"Es geht es darum, die richtige Balance zwischen Datenschutz einerseits und innovativen, datenbasierten Anwendungen andererseits zu finden," kommentiert Bitkom-Präsident Achim Berg den aktuellen Stand bezüglich der DSGVO in Deutschland. Ein Jahr nachdem die Verordnung in Kraft getreten ist, zieht der Digitalverband eine gemischte Zwischenbilanz.
Einheitliche Datenschutzregeln, an denen sich globale Konzerne und internationale Handelspartner orientieren, seien positiv. Allerdings gebe es noch Schwierigkeiten, die Regelungen in der Praxis richtig auszulegen und durchzusetzen. "Mitgliedsstaaten, Datenschutzbehörden und Unternehmen interpretieren die Verordnung noch unterschiedlich", so Berg.
Große Gewinner, kleine Verlierer?
Ein Problem für die Wirtschaft liege für Berg darin, dass die Verordnung nicht zwischen einem globalen Konzern und einem Kiez-Handwerker unterscheide. Große Unternehmen würden mehr von dem einheitlichen Rechtsrahmen profitieren als kleine und mittlere Unternehmen. Für letztere sei der höhere Verwaltungsaufwand deutlicher spürbar. Alltägliche Geschäftsprozesse würden damit für viele zum Datenschutzhürdenlauf. Zudem gebe es vielerorts noch große Rechtsunsicherheiten in der Anwendung der Verordnung.
In der Praxis fühlten sich viele Unternehmen von Datenschutzregeln ausgebremst. So sehen laut einer Bitkom-Umfrage unter 606 Unternehmen mit 20 oder mehr Mitarbeitern 74 Prozent Datenschutzanforderungen als die größte Hürde beim Einsatz neuer Technologien. Im Vorjahr sagten dies rund zwei Drittel (63 Prozent), im Jahr 2017 nicht einmal die Hälfte (45 Prozent).
"Datenschutzregeln dürfen nicht dazu führen, dass Unternehmen technologisch zurückfallen", so Berg. Daher müsse die Politik im Rahmen der ausstehenden Überprüfung der Verordnung sagen, wo Bürokratie abgebaut und Unklarheiten im Text beseitigt werden. Gleichzeitig sollten Datenschutzbehörden noch stärker den Dialog mit den Unternehmen suchen und ihnen alltagsnahe Hilfestellungen zur Hand geben, fordert Berg.
Fakt ist, dass der Verwaltungsaufwand für Unternehmen und Behörden durch die DSGVO stark gestiegen ist. Laut dem Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI) für 2017/2018 gingen 2018 bis zum 24. Mai insgesamt 2.297 schriftliche Eingaben über Datenschutzverstöße von Bürgern, Behörden und Unternehmen ein. Vom 25. Mai bis 31. Dezember 2018 verzeichnete der BfDI allein 7.293 Selbstanzeigen durch Unternehmen gemäß Artikel 33 DSGVO. Im selben Zeitraum seien zudem 3.064 Beschwerden über Datenschutzverstöße gemäß Artikel 77 DSGVO bei der Behörde eingegangen.
Einen ersten Schritt, der Kleinbetriebe zumindest teilweise entlasten soll, machte der Bundestag im Juni 2019. Per Beschluss wurde die Schwelle angehoben, ab der ein Datenschutzbeauftragter ernannt werden muss. War das bisher ab zehn Mitarbeiter, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, notwendig, gilt dies nun erst ab 20. Der Bundesdatenschutzbeauftragte kritisierte die Entscheidung. Es sei die falsche Maßnahme, um das hohe Datenschutzniveau in Deutschland zu wahren. Zudem bleiben die übrigen Datenschutzvorgaben unangetastet, wodurch das Risiko eines Bußgeldes nicht abgenommen habe.
Ähnlich sieht das auch Andreas Rübsam, Direktor für Datenschutz beim TÜV Süd. Der Beschluss bedeute nicht, dass sich KMUs nicht mehr um ihren Datenschutz kümmern müssen - dabei gehe es um mehr, als nur einen Datenschutzbeauftragen zu ernennen. Zudem nehme die Lockerung des Geseztes den Kleinbetrieben einen wichtigen Partner in Sachen Datenschutz und verlagere die Verantwortung wieder zurück auf die Führungsetage. Dort würden die Themen Datenschutz und Datensicherheit zwar gesehen, könnten aber meist nicht ohne Hilfe umgesetzt werden.
