Ein halbes Jahrzehnt ist sie nun alt: die EU-Datenschutz-Grundverordnung (DSGVO), die in Europa am 25. Mai 2018 ein unübersehbares Zeichen für den Schutz personenbezogener Daten gesetzt hat. Die DSGVO gilt als Vorreiterin in Sachen Datenschutz und hat weitere Länder dazu inspiriert, Gesetze zum Schutz personenbezogener Daten zu erlassen.
Doch wie steht es um die Umsetzung der Vorschriften? Was wurde durch die strengen datenschutzrechtlichen Anforderungen erreicht und welche Themen stellen nach wie vor Herausforderungen für Unternehmen dar? Wie gehen die Verantwortlichen mit dem Thema Datenschutz-Grundverordnung um? Zum fünften Geburtstag des Gesetzes werfen wir einen Blick auf die wesentlichen Aspekte.
Hohes Bußgeldrisiko – mangelnde Rechtsdurchsetzung?
Der Datenschutz wurde in Unternehmen bis zur DSGVO oft stiefmütterlich behandelt. Das lag insbesondere daran, dass man selbst bei Verstößen gegen das alte Bundesdatenschutzgesetz (BSG), welches einige der Anforderungen der DSGVO bereits enthielt, kaum mit harten Sanktionen zu rechnen hatte. Mit der Datenschutz-Grundverordnung änderte sich dies schlagartig: Fortan drohten Unternehmen bei Verstößen gegen die datenschutzrechtlichen Anforderungen Bußgelder von bis zu vier Prozent des gesamten weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahres.
Seit Einführung wurde in Deutschland Bußgeld in Höhe von 70 Millionen Euro verhängt
Mit Blick auf dieses hohe finanzielle Risiko stand deshalb vor der unmittelbaren Anwendbarkeit der Vorschriften im Mai 2018 auf der Agenda, eine gesetzeskonforme Datenschutzorganisation zu etablieren und alle relevanten Anforderungen umzusetzen, etwa die Dokumentation der Verarbeitungen personenbezogener Daten, die Durchführung von Datenschutz-Folgenabschätzungen und der Abschluss von gesetzeskonformen Auftragsverarbeitungsverträgen. Wie die Rechtsdurchsetzung der zuständigen Datenschutzaufsichtsbehörden gezeigt hat, ist ein Bußgeld wegen Verstößen gegen die Datenschutz-Grundverordnung nicht nur ein abstraktes Risiko, sondern kann Realität werden: Seit 2018 haben die deutschen Aufsichtsbehörden Bußgelder von insgesamt mehr als 70 Millionen Euro verhängt.
Hören Sie auch die Podcasts unserer Expertin:
- Neue Whistleblower-Rechte bringen Sonderpflichten für Unternehmen: Warum das Beschwerdeverfahren im Lieferkettengesetz für Compliance-Herausforderungen sorgt.
- Bei Geschäftsbeziehungen auf Nummer sicher gehen: Unternehmen sollten mit Risikoanalysen ihre Geschäftspartner prüfen.
- Geldwäscheprävention: „Unwissen schützt vor Strafe nicht“. Unsere Expert:innen über Formen der Geldwäsche, schmutzige Euro und effektive Prävention.
Die Umsetzung der datenschutzrechtlichen Anforderungen kann für Unternehmen zudem zu einem Wettbewerbsvorteil führen. Auch wenn viele Unternehmen diesen Vorteil gemäß einer Bitkom-Studie von 2022 nicht erkennen, kann das jüngst vom Europäischen Datenschutzausschuss genehmigte Europäische Datenschutzsiegel „Europrivacy“ hier ein echter Booster sein. Mit dem Siegel wird die DSGVO-Compliance zertifiziert. Unternehmen können damit die angemessene und wirksame Umsetzung der gesetzlichen Anforderungen nachweisen und nach außen kommunizieren.
Die Verwendung des Siegels zeigt, dass Unternehmen die Abschwächung von Bußgeldrisiken nutzen, um sich Vorteile im Wettbewerb zu verschaffen. Und gleichzeitig dient das Siegel als Motivation, ein angemessenes Schutzniveau für personenbezogene Daten zu schaffen und so die datenschutzrechtlichen Anforderungen einzuhalten.
Praktische Herausforderungen auch nach fünf Jahren DSGVO – Abhilfe in Sicht?
