Home / Themen / Analysen / 100 Tage DSGVO: Unsicherheit bei der Umsetzung bleibt – und die Flut der Anfragen rollt

100 Tage DSGVO: Unsicherheit bei der Umsetzung bleibt – und die Flut der Anfragen rollt

Bildquelle: Pixabay

Vor dem 25.5.2018 war die Aufregung um die neue Datenschutzgrundverordnung (DSGVO) groß. Die neuen Richtlinien sollten allen EU-Bürgern mehr Datensouveränität ermöglichen und den Unternehmen einen Ordnungsrahmen geben. Doch was ist in den ersten 100 Tagen der DSGVO passiert? Laut Bitkom ist die Umsetzung der Datenschutzregeln an vielen Stellen weiterhin unklar.

Nach Angaben der Deutschen Datenschutz Consult hat die Verwirrung um die DSGVO hat  zunächst einmal dazu geführt, dass die Aufsichtsbehörden von Anfragen geradezu überflutet wurden. Die Berliner Landesdatenschutzaufsichtsbehörde berichtet, dass inzwischen täglich so viele Anfragen gestellt werden wie früher in zwei Wochen. Ähnlich sehe es in anderen Staaten der EU aus. So habe die irische Datenschutzaufsicht DPC, die für Facebook, Google, Amazon und Apple in der EU zuständig ist, im ersten Monat rund dreimal so viele Mitteilungen über Datenschutzrechtsverletzungen erhalten wie sonst in einem Jahr. Und die Bearbeitung dieser Anfragen ist zeitaufwendig.

Die Ruhe vor dem Sturm?

Dies sei für Unternehmen allerdings kein Grund, sich zurückzulehnen. Tatsache ist: Auch Abmahnmodelle müssen datenschutzkonform gestaltet sein und brauchen daher ihre Zeit. Zudem fehlen Präzedenzfälle, da die Verfahren derzeit im Schnitt etwa sechs Monate brauchen. „Im Moment kann man in gewisser Weise von einer Verschnaufpause sprechen, in der sich die verschiedenen Akteure sortieren. Eins ist aber klar: Die Aufsichtsbehörden bringen sich langsam, aber sicher in Stellung. Und wenn alle offenen Stellen besetzt und die Prozesse geprobt sind, wird die Kontrolldichte zunehmen“, so Oliver Siernicki, Vertriebsleiter des Hamburger Unternehmens Deutsche Datenschutz Consult, das sich auf die Betreuung kleiner und mittlerer Unternehmen spezialisiert hat.

Dabei habe es bereits Abmahnungen gegeben, die Unternehmen aufhorchen lassen sollten. Bis zu 12.500 Euro Entschädigung wurden darin für die Verletzung des Rechts auf Datenhoheit und die informationelle Selbstbestimmung für jeden Einzelfall gefordert. Bei Auskunftsverfahren sei die Spanne viel breiter; so hat etwa das Oberlandesgericht Köln in einem Beschluss vom 5. 2. 2018 den Streitwert für das Auskunftsverfahren auf gerade mal 500 Euro festgesetzt, während die OLGs München und Frankfurt zuvor bei der Schufa AG Verfahren um Auskunftsansprüche auch schon mit 10.000 Euro bewertet hätten.

Bitkom: DSGVO hat Unternehmen viel Zeit und Geld gekostet

„Auch jetzt noch sind bei weitem nicht alle Unternehmen mit der Umsetzung fertig. Die DSGVO hat die Unternehmen viel Zeit und Geld gekostet und bedeutet weiterhin jede Menge Arbeit“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. „Schwierigkeiten macht vor allem, dass bei vielen Vorgaben nicht klar ist, was genau sie bedeuten. Nicht einmal die Datenschutzaufsichtsbehörden können sich bei bestimmten Regelungen auf eine einheitliche Auslegung einigen. Wie sollen Unternehmen sich da sicher sein, dass sie das Richtige tun?“, so Dehmel.

Gerade kleinere Unternehmen würden von den neuen Regelungen überproportional getroffen. Dehmel: „Durch die vielfältigen formalen Vorgaben müssen bestehende Prozesse umgestellt und neue Prozesse eingeführt werden. Das kostet gerade kleine Unternehmen ihre ohnehin schon knappen Ressourcen. Sie haben in der Regel auch keine eigene Rechtsexpertise, sondern müssen diese im Zweifel teuer einkaufen.“ So mache die Grundverordnung keine Unterschiede zwischen einem Startup, einem gemeinnützigen Verein oder einem internationalen Großkonzern. „Alle werden über einen Kamm geschoren. Hier und bei einer ganzen Reihe weiterer Punkte muss nachgebessert werden“, so Dehmel.

Folgen der DSGVO für Unternehmen

Ein Beispiel für den Mehraufwand sind die erweiterten Informationspflichten gegenüber den Kunden und Geschäftspartnern. Aus Sicht des Bitkom ist weder hinreichend sicher, dass die Bereitstellung der Informationen über einen Link auf eine Webseite ausreichend ist, noch ist klar, wie konkret und umfangreich die Informationen im Einzelnen sein müssen. Für Webseiten galt auch vorher schon die Pflicht zur Bereitstellung einer Information über die Datenverarbeitung. Diese war jedoch nicht so umfangreich. Durch die Ausweitung der Regelung steht nun auch zur Debatte, wie die Informationspflicht bei alltäglichen Vorgängen wie Visitenkartenübergaben, E-Mailverkehr, Kundenkarten in Restaurants und Shops zu erfüllen ist.

In der Praxis schwierig umzusetzen ist auch das gänzlich neue Recht auf Datenportabilität. Laut DSGVO haben Personen das Recht, die Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigem und maschinenlesbarem Format zu erhalten oder an einen anderen Dienst senden zu lassen. „Für viele Unternehmen ist immer noch nicht geklärt, welche Daten davon umfasst sind und ab wann die Rechte anderer Betroffener verletzt werden könnten“, so Dehmel.

Wer ist für die Datenverarbeitung verantwortlich?

Aus Bitkom-Sicht verzögern sich derzeit Vertragsabschlüsse im Dienstleistungsbereich, weil sich die Vertragsparteien oft nicht einig sind, ob es sich um eine Verarbeitung im Auftrag handelt, für die der Abschluss einer speziellen Datenverarbeitungsvereinbarung notwendig ist, oder nicht. Hier gibt es unterschiedliche Sichtweisen, auch bei den Aufsichtsbehörden. Die Frage ist deshalb wichtig, weil personenbezogene Daten im Auftrag nur dann rechtmäßig verarbeitet werden können, wenn eine solche Vereinbarung abgeschlossen wurde. Handelt es sich dagegen um eine andere Konstellation, gelten wieder andere Voraussetzungen für die rechtmäßige Verarbeitung.

Dehmel: „Die Datenschutz-Grundverordnung hat in jedem Fall zu mehr Datenschutzbewusstsein bei Organisationen in Deutschland beigetragen. Ob die vielen Umstellungen und Formalia auch zu einem deutlich besseren und vor allem zukunftsgerichteten Datenschutz geführt haben, muss dagegen bezweifelt werden.“ Rechtsunsicherheiten beim Einsatz von Big Data und KI Anwendungen seien auch mit der Verordnung nicht ausgeräumt worden. „Das Datenschutzrecht zu modernisieren und eine Balance zwischen Datenschutz und anderen berechtigten Interessen von Gesellschaft und Wirtschaft zu schaffen, bleibt weiter auf der Tagesordnung.“

Share

Leave a Reply

Your email address will not be published. Required fields are marked *

*