische Stimmen prognostizierten gar das Ende der Fotografie, wie sie bisher bekannt war.

Hier hat ein Urteil des Oberlandesgerichtes Köln für etwas Klarheit gesorgt: Das Kunsturhebergesetz, welches Urheberschaft und Verbreitung von Bildern regelt, gelte trotz DSGVO auch weiterhin. Zwar sind trotzdem noch Fragen offen, bis dato hat sich am Alltag von Berufsfotografen jedoch nicht viel geändert.

Digitale Wirtschaft ausgebremst, umfangreiche Anpassungen erforderlich

Messbare Auswirkungen hat die DSGVO vor allem auf die Digitalwirtschaft. Die Auflagen haben nicht nur hierzulande, sondern auch in Übersee massive Unsicherheiten bewirkt. Viele US-amerikanische Anbieter haben europäische Nutzer deshalb einfach blockiert. So sind zum Beispiel etwa 1.100 Nachrichtenseiten nicht mehr für eine Nutzung aus Europa freigegeben. Abgesehen davon wurden auch viele kleine Seiten vom Netz genommen – meist, weil hohe Bußgelder befürchtet wurden.

Die Vorschriften der DSGVO machen auf Unternehmerseite zahlreiche, betriebsinterne Anpassungen notwendig. Ganz allgemein kann festgehalten werden, dass nun viel strenger auf IT-Security zu achten ist. Datenspeicherungen etwa sollen nicht nur transparent sein, Datensätze sollen auf Verlangen auch umgehend gelöscht werden. Das bedarf natürlich entsprechender systemadministrativer Umstellungen, die je nach verwendetem CMS beträchtliche Kosten verursachen können. Zudem müssen viele datenerhebende Stellen nun einen Datenschutzbeauftragten beschäftigen – um nur zwei Beispiele zu nennen. Das online-Magazine „futurezone“ berichtete unter Berufung auf die Versicherung UNIQA, dass solche DSGVO-Ausgaben für Firmen europaweit schätzungsweise im dreistelligen Millionenbetrag lägen.

Richterhammer

Schonfrist ist vorbei: Erste Strafen verhängt

Lange Zeit verhängten die zuständigen deutschen Stellen keine Strafen. Diese inoffizielle Schonfrist endete im November 2018, als der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) ein Bußgeld von 20.000 Euro gegen den Social-Media-Anbieter Knuddels.de verhängte. Dieser wurde Opfer eines Hackerangriffs, bei dem Kriminelle Passwörter und Email-Adressen von Kunden erbeutete. Knuddels.de hatte diese unverschlüsselt und gehasht gespeichert und verstieß damit laut LfDI „wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO“.

In Portugal wurde übrigens das EU-weit erste Bußgeld ausgesprochen. Das Krankenhaus „Centro Hospitalar Barreiro Montijo“ in Berreiro soll mehr Personen Zugriff auf Patientendaten erlaubt haben, als Ärzte beschäftigt sind. Zusätzlich wurde von den Behörden nachgewiesen, dass eingeschränkte Nutzerprofile unkompliziert unbeschränkter Zugang zu allen Daten eingeräumt werden konnte.

Zusammengefasst: Aushandlungen noch im Gange

Auch neun Monate nach Anwendungsdatum ist die Umsetzung der neuer Datenschutz-Grundverordnung noch nicht vollständig abgeschlossen. Unternehmen sollten sich aber sputen: Die verhängten Bußgelder zeigen deutlich, dass die Behörden nun ernst machen. Viele Ängste mögen sich nicht vollumfänglich bewahrheitet haben. Dennoch hat die DSGVO ganz eindeutig Mehrkosten für viele Unternehmen verursacht.

Die wesentlich spannendere Frage bleibt weiterhin, ob die DSGVO einen länderübergreifenden Datenschutz garantiert und den Missbrauch von personenbezogenen Daten ganzheitlich einschränken kann. Dies wird sich wohl erst in Zukunft einschätzen lassen.

 

Mehr zur Datenschutzgrundverordnung lesen Sie auf:

 

Weiterführende Informationen: