Ein Jahr DS-GVO – Ein Rück- und ein Ausblick

Es war spannend - und wird weiterhin spannend bleiben.

Die DS-GVO wird am 25.05.2019 ein Jahr alt. Für uns alle war das eine sehr ereignisreiche Zeit. Was hat das neue Gesetz gebracht, was hat es (zum Glück) nicht gebracht und was wird es uns noch bringen?

Anbruch einer neuen Datenschutz-Ära

Eines lässt sich nicht von der Hand weisen. Der Datenschutz hat heute in der DS-GVO-Ära eine ganz andere Bedeutung als in Zeiten des guten alten BDSG. Da war die Welt noch in Ordnung. Man konnte Visitenkarten überreichen, ohne sich fragen zu müssen, ob das überhaupt noch geht und wenn ja, dann wie. Mit einem „Tanz“ nach Art. 13 DS-GVO oder ohne. Die Kinder im Kindergarten waren auf Fotos zu erkennen und konnten ihre Wunschzettel an den Weihnachtsbaum hängen, ohne dass der Weihnachtsmann sich Gedanken über die Rechtsgrundlage für die Verarbeitung der mehreren Tausend Wunschzettel machen musste. Die Türklingelschilder waren nur da, um dem Postboten oder einem Besucher das Auffinden des gesuchten Hausbewohners (Nr. 321) zu ermöglichen und nicht, um prominent im Fokus der medialen Aufmerksamkeit zu stehen.

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. formuliert es in seinem aktuellen Fachmagazin BvD-NEWS sehr treffend: „Ein Gesetz lernt laufen“. Und wie das bei den ersten Schritten so ist, sind sie nicht die sichersten. Man sieht jedoch deutlich, dass das Gesetz Schritt für Schritt dazu beiträgt, dass wir in Europa ein Datenschutzniveau erreichen, welches weltweit als Vorbild dienen kann und teilweise schon dient. Dies hat kein geringerer als der Apple-Chef Tim Cook in einem seiner aktuellen Interviews bestätigt. Die DS-GVO ist also kein Kuriositätenkabinett, sondern etwas, das schon längst überfällig war. Denn wie will man ohne eine funktionierende (zugegebenermaßen sehr strenge) Gesetzgebung in Zeiten der Globalisierung dafür sorgen, dass die personenbezogenen Daten sicher verarbeitet werden? Es bedarf klarer Spielregeln, die im guten alten BDSG beispielsweise zwar (auch) existierten, aber die meisten nicht so richtig interessierten. Nun ist es anders. Das Geburtstagskind war von Anfang an und ist nach wie vor sehr interessant. Und das soll es bleiben.

Welche „Hiobsbotschaften“ sind bisher ausgeblieben?

Wenn auf den Startschuss gewartet und befürchtet wurde, dass die Aufsichtsbehörden es gleich nach Wirksamwerden der DS-GVO als ihre oberste Pflicht ansehen würden, Bußgelder zu verhängen, dann durfte man erfreulicherweise feststellen, dass diese sich stattdessen primär in der Pflicht gesehen haben, mit zahlreichen Orientierungshilfen und Positionspapieren den Verantwortlichen unter die Arme zu greifen. Die Hilfe musste man – wenn es nicht gerade sich völlig widersprechende Stellungnahmen waren – nur annehmen. Ganz besonders hilfreich waren und sind die Hilfestellungen des Bayrischen Landesamts für Datenschutzaufsicht (BayLDA). Nicht zu vergessen sind natürlich auch die zahlreichen Dokumente der deutschen Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK), die bei der Auslegung des Gesetzes neben den entsprechenden Gesetzes-Kommentierungen und Beiträgen in der Fachpresse oft eine sehr gute Hilfe sind. Als Leser unseres Blogs oder unseres regelmäßig erscheinenden Newsletters waren Sie ohnehin immer gut informiert, finden wir.

Ausgeblieben sind bisher die prophezeiten Abmahnwellen wegen nicht oder nicht richtig umgesetzter Datenschutzerklärungen auf den Webseiten auch wenn es vereinzelt zu Abmahnungen und sogar entsprechenden Gerichtsentscheidungen in diesem Bereich kam. Genau so blieben bisher Abmahnwellen wegen der fehlenden verschlüsselten Übertragung der Internetseiten per https aus, obwohl es hier neuerdings doch noch zu kräuseln anfing (Beitrag auf S. 11 der Datenschutz-NEWSBOX 04/19 von Datakontext).

