Fazit 1 Jahr DSGVO

06.07.2019 - Michael Kornfeld

Die DSGVO jährt sich zum ersten Mal – und die Welt steht immer noch. Die große Welle an Strafen ist ausgeblieben, auch eine Abmahn- oder Klagsflut ist nicht eingetreten.

 

Die Panik hat sich inzwischen gelegt und pragmatische Ruhe scheint in den Unternehmen eingekehrt zu sein. Doch was hat sich in den zwölf Monaten Jahr seit der Einführung getan? War die ganze Panik berechtigt? Und ist jetzt Entwarnung angesagt?

 

Wir haben zu dem Thema mit dem Datenschutz-Experten Eckart Holzinger ein ausführliches Interview geführt:

 

Hallo Eckart! Kannst Du uns für das erste Jahr DSGVO ein paar Zahlen nennen?

Eckart Holzinger: Seit der Einführung der DSGVO im Mai 2018 hat sich viel weniger getan, als viele Unkenrufer prophezeit haben.

 

Zum Beispiel hat die österreichische Datenschutzbehörde ihre Statistik per Mai 2019 veröffentlicht. In dem einen Jahr gab es in Österreich

  • 1.969 Beschwerden,
  • 600 Data Breach Notifications (also Unternehmen, die einen Datenmissbrauch angezeigt haben),
  • 164 amtswegige Prüfverfahren,
  • 189 Verwaltungsstrafverfahren,
  • und nur 5 Strafen wurden bis jetzt ausgesprochen.

 

Die große Keule mit den riesigen Strafen, welche die DSGVO grundsätzlich vorsieht, ist also nicht zum Einsatz gekommen. Die höchste Strafe wurde gegen ein Wettbüro wegen illegaler Video-Überwachung verhängt und betrug gerade einmal EUR 5.280,-.

 

Das passt auch zum Grundsatz „verwarnen statt strafen“, den die österreichische Bundesregierung im österreichischen Datenschutz-Anpassungsgesetz definiert hat.

 

Aber in Frankreich gab es doch eine erhebliche Strafe gegen Google?

Eckart Holzinger: Ja, das stimmt, und auch in Deutschland gab es durchaus mehr und höhere Strafen, in Summe etwa € 450.000 bis Mai 2019. Doch auch hier blieben die oft befürchteten Millionenstrafen gegen mittelständische Unternehmen aus. 

 

Was hat die DSGVO aus Deiner Sicht denn Positives bewirkt?

Eckart Holzinger: Ich glaube, dass die DSGVO in Summe überhaupt sehr positiv war. Die wichtigste Änderung fand in den Köpfen der Unternehmer statt: Das Thema Datenschutz wird nun wesentlich professioneller gesehen und generell ernster genommen.

 

Das sieht man zum Beispiel, dass in vielen Unternehmen endlich vernünftige Prozesse für den Datenschutz eingeführt wurden, Betroffene werden wesentlich besser informiert und Daten werden nicht mehr „einfach so“ mal gesammelt. Auch das Thema „Dokumentation“ hat heute bei vielen Unternehmen einen ungleich höheren Stellenwert.

 

All das ist sehr begrüßenswert und stärkt auch Europa als Wirtschaftsstandort!

 

Und international?

Eckart Holzinger: Die DSGVO hatte einen Effekt, der weit über die europäischen Grenzen hinausging! Zum Beispiel wird Google Chrome global (!) datenschutz-freundlich werden und auch bei anderen großen amerikanischen Unternehmen kann man eine erhöhte Sensibilität für den Schutz der Privatsphäre feststellen. Auch wenn da natürlich noch lange nicht alles so ist, wie es sein soll.

 

So versucht sich Apple als Unternehmen zu positionieren, dem die Privatsphäre der Nutzer ganz besonders am Herzen liegt. Google wiederum probiert seit Jahren, sein Geschäftsmodell mit den Datenschutzbestimmungen in Einklang zu bringen und installiert jetzt auch einen Datenschutzbeauftragten in Irland. Und sogar Facebook springt auf den Zug auf und behauptet, sich um Datenschutz zu bemühen.

 

Und noch etwas: Der California Consumer Privacy Act verändert in den USA die Gesetzeslage zu Gunsten der Betroffenen. Kurz: Es tut sich etwas, die Konzerne und die USA ziehen mit. Wie nachhaltig das sein wird, werden wir sehen.

 

Ist das auch bei den KMUs in Österreich der Fall?

Eckart Holzinger: Meiner Beobachtung nach ist bei vielen, vor allem klein- und mittelständischen Unternehmen, das Thema teilweise leider wieder etwas eingeschlafen. Da fehlen einfach ein Risiko-Management und ein Bewusstsein für die Wichtigkeit des Themas.

