Es wirkte wie der blanke Irrsinn, angerichtet natürlich von denen da oben in Brüssel: Auf Klingelschildern sollten künftig nicht mehr die Namen der Bewohner stehen dürfen. Wegen dieses bürokratischen Monsters, der Datenschutzgrundverordnung (DSGVO). Die Vermieter, wurde berichtet, müssten die Schilder entfernen. Die Horrorstory erwies sich als ebenso falsch wie Befürchtungen von Kindergartenmitarbeitern. Die hatten im Jahrbuch aus Furcht vor horrenden Strafen schwarze Balken über die Augen der Kinder gemalt. Alles gut also mit der DSGVO? Keineswegs. Kleine Unternehmen und Mittelständler klagen über den bürokratischen Aufwand, den sie mit sich bringt. Und viele wissen bis heute nicht, wie sie sich eigentlich genau zu verhalten haben, damit sie nicht gegen die Verordnung verstoßen - weil die Regeln oft schwammig formuliert sind.
Vor einem Jahr wurde die neue Verordnung scharf geschaltet - erstmals gelten in der gesamten EU dieselben Vorschriften für den Datenschutz. Das ist an sich schon eine gute Sache, denn nun müssen sich Geschäftspartner von außerhalb der EU nicht mehr mit mehr als zwei Dutzend unterschiedlichen Regelungen herumschlagen, wenn sie in Ländern der EU Geschäfte machen wollen. Auch für den Binnenmarkt ist es natürlich von Vorteil, wenn überall gleiche Regeln gelten. Und: "Die DSGVO ist in der Welt des Datenschutzes ein Leuchtturm, dessen Licht von Europa in weit entfernte Regionen der Welt fällt und dort sehr wohl genau wahrgenommen wird." Mit diesen etwas blumigen Worten umschreibt der Hamburgische Datenschützer Johannes Caspar die Verordnung, die er in seinem Zuständigkeitsbereich durchsetzen und kontrollieren soll. Die Verordnung als Vorbild und Goldstandard für die Welt also.
Was hat die Datenschutzgrundverordnung gebracht? EU-Justizkommissarin Věra Jourová über zweifelnde Europäer, Sanktionen gegen Google und Politiker, die sich auf den Datenschutz berufen, um die Presse anzugreifen.
Caspar sieht aber nicht nur viel Licht, er sieht auch Schatten. Die Aufsichtsbehörden seien überlastet, die Bürokratie drohe auszuufern und es sei schwierig, den Datenschutz innerhalb der EU grenzüberschreitend durchzusetzen. Die Zahl der Beschwerden, die bei seiner Behörde eingingen, habe sich verdoppelt, die der Meldungen über Datenschutzverletzungen vervielfacht. Ähnlich wie Caspar geht es seinen Kollegen in den anderen Bundesländern. Insgesamt kamen fast 40 000 Meldungen und Beschwerden zusammen, nicht alle davon sind berechtigt.
Die Abmahnwelle blieb bislang aus
Das größte Problem aber ist, dass viele nach wie vor nicht wissen, was genau sie eigentlich tun sollen. Wie also zum Beispiel ihre Vereinswebseite aussehen muss, damit sie nicht plötzlich Post von der Datenschutzbehörde bekommen. Oder gar von einem Abmahn-Anwalt. Die Befürchtung, dass es mit der Verordnung zu massenhaften Abmahnungen kommen könnte, hat sich bis auf einige Ausnahmen aber nicht bestätigt - weil die Unsicherheit auch bei den Juristen noch groß ist. Abmahnungen, die sich als unberechtigt erweisen, könnten die Anwälte selbst hart treffen.
Die DSGVO erlaubt es, Bußgelder in Millionenhöhe zu verhängen, im schlimmsten Fall können es Milliardensummen sein, da bis zu vier Prozent des weltweiten Umsatzes im vergangenen Geschäftsjahr als Bußgeld angesetzt werden können. Die Summen, die im ersten Jahr in Deutschland verlangt wurden, liegen jedoch weiter darunter. Das höchste Bußgeld verhängte die Datenschutzbehörde in Stuttgart: 80 000 Euro musste ein Unternehmen zahlen, weil Gesundheitsdaten ins Internet gelangt waren. In den Nachbarländern war man da weniger zimperlich. In Frankreich belegten die dortigen Datenschützer den Internetkonzern Google mit einer saftigen Buße in Höhe von 50 Millionen Euro. Der Vorwurf: Mangelnde Transparenz.
Transparenz ist einer der Punkte, mit der die Befürworter der DSGVO gerne werben. Tatsächlich hat es die Verordnung den Bürgern ermöglicht, wie nie zuvor von Unternehmen zu erfragen, welche Daten diese über sie gespeichert haben. Für die Unternehmen, gerade die kleineren, brachte das viel Arbeit, bedeutet aber immerhin auch einen Vorteil: Sie wurden gezwungen zu überprüfen, wo sie überhaupt welche Daten gespeichert hatten.
Besseres Verständnis für Datenschutzfragen
Dass viele Firmen das gar nicht wussten, war nicht selten der Grund dafür, dass Daten verloren gingen oder dort auftauchten, wo sie nicht sollten. Hier wirkte der Druck durch die DSGVO durchaus positiv: "Die eingeführten Prozesse zur effektiveren Verwaltung der Daten führten im ersten Jahr der Grundverordnung zu einem besseren Verständnis in Unternehmen, wo personenbezogene Daten eigentlich vorgehalten werden und wer Zugang dazu hat", sagt Rainer Rehm, Datenschutzexperte der Sicherheitsfirma Zscaler.
Die Hektik, die sich vor einem Jahr kurz von Scharfschaltung der DSGVO breitmachte, war zum Teil hausgemacht. Zum einen war es der EU nicht gelungen, für die Umstellung zu werben. Die DSGVO war ja schon seit Mai 2016 in Kraft, doch viele erfuhren erst davon, als es bereits zu spät war. Die Folge: "In vielen Fällen haben Firmen überreagiert und große Datenbestände gelöscht", sagt Rehm.
Viviane Reding, frühere EU-Kommissarin und Wegbereiterin der DSGVO, sieht dagegen die Schuld nicht bei der EU: "Eines würde ich heute anders machen", sagte Reding. "Ich würde den Marktteilnehmern keine zweijährige Übergangsfrist mehr einräumen." Wenn kurz vor Inkrafttreten Panik ausbreche, heiße das doch: "Zwei Jahre ist nichts passiert."
Eines lässt sich jedenfalls nicht bestreiten: Die Bürokratie hat deutlich zugenommen: "Um Compliance nachweisen zu können, ist eine Vielzahl von Vorlagen und Formularen erforderlich", sagt Experte Rehm. Die zahlreichen Pflichten belasten kleine Firmen und Vereine über Gebühr, dazu kommt noch die Unsicherheit durch ungenau formulierte Vorschriften.
Und die Bürger, fühlen sie sich nun besser geschützt? Einer Umfrage zufolge, die das Nachrichtenportal t-online.de in Auftrag gegeben hat, hat die DSGVO in dieser Hinsicht wenig gebracht. Nur 16,3 Prozent der Befragten fühlten sich demnach besser geschützt vor Datenmissbrauch.
