5 Jahre DSGVO - ... was hat sich bewährt, was war überflüssig?

HMDATA Datenschutz-Newsletter 06/2023, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Das Resumée fällt ambivalent aus. Vermutlich liegt es daran, dass das Gute der DSGVO zu Beginn des Inkrafttretens im Mai 2018 nicht ausreichend kommuniziert und den Stammtischdiskussionen zu viel Raum in der Interpretation der DSGVO gelassen wurde.
Auch heute ist noch zu beobachten, dass von Seiten der Unternehmen die administrativen Aufwände "... von denen aus Brüssel ..." und von den Nutzern das Wegklicken von Consent-Bannern in Sachen Datenschutz in Erinnerung bleibt - beides ist aber sicherlich keine Schuld der DSGVO. Leider ist aber nach wie vor das "DSGVO-Bashing" sehr beliebt, vor allem weil es als Killerargument für Unternehmen zum Verstecken unliebsamer und aufwändiger Prozesse hinter "Geht-wegen-Datenschutz-nicht" nach wie vor bei mangelnder Sachkenntnis guten Dienst erweist.

Wenn man aber schon in aller Kürze auf Stammtisch-Niveau korrekte und aussagekräftige Parolen über die DSGVO benötigt, dann wäre beispielsweise passend für

1. Unternehmen / Behörden
   "Rechtskonformer, vertrauensvoller, dem Risiko der Verarbeitung angepasster Umgang mit Kundendaten"
2. Nutzer / Betroffene / Konsumenten
   "Unabdingbare Rechte zur Verarbeitung eigener personenbezogener Daten durch Unternehmen und Behörden"
Der Nutzer soll also "Herr seiner Daten" bleiben und nicht in Abhängigkeit von Geschäftsmodellen geraten.

Also schlicht gesagt formuliert die DSGVO die EU-weiten Spielregeln zur Verarbeitung personenbezogener Daten natürlicher Personen durch Unternehmen bei gewerblicher Nutzung.

Dabei gilt vor allem, dass nach Art. 2 Abs. 1 DSGVO zum Inkrafttreten der Zuständigkeit der DSGVO immer die Voraussetzungen

• automatisierte Verarbeitung
• Daten mit Personenbezug
• implizit "gewerbliche" Nutzung (der private Sektor ist nicht von der DSGVO erfasst)

vorliegen müssen. Auch das hätte bei Beachtung viel Halbwissen-Diskussionen - beispielweise bei der "Türklingelschild-Panik" - abgekürzt.
Vor allem hätte oft auch das einfache Lesen des Verordnungstextes gut getan, um etwas Druck vom Polemikkessel des "DSGVO-Bashings" zu nehmen. Stichwort "Corona-WarnApp" (Art. 9 Abs. 2 lit. i DSGVO i.V.m. ErwgGr. 52) oder beim Erfassen des Impfstatus von Angestellten während der Pandemie (Art. 88 Abs. 1 DSGVO i.V.m. ErwgGr. 52 und 155). Viel mehr sind Ursachen in der falschen Kommunikation, fehlendem politischen Willen oder Sachverständnis, Beeinflussung durch Lobbyarbeit oder mangelnde Transparenz in der IT-Sicherheit der Verarbeitung zu finden gewesen.

Für Unternehmen heißt das "Umsetzen der DSGVO" letztlich einfach, dass

• die Sicherheit dem Risiko der Verarbeitung angepasst sein muss
• Betroffenenrechte gewährt werden
• ein Datenpannenmanagement vorgehalten wird
• Mitarbeiter im Datenschutz qualifiziert und sensibilisiert sind
• Prozesse und Workflows dokumentiert sind
• keine personenbezogenen Daten ohne rechtliche Grundlage verarbeitet werden
• Externe und Dienstleister vertraglich verpflichtet und DSGVO-konform sind
• Informations- und Transparenzpflichten eingehalten werden
• Online- und SocialMedia-Präsenzen datenschutzrechtlich qualifiziert sind

Also weder Hexenwerk, noch Unmögliches, noch Außergewöhnliches, noch Unzumutbares, noch Raketenwissenschaft.
Damit ist die DSGVO also kein neues Administrationsmonster aus Brüssel, sondern nur die in ein Regelwerk gefassten Spielregeln zwischen Unternehmen und Kunden für den vertrauensvollen Umgang personenbezogener Daten. Insbesondere in Deutschland sind eigentlich keine neuen Anforderungen seit Bestehen des bisherigen BDSG seit 2003 hinzugekommen, außer der persönlichen Haftung des Verantwortlichen mit Nachweispflicht, direkten Schadenersatzforderungen von Betroffenen und den neuen Regularien zur Bußgeldbemessung.
Somit könnte man auch argumentieren, dass 15 Jahre Ignorieren des bis 2018 geltenden Datenschutzrechtes das wenige wirklich Neue der DSGVO bei weitem aufgewogen haben sollte.

