DSGVO: Was hat sich im ersten Jahr nach Inkraftsetzung der DSGVO getan?
DSGVO: Ein Jahr Datenschutzgrundverordnung

DSGVO: Ein Jahr Datenschutzgrundverordnung

Seit dem 25. Mai 2018 ist sie in Kraft getreten: Die Datenschutzgrundverordnung, kurz: DSGVO. Innerhalb der Europäischen Union existieren seither neue Pflichten bei der Verarbeitung von personenbezogenen Daten. Vielfach wurde geunkt: Nun beginne die Abmahnwelle, gerade KMU würden an den neuen Anforderungen scheitern.

Was aber ist wirklich passiert? Wir blicken mit Ihnen zusammen zurück auf ein Jahr DSGVO, ziehen Bilanz und haben ein kleines Quiz für Sie vorbereitet. Sind Sie DSGVO-Experte? Testen Sie sich und messen Sie sich mit Kollegen!

Schreckgespenst DSGVO?

Mit der EU-weit gültigen Datenschutz-Grundverordnung ging das Ziel einher, persönliche Daten unter besonderen Schutz zu stellen. Im Zeitalter des World Wide Webs eine gute Sache! Vorgänger der neuen Verordnung war die EU-Richtlinie 95/46/EG aus dem Jahre 1995. Viel hat sich getan in der Zwischenzeit und so war es logische Konsequenz, dass eine neue Verordnung her muss, die europaweit gilt.

Die DSGVO warf große Schatten voraus: Es würde eine Abmahnwelle folgen, hieß es kurz nach Inkrafttreten. Viele Unternehmen verpassten es, die zweijährige Übergangsfrist für interne Anpassungen zu nutzen. So kam es, dass viele unvorbereitet in die neue Datenschutz-Ära starteten.

Was aber hat sich konkret getan? Blicken Sie gemeinsam mit uns zurück:

Bußgelder: 81 DSGVO-Verstöße

Seit Ende Mai 2018 haben die Datenschutzbeauftragten der Länder in 81 Fällen Bußgelder aufgrund von Verstößen gegen die DSGVO verhängt. Wie die Welt berichtet, erreichten die Bußgelder insgesamt eine Höhe von 485.490 Euro. Daraus ergibt sich eine durchschnittliche Strafe in Höhe von rund 6.000 Euro je Verstoß.

Dass die Bußgeldhöhe sehr unterschiedlich ausfällt, zeigt sich in der Verteilung der einzelnen Fälle auf die Bundesländer:

  • Baden-Württemberg: 7 Fälle mit 203.000 Euro Bußgeld
  • Rheinland-Pfalz: 9 Fälle mit 124.000 Euro Bußgeld
  • Berlin: 18 Fälle mit 105.6000 Euro Bußgeld
  • Hamburg: 2 Fälle mit 25.000 Euro Bußgeld
  • Nordrhein-Westfalen: 36 Fälle mit 15.600 Euro Bußgeld
  • Sachsen-Anhalt: 6 Fälle mit 11.700 Euro Bußgeld
  • Saarland: 3 Fälle mit 590 Euro Bußgeld

Die Strafen in Millionenhöhe, die im Vorfeld befürchtet wurden, wurden bislang nicht verhängt. In Baden-Württemberg gab es jedoch einen Fall, in dem Gesundheitsdaten im Internet gelandet sind. Hierfür wurden 80.000 Euro fällig.

Verglichen mit dem EU-Ausland sind die hierzulande verhängten Strafen als Peanuts anzusehen. Google beispielsweise bekam von der französischen Datenschutzbehörde CNIL einen Bußgeldbescheid in Höhe von 50 Millionen Euro. Als ein Krankenhausmitarbeiter unbefugten Zugang zu Patientenakten hatte, musste ein portugiesisches Krankenhaus 400.000 Euro Strafe zahlen.

In ganz Europa wurden im letzten Jahr mehr als 200.000 Verstöße gemeldet. Die Bußgelder beliefen sich auf knapp 56 Millionen Euro – nicht viel, wenn man bedenkt, dass Google mit 50 Millionen Euro den größten “Strafzettel” erhielt. 65.000 Verstöße waren Selbstanzeigen der Datenschutzbeauftragten verschiedener Firmen, die Datenlecks gemeldet hatten.

