Ein Jahr EU-DSGVO – Was ist passiert?

Ein Jahr EU-DSGVO – Was ist passiert?

Die Datenschutzgrundverordnung (EU-DSGVO) hat am 25. Mai 2019 Jahrestag – doch was hat sich nach etwa einem Jahr ihrer Anwendung eigentlich getan? Als die EU-DSGVO nach der zweijährigen Über¬gangsphase am 25. Mai 2018 für alle Unternehmen und Institutionen in Europa verbindlich wurde, wurden sie auch dazu verpflichtet, sorgfältiger mit den persönlichen Daten der Kun¬den umzugehen und sämtliche Informationspflichten gegenüber den Kunden zu erfüllen. Insbesondere bei kleinen und mittelständischen Unternehmen (KMU) wurde dadurch die Angst geschürt, den Anforderungen an den komplexen und aufwändig gewordenen Datenschutz nicht ausreichend zu genügen und so hohe Strafzah¬lungen zu riskieren.

Nach Ablauf eines Jahres geht es nun darum, zu ermitteln, was sich im ersten Jahr der Anwen¬dung in Sachen EU-DSGVO -Datenschutz getan hat. Eine Studie, die vom Branchenverband in der Informa¬tionstech¬nologie (BITKOM) im September 2018 durchgeführt wurde, hat herausge¬funden, dass bis dahin lediglich ein Viertel aller Unterneh¬men die neuen Datenschutzrichtlinien im unternehmeri¬schen Betrieb umgesetzt hat, während 40 % zumindest erste Anstrengungen unternommen hätten, dabei aber kein einheitliches Konzept verwenden und 5 % aller Unternehmen hatten noch nicht einmal einen Anfang gemacht. Als mögliche Ursachen der fehlenden Aktivität wurden die Rechtsun¬sicherheit und der vergleichs¬weise hohe Umsetzungsaufwand genannt. Selbst versierte und erfahrene Datenschützer haben bis heute Schwierigkeiten, zu bestimmen, wie die Regelungen des EU-DSGVO im Detail auszulegen sind.

Doch auch die praktischen Dinge, die für die tägliche und konsequente Anwendung der Verordnung in Unternehmen gebraucht werden, wurden maßgeb¬lich vernachlässigt. Die meisten KMU haben diese Phase verschlafen, stattdessen schüren Rechtanwälte bzw. Berater Ängste und Panik. Es hat sich gezeigt, dass viele Rechtsanwälte ihr Mandanten direkt anschwärzten. Die zuständigen Daten¬schutz¬behörden werden von Fragen und Anzeigen überhäuft, reagieren aber mit Unverständnis und Überraschung auf die extrem negative Resonanz in der Wirtschaft.

Die Nachwirkungen sind bis heute zu spüren, denn das fehlende Ver¬ständnis für die positiven Aspekte der EU-DSGVO werden durch die negativen Aspekte – namentlich die komplexe Umsetzung und die finanziellen Folgen bei der Feststellung von Verstößen – überlagert.

Neue Entwicklungen durch die EU-DSGVO

Die EU-DSGVO verunsichert – noch immer. Auch die Meinung zu den Maßgaben des neuen Daten-schutzes sind nach wie vor sehr unterschiedlich – bei den einen gilt die EU-DSGVO als rich¬tungs-weisend für den grenzüberschreitenden Schutz personenbezogener Daten, die anderen stehen der Umsetzung eher skeptisch gegenüber, sie titulieren den Richtlinienkatalog als „bürokratisches Monster“ oder als „echte Zumutung“.

Die richtige Anwendung der EU-DSGVO im Unternehmen kann nach wie vor nicht eindeutig geklärt werden – da es selbst versierte Datenschutzbeauftragte bei der Auslegung der Vorschriften noch un¬sicher sind. Dennoch hat die EU-DSGVO es geschafft, das Thema „Datenschutz“ national und inter¬national mehr ins Bewusstsein aller Beteiligten zu rücken und hat die Aufmerksamkeit erhalten, die er verdient.

Neue Probleme in der praktischen Umsetzung

Je tiefer Unternehmen in die Anwendbarkeit der EU-DSGVO einsteigen und je genauer sie die Vorschrif¬ten umsetzen wollen, desto relevanter ist die Klärung von Detailfragen. Während es in den ersten Monaten nur darum ging, den eigenen Informationspflichten gegenüber den eigenen Kunden und Mitarbeiter zu genügen, geht es mittlerweile darum, die EU-DSGVO auf die Datenverwendung in Zusammenarbeit mit Partnerunternehmen auszuweiten, die dann die entsprechenden Kundendaten verarbeiten. Außerdem gibt es immer wieder Fragen, bei denen ein Ermessensspielraum eingeräumt wird und die nicht pauschalisiert werden können.

Nach wie vor herrscht bei vielen Unternehmen Unsicherheit darüber, wie fremdes Bildmaterial – Fotos, aber auch Videos – im Hinblick auf die EU-DSGVO zu bewerten ist. In diesem Fall kommt allerdings primär das Datenschutzrecht zum Tragen, um das Urheberrecht zu schützen.