Was hat die Datenschutzwelt wirklich bewegt?

Von medienwirksamen Berichten der Katastrophenpresse abgesehen gab es Themen, die die Datenschutzwelt wirklich bewegt haben. Der interessierte Leser kann sich die einzelnen Themen in den Tätigkeitsberichten der Datenschutzaufsichtsbehörden anschauen, die diese bisher veröffentlicht haben oder demnächst veröffentlichen werden. Damit Sie nicht nach einzelnen Datenschutzbehörden und ihren Berichten mühsam suchen müssen, hat die von der Bundesrepublik Deutschland gestiftete „Stiftung Datenschutz“ einen Internetauftritt ins Leben gerufen, der in einem Zentralarchiv für Tätigkeitsberichte der Bundes- und der Landesdatenschutzbeauftragten sowie der Aufsichtsbehörden für den Datenschutz (ZAfTDa) die entsprechenden Informationen bündelt und die Tätigkeitsberichte komfortabel zum Download bereitstellt.

Hier seien nur einige der wichtigsten Themen genannt:

  • Internationaler Datenverkehr und Auftragsverarbeitung,
  • Beschäftigtendatenschutz,
  • Meldungen von Datenschutzverstößen und Umgang mit sogenannten Datenpannen,
  • Datenschutz im Gesundheitssektor (insbesondere GesundheitsApps),
  • Umsetzung der DS-GVO im Bereich des Sozialrechts,
  • Nutzung von Messenger-Diensten und sozialen Medien,
  • Umsetzung von Informations-, Dokumentations- und Löschpflichten,
  • Sicherstellung der Rechte der betroffenen Personen,
  • Datenschutzkontrollen durch die Aufsichtsbehörden,

Die Wirklichkeit der Datenschutzwelt ist, wie man sieht, nicht besonders spektakulär, jedoch dadurch nicht weniger interessant.

Was erwartet uns in der Zukunft?

Es gibt noch einiges, was zu den ungelösten Problemen zählt und entweder auf ein Tätigwerden des europäischen Gesetzgebers, einen Richterspruch, eine klärende Stellungnahme von Fachgremien wartet oder schlicht technischer Lösungen bedarf.

So muss vor allem geklärt werden, ob das in Deutschland (noch geltende) Telemediengesetz nun die Umsetzung der durch die DS-GVO abgelösten Datenschutzrichtlinie oder der ePrivacy-Richtlinie (Richtlinie 202/58) war, denn diese Frage hat weitreichende Konsequenzen (Opt-Out/Opt-In-Problematik beim Einsatz von Cookies) und das zumindest so lange, wie die ePrivacy-Verordnung nicht verabschiedet wird, die endgültig für Klarheit sorgen dürfte. Und dieser Termin dürfte nicht mehr im Jahr 2019 liegen.

Bezüglich der technischen Lösungen: Die Entwicklung zeigt, dass die Softwarehersteller (überwiegend mit Erfolg) daran arbeiten, dass ihre Produkte die gesetzliche Forderung aus Art. 25 DS-GVO nach Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (privacy by design / privacy by default) erfüllen. So kann man damit rechnen, dass die Verantwortlichen Mittel an die Hand bekommen, die „von Haus aus“ DS-GVO-konform sind und man nicht erst durch mühsame Neu- oder Umgestaltung von Unternehmensprozessen die gesetzlichen Bestimmungen erfüllen kann. Man denke hier beispielsweise an die Lösch-, Dokumentations- und Informationspflichten.

Sicherlich wird es neben anlassbezogenen insbesondere weitere, regelmäßige (schwerpunktbezogene) Prüfungen durch die Aufsichtsbehörden geben, denn dies wurde bereits angekündigt.

Auch wir können nicht in die Glaskugel schauen und vorhersagen, was die DS-GVO-Zukunft uns im Einzelnen bringen wird. Eins steht jedoch fest: Es bleibt spannend und das Thema „DS-GVO Compliance“ wird uns alle noch lange beschäftigen. Und das Team der bITs GmbH wird Sie weiterhin zu allen interessanten Neuigkeiten auf dem Laufenden halten.

Sie benötigen Unterstützung bei der Umsetzung der Vorgaben der DS-GVO? Sprechen Sie uns an, wir helfen Ihnen gerne!