Am 25. Mai 2019 jährte sich das Inkrafttreten der Datenschutz-Grundverordnung (kurz DSGVO) zum ersten Mal. Trotz aller Befürchtungen und trotz mancher Panikmache haben sich die Gemüter längst wieder beruhigt und es wird nicht mehr davon gesprochen, dass Klingelschilder abmontiert werden müssten oder eine Abmahnwelle droht.
Der erste Jahrestag der DSGVO ist Grund genug, um eine erste Zwischenbilanz zu ziehen.
Die europäische Kommission hat in einer Pressemitteilung (hier abrufbar) den Jahrestag der DSGVO gefeiert. Hierbei heben die obersten Hüter des Datenschutzrechts zurecht hervor, dass die einheitlichen europaweiten Regelungen bei den Menschen ein neues Bewusstsein geschaffen haben. Dabei geht es sowohl um das Bewusstsein, dass Daten wertvoll sind und geschützt werden müssen als auch darum, dass die betroffene Person nicht schutzlos ist, sondern umfassende Rechte haben, mit denen sie die Verarbeitung ihrer Daten überwachen und gegebenenfalls beenden können.
Weltweite Auswirkungen
Die DSGVO hat mittlerweile sogar weltweite Auswirkungen. Dies zeigt sich nicht nur darin, dass sich Unternehmen in Drittstaaten durch die grenzüberschreitende Verarbeitung oder grenzüberschreitende Übermittlung von Daten mit dem europäischen Datenschutzrecht auseinandersetzen müssen.
Die einheitlichen europäischen Regelungen haben zudem sogar für ein neues weltweites Bewusstsein und ein neues weltweites Interesse am Datenschutz geführt. Dieses neue Interesse hat beispielsweise Reformbestrebungen in Chile, Japan, Brasilien, Südkorea, Argentinien und Kenia ausgelöst.
Herantasten an die Rechte der betroffenen Personen
Auch wenn die neuen Regelungen zu einem erhöhten Bewusstsein bei den betroffenen Personen und den Unternehmen geführt haben, so scheint es doch, dass sich die betroffenen Personen erst noch an ihre neuen Rechte gewöhnen müssen. Ein Herantasten der Verbraucher ist derweil zunehmend bei Auskunfts- und Löschansprüchen (sog. "Recht auf Vergessenwerden") spürbar. Das Recht die Einschränkung der Verarbeitung zu verlangen sowie das Recht auf Datenübertragbarkeit sind jedoch noch nicht spürbar in die Gewohnheiten der Verbraucher übergegangen. Insbesondere Letzteres sollte eigentlich die natürliche Sogwirkung von Internetportalen beschränken; bislang ist bei den einschlägigen Internetportalen allerdings weder eine Wechselwelle noch eine Änderung des Benutzerverhaltens erkennbar.
Folgen erster Verstöße
Neben den Rechten der betroffenen Personen beobachten die Unternehmen zudem mit Spannung die Folgen bekanntgewordener Datenschutzverstöße. In Europa hat der neu geschaffene europäische Datenschutzausschuss zwar mehr als 400 grenzüberschreitende Verstöße in ganz Europa registriert, gleichwohl blieb eine große Flut der Bußgelder im letzten Jahr aus, auch wenn es einzelne Bußgelder in die Medien geschafft haben.
Das bekannteste Bußgeld wurde von der französischen Datenschutzbehörde Commission Nationale de l'Informatique et des Libertés (CNIL) am 21. Januar 2019 in Höhe von 50 Millionen Euro gegen Google verhängt, da der Internetkonzern gegen die Voraussetzungen einer transparenten Datenverarbeitung sowie die Anforderung an die Einwilligung als Grundlage zulässiger Datenverarbeitung verstoßen haben soll.
In Deutschland liegen die bisher bekanntgewordenen Bußgelder hingegen deutlich niedriger. Das zuerst bekannt gewordene Bußgeld des Landesbeauftragten für Datenschutz und Informationssicherheit Baden-Württemberg (LDI BW) gegen ein Chat-Portal betrug gerade einmal 20.000 Euro, was jedoch nach der Pressemitteilung des LDI BW auf eine umfangreiche Kooperation zurückzuführen war. Das indes höchste bekanntgewordene deutsche Bußgeld betrug hingegen 80.000 Euro und wurde von dem baden-württembergischen Datenschutzbeauftragten verhängt.
Ausblick
Während das erste Jahr unter Geltung der DSGVO durch die Organisation der Prozesse sowie die Aufbereitung der Dokumentation geprägt war, wird das - im datenschutzrechtlichen Sinne - neue Jahr vor allem durch materiellrechtliche sowie prozessuale Überlegungen geprägt sein. Durch die anstehenden Entscheidungen der Datenschutzbehörden sowie der damit einhergehenden gerichtlichen Überprüfung werden die Unternehmen und Verbraucher dabei weitere Rechtssicherheit gewinnen. Das Ziel muss es hierbei sein, Rechtssicherheit für die gegenseitigen Rechte und Pflichten zu gewinnen, indem die gegenseitige Verantwortung für den Umgang und die Sicherheit der Daten genauer abgegrenzt und konkretisiert wird. Diese Weiterentwicklung muss genau beobachtet werden, damit die unternehmensinternen Prozesse und die unternehmensinterne Dokumentation auf dem neusten Stand bleiben.
Letztlich sollten Unternehmen den Datenschutz nicht als Hindernis sehen, sondern als Chance, um sich bei den Verbrauchern als zuverlässiges und vertrauenserweckendes Unternehmen zu platzieren.