1 Jahr EU-DSGVO – Ein Rückblick aus Expertensicht

Happy Birthday EU-DSGVO

Seit dem 25. Mai 2018 ist sie anzuwenden und einzuhalten. In diesen Tagen wurde sozusagen ihr einjähriges Jubiläum gefeiert. Von wem hier die Rede ist? Wir sprechen von der europäischen Datenschutz-Grundverordnung (EU-DSGVO).

Schon bereits während der angeordneten Übergangsfrist von zwei Jahren (vom Inkrafttreten bis zur Anwendung) wurde das neue europäische Regelwerk kritisch beäugt und kontrovers diskutiert. Falsche Annahmen führten zu Verunsicherungen, diese wiederum zu Mythen, von denen einige nach wie vor um die EU-DSGVO ranken. Ob die Umsetzung der DSGVO für die Betroffenen nun ein Grund zum Feiern war, gegenwärtig noch ist oder künftig sein wird, ist sicherlich abhängig von der Betrachtungsweise.

Für uns auf jeden Fall ein Anlass einmal hinter die Kulissen zu schauen und nachzufragen. Im Interview verrät uns Datenschutzexpertin Marion Steiner hierüber mehr.

Marion, rückblickend auf das DSGVO-Jahr, wie hat sich deine Arbeit als Datenschutzexpertin seitdem verändert?

Marion Steiner: An der grundsätzlichen Arbeit hat sich eigentlich nicht viel geändert. Datenschutz hat schon vorher existiert und von den umzusetzenden Themen gibt es auch wenige grundlegende Änderungen. Was hinzugekommen ist, ist viel gefühlte „Bürokratie“, also dass wir besser dokumentieren müssen, was wir denn alles tun. Das liegt am veränderten Grundsatz, dass wir nicht mehr Fehler nachgewiesen bekommen müssen, sondern selber die Einhaltung des Datenschutzes nachweisen können müssen. Und auf Grund der hohen drohenden Strafmaße hat natürlich jeder Angst, da was falsch zu machen.

Ein weiterer Punkt ist, dass mit Anwendbarkeit der DSGVO die Unsicherheit, was denn konkret umzusetzen ist, größer geworden ist. Vorher hatte man viele Referenzen auf Gerichtsentscheidungen, die quasi das „angemessene Level“ festgelegt haben. Jetzt gibt es nur noch widersprechende Diskussionen zwischen Juristen, die es uns Praktikern nicht einfacher machen. Insbesondere, da in den Diskussionen eher selten das Ziel des Datenschutzes, wie Transparenz und Schutz der Personen, überhaupt noch im Blick zu sein scheint. Das merkt man leider auch bei vielen Diskussionen im Internet, in denen Szenarien aufgebaut werden, wo man nur den Kopf schütteln kann.

Was hat sich deinen Erfahrungswerten nach am Datenschutz-Bewusstsein verändert? Hat sich die Sensibilität der Betroffenen erhöht?

Marion Steiner: Hier nehme ich zwei entgegengesetzte Trends wahr: Bei den einen hat sich das Bewusstsein geschärft, weil sie starke Angst vor den Strafen haben, und eben dadurch stärker in den Dialog mit uns oder anderen Datenschützern getreten sind. Gleichzeitig haben aber auch viele das Thema jetzt ganz abgeschrieben, weil „die Großen“ wie Google und Co. ja doch wieder an allem vorbei arbeiten können, und die Anforderungen nur „die Kleinen“ gängeln, am Arbeiten hindern und praxisfremd sind.

Und großartige Strafen jetzt ja nach einem Jahr zumindest in Deutschland noch nicht wirklich verhängt wurden. Ob dies, die Betroffenen so entspannt sehen, will ich hier aber nicht beurteilen. Zumindest bei uns wären nicht erst Millionenbeträge was kritisches. Das sich Prüfungen und Strafen der Aufsichtsbehörden auch verstärken werden, ist absehbar. Schonfristen werden mit steigender „Sicherheit“, was umgesetzt werden muss, weniger. Und irgendwann haben auch die Aufsichtsbehörden einfach wieder mehr Zeit, aktiv Dinge anzugehen, und nicht nur reaktiv bei Meldungen zu handeln.

Nach einer Meldung auf Heise.de gab es jetzt im ersten Jahr in Deutschland so um die 75 Bußgelder mit einem Gesamtvolumen von €449.000, das höchste einzelne Bußgeld wurde in Baden Württemberg verhängt, in Berlin waren mal €50.000 gegen eine Bank. Wenn ich es richtig gesehen habe, gab es in Hessen aber zum Beispiel keine einzige Strafe. Vorsicht aber für die, die auch im Ausland aktiv sind. Dort sind teilweise deutlich höhere Beträge fällig. In Portugal hat es beispielsweise ein Krankenhaus mit €400.000 getroffen. Und Frankreich hat gerade €50Mio. gegen Google verhängt.

Wie bereits einleitend erwähnt, führten bereits vor Anwendung der EU-DSGVO falsche Annahmen zu Verunsicherungen. Welche Missverständnisse oder Unsicherheiten konntest du beim Kunden aufklären bzw. aus dem Weg räumen?

Marion Steiner: An vielen Stellen war ein großer Punkt die Unsicherheit, was denn zu tun ist. Hier war es wichtig, dem Kunden die Angst zu nehmen: Wenn wir erklären können, warum wir bestimmte Umsetzungen getroffen haben, und diese unserer Meinung nach den Anforderungen gerecht werden, dann wird es keine großen Strafen geben. Die Aufsichtsbehörden wollen den Willen sehen, dass man die DSGVO einhält. Und wenn die die Umsetzung anders sehen wollen, dann geht man in den Dialog und muss gegebenenfalls Dinge anpassen. Ja, vielleicht ist es auch nicht ganz straffrei. Aber Vorsatz und Fahrlässigkeit sind raus.

Vielen Dank an Marion Steiner, IT-Sicherheits- und Datenschutzexpertin der IT-Security@Work (ISW) für das Gespräch.

Fortsetzung folgt … weitere Erfahrungen und Themen aus einem Jahr EU-DSGVO halten wir bereits für Sie bereit und werden in den nächsten Wochen immer wieder berichten.

Erfahren Sie hier, wie die IT-Security@Work (ISW) Sie bei Ihren individuellen Datenschutzthemen unterstützen kann.