Die neue Datenschutzgrundverordnung (DSGVO) gilt nun schon zwei Jahre. Seit dem 25. Mai 2018 hat Datenschutz einen höheren Stellenwert erlangt. Gastautor Philipp Quiel zieht im Beitrag ein Resümee.
DSGVO-Verstöße können teuer werden: Aufsichtsbehörden verhängen hohe Bußgelder an Unternehmen.
fotohansel | stock.adobe.com
Der Begriff DSGVO ist mittlerweile Vielen bekannt. Nicht jeder wird jedoch mit der Verordnung nur positive Dinge assoziieren. Eine der zentralen Verbesserungen durch die DSGVO ist auf jeden Fall, dass datenschutzrechtliche Vorgaben innerhalb der EU weitestgehend einheitlich sind. Was vielleicht zunächst eher trivial erscheint, ist in Wahrheit eine politische Errungenschaft und auch praktisch eine Verbesserung für Adressaten der Verordnung. Bevor die DSGVO galt, hatte jeder Mitgliedstaat selbst ein viel umfangreicheres eigenes Datenschutzgesetz, und es gab zum Teil große Unterschiede. Differenzen in der Interpretation der aktuellen Vorschriften werden über lange Sicht eher abnehmen.
Steigendes Bewusstsein
Eine über die vergangenen zwei Jahre zu beobachtende Veränderung war, dass Unternehmen sich zunehmend datenschutzrechtlich beraten lassen. Viele Geschäftsführer und andere Verantwortliche in Unternehmen haben erkannt, dass Datenschutz mit seinen Haftungsrisiken ein essenzieller Teil der Compliance von Unternehmen ist. Dass die Einhaltung datenschutzrechtlicher Vorgaben wirklich wichtig ist, wurde besonders bei Unternehmenstransaktionen sichtbar. Wenn Datenschutz einen erkennbaren Stellenwert hatte und relevante Verträge und Dokumentationen vorhanden waren, hat sich dies stets positiv auf den Wert eines zu verkaufenden Unternehmens ausgewirkt. Negative Folgen haben solche Unternehmen erlebt, die das Datenschutzrecht vorher nicht ernst genommen hatten.
Bußgelder und Urteile zur DSGVO
So erhielten erste Unternehmen Bußgelder. Diese trafen nicht nur Technologie-Riesen, sondern auch mittelständische und kleinere Betriebe. Innerhalb der EU wurden die meisten Bußgelder dafür verhängt, dass kein Erlaubnistatbestand aus Artikel 6 der DSGVO anwendbar war, der die im Einzelfall maßgebliche Datenverarbeitung erlaubt hätte.
In solchen Fällen wurde irrtümlich angenommen, dass Datenverarbeitungen durch einen Erlaubnistatbestand legitimiert waren. Zudem gab es viele Bußgelder wegen unzureichender technischer und organisatorischer Sicherheitsmaßnahmen. Eine passende Rechtsgrundlage zu finden und angemessene Sicherheitsmaßnahmen zu treffen, gehört zu den Grundlagen, weswegen Datenverarbeitende bei diesen Basics ihre Hausaufgaben machen sollten. Vielleicht gibt es durch Covid-19 aktuell eine Art Schonfrist, die aber bestimmt nicht lange andauern wird. Bis Ende 2020 werden wahrscheinlich vor allem Bereiche wie Website-Analytics und Online-Werbung im Zentrum von behördlichen Untersuchungen stehen.
Es gibt bereits auch eine Vielzahl an Urteilen, die sich mit den Vorgaben der DSGVO auseinandersetzen. In diesen Urteilen hat auffällig häufig das Recht auf Auskunft personenbezogener Daten (Artikel 15 DSGVO) eine Rolle gespielt. Unternehmen sollten mittlerweile auf jeden Fall einen Prozess dazu etabliert haben, wie sie einem Auskunftsverlangen rechtskonform nachkommen.
Ausblick
Die ersten zwei Jahre haben gezeigt, dass Datenschutzrecht in der Tat durch die DSGVO einen höheren Stellenwert eingenommen hat. Datenverarbeitende, Aufsichtsbehörden und Gerichte beschäftigen sich intensiv mit der Verordnung. Bislang sind noch lange nicht alle Fragen endgültig geklärt. Je mehr Gerichtsurteile erstritten werden, desto mehr umstrittene Fragen können jedoch geklärt werden.