Vier Jahre DSGVO: Was der strengere Datenschutz gebracht hat

Mehr Transparenz  gegenüber vorher brachten die vorgeschriebenen  Datenschutzerklärungen auf den Websites. Diese müssen leicht zugänglich ,klar und verständlich formuliert  sein und genau darüber informieren, für welche Zwecke die Daten verwendet werden. Nicht überall ist dies vorschriftsgemäß umgesetzt. Für Internet-Nutzer augenscheinlicher und nerviger sind die Cookie-Zustimmungs-Erklärungen,  die beim Öffnen der Webseiten aufpoppen. Diese haben primär nichts mit der DSGVO zu tun, sondern sind im Telekommunikationsgesetz geregelt.  

Als heikles Datenschutz-Thema erwiesen sich Kundenbindungsprogramme, wo oft mehr Daten gesammelt als benötigt werden. Prominentester Fall war die Jö-Bonus-Club von Rewe, wo  die Zustimmungserklärung zur Nutzung personenbezogener Daten aus der Sicht der Behörde nicht klar genug formuliert war. Damit könne ein Profiling ermöglicht werden. Die Datenschutzbehörde verhängte im Sommer 2021 eine erste Strafe von 2 Mio. Euro, die Causa betraf zwei Millionen Kunden des Programms. In der Causa gibt es bis dato noch kein rechtskräftiges Urteil. 

Bei Online-Shops geht es um die Frage, ob für eine Bestellung ein eigenes Kundenkonto angelegt werden muss. Einhellige Ansicht der Datenschützer: Es muss möglich sein, als Gast zu bestellen. Überschießendes Datensammeln ist nicht erlaubt. Das Recht zu wissen, was mit den Daten passiert sowie das Recht auf Löschung. Das Auskunftsrecht wird eher wenig in Anspruch genommen, bei Nespresso gab es nach eigenen Angaben m Vorjahr gerade einmal 15 Anfragen. 

Aus UnternehmerInnensicht

Die EU-weite Vereinheitlichung des Datenschutzes machte es europäischen Unternehmen einfacher, ihre Produkte und Services europaweit rechtskonform anzubieten, meint Lohninger. "Für US-Unternehmen sind die höheren Strafen erst ein Grund sich überhaupt mit dem Datenschutzrecht auseinanderzusetzen". Im alten DSG in Österreich seien die Strafen geringer als die Kosten der Konzernanwälte gewesen, die sich mit dem nationalen Gesetz beschäftigt hätten.

Für Klein- und Mittelbetriebe bedeutete  die DSGVO zunächst vor allem viel Aufwand. "Die meisten Betriebe verwenden für ihre Datenschutzerklärung Mustervorlagen der Wirtschaftskammer. "Neben dem ersten Set-up für die Datenerfassung, -sammlung und -weiterverarbeitung benötigen die Systeme aber auch eine ständige Überprüfung und Evaluierung, ob die Maßnahmen noch der aktuellen Rechtsprechung genügen", erläutert Stefanie Werinos-Sydow, Datenschutzexpertin bei PHH Rechtsanwälte. Daten müssten wie Klimaanlagen ständig gepflegt werden. Handlungsbedarf sieht sie besonders bei kleinen Unternehmen. Als Beispiel nennt sie die jüngste Diskussion über die Unzulässigkeit von Google Analytics.

Vielen Start-ups wiederum fehle die nötige Sensibilität für das Thema, etwa wenn sie Datenverträge mit multinationalen Web-Hosting-Unternehmen schließen. "Da heißt es oft, entweder ihr  unterschreibt, oder seid nicht dabei." Lohninger sieht das ähnlich. "Gerade im Marketing oder anderen Bereichen, wo US-Firmen Platzhirsche sind, fließen immer noch viele Daten unkontrolliert ab". Ebenso würden sich Kreditauskunfteien und andere Datensammel-Firmen nicht immer an die Gesetze halten.

Aus ArbeitnehmerInnensicht

"Datenschutzverstöße sind kein Kavaliersdelikt mehr. Da hat sich in den Betrieben einiges zum Positiven verändert“, zieht auch Clara Fritsch, Datenschutzexpertin bei der Angestelltengewerkschaft GPA-djp zufrieden Bilanz. Die häufigsten Fälle im Arbeitsleben  betreffen die Personalverwaltung, z.B. Umgang mit Bewerberdaten sowie digitale  Kommunikationstools wie eMail- und Chat-Programme. "Digitale Tools wie Aktivitätstracking ermöglichen es dem Arbeitgeber, mehr Infos über die Mitarbeiter zu sammeln als überhaupt nötig  ist", weiß Fritsch. Die vielen Datenspuren  ermöglichen "Profiling" zur Leistungsbeurteilung.

Die Covid-Pandemie brachte ganz neue Themen wie  die Umsetzung der 3-G-Regel, wo Arbeitgeber den Impfstatus zwar erheben, nicht aber in einem Verzeichnis abspeichern dürfen und später wieder löschen müssen. Neue Herausforderungen ergeben sich im Zusammenhang mit dem Homeoffice. Etwa wenn sensible Dokumente zu Hause ausgedruckt werden und in unbefugte Hände geraten können. "Es kann nicht sein, dass dann in einer WG jeder irgendwelche Firmengeheimnisse erfährt", meint Werinos-Sydow. Überschießende Datenerhebung, etwa wenn Arbeitgeber wissen wollen, wer im Homeoffice sonst noch lebt.

Im Allgemeinen würden immer noch viel zu viele Daten gesammelt, sagt Fritsch, das Prinzip der Datenminimierung werde nicht eingehalten. Hier seien auch die Betriebsräte gefordert, diese hätten ein wichtiges Mitspracherecht. 
 

Fazit: Die DSGVO hat definitiv zur Sensibilisierung beim Datenschutz beigetragen, auch die Konsumenten sind aufmerksamer und achten genauer darauf, wer welche Daten erhebt. Der Datenschutz ist präsenter geworden. Es werden aber immer noch zu viele Daten erhoben, einfach weil es möglich ist. Juristen sehen immer noch viel Klärungsbedarf bei Auslegungsfragen. Auch der Datentransfer mit den USA - Stichwort Google Analytics - muss geklärt werden. 

Datenschützer wie epicenter.works fordern eine personelle Aufstockung der Datenschutzbehörde, damit diese ihren Aufgaben angemessen nachkommen kann. "Das Gesetz ist insgesamt gelungen, aber es ist trotz der hohen Strafen zu zahnlos", meint Lohninger.