5 Jahre DSGVO – Fluch oder Segen?

22.05.2023 | Am 25.05.2018 kam die europäische Datenschutzgrundverordnung, kurz DSGVO, nach einer zweijährigen Übergangsfrist zur Anwendung.

Europaweit – also für alle Mitgliedstaaten der EU - regelt dieses Gesetzeswerk nun den freien Informationsfluss und den Schutz der Freiheiten und Rechte bzw. das Recht auf informationelle Selbstbestimmung betroffener Personen, deren personenbezogenen Daten von Unternehmen, Behörden und Kommunalverwaltungen (Verantwortlichen) verarbeitet werden. Anlässlich des fünfjährigen Jubiläums der DSGVO soll ihre Notwendigkeit und die damit verbundenen positiven Aspekte beleuchtet, aber auch hinterfragt werden.

Notwendigkeit der DSGVO

Jeder Verantwortliche, der personenbezogene Daten verarbeitet, steht in der Pflicht, die Datenschutzgrundverordnung (DSGVO) und andere ergänzende Datenschutzgesetze, wie in der Bundesrepublik das Bundesdatenschutzgesetz (BDSG) oder die jeweiligen Landesdatenschutzgesetze der Bundesländer, einzuhalten. Ziel ist es, mit den stets einzuhaltenden Grundprinzipen des Datenschutzes (Verarbeitung aufgrund einer Rechtgrundlage, Zweckbindung, Datenminimierung, Speicherbegrenzung, Transparenz, Fairness, Vertraulichkeit, Integrität sowie Authentizität), die Betroffenenrechte zu stärken. Zudem soll die Verantwortlichkeit der Verarbeitenden gefordert (Rechenschaftspflicht) werden. Im Hinblick auf kommende neue Technologien soll die DSGVO flexibler, als es die alten Gesetze der Mitgliedstaaten vor der DSGVO zuließen, eingesetzt werden können.

Neben diesen Grundprinzipien gibt die DSGVO auch vor, wie dies im Einzelnen zu tun ist.

Einhaltung der Informationspflicht (Transparenz) gegenüber Betroffenen, wie Beschäftigten, Bewerbern, Kunden, Lieferanten, Gästen/Besuchern oder Webseitenbesucher, zur Verarbeitung ihrer Daten.
Sicherstellen der Rechte der Betroffenen u.a. auf Auskunft, Löschung, Korrektur oder auch der Widerspruchsmöglichkeit gegen automatisierte Verarbeitungsprozesse (KI) z.B. bei der Bewerberauswahl.
Übersicht über die Verarbeitungen und Beschreibung dieser.
Betrachtung der Risiken für die Betroffenen bei der Verarbeitung ihrer personenbezogenen Daten und beschreiben und ergreifen der entsprechend geeigneten Schutzmaßnahmen.
Regelung der Datenverarbeitung mit Auftragsverarbeitern oder innerhalb einer Unternehmensgruppe mittels datenschutzrechtlicher Verträge, bzw. Vereinbarungen.
Regelung und Prüfung von Datenübermittlungen in sogenannte Drittländer, in denen die DSGVO keinen Geltungsbereich hat.

Mit der DSGVO legte die EU also die gesetzlichen Rahmenbedingungen fest, um das Bewusstsein und die Sicherheit im Umgang mit personenbezogenen Daten zu verschärfen. Die Nichtbeachtung der DSGVO kann zu Sanktionen in Form von Bußgeldern führen. Hier ist auch zu beachten, dass bei der Bemessung der Bußgeldhöhe die Unternehmensgruppe als Ganzes bewertet wird, weshalb Summen in Höhen von bis zu 4 Prozent des weltweiten Jahresumsatzes einer Unternehmensgruppe möglich sind. Hinzu kommen Schadensersatzanforderungen von Betroffenen, die je nach Anzahl und Schweregrad noch höher als das von der Aufsichtsbehörde bemessene Bußgeld liegen können.

Sie sehen, wenn Sie auf die korrekte Umsetzung des Datenschutzes achten, bewahrt Sie dieser vor einem Schadensersatzrisiko, Imageverlust sowie dem persönlichen Haftungsrisiko.

