2 Jahre DSGVO – Ein Grund zum Feiern?

Lange wurde diskutiert, Ende Mai 2018 war es dann soweit: Die neue Europäische Datenschutzgrundverordnung (kurz: DSGVO) trat für alle EU-Mitgliedsstaaten in Kraft. Zwei Jahre sind seitdem ins Land gezogen und wir fragen uns: Was hat sich eigentlich verändert?

Im Frühjahr 2018 gab es an dem Begriff „DSGVO“ kaum ein Vorbeikommen – in den Nachrichtenportalen, Diskussionsforen und sozialen Medien wimmelte es regelrecht an Meinungen und Prophezeiungen zu den fünf Buchstaben. Doch bevor wir uns mit den Folgen beschäftigen, wollen wir erstmal klären, was sich eigentlich nochmal hinter dem Wort „Datenschutzgrundverordnung“ (Ein Traum für jeden Scrabble-Spieler!) versteckt.

DSGwas?

Die Einführung der DSGVO durch die EU hatte einen äußerst einleuchtenden Grund: Das Internet änderte im 21. Jahrhundert eine ganze Menge – auch im Datenschutz. Die Verwendung von „Big Data“ war auch 2018 schon absolute Routine für viele Unternehmen. Die Gewinnung und Verwendung von Kundendaten genau so vielseitig als auch undurchsichtig für die Kunden selbst. Im Sinne des Verbraucherschutzes ersetzte die EU also schließlich die in die Jahre gekommene „europäische Datenschutzrichtlinie“ von 1995 durch die zeitgemäßere „Datenschutzgrundverordnung“.

Und was legt diese genau fest? Kurz gesagt: Die Verwendung von Nutzer- und Kundendaten und somit den Schutz personenbezogener Daten. Für Unternehmen bedeutete dies einen sensibleren Umgang mit „Big Data“, welcher von nun an nicht mehr ohne Zustimmung des Kunden erfolgen durfte. Ab sofort galt: Wer Daten nutzen will, muss sich erst das „OK“ des Kunden einholen – egal ob für einen Newsletter oder das Tracking des Kaufverhaltens. Darüber hinaus entstanden die Grundsätze „Privacy by Design“ (Prüfung von Datenschutzproblemen bereits bei Entwicklung neuer Technologien) sowie „Privacy by Default“ (Verpflichtung zu datenschutzfreundlichen Voreinstellungen, beispielsweise bei sozialen Medien). Und auch die Verbraucher wurden mit mehr Privilegien ausgestattet: So konnte man von nun an jegliche personenbezogenen Daten zu sich selber von Unternehmen ebenso wie eine lückenlose Löschung dieser Daten einfordern.

Was wurde eigentlich befürchtet?

Wie bereits eingangs erwähnt, gab es vor der Einführung der DSGVO diverse Kritiken. Eins der befürchteten Probleme war der große Interpretationsspielraum, den die Verordnung in ihrer Ausführung bot. So streiten sich noch heute einige Gerichte über die genaue Auslegung bestimmter Paragraphen, was Unternehmen schon vor der Einführung vor die Frage stellte, wie genau sie sich auf die DSGVO vorbereiten sollten. Auch im Jahr 2020 kommt es diesbezüglich immer wieder zu Verwirrungen.

Ein weiterer Kritikpunkt knüpft direkt am vorherigen an: Die Strafen für Unternehmen. Die DSGVO drohte bei Nichteinhaltung mit empfindlichen Strafen, welche im extremsten Fall bis zu 20 Millionen Euro oder 4% des erzielten Jahresumsatzes reichen sollten. Das Problem: Weiß man als Unternehmen nicht genau, was die Verordnung eigentlich fordert, ist es umso schwerer sie in Gänze einzuhalten. Und gerade für mittelständische Unternehmen wirkte die Androhung von Strafen besonders bedrohlich: Neben dem großen Schaden, den diese anrichten können, war es für kleinere Unternehmen durchaus schwer, die notwendigen Umstellungen in der digitalen Infrastruktur überhaupt umsetzen zu können.

