5 Jahre DSGVO: Was zuletzt geschah

Zuletzt aktualisiert am 13. Juni 2023

Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) vor fünf Jahren hat sich viel im Bereich des Datenschutzes getan. Anlässlich ihres Geburtstags wurde sie von den Datenschutz-Aufsichtsbehörden als Erfolgsmodell gefeiert. Allerdings gibt es auch einige Herausforderungen und neue Themenfelder, die uns in den nächsten Jahren beschäftigen werden.

Wir werfen einen Blick auf das Fazit der Aufsichtsbehörden und schauen uns die wichtigsten Themen aus dem fünften Jahr der DSGVO an. 

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Kelber bewertet die DSGVO als europäisches Erfolgsmodell und hebt hervor, dass Europa einen neuen Standard gesetzt hat, der weltweit Eingang in die Datenschutzregeln anderer Länder findet.

Laut Kelber und Petri, dem Bayerischen Landesbeauftragten für den Datenschutz (BayLfD), haben sich die Betroffenenrechte bewährt und müssen auch weiterhin voll zu Geltung kommen. Kelber betont die Bedeutung dieser Rechte und, dass der EU-Gesetzgeber die richtige Balance zwischen den Interessen der Öffentlichkeit, der Wissenschaft und der Wirtschaft sowie dem Schutz der Privatsphäre des Einzelnen finden muss.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Roßnagel zieht eine gemischte Bilanz zum Jubiläum der DSGVO. Er unterstreicht den Erfolg der Verordnung als Ausdruck gemeinsamer Werte in der digitalen Gesellschaft der EU. Gleichzeitig weist er auf Schwachstellen hin. Darunter die mangelnde Einheitlichkeit der Datenschutzpraxis in der EU und die abstrakte Formulierung einiger Regelungen, die Raum für unterschiedliche Interpretationen lassen. Roßnagel sieht die Herausforderungen der Zukunft vor allem in der Entwicklung einer Datenökonomie und der Regulierung neuer Technologien wie Künstlicher Intelligenz.

Die Datenschutzkonferenz (DSK) hebt hervor, dass das Bewusstsein über die Rechte auf Auskunft, Berichtigung und Löschung personenbezogener Daten europaweit gestiegen ist. Die Datenschutzaufsichtsbehörden bearbeiten jährlich Tausende von Beschwerden, daher gilt das Konzept eines einheitlichen Datenschutzrechts als Erfolgsmodell. Dennoch zeigt sich die Vorsitzende der DSK, Hansen, nicht ganz zufrieden mit der Umsetzung des Prinzips "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen". Hansen fordert, dass Hersteller und Dienstleister Datenschutz von Anfang an in ihre Produkte und Services einbauen sollten, um das erforderliche Sicherheitsniveau zu gewährleisten.

Insgesamt hat die DSGVO in den letzten fünf Jahren einen positiven Einfluss auf den Datenschutz ausgeübt. Sie hat den Schutz personenbezogener Daten gestärkt, das Bewusstsein für Datenschutzrechte geschärft und einen neuen Standard für den Datenschutz in Europa und darüber hinaus gesetzt. Dennoch gibt es Herausforderungen in Bezug auf die Regulierung neuer Technologien, die konkrete Umsetzung abstrakter Regelungen und die Einheitlichkeit der Datenschutzpraxis in der EU. Die kommenden Jahre werden zeigen, wie sich der Datenschutz auf Grundlage der DSGVO weiterentwickeln wird, um den neuen Anforderungen und technologischen Entwicklungen gerecht zu werden. 

2020 wurde durch Schrems II das Privacy Shield – das Datenschutzabkommen zwischen der EU und den USA – gekippt. Seitdem gelten die USA nicht mehr als sicheres Drittland und Organisationen hatten zunächst keine rechtliche Grundlage für eine Datenübertragung in die USA. Die Auswirkungen daraus haben viele Organisationen auch im letzten Jahr noch beschäftigt. Sie mussten zusätzliche umfassende Maßnahmen ergreifen, wie z. B. das Durchführen von Datenschutz-Folgenabschätzungen für Softwareprodukte aus den USA.

