5 Jahre DS-GVO aus Sicht der Aufsichtsbehörden

Die DS-GVO gilt nun seit 3 Jahren. Vor knapp 5 Jahren trat sie in Kraft, um die Unternehmen bereits auf die Regelungen vorzubereiten. In den 5 Jahren ist viel passiert. Die Zeitschrift für Informations-Sicherheit <kes> hat Behörden, Anbieter und Berater gefragt, wie erfolgreich die letzten Jahre der DS-GVO liefen. Das Fazit fällt gemischt aus.

Die wichtigste Zielsetzung, das Bewusstsein für Datenschutz und Durchsetzung durch Aufsichtsbehörden zu erzielen, wurde erreicht. Dennoch, meint die Landesbeauftragte für Datenschutz und Informationssicherheit der freien Hansestadt Bremen, Frau Dr. Imke Sommer, stünde die DS-GVO noch am Anfang. Sie werde noch Fahrt aufnehmen und dann nicht mehr zu stoppen sein. Dabei spiele der EuGH eine große Rolle. Die Umsetzung und Rechtsprechung durch den EuGH trägt immer weiter zur Sicherheit der Unternehmen in der Umsetzung des Datenschutzes bei. Roul Tiaden, ständiger Vertreter der Landesbeauftragten für Datenschutz und Informationssicherheit NRW findet, dass viele Verantwortliche sich nicht ernsthaft mit der Thematik auseinander setzen und elementare Maßnahmen nicht ergreifen würden. Das berichtet auch Prof. Ulrich Kelber vom BfDI: große Internetkonzerne ignorieren oder fehlinterpretieren die DS-GVO mit Absicht. Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein erklärt, dass vollständige DS-GVO Konformität noch die Ausnahme sei. Es gäbe auch bei der Datenschutzaufsichtsbehörde noch Luft nach oben, was die Kontrolle und Durchsetzung angeht. Es stehen aktuell nur begrenzte Ressourcen zur Verfügung, die für die notwendigen Prüfungen nicht ausreichen würden. Darüber hinaus passen viele Unternehmen ihre Produkte erst an, wenn Anwender das fordern. Es hat sich schon viel getan aber es gibt noch viel zu optimieren. Der Umfang und Detailierungsgrad der Datenschutzinformationen müsse zum Beispiel noch genauer definiert werden, findet Marit Hansen.

„Eine positive Auswirkung auf die Informationssicherheit können wir nicht festzustellen, da in gleicher Zeit die Gefahren gestiegen sind.“ Man laufe der Entwicklung hinterher, findet Michael Holzhütter, Dozent im Lernlabor Cybersicherheit der Frauenhofer Academy. Holzhütter erklärt, dass ein Problem der DS-GVO Umsetzung die Softwareprogramme von großen Anbietern aus den USA in Europa sind. Diese werden in Unternehmen noch viel verwendet und seien nicht DSGVO konform. Viele Nutzer steigen nicht auf Alternativen um, weshalb Datenschutz in diesen Unternehmen nicht umsetzbar sei. In Deutschland gibt es bereits gute Alternativprodukte zu den großen Anbietern aus den USA. Dazu erklärt auch Barbara Scheben, Partner, Head of Forensic und Head of Data Protection bei KPMG, dass Unternehmen klare Regeln bei der Übermittlung von personenbezogenen Daten in Drittländer außerhalb der EU fehlen.

Größter Treiber der DSGVO sind monetäre Sanktionen, die den Unternehmensleitungen Angst machen. Das sorge für Awareness, berichtet Dipl.-Ing. Werner Wüpper, Geschäftsführere der WMC. Prof. Dr. Johannes Caspar, der hamburgische Beauftragte für Datenschutz und Informationssicherheit, berichtet, dass durch die Pandemiebedingungen technische Änderungen in Unternehmen vorgenommen wurden, die die Prüfungen der Datenschutzbehörden hervorrufen können. Die Datenschutzbehörden würden so auch stärker auf Unternehmen aufmerksam.  Gerade aber im Bereich der Kontrolle grenzüberschreitender Datenverarbeitung und des Vollzugssystems mit zu wenig Behörden und dem Ausbleiben der Vollzugsmaßnahmen sieht Dr. Caspar Defizite. Die Pandemie hat einen Digitalisierungsschub gebracht und es wurde Datenschutz sichtbar gemacht, sagt Dagmar Hartge, Landesbeauftragte für den Datenschutz und das Recht auf Akteneinsicht aus Brandenburg zu dem Thema.

Prof. Ulrich Kelber definiert drei Verbesserungen, die notwendig wären: weniger Dokumentationspflichten, konkrete gesetzliche Regelungen zum Schutz der Bürger und eine Verbesserung und Intensivierung der Zusammenarbeit zwischen europäischen Aufsichtsbehörden.

Die Quelle der Informationen in diesem Blogpost stammt hautptsächlich aus einem Artikel in der Zeitschrift <kes>, Ausgabe Nr. 3, Juni 2021.

Wenn Sie in Ihrem Unternehmen die DS-GVO umsetzen möchten aber nicht wissen wie, sprechen Sie uns gerne an. Wir beraten und betreuen Sie im gesamten Prozess.