Bilanz nach zwei DSGVO-Jahren: Wo es noch hapert

Der 25. Mai 2018 war ein denkwürdiger Tag. Denn bis zum Inkrafttreten der DSGVO war sie beziehungsweise ihre „Vorgängerin“ zuvor dem größten Teil der Bevölkerung kaum bewusst. Entsprechend heftig war das Medienecho – auf einmal sah sich jeder einzelne mit neuen Rechten, aber auch Pflichten konfrontiert. Inzwischen sind zwei Jahre ins Land gegangen. Also ein idealer Zeitpunkt für einen Blick über die Schulter.

Hohe Bußgelder sind inzwischen „gelernt“

Auch wenn die Bürger Europas nicht explizit darum gebeten hatten: Die DSGVO hatte zum Zweck, den Datenschutz an die rasante Entwicklung der Digitalisierung anzupassen und den Bürgern ein funktionierendes Regelwerk an die Hand zu geben. Von jedem einzelnen – vor allem aber von Unternehmen – wird seither ein strikter Schutz von personenbezogenen Daten gefordert, der nachweisbar sein muss. Es war nur eine Frage der Zeit, bis die ersten nachlässigen Firmen zum Teil horrende Bußgelder zahlen mussten. Nach einer stillschweigend von den Datenschutzbehörden gewährten Schonfrist klingelten die Kassen. Insgesamt wurden bis Juni 2020 bereits Bußgelder in einer Gesamthöhe von 26 Millionen Euro an Datenschutz-Sünder verhängt.

Dabei wurden die Deutsche Wohnen und der Telefon-Konzern 1&1 besonders hart bestraft: 14,5 Millionen beziehungsweise 9,55 Millionen Euro standen auf den Bußgeldbescheiden. Dagegen kam Facebook in Deutschland relativ „günstig“ davon, obwohl die Plattform als nicht gerade sehr um Datenschutz bemüht gilt: 51000 Euro wurden bislang als Bußgeld verhängt. Dies übrigens allein deshalb, weil es Facebook unterlassen hatte, über den Austausch seines Datenschutzbeauftragten korrekt zu informieren. Diese Notiz ist insofern wertvoll, als sie deutlich macht, dass aus Sicht des Endverbrauchers nicht unbedingt ein perfider Trick einer sogenannten „Datenkrake“ nötig sein muss, um mit der DSGVO zahlungspflichtig in Konflikt zu geraten. Auf der anderen Seite: Manche Bußgelder waren mit nur wenigen Hundert Euro abgegolten. Erstaunlicherweise ist vor allem das sonst als „streng“ bekannte Bayern bei Datenschutzverstößen noch sehr liberal unterwegs: Es kam bisher nur zu einem Verfahren mit einem Bußgeld. 100 Millionen Euro beträgt die Bußgeldsumme, die bisher in ganz Europa von Datenschutzbehörden kassiert wurden.

Datenschutz-Flickenteppich

Die DSGVO findet weltweite Anerkennung: Die Staaten Japan, Südkorea, Kalifornien und einige andere wollen sich die DSGVO zur Grundlage für eigene Datenschutz-Verordnungen machen. Auch wenn das Lob für die Verordnung von vielen Seiten groß ist, wird natürlich auch auf etliche Punkte hingewiesen, die einer Nachbesserung bedürfen. Vor allem eine Entbürokratisierung soll erreicht werden. Dies betrifft die zum Teil sehr peniblen Auflagen, die mit der Dokumentation und Information über eigene Datenschutzvorkehrungen zu tun haben. Auch eine verbesserte Zusammenarbeit der Datenschützer Europas wird angemahnt. Einige EU-Parlamentarier sprechen von einem DSGVO-Flickenteppich. Jeder der 27 EU-Mitgliedstaaten kocht sein eigenes Süppchen und legt das Reglement zum Teil nach landestypischen Gesichtspunkten aus. Die DSGVO verfügt zudem über 69 Öffnungsklauseln. Für die Datenschutzbeauftragten grenzüberschreitend tätiger Unternehmen ein Grund zum Haareraufen. Aber man muss nur nach Deutschland schauen: 18 Datenschutzbehörden gibt es hierzulande – eine untersteht dem Bund, eine gibt es in jedem Bundesland und in Bayern gleich deren zwei. Datenschutz ist nun mal Ländersache. Für die Betrachtung der Euro-Staaten muss in Betracht gezogen werden, dass von Land zu Land sowohl die finanzielle Lage sowie die Ausstattung mit Kontrollbehörden völlig unterschiedlich sind.

In Artikel 97 der DSGVO steht der Hinweis, dass die Verordnung bis 2020 von Brüssel überprüft worden sein sollte. Aber die Prüfinstanzen lassen sich Zeit. Das EU-Parlament hat bislang nur bekanntgegeben, „voraussichtlich am 10. Juni“ mit einem Bericht an die Öffentlichkeit zu gehen. Zugegebenermaßen ist es natürlich delikat, dass sogar die obersten Datenschützer Europas sich offenbar immer noch nicht einig darüber sind, wie und ob das selbst erstellte Regelwerk umfängliche Gültigkeit hat.