Unternehmen sehen sich auch fünf Jahre nach dem Start der Datenschutz-Grundverordnung im Mai 2018 mit praktischen Herausforderungen bei der Umsetzung konfrontiert. Dies nicht zuletzt auch durch Unklarheiten mit Blick auf die Rechtslage und den Umgang mit den datenschutzrechtlichen Vorgaben. Deutlich wird dies zum Beispiel, wenn es darum geht, personenbezogene Daten in Drittländer außerhalb der EU bzw. des EWR zu übermitteln. Seitdem der Europäische Gerichtshof 2020 den zwischen der EU und den USA bestehenden Angemessenheitsbeschluss „Privacy Shield“ gekippt hat, herrscht bei Unternehmen Unsicherheit über Drittlandübermittlungen. Insbesondere der Einsatz digitaler Lösungen US-amerikanischer Anbieter wurde für Unternehmen zum Sorgenkind hinsichtlich der Datenschutz-Compliance.
Doch nach der Schaffung einer „Übergangslösung“ in Form des Abschlusses von Standardvertragsklauseln und der Risikobewertung im Rahmen von Data Transfer Impact Assessments, scheint es nun auch eine Lösung auf politischer Ebene zu geben: Das EU-US Data Privacy Framework soll das langersehnte Rahmenwerk darstellen und auf dessen Basis ein neuer Angemessenheitsbeschluss für die USA erlassen werden. Dies würde die herrschende Unsicherheit im Markt erheblich reduzieren.
Weitere Themen, wie beispielsweise die Umsetzung des Rechts auf Auskunft gemäß Artikel 15 DSGVO, stellen Unternehmen nicht nur vor organisatorische Herausforderungen, sondern werden auch regelmäßig gerichtlich geklärt. Artikel 15 regelt, welche Rechte Betroffene haben, wenn es um personenbezogene Daten geht. Der Fokus liegt stets auf der Auslegung und Grenze des Auskunftsrechts und des Rechts auf Kopie. Unternehmen sind hier gut beraten, die regelmäßigen Gerichtsurteile zu diesem Thema genau im Auge zu behalten.
Ein Blick nach vorn: Was wird für Unternehmen bis zum sechsten Geburtstag der DSGVO wichtig?
Auch in Zukunft bleibt es rund um den Datenschutz spannend. Unternehmen werden weiterhin mit Innovationen konfrontiert sein, bei denen auch personenbezogene Daten verarbeitet werden und die damit neue Datenschutzfragen aufwerfen. Zum Beispiel beim Einsatz von künstlicher Intelligenz (KI). Neben den Anforderungen der DSGVO müssen Unternehmen dabei auch die weitere regulatorische Entwicklung im Blick behalten. So plant die Europäische Kommission beispielsweise ein Gesetz über künstliche Intelligenz, das Unternehmen bei der Entwicklung und Anwendung entsprechender Technologien zu berücksichtigen hätten.
Ebenso gilt es, die Entwicklungen zur Regulierung des digitalen EU-Raums im Auge zu behalten. Im Juli 2022 stimmte das Europäische Parlament dem EU-Paket zu digitalen Diensten zu, das aus zwei Gesetzen besteht – dem Digital Markets Act und dem Digital Services Act. Beide Gesetze werden im Jahr 2024 unmittelbare Geltung in der gesamten EU entfalten und sind von Unternehmen entsprechend umzusetzen.
Gleiches gilt für die verschärften Rechtsvorschriften zur Sicherung eines hohen Cybersicherheitsniveaus in der gesamten EU: Die sogenannte NIS 2-Richtlinie, die die derzeit geltende Richtlinie zur Netz- und Informationssicherheit ersetzen soll, fordert von Unternehmen umfangreiche Risikomanagementmaßnahmen und etabliert Meldepflichten bei Vorfällen im Bereich Cybersicherheit. Bei NIS 2 lassen sich Parallelen zur DSGVO erkennen, insbesondere was die strengen Meldepflichten bei Vorfällen, erforderliche technische und organisatorische Maßnahmen sowie die hohen drohenden Bußgelder betrifft (bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes bei Verstößen gegen die Anforderungen). Zwar müssen die EU-Staaten die Richtlinie erst bis zum 17. Oktober 2024 in nationales Recht umsetzen. Dennoch sollten Unternehmen sich bereits heute mit der Betroffenheit und den Anforderungen auseinandersetzen und die erforderlichen Umsetzungsbedarfe analysieren.
Nach fünf Jahren DSGVO zeigt sich immer noch: Das Regelwerk birgt Unsicherheiten in der Auslegung und Operationalisierung. Unternehmen sollten insbesondere die aktuellen Entwicklungen stets im Auge behalten, um kurzfristig reagieren zu können. Dies gilt auch für die weiteren gesetzlichen Neuerungen wie beispielsweise das KI-Gesetz, den EU-Pakt zu digitalen Diensten und die Richtlinie NIS 2, die Auswirkungen auf den Schutz personenbezogener Daten haben.