Suchen

Happy Birthday, DSGVO Vom teuren Alptraum zum neuen Y2K-Bug?

| Autor / Redakteur: Wolfgang Huber* / Dr. Jürgen Ehneß

Für viele Unternehmen war die DSGVO ein Schreckensszenario, denn es wurde prognostiziert, dass sich das Gesetz auf alles auswirken werde, was sie in Zukunft mit Daten tun würden. Doch in Wirklichkeit könnte man nun beinahe sagen, es sei nur ein weiterer Jahr-2000-Bug-Moment gewesen.

Firmen zum Thema

Zwei Jahre DSGVO – ein Kommentar von Wolfgang Huber von Cohesity.
Zwei Jahre DSGVO – ein Kommentar von Wolfgang Huber von Cohesity.
(Bild: gemeinfrei / Pixabay )

Bevor die DSGVO im Mai 2018 in Kraft trat, wurde spekuliert, es sei das Ende für die Generierung von Marketing-Leads, jeder Verstoß werde geahndet und keine Firma würde einer Geldstrafe entgehen. Es wurde vorausgesagt, dass die geschätzten Strafen 79-mal höher sein würden als die unter dem früheren Datenschutzgesetz. Eine andere Prognose besagte, dass alleine Banken in den kommenden Jahren mit 4,7 Milliarden Euro bestraft werden könnten.

Für die Verbraucher wurde das Recht, vergessen oder „gelöscht“ zu werden, angepriesen, und die Kontrolle über ihre Daten, so schien es, könnte zu den Menschen zurückkehren. Mit dem Herannahen des Mai 2018 kam auch eine Flut von E-Mails von Websites, die wir vor zehn Jahren einmal benutzt hatten, um ein zufälliges Geschenk für jemanden zu kaufen. Darin wurden wir aufgefordert, unsere Präferenzen zu aktualisieren, oder wir riskierten, nie wieder von ihnen zu hören. Es war eine ziemlich chaotische Zeit, denn die Unternehmen hatten Mühe zu verstehen, was genau sie tun mussten, um konform zu sein.

Insgesamt hat die DSGVO ohne Zweifel zu einem besseren Verständnis des Datenschutzes beigetragen und deutlich gemacht, wie schlecht einige Unternehmen mit persönlichen Daten umgehen. Viele sind jedoch nach wie vor unzufrieden mit dem Ausbleiben von Bußgeldern, da sie dies als eine Voraussetzung dafür ansehen, damit wirkliche Veränderungen passieren.

Bußgelder in der Warteschleife

Da viele multinationale Technologiefirmen Irland als Hauptquartier für ihre europäischen Geschäfte nutzen, obliegt es dem irischen Datenschutzbeauftragten (DPC), in diesen Fällen die Ermittlungen für ganz Europa zu leiten. Dies ist auf eine DSGVO-Regel zurückzuführen, die als „One-Stop-Shop“ bekannt ist und besagt, dass Unternehmen dort, wo sie ihren Hauptsitz haben, mit der Durchsetzung rechnen müssen. Der Haken dabei ist, dass das irische DPC-Büro finanziell und personell nicht besonders gut ausgestattet und die Arbeitsbelastung dementsprechend hoch ist.

Laut einer von der Anwaltskanzlei DLA Piper veröffentlichten Untersuchung wurden seit der Einführung der DSGVO im Mai 2018 etwa 160.000 Datenverletzungen gemeldet. In den vergangenen zwölf Monaten ist die Zahl der gemeldeten Datenverletzungen um über 12 Prozent gestiegen.

Im vergangenen Mai berichtete das Data Protection Board, dass die EU-Staaten 206.326 Fälle nach dem Gesetz geprüft haben. Der irische DPC hatte zu diesem Zeitpunkt Untersuchungen zu mindestens 17 multinationalen Unternehmen eingeleitet.

Die Regulierungsbehörden sind auch bereits gegen große Technologieunternehmen und Vertreter anderer Branchen vorgegangen, die es versäumt haben, Verbraucherdaten angemessen zu schützen, aber die Geldstrafen wurden nicht vollzogen, abgesehen von den Fällen, in denen lokale Behörden Zahlungen gefordert haben. Eine Lösung wäre unserer Meinung nach eine verstärkte Partnerschaft zwischen den Mitgliedsstaaten und eine bessere Zusammenarbeit in Form eines – ironischerweise – Austauschs sensibler Daten. In Deutschland gibt es eine Reihe vernetzter regionaler Behörden zur Unterstützung des Datenschutzes, und ähnlich sind die ICO in Großbritannien und die CNIL in Frankreich unglaublich aktive und einfallsreiche Organisationen. Wir sind zwar nicht der Meinung, dass hohe Bußgelder ohne gebührende Sorgfalt verhängt werden sollten, aber wenn die großen Fälle nicht untersucht und Konsequenzen gezogen werden können, verliert man die Unterstützung kleinerer Unternehmen. Diese Aufgabe sollte nicht allein auf dem irischen DPC lasten.

