5 Jahre DSGVO – Träge Behörden, bissige NGOs

Allgemein

Die DSGVO trat am 25. Mai 2018 in Kraft und blickt seit letzter Woche auf 5 Jahre Bestehen zurück. Im Fokus standen dabei häufig die Durchsetzung der DSGVO, sowie im Besonderen der Datenaustausch mit den USA.

Ohne NGOs nichts los

Immer wieder zeigt sich, dass die Kontrollbehörden in Sachen Datenschutzverstöße träge agieren. Erst durch den Einsatz von NGOs wie None of your Business (noyb), dem Irish Civil Liberties Council, oder Privacy International werden Verfahren angestoßen. Diese Verfahren sind wichtig, um Rechtssicherheit zu schaffen und Betroffenenrechte zu stärken. Etwa wie die Entscheidungen des EuGH, dass auch Sammelklagen bei Datenschutzproblemen möglich sind, oder Schadensersatzansprüche bei Datenschutzverstößen – Stichwort Erheblichkeitsschwelle.

Bereits über 800-mal hat Noyb Beschwerde erhoben und dabei besonders Unternehmen und Konzerne im Fokus. Das Fazit von Noyb sieht dabei ernüchternd aus: 85% der Fälle wurden noch nicht entschieden, wobei sogar 470 Fälle seit über anderthalb Jahren auf ihre Entscheidung warten.

Stärkung von Betroffenenrechten, bessere IT-Sicherheit

Ein wenig besser funktioniert es mit dem Auskunftsrecht aus Art. 15 DSGVO. Betroffene können so Auskunft darüber fordern, ob und welche Daten wie gespeichert werden. Große Plattformen haben dabei inzwischen Prozesse automatisiert, sodass eine Auskunft häufig leicht möglich ist. Aber auch hier ist noch Verbesserungspotential, da Unternehmen gerne mit oberflächlichen Angaben ausweichen. Wieder einmal bedurfte es der Klage einer NGO vor dem EuGH, um den Betroffenen eine „originalgetreue und verständliche Reproduktion“ ihrer Daten zu ermöglichen. Wichtig ist also für Unternehmen, ein geordnetes Verarbeitungsmanagement zu haben, um auf Anfragen entsprechend reagieren zu können.

Ein weiterer Positiver Effekt ist eine Zunahme an IT-Sicherheitsmaßnahmen in Unternehmen. Die in Art. 32 DSGVO geforderten technischen und organisatorischen Maßnahmen, setzen unter anderem Verschlüsselungen von personenbezogenen Daten und regelmäßige Überprüfungen der Maßnahmen voraus.

Die USA, die EU und der Datenschutz

Bei den Datentransfer in die USA fehlt es nach wie vor an einer sicheren Rechtsgrundlage. Immer wieder gab es in der Vergangenheit Anläufe, die jedes Mal vor dem EuGH scheiterten. Sowohl „Safe Harbour“, als auch „Privacy Shield“ wurden in den Urteilen „Schrems I“ und „Schrems II“ gekippt. Hauptkritikpunkt war, dass die Zugriffsmöglichkeiten der US-Geheimdienste nicht mit dem europäischen Standard vereinbar sind.  Mit dem „Data Privacy Framework“ läuft momentan ein dritter Versuch eine Regelung zu schaffen, dessen Ausgang nach wie vor ungewiss ist. Gerade für Unternehmen die Dienste nutzen, welche Daten auf US-Server gelangen lassen, besteht eine ständige Unsicherheit.

Wie geht es weiter?

Der Datenschutz ist mit der DSGVO durchaus stärker geworden, auch wenn hier und da noch Nachbesserungsbedarf besteht. Die große Aufgabe wird es, trotz neuer Technologien und viel Dynamik, Klarheit zu schaffen. Auf europäischer Ebene erwarten uns in den kommenden Jahren diverse neue Regelungen, wie zum Beispiel ein künftiger AI Act oder der Europäische Raum für Gesundheitsdaten (EDHS). Es wird sich zeigen müssen, wie sich die DSGVO diesen Herausforderungen stellt und ihren Platz in dem neuen Rechtsrahmen findet.

Das höchste DSGVO Bußgeld jemals: Meta Konzern muss 1,2 Milliarden Euro Strafe zahlen
Schwedische Datenschutzbehörde greift durch: Millionenstrafe wegen Google Analytics