5 Jahre DS-GVO: Hat sich etwas verändert?

Data Privacy von Ioannis Dimas

DS-GVO auf Tafel geschrieben
A.Basler/Shutterstock.com

Seit dem 25.05.2018 gilt die EU Datenschutz-Grundverordnung (DS-GVO) in der EU. Fünf Jahre mehr Sicherheit, Transparenz und Eigenkontrolle für alle, deren personenbezogene Daten von Unternehmen und anderen Organisationen verarbeitet werden.

Die DS-GVO wurde jedoch nicht verabschiedet, nur um „die Daten“ zu schützen, sondern um die Menschen, denen diese Daten zugeordnet werden, vor Missbrauch und Diskrimminierung zu schützen. Jeder weiß, dass Daten und Informationen von Menschen ein unfassbar wichtiges Gut für unsere Wirtschaft sind – Unternehmen, Behörden, Staaten tun sehr viel dafür, personenbezogene Daten zu erhalten und diese zu verarbeiten.

Hat es die DS-GVO in den letzten 5 Jahren jedoch geschafft, unsere personenbezogenen Daten und somit auch uns besser zu schützen?

 

Personenbezogene Daten

Als bestellte externe Datenschutzbeauftragte und Experten in den Bereichen Datenschutz und Informationssicherheit haben wir täglich mit der DS-GVO zu tun.

Wir setzen uns proaktiv für den Schutz personenbezogener Daten ein, da es wichtig ist, dass in der heutigen digitalen Welt jeder seine Grundrechte verteidigen kann und die Persönlichkeit geschützt ist. Die Daten sind das Eigentum jeder Person und jeder muss darüber selbst entscheiden dürfen, wer diese Daten verarbeiten darf (informationelle Selbstbestimmung). Bereits vor der DS-GVO wurden in Deutschland auf Basis des damals geltenden Bundesdatenschutzgesetz (BDSG alt), welches bereits 1977 in Kraft trat, personenbezogene Daten nicht ohne mögliche Kontrolle verarbeitet. Dennoch wurde ungeniert und ungefragt alles "was man in die Finger bekam" für Analysen, Werbezwecke usw. genutzt. Insbesondere aus Unternehmen und Organisationen außerhalb Deutschlands und der EU (z. B. US-Cloudanbieter und Social-Media-Plattformen), die durch die damalige Gesetzgebung nur sehr schlecht zu regulieren waren, hatten sich Datenkraken hervorgetan. Diese Praxis birgt hohe Risiken und kann Personen schaden, da es mit den gesammelten Daten, ein leichtes ist, Profile zu erstellen und Meinungen zu manipulieren. Um Missbrauch persönlicher und sensibler Daten zu verhindern, wurde mit der DS-GVO ein Regelwerk zur Verarbeitung von Daten etabliert, um hierzu verfplichtende Regeln durchzusetzen.

Seiteneffekte

Von Seiten der Wirtschaft bestehen dennoch (immer noch) Vorbehalte, gegenüber dem Verbot der Datenverarbeitung, außer den im Gesetz festgelegten Ausnahmen. Diese Vorbehalte sind zwar auf den ersten Blick nachvollziehbar, da häufig mit erschwerten Prozessen und fehlender Arbeitseffizienz bei der Daten- und Informationsverarbeitung, Akzeptanz von IT-Lösungen innerhalb der Belegschaft, Kosten, Komplexität etc. argumentiert wird. Aus unserer Sicht entsteht die Problematik allerdings, durch den Umstand, dass Unternehmen und Organisationen sich sehr gerne an Hypes beteiligen und IT-Systeme anschaffen. Erst nachdem die Verträge unterschrieben sind, wird bemerkt, dass Themen und Anforderungen wie Datenschutz und IT-Sicherheit vorher betrachtet und mit den Anbietern gelöst hätten werden müssen.

Wir empfehlen unseren Kunden immer, sich vorher Gedanken zu machen und die eigenen Anforderungen an die zukünftige IT-Lösung vorab zu definieren. Die Rahmenbedingungen, die für einen gesetzes- oder normkonformen Betrieb notwendig sind sollten bekannt sein. Aus den bestehenden Angeboten auf dem Markt sollten diejenigen in die Auswahl genommen werden, welche die Anforderungen erfüllen.