Kosten der Umstellung

Ein Behördenmonster, das viel kostet – so oder so ähnlich wurde die DSGVO im vorigen Jahr begrüßt. Dass Unternehmen, Behörden, Institutionen oder Vereine bereits eine zweijährige Übergangsfrist für diese Umstellung nutzen konnten, wurde gerne übersehen.

So berichtete futurezone.de noch am 23.05.2018 unter Berufung auf das Versicherungsunternehmen UNIQA, dass die neuen Datenschutz-Regeln Firmen einen “dreistelligen Millionen-Betrag” kosten würden.

Schon im Jahre 2017 berichteten wir darüber, dass eine gute Planung Kosten und Zeit einspart. Wir gaben Ihnen Checklisten und Tipps an die Hand, damit Sie bestens vorbereitet in die neue Datenschutz-Ära starten können. Viele unserer Kunden haben sich diese Tipps zu Herzen genommen und konnten so massiv Kosten einsparen. Es gelang uns, viele Unternehmen zum Start der DSGVO effizient zu begleiten und ein Datenschutzmanagementsystem einzuführen.

Kosten sparen konnten Unternehmen, die beispielsweise bereits vor Inkrafttreten der DSGVO ein Verfahrensverzeichnis geführt haben. Von einem dreistelligen Millionen-Betrag konnte nicht die Rede sein. Das hat übrigens auch Viviane Reding, ehemalige EU-Kommissarin und eine der Wegbereiterinnen der DSGVO, festgestellt. Gegenüber der Welt erklärte Reding: “Ich würde den Marktteilnehmern keine zweijährige Übergangsfrist mehr einräumen.” Denn wenn kurz vor dem Inkrafttreten des Gesetzes Panik ausbreche, bedeutet das für Reding: “Zwei Jahre ist nichts passiert”, Unternehmen und Regierungen hätten “im Tiefschlaf” gelegen.

Sind künftig weitere Änderungen durch die DSGVO zu erwarten?

Die betroffenen Personen sind sich ihrer Rechte heute bewusster, erklärt Autor Friedhelm Greis auf Golem.de. Die EU-Bürger würden ihr Beschwerderecht ausgiebig nutzen, heißt es in dem Beitrag. Im vergangenen Jahr gingen bei den europäischen Datenschutzbehörden über 144.000 Beschwerden ein. Mehr als 42.000 davon seien bei deutschen Behörden eingegangen – offenbar spielt der Datenschutz hierzulande eine größere Rolle für Bürger als in anderen EU-Mitgliedsstaaten.

Gerade kleine Unternehmen und Vereine sehen eine große Belastung in der Umsetzung der DSGVO. Kein Wunder, dass auch Stimmen laut werden, die nach einer Entschärfung der Datenschutz-Grundverordnung rufen. Bundesjustizministerin Katarina Barley (SPD) sprach sich jüngst für eine solche Entschärfung aus: “Wenn nötig, wird man auch an der einen oder anderen Stelle vielleicht nachjustieren müssen – dies allerdings insbesondere auf EU- und nicht auf nationaler Ebene”, erklärte sie gegenüber dem Handelsblatt.

Seit kurz nach Inkrafttreten werden Änderungen von verschiedenen Seiten gefordert. Die Bundesregierung möchte missbräuchliche Abmahnungen möglichst ausschließen, gelten soll dies jedoch ausschließlich für kleine Unternehmen sowie kleine Vereine, die gewerblich tätig sind. Die Wirtschaft selbst möchte ein grundsätzliches Verbot von Abmahnungen durch Wettbewerber erreichen. Es sind also noch kleinere Anpassungen zu erwarten.