 

Eine große Panik ist weiterhin nicht angesagt, doch ich würde mich schon um das Thema kümmern. Die Datenschutzbehörden haben weiterhin alle Hände voll zu tun, doch der Teufel schläft nicht. Und wenn man als Unternehmen nicht nachweisen kann, dass man das Thema ernst genommen hat, sind auch in Österreich Strafen zu erwarten.

 

Wo siehst Du Probleme bei der aktuellen Situation rund um die DSGVO?

Eckart Holzinger: Das Hauptproblem ist die große Unsicherheit und die vielen offenen Fragen. Nach wie vor gibt es viel Interpretationsspielraum bei einigen Fragen, unterschiedliche Aussagen, divergierende Auslegungen und wenig Klarheit. Das macht es für Unternehmen natürlich schwierig, sich darauf einzustellen. Es wird wohl noch einige Zeit dauern, bis hier durch Gerichte und Behörden klare Verhältnisse geschaffen werden.

 

Gibt es einen großen Fehler, den viele Unternehmen bei der Umsetzung der DSGVO machen?

Eckart Holzinger: Ein Fehler mit weitreichenden Konsequenzen ist, sich von den Betroffenen für fast alles eine Zustimmung zu holen – denn die ist in einigen Fällen gar nicht notwendig. Insbesondere dann, wenn man ein „berechtigtes Interesse“ an der Datenverarbeitung argumentieren kann. Der Erwägungsgrund 47 der DSGVO sieht beispielsweise „Direktmarketing“ explizit als potentiell berechtigtes Interesse vor!

 

Der Nachteil der Einwilligung ist einfach: Eine solche Einwilligung kann durch den Betroffenen jederzeit widerrufen werden. Dann nützt mir aber auch ein berechtigtes Interesse nichts mehr! Man sollte sich also vorab gut überlegen, wofür und an welchen Stellen man sich eine Einwilligung der Betroffenen einholt.

 

Und: Wenn ich mir Einwilligungen einhole, dann müssen diese auch dokumentiert und gegebenenfalls beauskunftet werden. Daher ist es gut, sich vorher zu überlegen, welcher Rechtsgrund für eine bestimmte Aktion erforderlich ist.

 

Gibt es aktuelle Urteile in Österreich, die interessant sind?

Eckart Holzinger: Eine bemerkenswerte Entscheidung der DSB betraf die Frage des Koppelungsverbotes. Die Zeitung „derStandard“ verlangt von den Lesern der Website, entweder das Tracking zu akzeptieren oder ein spezielles kostenpflichtiges Abo abzuschließen, das dann ohne Tracking auskommt. Die DSB hat hier entschieden, dass eine Wahlfreiheit gegeben ist, auch weil nach Abschluss des Bezahl-Abos alle Inhalte uneingeschränkt ohne Third-Party-Tracking zur Verfügung stehen – das heißt, dass in diesem Fall eine Koppelung verneint wurde.

 

Eine zweite Entscheidung betraf die Löschung von Daten: Hier gab die DSB bekannt, dass eine Anonymisierung Ihrer Meinung nach ausreichend ist, sofern eine Wiederherstellung der Daten aus aktueller technischer Sicht ausgeschlossen ist. Meiner Meinung nach eine technisch und juristisch interessante Entscheidung.

 

Und inzwischen gibt es eine erste Whitelist bzw. Blacklist der DSB, also eine Liste von Datenanwendungen, für die normalerweise keine Folgeabschätzung notwendig ist (Whitelist) oder für die zwingend eine solche Beurteilung vorzunehmen ist (Blacklist).

 

Ach ja: Wie sieht es eigentlich mit der ePrivacy-Verordnung aus?

Eckart Holzinger: Die ist derzeit vom Tisch, das ging sich vor der EU-Wahl nicht mehr aus. Sie wird neu verhandelt werden und kommt frühestens 2021, eher im Jahr danach. Hier haben wir also noch ein wenig Zeit – doch auch hier sollten sich Unternehmen rechtzeitig vorbereiten!

 

Hast Du noch einen letzten Tipp für österreichische Unternehmen?

Eckart Holzinger: Ja. Das Thema Datenschutz ernst nehmen, denn die DSGVO wird nicht wieder verschwinden – das soll sie auch gar nicht.

 

Unternehmen sollten das Thema nicht als lästige Pflicht sehen – denn Datenschutz kann sogar ein Wettbewerbsvorteil sein! Und eine vertrauensbildende Maßnahme ist das allemal.

 

Vielen Dank für das Gespräch und Deine Einschätzungen!

 

Kleiner Tipp in eigener Sache: Eckart Holzinger hält bei uns das beliebte Seminar «Datenschutz-Grundlagen im Online-Marketing (inkl. DSGVO)»! Er schafft es wie kein anderer, dieses doch eher trockene Thema praxisnah und verständlich zu präsentieren!

 

Gefällt Ihnen dieser Artikel?

Rund 1x/Monat bekommen Sie die besten Artikel kostenlos in Ihre Inbox.

Newsletter abonnieren

 
 
Maus