Wie zu erwarten war, leidet die digitale Wirtschaft besonders unter den Regelungen der DSGVO. Wie sich bisher gezeigt hat, haben mehrere US-amerikanische Digitalunternehmen aufgrund der in Europa gelten¬den Richtlinien als Anlass benutzt, um in Europa ansässige Tochterunternehmen zu blockieren. Der Grund waren Gefahren bei der Anwendung der DSGVO. Mehr über Gefahren der DSGVO erfahren Sie hier: Gefahren bei der Anwendung der DSGVO

Neue Anforderungen an die IT-Security

Die Maßgaben der Verordnung machen es notwendig, dass auch für die IT-Security neue Anforde-rungen gelten müssen. Mittlerweile reicht es nicht mehr aus, die Infrastruktur auf den neuesten technischen Stand zu bringen, eine hochklassige Antivirensoftware und eine Firewall einzusetzen, um die personenbezogenen Daten zu schützen. Nach dem Artikel 30 DSGVO muss nun ein durchgängig schriftlich zu führendes „Verzeichnis von Verarbeitungstätigkeiten“ geführt werden, in der eine Auflistung der Verarbeitung der personenbezogenen Daten im Detail erfasst wird. Außerdem muss eine Speicherung durchgehend transparent erfolgen, die Löschung einzelner Datensätze hat sofort zu erfolgen.

Es ist zwar nicht bekannt, inwieweit diese neuen Vorgaben an die IT-Sicherheit in Unternehmen bisher umgesetzt worden sind – doch die bereits genannten Zahlen lassen nichts Gutes ahnen. Allerdings vergeben die zuständigen Behörden für Datenschutz nun vermehrt Abmahnungen, wodurch es durchaus sinnvoll ist, die IT-Sicherheit im Unternehmen ganzheitlich zu verbessern.

Erste Urteile sind gefallen

In Deutschland wurden Unternehmen über einen längeren Zeitraum vor behördlichen Prüfungen und Bestrafungen für einen Verstoß gegen die DSGVO verschont, denn die befürchtete Welle an Abmahnungen ist bisher ausgeblieben. Dennoch hat es mittlerweile mehrere Unternehmen getroffen – die deutsche Chatplattform „Knuddels“ wurde im November 2018 zu einer Zahlung von 20.000 Euro verurteilt, da das Unternehmen die personenbezogenen Daten der Nutzer unverschlüsselt abgespeichert hatte. Durch einen Hackerangriff fielen die unverschlüsselten Daten in die Hände Unberechtigter. Am Oktober 2018 soll ein portugiesisches Krankenhaus „Barreiro Montijo“ den nicht unbeträchtlichen Betrag von 400.000 Euro zahlen, da der Zugriff auf Patientendaten zu einfach war.

Doch auch die Großen der Branche bleiben keinesfalls verschont. Ende Januar 2019 wurde Google in Frankreich zu einer Rekordstrafe in Höhe von 50 Millionen Euro verurteilt, wobei dies nur der Anfang sein könnte. Als Grund gibt das französische Gericht an, dass Google seine Nutzung von personen¬bezogenen Daten intransparent halte, seiner Informationspflicht nicht nachkomme und sich nicht explizit eine Nutzungseinwilligung geben ließe.

Erfahren Sie mehr über verhängte Strafen durch Misachtung der DSGVO am Beispiel Berlin. Datenschutz Strafe – Bußgeld in Millionenhöhe in Berlin

Damit Sie die EU-DSGVO vollständig und richtig umsetzen

Gerade kleine und mittelständische Unternehmen und Vereine sind mit der Umsetzung der EU-DSGVO oft überfordert, da ihnen das entsprechende Fachwissen fehlt. Werden Strafzahlungen fällig, kann dies für KMU schnell existenzbedrohend sein.

Selbst wenn Sie auf dem Bereich des Schutzes von personenbezogenen Daten nach der EU-DSGVO oder des neuen Bundesdatenschutzgesetzes (BDSG neu) nicht vertraut sind und die Anforderungen, die dort formuliert sind, wohl eher in die Kategorie „Böhmische Dörfer“ fallen gibt es Hilfe.

Der Datenschutzstarter wurde von securime entwickelt hilft KMU, ihren Pflichten nach der EU-DSGVO nachzu¬kommen – auch ohne das entsprechende Fachwissen. Das intuitiv bedienbare, digitale Tool berät und unterstützt die Unternehmen dabei, die rechtlichen Voraussetzungen zu erfüllen und hilft ihnen, sich Schritt für Schritt und mit Erklärungen und Hinweisen das notwendige Anwenderwissen anzueignen und macht es möglich, dass jedes Unternehmen ein ausreichendes Datenschutzniveau erreichen kann. Hierbei kann ihnen ein externer Datenschutzbeauftragter behilflich sein.

Welche zukünftigen Herausforderungen warten auf die EU-DSGVO?

Die Künstliche Intelligenz (KI), Machine Learning und das „Internet der Dinge“ (IoT) wird das Leben der Menschen verändern und hat bereits heute einen großen Einfluss im Alltag. Für die Weiter-entwicklung und Perfektionierung dieser zukunftsweisenden Technologien ist die Verwendung von personenbezogenen Daten unerlässlich.

Vor dem Hintergrund des Schutzes personenbezogenen Daten auf Basis der EU-DSGVO – hier sind vorrangig die Transparenz¬pflicht und die Rechte der Betroffenen zu nennen – bleibt ihre sichere Nutzung in Kombination mit der KI ein Drahtseilakt.

Dieser Artikel könnte Sie auch interessieren: Zusammenhang zwischen EU DSGVO und IT Forensik