Positive Aspekte

Die Vereinheitlichung des Datenschutzes in Europa führte zu einheitlichen Regelungen und Vorgehensweisen, z.B. beim Abschließen von Verträgen zur Auftragsverarbeitung. Der Fokus der Verantwortlichen fiel nun auch mehr auf ihre IT-Sicherheit und Infrastruktur. Ebenso wurde die Prüfung von Service-Anbietern erweitert, d.h. eine sorgfältigere Auswahl von Auftragsverarbeitern getroffen. Die Wahrnehmung gegenüber Verstößen gegen den Datenschutz einhergehend generell mit solchen gegen die Informationssicherheit wurde erhöht. Die Wahrnehmung bei generellen Verstößen gegen den Datenschutz und bei solchen, bei denen die Informationssicherheit betroffen ist, wurde erhöht.

Für die Betroffenen wurde die Transparenz verbessert, um sich ein Bild über die Verarbeitung betroffener Daten in den Unternehmen, Behörden und Kommunalverwaltungen zu machen. Zudem räumt die DSGVO den Betroffenen auch mehr Rechte ein, denen die Verantwortlichen auch nachkommen müssen. Bürgerinnen und Bürger der EU profitieren von diesen Regelungen durch die gestärkte informationelle Selbstbestimmung und somit die Kontrolle über ihre Daten, also dem hohen Datenschutzstandard und einem gleichen Recht für alle.

Ein gut funktionierender Datenschutz im Unternehmen stärkt das Vertrauen im Umgang mit digitalen Diensten sowie Anwendungen und kann Unternehmen bei korrekter Umsetzung auch als Wettbewerbsvorteil dienen, um sich in Vorbildfunktion von der Konkurrenz abzuheben.

Was kam sonst noch Neues?

Im Hinblick auf die geltenden Vorgaben der DSGVO gilt auch im nicht europäischen Ausland das sogenannte Marktortprinzip. D.h. es gelten die Regeln des Marktes, an welchen sich ein Angebot oder die Informationssicherheit eines Anbieters richtet. Das Marktortprinzip gilt demnach auch für die Datenverarbeitung durch Nicht-EU-Unternehmen, die EU-Bürgern Waren oder Dienstleistungen anbieten oder deren Verhalten überwachen. Die DSGVO zielt darauf ab, die personenbezogenen Daten und die Privatsphäre der EU-Bürger zu schützen und sicherzustellen, dass Unternehmen verantwortungsvoll mit ihren Daten umgehen.

Woran hapert es noch?

Häufig werden die Vorgaben der DSGVO in Unternehmen als Belastung gesehen. Dies liegt vor allem daran, dass bei der Implementierung des Datenschutzes oftmals der gesunde Menschenverstand nicht eingesetzt wird und die Chancen, Mehrwerte zu schaffen, vernachlässigt werden. Eine Implementierung als isoliertes Expertensystem, z.B. in Form einer Umsetzung als Softwarelösung, führt nicht automatisch dazu, dass die Beschäftigten auch an diesem System mitwirken können. Die Einbindung der Beschäftigten, das "Abholen", wird häufig unterschätzt.

Nur ein gelebtes Managementsystem ist auch ein funktionierendes Managementsystem. Mehrwerte entstehen auch dadurch, den Datenschutz in andere Managementsysteme zu integrieren. Hier hilft es, Synergien zu nutzen, die sich durch Anforderungen anderer Managementsysteme, z.B. aus dem Qualitätsmanagement oder aus der Informationssicherheit, ergeben. In der Industrie vermehren sich ebenfalls die Anforderungen an Zertifizierungen, z.B. TISAX. Auch hier sind die aus dem Datenschutz geforderten Maßnahmen hilfreich, weil sie Teil der Forderungen sind.

Resümee

5 Jahre sind vergangen – Zeit ein Resümee zu ziehen. Auch weiterhin wird auf Engagement und Interesse in Sachen Datenschutz gesetzt - denn ein Verstoß kann teuer werden! Doch statt Angst ist Sicherheit hier das entscheidende Stichwort!

Die DSGVO ist wichtig und richtig, was sie in ihrer täglichen Umsetzung beweist. Der bürokratische Aufwand zahlt sich für Sie als Unternehmen, wie auch für alle Bürgerinnen und Bürger aus, denn die Richtlinien der DSGVO betreffen uns alle und gelten für jeden in gleichem Maße. Während mit der Einführung der DSGVO viele Unternehmen mit dem hohen Aufwand zunächst überfordert waren, ist mittlerweile weitestgehend Routine eingekehrt.

Sie benötigen Unterstützung bei datenschutzrechtlichen Themen? Kontaktieren Sie uns gerne.