Auch befürchtet wurde eine regelrechte Beschwerdeflut seitens der Verbraucher, welche sich durch die langwierige Diskussion rund um Datenschutz auch immer öfter mit dem Thema auseinandersetzten. Unternehmen waren besorgt, dass einerseits mögliche Unachtsamkeiten im Datenschutz schneller erkannt wurden als auch andererseits eine Vielzahl an Kunden und Nutzern von ihrem neuen Recht auf Auskunft und Löschung ihrer personenbezogenen Daten Gebrauch machen würden, was nicht zuletzt zu einem enormen bürokratischen Aufwand geführt hätte.

2 Jahre später – mehr Licht als Schatten

Doch was lässt sich heute rückblickend zu diesen Ängsten sagen? Waren sie berechtigt? Die klare Antwort muss heißen: Jein!

Die Herausforderungen stellten viele Unternehmen wie erwartet vor einige Probleme. Gerade die zuständigen Kolleginnen und Kollegen aus der IT hatten viel zu tun: Prozesse mussten umgestellt, Einwilligungen eingeholt und Daten gelöscht werden. Unternehmer kritisierten hierbei – neben dem hohen Aufwand – vor allem, dass seitens der EU nur wenig entsprechende Umsetzungshilfe geleistet wurde und diverse Nachbesserungen der DSGVO nötig wären. Und auch für die Kunden hatte die neue Verordnung einen kleinen, aber durchaus nervigen Beigeschmack: Sie wurden regelrecht mit Mails von Unternehmen überflutet, die für verschiedene Newsletter und Leistungen ihre Einwilligung einholen wollten. Denn ganz ehrlich: Wer hat nicht mindestens 20 „Wir wollen dich nicht verlieren“-Mails aus seinem Postfach gelöscht?

Und dennoch: Nicht alles kam so schlimm wie vermutet. Zwar nahm die Anzahl der Beschwerden bei den zuständigen Behörden im Vergleich zu der Zeit vor der DSGVO deutlich zu – so standen den 156 Individualbeschwerden bei der österreichischen Datenschutzbehörde im Jahr 2017 letztes Jahr ganze 2102 Beschwerden gegenüber -, allerdings wurde von den drohenden massiven Strafen nur selten Gebrauch gemacht. Aufgrund der ungenauen Rechtslage, über welche die Gerichte noch heute diskutieren, ist es oftmals nur schwer nachzuvollziehen, ob Unternehmen gegen die Grundverordnung tatsächlich verstoßen haben. Zwar gab es durchaus viele kleinere Strafen, es wurde allerdings nur sehr selten zu den größeren Kalibern gegriffen.

Der wohl positivste Effekt ist allerdings die neue Sensibilität gegenüber Daten. Die Diskussion rund um die DSGVO führte zu einem Umdenken – sowohl bei Kunden als auch bei Unternehmern. Und so wichtig personenbezogene Daten für ein erfolgreiches Unternehmen auch sind, das Recht auf den Schutz persönlicher Daten ist wichtiger. Und so sorgte die Datenschutzgrundverordnung vor allem für eins: Die Anpassung des geltenden Rechtes auf die Herausforderungen des 21. Jahrhundert.

So konnte das Recht auf Datenschutz in allen EU-Ländern einheitlich gestärkt werden und letztlich auch zu einer Veränderung in den Köpfen der größten „Datenkraken“ weltweit schaffen, denn selbst Facebook und Google mussten sich letztendlich dem Zeitgeist beugen und wichtige Veränderungen durchführen. Es kann also festgehalten werden: Auch wenn die Bedenken an der Einführung der DSGVO durchaus berechtigt waren, so war sie am Ende dennoch richtig und wichtig – auch wenn es sicherlich noch Anpassungsbedarf gibt, damit Unternehmen sie zuverlässig und fehlerfrei einsetzen können. Wir dürfen also gespannt sein.