Vier Jahre DSGVO – eine Bilanz

12. Mai 2022

Seit dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO). Zeit, um Bilanz zu ziehen. Ob sich die DSGVO in der Praxis bewährt hat, welche Veränderungen für Verbraucherinnen und Verbraucher sowie Unternehmen spürbar sind und an welchen Stellen es Optimierungsbedarf gibt – darüber haben wir mit Datenschutzexperte Tobias Mielke von TÜViT gesprochen.

Die DSGVO gilt nun seit vier Jahren. Was hat sich für Verbraucherinnen und Verbraucher ebenso wie für Unternehmen seither verändert?

Tobias Mielke: Ziel der DSGVO war es, den Datenschutz in Europa zu stärken und zu vereinheitlichen. Beides ist grundsätzlich gelungen – wobei es nach wie vor einzelne nationale Regelungen gibt, die die DSGVO ergänzen können, sie aber nicht verwässern dürfen. Für Bürgerinnen und Bürger hat sie Rechte gestärkt und die Verwendung ihrer Daten transparenter gemacht. Sie haben etwa den Anspruch, zu erfahren, zu welchem Zweck und wie lange ein Unternehmen ihre Daten speichert und mit wem sie geteilt werden. Für Unternehmen haben sich im Gegenzug neue oder umfangreichere Anforderungen ergeben. So müssen sie etwa bei einem Gewinnspiel dokumentieren und nachweisen, dass die jeweiligen Teilnehmenden in die Verarbeitung personenbezogener Daten eingewilligt haben.

Immer wieder kommt es zu Bußgeldern in Millionenhöhe. Aus Ihrer Sicht: Greifen die Sanktionen, und zeigen sie Wirkung?

Die teils empfindlichen Bußgelder sind ein Kernelement der DSGVO und wirken auf viele Unternehmen abschreckend. Wurde der Datenschutz früher teils weniger ernst genommen, ist die Sensibilität dafür mittlerweile deutlich gewachsen, auch bei der Geschäftsführung. Sicher ist bei manchen Unternehmen noch Luft nach oben. Aber die meisten setzen sich mit den Regularien auseinander und setzen diese auch um – um Bußgelder zu vermeiden oder um durch Datenschutzpannen nicht negativ in den Fokus der Öffentlichkeit zu geraten.

In einem aktuellen Fall wurde eine Bremer Wohnungsbaugesellschaft zu einer Strafe von 1,9 Millionen Euro verurteilt, weil sie Daten von Mietinteressierten zu Körpergeruch, persönlichem Auftreten, Hautfarbe, ethnischer Herkunft und sexueller Orientierung speicherte. Soll die DSGVO auch vor Diskriminierung schützen?

Definitiv! Dinge wie die ethnische Herkunft fallen ja unter die besonders schützenswerten Daten und dürfen daher nur unter sehr speziellen Bedingungen verarbeitet werden und wenn die Betroffenen ausdrücklich zustimmen. Beides war in diesem Fall natürlich nicht gegeben. Einem solchen Missbrauch persönlicher Daten treten die Grundsätze der DSGVO entgegen. Da ist zum einen die Zweckbindung, also der Grundsatz, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht für andere Absichten weiterverarbeitet werden dürfen. Und zum anderen die Datenminimierung: Wenn ich eine Dienstleistung plane, muss ich mir immer überlegen, welche Daten dafür tatsächlich erforderlich sind. Beispielsweise für ein Gewinnspiel benötige ich von den Teilnehmenden eigentlich nur die Adresse und die Bestätigung des entsprechenden Alters. Welche Hobbys sie haben, wohin sie gerne reisen und ob sie eine Brille tragen, muss ich dagegen nicht wissen.

Markus Jerger, der Geschäftsführer des Bundesverbands mittelständische Wirtschaft, hat die DSGVO als „gut gedacht, zum Teil schlecht gemacht“ bezeichnet. Vor allem habe die Politik verpasst, die Regelungen der Verordnung klar zu kommunizieren. Wie bewerten Sie diese Kritik?