Schritte in Richtung "Privacy by Default"
Auf Seite der Security-Hersteller herrscht eine verhalten positive Einschätzung zur Verordnung. So habe sie laut Rainer Rehm, Datenschutz-Experte bei Zscaler, zwar für bessere Datenhygiene gesorgt und wichtige Schritte in Richtung "Privacy by Default" in den Unternehmensprozessen eingeleitet. Betriebe seien nun gezwungen, aus bisher verstreuten Datenbeständen eine einheitliche Datenbasis zu erzeugen und so sensible Daten sicherer und verantwortungsbewusster zu verarbeiten.
Auf der anderen Seite hätten viele Firmen überreagiert und große Datenbestände gelöscht, die nicht dem Anspruch der Double-Opt-In-Zustimmung entsprachen. Oft sei das passiert, weil zu wenig über den richtigen Umgang mit den Datensätzen bekannt war.
Zudem sorge die DSGVO für mehr Bürokratie. Es seien zahlreiche Formulare und Interaktionen verschiedener Stakeholder im Unternehmen erforderlich, um der Verordnung zu entsprechen. Bisher gebe es noch keine Standardisierung für die Arbeitsschritte der Dokumentationspflicht oder gar einheitliche Vorlagen. Rehm hofft, die möglichen Zertifizierungen auf Grundlage von Artikel 42 DSGVO würden in der Folge dazu führen, dass der Nachweis vereinfacht werde.
Herausforderungen beim Personal
Für IT-Security-Anbieter Fireeye habe die DSGVO dazu beigetragen, dass Unternehmen in einen offeneren Diskurs über Verstöße getreten seien, die bisher oft als Tabu galten und daher schlecht dokumentiert waren. Sie seien gezwungenermaßen transparenter in der Kommunikation rund um Datenschutzverletzungen geworden.
"Die DSGVO wurde im Allgemeinen gut von Unternehmen verstanden und umgesetzt," sagt Fireeye-Manager Mike Hart. Allerdings sieht er vor allem beim Personal noch Herausforderungen. Viele Unternehmen müssten noch Datenschutzbeauftragte ernennen und diese benötigten ein Team, um die Anforderungen der DSGVO zu erfüllen.
Des Weiteren nennt Hart die Meldepflicht der Unternehmen nach Artikel 33 DSGVO als Hürde, die erst noch genommen werden müsse. Es gäbe noch Aufklärungsbedarf, was als meldepflichtiger Vorfall gelte, und was lediglich eine Benachrichtigung über eine mögliche Bedrohung sei.
Was kommt?
Für die Zukunft fordert Alexander Rabe, Geschäftsführer des Eco-Verbands der Internetwirtschaft, angemessene Strafmaße. Kleine und mittlere Unternehmen, die auch schon unter dem Bundesdatenschutzgesetz (BDSG) datenschutzrechtlich gut aufgestellt waren, gelte es vor hohen Abmahngebühren und Bußgeldern im Zuge der DSGVO zu bewahren. Daher begrüße er den Entwurf eines Gesetzes zur Stärkung des fairen Wettbewerbs. Es biete eine Diskussionsgrundlage für eine weitere rechtliche Klarstellung, um KMU, Bürger und Vereine vor zu hohen Abmahnungen zu schützen.
Zu einer befürchteten Bußgeldwelle sei es zwar in den letzten zwölf Monaten nicht gekommen, allerdings würden die Datenschutzbehörden ihre Personalbestände vergrößern. Unternehmen müssten also mit mehr Kontrollen und dementsprechend häufiger mit Bußgeldern rechnen, urteilt Rabe.
Trotz aller Schwierigkeiten attestiert der Bundesverband der deutschen Industrie BDI der Verordnung, ein wichtiger Grundstein für einen gemeinsamen Markt in der EU zu sein. Sie könne sich gar zu einem weltweiten Standard entwickeln, sofern mehr Rechtssicherheit gewährleistet sei.
Zudem warnt der BDI davor, dass Datenschutz kein Standortnachteil im Technologiesektor für die EU werden dürfe. So brauche es beispielsweise mehr Freiraum bei der Anonymisierung von Daten, damit beispielsweise wichtige Entwicklungsvorhaben für künstliche Intelligenz nicht abwanderten.