Auch die Europäische Kommission hat sich damit beschäftigt und am Ende letzten Jahres den Entwurf eines Angemessenheitsbeschlusses vorgelegt. Allerdings gibt es Widerstand aus den Reihen des europäischen Parlaments. So hat der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres in einer Stellungnahme dazu aufgefordert, den möglichen Angemessenheitsbeschluss nicht anzunehmen. Der Ausschuss kommt zu dem Ergebnis, dass der Datenschutzrahmen keine tatsächliche Gleichwertigkeit des Schutzniveaus zwischen der EU und den USA herstellt. Daher fordert der Ausschuss weitere Verhandlungen.

Noch ist unklar, wie sich das Parlament entscheiden wird. Der österreichische Datenschutzaktivist Max Schrems schließt zudem eine Klage nicht aus, wenn das neue Abkommen nicht in Einklang mit dem EU-Recht ist. Selbst wenn ein Datenschutzabkommen beschlossen wird, ist also fraglich, wie lange es gelten wird. 

Eigentlich hätte die EU-Richtlinie, aus der das Hinweisgeberschutzgesetz hervorgegangen ist, bis zum 17. Dezember 2021 in deutsches Recht umgesetzt werden müssen. Das Hinweisgeberschutzgesetz hat uns aber 2022 und zu einigen Teilen auch noch 2023 begleitet. Bereits Ende letzten Jahres wurde ein Entwurf zum Hinweisgeberschutzgesetz vom Bundestag verabschiedet. Dieser fand allerdings keine Mehrheit im Bundesrat. Daher wurde der Entwurf im Anschluss in zwei Entwürfe aufgeteilt– einen nicht-zustimmungspflichtigen und einen zustimmungspflichtigen Entwurf.

Nachdem Lesungen vertagt wurden, hat ein Vermittlungsausschuss einen Kompromiss gefunden und Änderungen zu den Meldewegen für anonyme Hinweise, zu Bußgeldern und zum Anwendungsbereich des Gesetzes vorgenommen. Diesem Kompromiss mit Beschlussempfehlung des Vermittlungsausschusses hat am 11. Mai auch der Bundestag zugestimmt. Am 12. Mai hat dann auch der Bundesrat zugestimmt. Am 02. Juni wurde es im Bundesgesetzblatt verkündet und tritt zum überwiegenden Teil einen Monat nach Veröffentlichung in Kraft. Organisationen mit mehr als 250 Beschäftigten müssen das Gesetzt somit zum 02. Juli umsetzen. Das Hinweisgeberschutzgesetz wird uns also auch im nächsten Jahr weiter begleiten, wenn es an die Umsetzung geht. 

Google Fonts waren ein weiteres Thema, das uns im letzten Datenschutzjahr begleitet hat. Tausende von Abmahnungen wurden von wenigen Einzelpersonen als vermeintlich Betroffene eines Datenschutzverstoßes aufgrund der Nutzung von Google Fonts im Akkord an Unternehmen geschickt und Schadensersatz eingefordert. Bei Organisationen hat das zu großer Verunsicherung geführt.

Der Ursprung der Abmahnwelle liegt in einem Urteil des Landgerichts München. Hier hat das Gericht einem Nutzer 100 Euro Schadensersatz gegen einen Webseitenbetreiber zugesprochen, weil dieser Google Fonts ohne Einwilligung genutzt hat. Das Urteil war der Anlass für einige Personen, um selbst Schadenersatzforderungen zu stellen.

Mittlerweile hat sich das Thema wieder beruhigt. Grundsätzlich geht von Google Fonts aber natürlich nicht die einzige problematische Datenmittübermittlung aus, die auf vielen Webseiten zu finden ist. Hier reihen sich beispielsweise noch YouTube, Google Maps, reCAPTCHA oder Google Analytics ein. Daher ist nicht auszuschließen, dass sich die Abmahnwelle auch auf derartige Dienste erweitert. 

Wie auch schon die Entwicklungen rund um Google Fonts zeigen: Betroffenenrechte sind im Kommen. Immer mehr Betroffene sind sich ihrer Rechte bewusst und machen davon auch Gebrauch. Insbesondere Auskunftsersuchen haben daher im letzten Jahr stark zugenommen. Kein Wunder also, dass Betroffenenrechte auch in der Datenschutzwelt diskutiert wurden. Diese Entwicklung wird uns wohl auch im nächsten Jahr begleiten.