Werfen wir auch ein kleines Augenmerk auf ein Thema, welches gerne von Verantwortlichen in Unternehmen vergessen wird – die eigene „digitale Souveränität“. Mit vielen der verlockenden Hype-Lösungen auf dem Markt bleibt diese auf der Strecke. Bekannte Lösungen aus den USA machen es für Unternehmen schwierig bis unmöglich auf andere Lösungen umzusteigen, um bspw. Kosten zu sparen. Gerade in Fällen wie einer plötzlichen Preiserhöhung des bisherigen Cloud-Anbieters, wie beispielsweise vor ein paar Tagen bei einem der ganz Großen am Markt um 20 %, steigen die Kosten stark an und können evtl. nicht mehr gestemmt werden.

Mit einer vorherigen Anforderungsanalyse zu der auch die mögliche zukünftige Preisgestaltung der Anbieter gehört, wäre dies vermeidmbar gewesen.

Rechenschaft und Transparenz

Die DS-GVO ist eine Verordnung und damit ein Regelwerk. Unsere Daten sind nur sicher, wenn sich alle verarbeitenden Unternehmen und Personen an dieses Regelwerk halten. Die Verarbeitung muss dokumentiert werden. Auf Nachfrage sind verarbeitende Unternehmen dazu verpflichtet, Daten zu löschen, sofern diese nicht gesetzlich aufbewahrt werden müssen.

Wenn es nach Aufforderung der betroffenen Person oder Institutionen keine erkennbaren Veränderungen gibt, können sehr hohe Geldstrafen folgen. Die höchsten Strafen mussten der Versanddienstleister Amazon 2021 und Meta, der Konzern hinter Facebook im Jahr 2023 zahlen. Das Bußgeld im Jahr 2021 hatte eine Höhe von 746 Millionen Euro und Meta wurde auf die Zahlung von 1,2 Mrd. Euro verklagt.

Wenn Datenschutzverstöße auffallen, muss der Verstoß innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Das Bußgeld bemisst sich bei gravierenden Verstößen am Jahresumsatz des Unternehmens und beträgt je nach Ausprägung der Schwere des Vorfalls 10 bis 20 Mio. € oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Unser Fazit

Die DS-GVO war nötig und der absolut richtige Schritt um personenbezogene Daten zu schützen. Wir setzen uns jeden Tag für den Schutz Ihrer Daten ein.

Auch die hohen Bußgelder setzen bei jedem Verstoß ein Zeichen und mahnen andere Unternehmen, Daten sensibel zu behandeln.

Für die Zukunft würden wir uns mehr Kontrollen bei Datenschutzverstößen und ein Durchgreifen von den Aufsichtsbehörden, in Form von konsequenten und höheren Bußgeldern, wünschen.

Es fehlen Kontrollen und es halten sich leider immer noch nicht ausreichend Unternehmen an die DS-GVO. Häufig liegt es an mangelndem Wissen, wie die DS-GVO umgesetzt werden soll, und was es zu beachten gibt.

Bei bewussten Verstößen (siehe Meta/Facebook) gegen den Datenschutz ist offensichtlich ein Umdenken der Datenschutzaufsichtsbehörden im Ansatz zu erkennen. Dies lässt jedoch auch darauf hinweisen, dass Unternehmen mehr in die Pflicht genommen werden. Die konsequent umgesetzten DS-GVO-Richtlinien sind damit Pflicht für jedes Unternehmen.

Gerne stehen wir Ihnen hierfür zu Ihrer Verfügung.

Kontaktieren Sie uns

X

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Wir freuen uns auf Ihr Interesse und Ihre Fragen.

Bitte addieren Sie 5 und 3.
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.
eteslogo4

Autoren

Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

Markus Espenhain Portrait

Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

Ioannis Dimas Portrait

Chantal Nußbaum

In den Bereichen Datenschutz und Informationssicherheit liegt ihr Schwerpunkt. Durch Fortbildungen ist sie immer auf dem neusten Stand der Gesetze.

Christian Gleich

Sein Schwerpunkt liegt in dem Kontakt zu Kunden. Durch seine tägliche Arbeit mit unserem gesamten Produktportfolio landen Neuigkeiten immer zuerst bei ihm.