Diese Einschätzung teile ich in dieser Form nicht. Schließlich ist die DSGVO eigentlich schon 2016 in Kraft getreten. Bis zum Mai 2018 galt eine zweijährige Übergangsfrist, innerhalb der sich die Unternehmen auf die neuen Regelungen einstellen konnten. Nachvollziehbar ist aber in jedem Fall, dass diese für kleine Unternehmen, Webseitenbetreiber oder Arztpraxen eine Herausforderung darstellen. Sie müssen dieselben Anforderungen erfüllen wie große Konzerne, verfügen aber natürlich nicht über dieselben finanziellen und personellen Ressourcen.

Zur Entlastung kleinerer und mittlerer Unternehmen hat die EU vor zwei Jahren Hilfestellungen und Unterstützung durch die nationalen Behörden gefordert. Gibt es solche Maßnahmen bereits?

Tatsächlich finden sich auf den Seiten der Aufsichtsbehörden mittlerweile diverse Vorlagen, Hinweise und FAQs, die einzelne konkrete Fragen beantworten. Die Behörden bieten teils auch Vorträge an, etwa zum neuen Telekommunikation-Telemedien-Datenschutz-Gesetz, das beispielsweise den Umgang mit Cookies regelt. Unternehmen können sich dabei auch an Veröffentlichungen von anderen europäischen Aufsichtsbehörden orientieren. So hat etwa die französische Aufsichtsbehörde einen Leitfaden zur Verarbeitung personenbezogener Daten mittels künstlicher Intelligenz veröffentlicht. Ein Problem besteht sicherlich darin, dass es keine zentrale Anlaufstelle gibt. Mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) haben wir in Deutschland zusätzlich 17 Aufsichtsbehörden, die zu einer Fragestellung auch nicht immer einer Meinung sind.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat selbst eine bessere Zusammenarbeit der Landesbehörden angemahnt. Was sollte sich hier verändern?

Es gibt ja bereits Überlegungen, den Datenschutz in Deutschland zu zentralisieren, so wie es in Ländern wie Frankreich oder Spanien ohnehin der Fall ist. Sei es über eine zentrale Datenschutzbehörde, die natürlich auch personell und finanziell gut aufgestellt sein müsste. Oder die alternativ eine koordinative und schlichtende Funktion übernimmt, etwa in Fällen, wenn Landesdatenschutzbehörden einzelne Fragen unterschiedlich bewerten. Darüber hinaus gilt es aber auch, die Kommunikation und die Zusammenarbeit der Datenschutzbehörden in der EU international zu verbessern.

Wo ist ansonsten noch Luft nach oben?

Datenschutz wird in der breiten Öffentlichkeit immer stärker wahr- und angenommen. Nichtsdestotrotz gibt es hier immer noch Unsicherheiten oder Dinge, die nicht jede und jeder unmittelbar versteht – beispielsweise, unter welchen Umständen Kinder in der Kita fotografiert werden dürfen. Wir sollten Medienkompetenz und Datenschutz daher schon an Schulen vermitteln. Auch hier gibt es bereits entsprechende Angebote. So hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zwei Pixi-Bücher herausgebracht, die Kindern auf einfache Weise den Datenschutz erklären. Auf Seiten der Entwickelnden und der Unternehmen kann man dagegen immer wieder beobachten, dass der Datenschutz als Ausrede angeführt wird, warum sich bestimmte digitale Angebote nicht umsetzen lassen – zuletzt in der Diskussion um die Kontaktnachverfolgung in der Coronapandemie. Dabei lassen sich immer Mittel und Wege finden, um Apps oder Onlinedienste datenkonform zu gestalten, ohne dass dabei die Funktionalität zu kurz kommt. Die Corona-Warn-App ist dafür ein gutes Beispiel.