Bedeutende Änderungen für Unternehmen durch die DSGVO

Datenschutz existierte bereits vor der DSGVO – und doch gab es einige Änderungen. Die drei wesentlichsten Änderungen durch die DSGVO sind für uns:

  • Teuerste Änderung: Mit Bußgeldern von bis zu 10 oder 20 Millionen Euro oder 2 bzw. 4 % des weltweiten Jahresumsatzes (je nachdem, was höher ausfällt) sind die Sanktionen im Gesetz existenzbedrohend. Das letzte Jahr zeigte jedoch, dass eine solche Strafe bislang nicht verhängt wurde.
  • Umständlichste Änderung: Mit der DSGVO ist ein generelles Umdenken notwendig geworden. Gefordert wird Privacy by Design – also erst der Datenschutz, dann die Funktionalität. Personenbezogene Daten müssen per Voreinstellung (Privacy by Default) geschützt werden.
  • Umfangreichste Änderung: Unternehmen müssen ihrer Rechenschaftspflicht nachkommen, womit die Vorgänge insgesamt komplexer geworden sind und mehr dokumentiert und informiert werden muss.

Fazit: Ein Jahr DSGVO – eine Bilanz

Die Ängste und die große Panik vor Abmahnungen haben sich auch ein Jahr nach Inkrafttreten der DSGVO nicht erfüllt. Insgesamt hat die neue Verordnung sowohl in der Gesellschaft als auch in der Wirtschaft den Blick für das Verarbeiten von personenbezogenen Daten deutlich geschärft.

So zeigen die vielen eingegangenen Beschwerden gegen Datenschutzverstöße, wie sensibel Verbraucher geworden sind. Eine Abmahnwelle blieb aus – und sie ist auch nicht mehr zu erwarten.

Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), zieht insgesamt eine positive Bilanz. Die Süddeutsche Zeitung zitiert: “Natürlich ist nicht alles perfekt in der DSGVO”. Dennoch handle es sich um eine “Zeitenwende im Datenschutz”. Nachbesserungsbedarf sehe Kelber “vor allem bei den Informations- und Dokumentationspflichten, die Privatpersonen, Vereine und kleine Unternehmen übermäßig belasten würden.”

DSGVO-Quiz: Sind Sie Datenschutz-Experte?

Was wissen Sie über die DSGVO? In unserem DSGVO-Quiz können Sie testen, ob Sie ein Datenschutz-Experte sind. Wer weiß besser Bescheid – Sie oder Ihr Kollege?

In Arztpraxen, aber auch in Metzgereien oder am Kiosk um die Ecke dürfen Kunden und Patienten nicht mehr mit Namen angesprochen werden.

© Jonas Glaubitz - fotolia.de
Correct! Wrong!

Es gibt sie: Friseure oder Arztpraxen, die ihre Kunden oder Patienten nicht mehr mit dem Namen ansprechen, aus Angst, sie verstoßen gegen die DSGVO. Da das Gedächtnis jedoch kein Dateisystem im Sinne der DSGVO ist, darf man sich gerne auch jetzt noch höflich verhalten und bekannte Gesichter öffentlich mit Namen ansprechen.

In jedem Unternehmen muss es einen Datenschutzbeauftragten geben.

© Rido - fotolia.de
Correct! Wrong!

Ein Datenschutzbeauftragter ist nur unter bestimmten Umständen notwendig: Sind mindestens 10 Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt, werden besonders sensible Daten verarbeitet, für die eine Datenschutz-Folgenabschätzung nötig ist, nur dann ist ein Datenschutzbeauftragter Pflicht. Dieser muss nicht in Vollzeit beschäftigt und kann auch extern bestellt werden.

In Wien wurden Klingelschilder aufgrund der DSGVO verboten; an den Postkästen stehen nun nur noch Nummern. Auch hierzulande muss von Namensschildern auf Nummern umgestellt werden.

© dietwalther - fotolia.de
Correct! Wrong!

Da es sich bei Klingelschildern nicht um die Verarbeitung personenbezogener Daten im Sinne der DSGVO handelt, dürfen sie weiterhin hängen bleiben - niemand muss sich umstellen.

Für jede Datenerfassung muss eine Einwilligung vorliegen.

© jannoon028 - fotolia.de
Correct! Wrong!