Und vor allem gibt es keine Einsatzgruppe der Behörden, die Unternehmen wegen Datenschutzverletzungen stürmt oder durchsucht, auch eine "Verkehrsblitzer-Mentalität" der Behörden bei der Verhängung von Bußgeldern gibt es nicht. Absolut gesehen wurden die größten Anteile von Bußgeldern gegen wenige große oder internationale Unternehmen verhängt, die sich partout nicht an angemessene Spielregeln im Umgang mit Daten derer Kunden halten. Ansonsten hielten sich die Sanktionsmaßnahmen der Behörden, die mehrheitlich an Qualifizierung und Aufklärung interessiert sind, bei der Anzahl von knapp 4 Millionen Gewerbebetrieben sehr in Grenzen - es hat allgemein bisher wirklich nur die besonders datenschutzresistenten schwarzen Schafe mit Bußgeldern getroffen und es musste noch kein Verantwortlicher ausschließlich wegen Datenschutzverletzungen in's Gefängnis.

Wichtig zu verstehen ist, dass die DSGVO keinen absoluten Maßstab an alle Kaninchenzüchtervereine stellt, sondern ganz im Sinne des Risikomanagements für große Betriebe etwas mehr, für wenig sensible Daten und kleinere Betriebe etwas weniger Aufwand bedeutet.

Aus der Praxis der 5 Jahre des Bestehens der DSGVO kann also resümiert werden, dass der Datenschutz nicht als Hemmschuh begriffen werden sollte, sondern als interessante betriebliche Fragestellung zur Optimierung der internen Prozesse bei der internen Verarbeitung personenbezogener Daten und aus Konsumentensicht das Gefühl zu haben, über die Betroffenenrechte über die Nutzung seiner Daten durch Unternehmen und Behörden bestimmen zu können.

Oder mit etwas markanteren Worten an alle Geschäftsmodelle: verarbeitet nur Daten mit rechtlicher Grundlage und passt auf die Daten der Kunden auf!
Und falls jemand fragt oder mal etwas daneben geht, beachtet nach Art. 5 Abs. 2 DSGVO eure Rechenschaftspflicht und weist per geeigneter Dokumentation nach, dass das Risiko eingehegt war.
Mit dem Nebenprodukt Vertrauens-, Reputations-, Sicherheits-, Effizienz- und Effektivitätsgewinn und vor allem zukünftig auch weltweit maßgebendem Standortvorteil (die DSGVO dient in demokratischen Ländern weltweit als Vorbildmodell, bspw. USA, Schweiz, Südkorea).

Die EU arbeitet gerade mit Hochdruck daran, über die Digital Acts im Einhergang mit der DSGVO den rechtlichen Rahmen der Datenverarbeitung für wirtschaftliche Zwecke abzustecken, damit die EU nicht in's digitale weltweite Hintertreffen gerät: ganz im Sinne des Risikomanagements und der Beachtung der Rechte des Einzelnen. Zudem wird der datenschutzrechtliche Umgang von Daten durch KI-Algorithemn und BigData-Anwendungen herausfordernd werden.
Aber auch hier werden die Freiheit des Individuums und ausgewogene wirtschaftliche Rahmenbedingungen verteidigt - im digitalen Raum.

Die DSGVO hat bestimmt auch noch Schwächen, die aber nach Art. 97 Abs. 1 DSGVO regelmäßig evaluiert und in neuen Vorschlägen münden. Mit Sicherheit ist es weltweit der beste Ansatz, um "Big Brother" und die Datensammel- und Überwachungswut wie in autoritären staatlichen System zu verhindern und einen fairen wirtschaftlichen Rahmen bei der Verarbeitung personenbezogener Daten unter Beachtung der Bürgerrechte zu gewährleisten.

Wer aber trotzdem Datenschutz nur des Datenschutz Willens ansieht und betreibt und sich über resultierende administrative Prozesse beschwert, hat das Erfolgsmodell der DSGVO und deren risikomanagementbasierten Ansatz nicht verstanden. Laut geblökt haben eigentlich nur die schwarzen Datenschutzschafe mit dubiosen Geschäftsmodellen seit Einführung der DSGVO und entsprechend und zu Recht Ärger erlitten.

Aber egal wie man aktuell auch zur DSGVO steht: es gilt mehr denn je, wer nicht schnellstmöglich seine IT-Sicherheit adäquat in den Griff bekommt, wird nicht nur aus Sicht des Datenschutzes zukünftig herbe Probleme bekommen.