Pandemie + Datenschutz = ein heißes Eisen

In Wirklichkeit ging es bei der DSGVO nicht nur um mehr Schutz und Rechte in Bezug auf individuelle Daten. Es war ein Weckruf für Unternehmen mit europäischen Kunden auf der ganzen Welt, ihre Praktiken im Hinblick auf das Sammeln von Informationen über Einzelpersonen zu verbessern. Es war ein Aufruf, aufzuräumen und dadurch für die nächste Stufe der digitalen Innovation bereit zu sein.

Die EU hat weltweit ein beträchtliches Gewicht und eine hohe Glaubwürdigkeit, und die DSGVO sowie die Datenschutzrichtlinie für elektronische Kommunikation sind das, was einem „How to“-Handbuch für die Unternehmen am nächsten kommt, um sich in der gegenwärtigen Informationswirtschaft zurechtzufinden.

Inzwischen wird die Diskussion rund um den Datenschutz jedoch primär von einem neuen Thema bestimmt: Im Mittelpunkt stehen dabei die Daten, die für den Umgang mit dem Coronavirus gesammelt werden. Regierungen testen und implementieren Rückverfolgungsapplikationen, um die Ausbreitung der Infektion zu verfolgen und das Coronavirus besser zu verstehen.

Obwohl die europäischen Gesetze streng sind, sind Ausnahmen für Krisen im Bereich der öffentlichen Gesundheit bereits von Anfang an festgeschrieben. Jegliche Nutzung von Daten muss verhältnismäßig sein und nach Ende der Krise eingestellt werden.

Die Frage stellt sich, was für uns wichtiger ist: Datenschutz oder Leben retten? Diese Frage ist für die Regierungen nicht leicht zu beantworten und löst eine Fülle von Debatten aus. Das ist gerechtfertigt.

Datenschutz im Jahr 2020 und darüber hinaus: ein Drahtseilakt

Die DSGVO hat zweifellos für einige Unternehmen große und für andere eher kleine Veränderungen bewirkt, ohne jedoch verbindlich für alle vorzuschreiben, wie das eigentliche Ziel erreicht werden soll. Es ist zweifellos ein Fortschritt gegenüber früheren Datenschutzprinzipien, aber es ist nicht die perfekte endgültige Lösung.

Die jüngsten Ereignisse machen deutlich, dass es noch weitere Kompromisse geben wird. So wie Einzelpersonen ihre Privatsphäre für den kostenlosen Zugang zu einem sozialen Netzwerk eingetauscht haben, so werden Einzelpersonen jetzt daran interessiert sein, einen Lockdown zu Hause gegen ein gewisses Maß an Freiheit einzutauschen, um wieder ein wenig Normalität zu erreichen.

Die Zukunft der DSGVO in ihrer jetzigen Form hängt davon ab, ob das irische Datenschutzministerium in der Lage sein wird, Meldungen zu bearbeiten und Untersuchungen gegen Unternehmen durchzuführen, die sich nicht an die Compliance-Richtlinien halten und/oder schlechte Datenverwalter sind. Es ist weithin bekannt, dass Geldbußen eine wirksamere Abschreckung darstellen, wenn sie öffentlich verhängt werden. Wenn dies nicht getan wird, warum sollten Vorschriften dann eingehalten werden?

Wolfgang Huber, Regional Director Central Europe bei Cohesity
Wolfgang Huber, Regional Director Central Europe bei Cohesity
(Bild: Cohesity)

Aus gutem Grund wurde in der Verordnung auf Technologieauflagen verzichtet, und die Richtlinien sollten diese Flexibilität bewahren und potenzielle Wege für künftige digitale Innovationen eröffnen. Wir glauben, dass größere kollektive Anstrengungen der Technologiebranche dazu beitragen können, die Datenmengen zu minimieren, die Datenfragmentierung zu verringern und die Berichterstattung für Unternehmen zu standardisieren, damit diese nicht nur die Einhaltung der Verordnung nachweisen können, sondern auch den Schutz personenbezogener Daten gewährleisten.

*Der Autor: Wolfgang Huber, Regional Director Central Europe bei Cohesity

(ID:46604911)