Die “Einwilligeritis” ist ein Phänomen, das seit der DSGVO um sich greift. Dabei sind Einwilligungen nur dann nötig, wenn die Verarbeitung der Daten nicht per Gesetz erlaubt ist oder nicht zur Erfüllung eines Vertrages erforderlich ist. Besteht ein “berechtigtes Interesse” am Verarbeiten personenbezogener Daten, braucht es keine Einwilligung - Löschanforderungen und Widersprüche müssen jedoch beachtet werden!

E-Mails dürfen innerhalb eines Unternehmens nicht mehr weitergeleitet werden.

© adiruch na chiangmai - fotolia.de
Correct! Wrong!

Eine Rechnung geht an die allgemeine E-Mail-Adresse des Unternehmens. Diese darf selbstverständlich an die Buchhaltung des Unternehmens weitergeleitet werden, denn es ist immer zulässig, die zur Vertragserfüllung erforderlichen Daten weiterzugeben. Dies gilt nicht nur intern, sondern auch bei der Weiterleitung von Daten an Paketzusteller oder Finanzdienstleister, wenn die Daten zur Vertragserfüllung erforderlich sind.

Für Fotografien von Menschen sind grundsätzlich schriftliche Genehmigungen notwendig.

© Flamingo Images - fotolia.de
Correct! Wrong!

Tatsächlich sieht der Gesetzgeber Foto- und Videoaufnahmen als Verarbeitung von personenbezogenen Daten an. Jedoch haben Gerichte bestätigt, dass das Kunsturhebergesetz ebenfalls gilt. So dürfen journalistische Fotos zur Zeitgeschichte, aber auch Fotos von Versammlungen und jene, auf denen Menschen nur als Beiwerk erscheinen, ohne Einwilligung des Abgelichteten fotografiert und veröffentlicht werden.

Sind Handwerksbetriebe als Subunternehmen tätig, wird ein Auftragsverarbeitungsvertrag notwendig.

© Jakub Jirsák - fotolia.de
Correct! Wrong!

Unter einer Auftragsverarbeitung versteht man das Erheben, Verarbeiten oder Nutzen personenbezogener Daten durch einen Dritten im Auftrag des Verantwortlichen. Da die Kundendaten kein wesentlicher Vertragsgegenstand, sondern nur nötig sind, um den Auftrag zu erfüllen, braucht es keinen Vertrag zur Auftragsverarbeitung.

Seit Inkrafttreten der DSGVO dürfen keine Daten in die USA übermittelt werden.

© beugdesign - fotolia.de
Correct! Wrong!

Eine Datenübermittlung ins Nicht-EU-Ausland ist durch die DSGVO an verschiedene Bedingungen geknüpft. Ziel ist es, dass der Datenempfänger, etwa ein US-Cloud-Service, das Datenschutzniveau der EU einhält. Zertifizierungen etwa unter dem EU-US-Privacy-Shield gelten als Nachweis dafür.

Bei Kindern unter 16 Jahren verlangt die DSGVO bei der Nutzung von „Diensten der Informationsgesellschaft“ auch die Einwilligung der Eltern.

© djile- fotolia.de
Correct! Wrong!

Internet-Dienste dürfen personenbezogene Daten erst verarbeiten, wenn ein Nutzer 16 Jahre oder älter ist. Sind die Nutzer jünger, müssen die Eltern mitentscheiden.

DSGVO Quiz
Datenschutz-Novice

Sie haben schon von der DSGVO gehört, sich aber noch nicht intensiv mit ihr auseinandergesetzt. Ob Sie Unternehmer oder Verbraucher sind: Es ist sinnvoll, sich mit dem Gesetz auseinanderzusetzen, damit Sie Ihre Pflichten, aber auch Ihre Rechte kennen.
Datenschutz-Kenner

Sie haben schon ein recht gutes Feeling im Umgang mit personenbezogenen Daten. Erweitern Sie Ihr Wissen noch etwas - es ist nur ein kleiner Sprung zum Datenschutz-Experten!
Datenschutz-Experte

Ihnen macht so leicht niemand etwas vor, wenn es um Datenschutz im Allgemeinen und die DSGVO im Besonderen geht. Glückwunsch - von Ihnen können andere noch viel lernen!

Share your Results:

 

2 Replies to “DSGVO: Ein Jahr Datenschutzgrundverordnung”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert