Wie die Datenschutzregeln wirken
Die Bilanz nach einem Jahr Datenschutz-Grundverordnung: Es gibt viel mehr Beschwerden zu Datenmissbrauch, auch die Zahl der Datenpannen ist hoch. Und die Wirtschaft hat sich noch immer nicht mit der DSGVO angefreundet. Aus gutem Grund?
WIEN. Von Strafen in Millionenhöhe war die Rede. Von einem Einschnitt für die Wirtschaft. Und von Massen an Datenschützern, die unangemeldet bei Firmen einfallen könnten.
Mit dem heutigen Samstag ist die EU-weite Datenschutz-Grundverordnung (DSGVO) genau ein Jahr alt. Und zumindest in Österreich gab es weder Millionenstrafen noch entfesselte Horden von Datenschützern. Doch was hat die Grundverordnung stattdessen bewirkt? Zunächst einmal einen belegbaren Anstieg an Beschwerdefällen. Seit dem Start der DSGVO gingen bei der heimischen Datenschutzbehörde allein 1291 Individualbeschwerden ein. 2017, im letzten vollen Jahr ohne DSGVO, waren es 156. Selbst wenn man die Kontroll- und Ombudsmannverfahren dazunimmt, waren es 2017 lediglich 489. „Wie man es dreht und wendet: Die Menge und somit der Arbeitsaufwand hat sich vervielfacht“, sagt Andrea Jelinek. Die Wienerin steht der österreichischen Datenschutzbehörde vor, parallel ist sie Leiterin des EU-Gremiums für Datensicherheit. Ihr Fazit: „Die Menschen nehmen das Recht auf Datenschutz nun viel stärker wahr. Nach dem Motto ,data protection goes mainstream‘ (Datenschutz wird massentauglich, Anm.).“Jelineks Einschätzung belegt eine diese Woche veröffentlichte Umfrage der europäischen Kommission: Zwei von drei EU-Bürgern haben von der DSGVO gehört, ähnlich viele wissen, dass es in ihrem Land eine zuständige Behörde gibt.
Doch wie ist es mit den Unternehmen? Laut Jelinek sei bei den Firmen das Bewusstsein ebenso gestiegen. Seit Start der Grundverordnung wurden der Behörde allein 4079 Datenschutzbeauftragte genannt. Die Unternehmen meldeten aber auch 912 Datenpannen, sogenannte Data Breach Notifications. „Die DSGVO hat zu einem DatenFrühjahrsputz geführt. Jedes Unternehmen hat seine Datenbestände durchforstet“, sagt Jelinek. Und die Auswirkung strahle über Europa hinaus. So werde ab 2020 in Kalifornien ein neues Datenschutzgesetz in Kraft treten, das der DSGVO ähnle.
Nichtsdestotrotz sehen Unternehmen die DSGVO weiter kritisch: Laut einer Befragung des deutschen Bundesverbands Digitale Wirtschaft haben 32 Prozent der Mitglieder ihre digitalen Aktivitäten nach Start der DSGVO eingeschränkt. Das sei der falsche Weg, sagt Michael M. Pachinger, Anwalt mit Schwerpunkt Datenschutzund IT-Recht. „Die DSGVO lässt Spielräume – und diese sollte man selbstbewusst in Anspruch nehmen.“Aber Pachinger gesteht den Firmen auch zu, dass der Aufwand „ein irrer“war. „Die DSGVO hat sämtliche Unternehmensbereiche tangiert.“Am Ende des Tages habe es sich aber gelohnt. Denn so seien etwa Mehrgleisigkeiten bei der Datenverarbeitung abgebaut worden.
Parallel sind die befürchteten Horrorstrafen ausgeblieben – zumindest in Österreich. Die höchste Strafe, die bisher ausgesprochen wurde, belaufe sich auf 7800 Euro für einen Fall, in dem es um Videoüberwachung gehe, beschreibt Jelinek. Und sie ergänzt: „Es war eine Fama, dass die Behörde kommen würde und Menschen die Existenzgrundlage nimmt.“Für Pachinger war der Umgang mit den Höchststrafen „etwas hysterisch“. Die Angst vor den Maximalstrafen hätten einige Berater als Vehikel „missbraucht“. Die Firmen müssten sich bewusst machen, dass vor allem die höher bestraft werden, die absichtlich gegen Regeln verstoßen. Und was ist mit den großen US-Datensammlern? Google bekam eine 50-Millionen-Euro-Strafe aufgebrummt; die Berufung läuft. Bei anderen Beschwerden, etwa gegen Facebook, erwartet sich Jelinek in den kommenden Monaten einen Entscheidungsentwurf der zuständigen irischen Behörde. Diese Woche hat die Behörde bereits eine Untersuchung gegen Google eingeleitet. Und auch die DSGVO selbst wird bald durchleuchtet: 2020 prüft die EU-Kommission, was verbesserungswürdig ist.