Unternehmensperspektive

Ein Jahr DSGVO: Was wir bisher gelernt haben

Am 25. Mai jährt sich der Tag der Einführung der Allgemeinen Datenschutzgrundverordnung (DSGVO), die Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, zu Transparenz verpflichtet. Die zwei Jahre vor der Einführung der DSGVO im Jahr 2018 waren in vielen Unternehmen von Unruhe geprägt: Unternehmen überprüften und veränderten ihre Prozesse, um die DSGVO-Richtlinien einzuhalten – und potenzielle Geldbußen in Höhe von bis zu vier Prozent des weltweiten Umsatzes zu vermeiden. In den letzten zwölf Monaten ist diese Unsicherheit einem umsichtigeren und bewussteren Tempo gewichen. Bislang gab es eine relativ geringe Anzahl von Vollstreckungsmaßnahmen, die zu vergleichsweise niedrigen Geldbußen führten, während sich die Regulierungsbehörden um die Einführung der DSGVO und die effektivsten Wege zu deren Durchsetzung bemühten.

Bei einer Diskussionsrunde Anfang diesen Monats auf dem Global Privacy Summit der International Association of Privacy Professionals in Washington D.C., einem jährlichen Treffen von 4.000 Datenschutzexperten aus der ganzen Welt, betonte Helen Dixon von der Irish Data Protection Commission, im Gespräch mit Elizabeth Denham, UK Information Commission, sowie Andrea Jelinek, Vorsitzende des European Data Protection Board, dass Untersuchungen mindestens sechs Monate dauern. Bei einer Anfrage müssen die Regulierungsbehörden zunächst feststellen, ob eine Beschwerde eines EU-Bürgers relevant ist und auf das Niveau einer möglichen DSGVO-Verletzung ansteigt. Viele der zahlreichen Beschwerden, die im letzten Jahr bei den Datenschutzbehörden eingegangen sind, waren einfache Anträge auf Ablehnung von Werbung, die nicht unter die Verordnung fallen. Im Falle einer berechtigten Beschwerde müssen sich die Regulierungsbehörden zunächst besser über die betreffende Technologie informieren. Dies bedeutet, dass sie sich an die Unternehmen wenden müssen, die Gegenstand der Beschwerden sind, um weitere Informationen zu erhalten.

Ein Dialog zwischen Regulierungsbehörden und Unternehmen dient oftmals auch als Mittel zur Lösung von Beschwerden – oder wie Kommissarin Dixon betonte, dass sie lieber "Zuckerbrot" statt "Peitsche" verwendet. Dieser Ansatz spiegelt Kommentare von Dixon im vergangenen Jahr wider, dass Geldbußen nicht das einzige Mittel von Regulierungsbehörden sind. Für Unternehmen heißt dies, dass eine Zusammenarbeit mit den Regulierungsbehörden zu einem besseren Ergebnis führen kann als die Umgehung der Regulierungsbehörden.

Abgesehen von den Untersuchungen hat die DSGVO auch für Vorteile für die Verbraucher in der EU gesorgt: Unternehmen haben ihre Bemühungen intensiviert, die Öffentlichkeit über die Verwendung von Daten aufzuklären. Die Einrichtung von Mechanismen für Zugangs-, Berichtigungs- und Löschanträge hat buchstäblich Millionen von Menschen einen einfachen Weg zu einer besseren Kontrolle, wie ihre personenbezogenen Daten verwendet werden, eröffnet. Zudem wirken sich die den Verbrauchern in der EU gewährten Rechte nachgeschaltet auf viele Nicht-EU-Verbraucher aus. Diese profitieren ebenfalls von verbesserten Praktiken, da Unternehmen in Bezug auf den Datenschutz den Ansatz des größten gemeinsamen Nenners verfolgen.

Bisher lassen die großen Schlagzeilen über abgeschlossene Ermittlungen, die zu enormen Geldbußen führen, noch auf sich warten. Daher lautet die Frage nun, ob Unternehmen selbstgefällig werden und ihre Datenschutzprogramme herunterfahren. Jede Verringerung von Aktivitäten ist allerdings riskant, da veraltete Datenschutz-Folgenabschätzungen oder überholte Datenbestände zu unvollständigen Aufzeichnungen führen. Unvollständige Aufzeichnungen sind für Regulierungsbehörden jedoch ein deutliches Zeichen dafür, dass ein Datenschutzprogramm fehlt und wahrscheinlich einen genaueren Blick verdient. Eine weitere wichtige Frage ist, ob die Compliance-Anforderungen an Unternehmen von Dritten überprüft werden können oder unangefochten bleiben, bis oder solange die Regulierungsbehörden sich melden und mit dem, was sie sehen, nicht zufrieden sind.

Es heißt, dass die Datenschutzrichtlinie von 1995, die der DSGVO vorausging, noch 23 Jahre später ausgelegt wurde – bis sie durch die EU-Verordnung im letzten Jahr ersetzt wurde. Die DSGVO steckt noch in den Kinderschuhen, und zweifellos wird es im Laufe der Zeit zu Änderungen in der Auslegung kommen. Eines zeigt sich jedoch an diesem ersten Jahrestag der DSGVO: Die DSGVO hat die Art und Weise, wie zahlreiche Unternehmen mit Daten umgehen, bereits enorm geprägt. Darüber hinaus werden sich im Zuge der Entwicklung der Datenschutzlandschaft und der dafür geltenden Vorschriften weltweit immer wieder neue Fragen und Ansätze zum Datenschutz ergeben.