Zwei Jahre DSGVO

"Beim Schutz der Privatsphäre alleine auf die Regierung zu vertrauen, ist ungefähr so, wie einem Voyeur die Installation von Jalousien zu überlassen" - John Perry Barlow, Mitbegründer der Electronic Frontier Foundation (Juli 1992).

Vermutlich jeder, dem der Schutz seiner persönlichen Daten im Internet wichtig ist, wird wahrscheinlich Barlows’s Aussage im Grundsatz zustimmen. Seit der Umsetzung der europäischen Datenschutzgrundverordnung (DSGVO), die darauf abzielte Einzelpersonen die Kontrolle über ihre personenbezogenen Daten zu geben und die Anforderungen an Unternehmen zu vereinfachen, sind mittlerweile zwei Jahre vergangen.

Wie steht es heute um den Datenschutz? Gibt es weniger Datenschutzverletzungen? Nehmen Unternehmen die Verpflichtung zum Schutz von Kundendaten heute ernster? Ist uns der Schutz persönlicher Daten jetzt wichtiger? Es ist schwierig zu sagen ob die DSGVO in diesem Sinne erfolgreich ist, denn wir wissen natürlich nicht wie der Datenschutz auf Basis der alten Regelung heute aussähe.

Ohne Zweifel hat die DSGVO den Datenschutz weltweit verändert. Mit der EU-Gesetzgebung rückte der Datenschutz weltweit in den Hauptstädten und Führungsetagen in den Mittelpunkt. Mittlerweile haben mehr als 100 Staaten individuelle Datenschutzbestimmungen erlassen, einige strenger einige lockerer. Manche Staaten, wie Argentinien, Brasilien, Chile, Japan, Kenia, Südkorea oder Kalifornien haben ihre eigene Gesetzgebung dabei eindeutig an der DSGVO orientiert.

An der wachsenden Zahl von Vorschriften auf der ganzen Welt zeigt sich die Notwendigkeit und die Bereitschaft der Legislativen den Umgang mit Daten zu regulieren. Es entsteht eine zunehmende Komplexität im weltweiten Datenschutz, die ich kürzlich in einem Blogpost erörtert habe. Diese Komplexität wird wahrscheinlich dazu führen, dass Unternehmen versuchen werden ihren Umgang mit Daten weitestgehend zu vereinheitlichen. So wollen sie, im Falle von Datenschutzverstößen, möglichst wenig Angriffsfläche bieten.

Ich bin mir sicher, dass Unternehmen die Durchsetzung der DSGVO durch Aufsichtsbehörden und die Verhängung von Geldstrafen genau beobachten. Die erste große Geldbuße, in Höhe von 50 Millionen Euro, wurde im Januar 2019 von der französischen Datenschutzbehörde CNIL gegen Google verhängt, da der Konzern personenbezogene Daten für verhaltensbasierte Werbung in nicht gesetzeskonform verwendete. Im Juli 2019 wurde dies von der riesigen Geldbuße von 183 Millionen Pfund gegen British Airways übertroffen. Damit bestrafte die britische Datenschutzbehörde (ICO) das Unternehmen für Datenschutzverstöße im Zusammenhang mit der Webseite.

Auch in Deutschland wurden 2019 schon Millionen-Bußgelder verhängt. Der Berliner Datenschutzbeauftragte verhängte eine Strafe von 14,5 Millionen Euro gegen das Immobillienunternehmen Deutsche Wohnen, aufgrund von wiederholten Verstößen gegen die DSGVO bei der Speicherung von Mieterdaten.

Klein nimmt sich dagegen die in Großbritannien verhängte Strafe aus, die gegen den Internetriesen Facebook wegen des Cambridge Analytica Skandals verhängt wurde. Da dieser Verstoß kurz vor Inkrafttreten der DSGVO geschah wurde nur die damalige Höchststrafe von 500.000 Pfund verhängt.

Die weiteren Auswirkungen der DSGVO

Für Verbraucher ist es heute Alltag geworden, dass Unternehmen für jegliche Form von persönlichen Daten, die sie sammeln wollen, um Erlaubnis fragen müssen. Die Tatsache, dass heute eine aktive Einwilligung zur Datenverarbeitung (Opt-In) erforderlich ist, setzt die Messlatte für die Zukunft höher. Selbst, wenn es zukünftig wieder eine Opt-Out-Regelung gäbe - die hervorgehobene Darstellung der Datenschutzhinweise und damit die Möglichkeit des Verbrauchers eine informierte Entscheidung zu treffen, ist, zumindest in Teilen, ein Verdienst der DSGVO.

Der grundlegende Wandel in der Produkt- und Serviceentwicklung kann wahrscheinlich auch in Teilen auf die DSGVO zurückgeführt werden. Datenschutz gehört heute zu den grundlegenden Aspekten jedes Produktdesigns. Denn Verbraucher erwarten diesbezüglich nun vertrauenswürdiges Verhalten von Produktanbietern und diese wiederum wissen, dass datenschutzkonformes Verhalten für ihren wirtschaftlichen Erfolg unumgänglich ist.

Es scheint unmöglich diesen Blogpost zu schreiben, ohne auf die aktuelle Situation in Zusammenhang mit COVID-19 einzugehen. Derzeit werden Contact-Tracing-Apps zur Bekämpfung der Pandemie entwickelt und Telekommunikations-Anbieter stellen Regierungen Standortdaten ihrer Kunden (in anonymisierter Form) zur Verfügung. Wie es sich gezeigt hat spielt die Frage des Datenschutzes, nicht zuletzt aufgrund des Cambrige Analytica Skandals und der DSGVO, dabei weltweit eine große Rolle. Auch in dieser weltweiten Krisensituation wird genau hingesehen, wie personenbezogene Daten zur Bekämpfung der Pandemie eingesetzt werden sollen. Aufgrund dieser Prüfung haben Regierungen schon verschiedene Vorschläge zurücknehmen müssen und Technologiekonzerne entwickeln neue Methoden zur Gewährleistung von Anonymität. Denn es besteht ein allgemeiner Konsens darüber, dass Kontaktverfolgungs-Apps das Recht der Benutzer auf Privatsphäre respektieren müssen.

Die DSGVO hat Datenschutzbefürwortern auf der ganzen Welt geholfen mit ihrer Stimme und ihren Bedenken Gehör zu finden. Die große Frage jedoch bleibt: "Sind die Bürger nun wirklich Eigentümer ihrer persönlichen Daten geworden?" Dazu fällt mir ein Zitat von Steve Jobs ein:

"Datenschutz bedeutet, dass Nutzer genau wissen worauf sie sich einlassen, im Klartext. Ich glaube, die Leute sind schlau. Manche Menschen möchten mehr teilen als andere. Also fragt sie."