Vier Jahre DSGVO: Was der strengere Datenschutz gebracht hat
Sie sollte den Datenschutz in der EU vereinheitlichen und vor allem mehr Transparenz und Schutz der Privatsphäre bringen: Heute vor vier Jahren, am 25. Mai 2022, trat EU-weit die Datenschutzgrundverordnung (DSGVO) inkraft, das bis dato größte Regelwerk in diesem Bereich. Betriebe fürchteten sich vor einem Bürokratiemonster und exorbitant hohen Strafen, Datenschützer gingen die Vorschriften vor allem gegenüber globalen Multis nicht weit genug.
Aber was hat die DSGVO tatsächlich verändert? Wie schaut die Bilanz nach vier Jahren aus? Der KURIER fragte bei Datenschutz-Experten nach und bat sie um ein Zwischenfazit aus unterschiedlichen Perspektiven:
Aus BürgerInnen/KonsumentInnensicht
"Die Daten der EU-Bürger sind durch die DSGVO und die Aufmerksamkeit, die der Datenschutz durch die Verordnung erfahren hat, sicher besser geschützt als früher", zieht Daniel Lohninger. Datenschutzexperte bei der Grundrechts-Plattform epicenter.works, eine erste positive Bilanz. Gestärkt wird dieser Eindruck durch eine aktuelle Entscheidung des EuGH, wonach bei Datenschutzverstößen Verbraucherschutzverbände die Möglichkeit von Verbandsklagen haben.
Mehr Transparenz gegenüber vorher brachten die vorgeschriebenen Datenschutzerklärungen auf den Websites. Diese müssen leicht zugänglich ,klar und verständlich formuliert sein und genau darüber informieren, für welche Zwecke die Daten verwendet werden. Nicht überall ist dies vorschriftsgemäß umgesetzt. Für Internet-Nutzer augenscheinlicher und nerviger sind die Cookie-Zustimmungs-Erklärungen, die beim Öffnen der Webseiten aufpoppen. Diese haben primär nichts mit der DSGVO zu tun, sondern sind im Telekommunikationsgesetz geregelt.
Als heikles Datenschutz-Thema erwiesen sich Kundenbindungsprogramme, wo oft mehr Daten gesammelt als benötigt werden. Prominentester Fall war die Jö-Bonus-Club von Rewe, wo die Zustimmungserklärung zur Nutzung personenbezogener Daten aus der Sicht der Behörde nicht klar genug formuliert war. Damit könne ein Profiling ermöglicht werden. Die Datenschutzbehörde verhängte im Sommer 2021 eine erste Strafe von 2 Mio. Euro, die Causa betraf zwei Millionen Kunden des Programms. In der Causa gibt es bis dato noch kein rechtskräftiges Urteil.
Bei Online-Shops geht es um die Frage, ob für eine Bestellung ein eigenes Kundenkonto angelegt werden muss. Einhellige Ansicht der Datenschützer: Es muss möglich sein, als Gast zu bestellen. Überschießendes Datensammeln ist nicht erlaubt. Das Recht zu wissen, was mit den Daten passiert sowie das Recht auf Löschung. Das Auskunftsrecht wird eher wenig in Anspruch genommen, bei Nespresso gab es nach eigenen Angaben m Vorjahr gerade einmal 15 Anfragen.
Aus UnternehmerInnensicht
Die EU-weite Vereinheitlichung des Datenschutzes machte es europäischen Unternehmen einfacher, ihre Produkte und Services europaweit rechtskonform anzubieten, meint Lohninger. "Für US-Unternehmen sind die höheren Strafen erst ein Grund sich überhaupt mit dem Datenschutzrecht auseinanderzusetzen". Im alten DSG in Österreich seien die Strafen geringer als die Kosten der Konzernanwälte gewesen, die sich mit dem nationalen Gesetz beschäftigt hätten.
DSGVO
Die europäische Datenschutz-Grundverordnung ist seit 25. Mai 2018 die Grundlage des allgemeinen Datenschutzrechts in der EU und Österreich.
Strafen
Die Summe der in der EU verhängten Bußgelder hat sich gegenüber 2020 auf 1,22 Mrd. Euro versiebenfacht, wobei 746 Mio. Euro allein auf Amazon entfielen. Insgesamt lässt sich ein Trend zu deutlich mehr Strafen und höheren Bußgeldern in der EU feststellen.
In Österreich verhängte Datenschutzbehörde im Vorjahr insgesamt 36 Geldbußen in der Höhe von insgesamt 11,2 Mio. Euro. Es gibt zwar wenige Fälle, dafür aber Präzedenzfälle mit Abschreckungspotenzial wie bei der Post oder Jö-Bonus-Club
Für Klein- und Mittelbetriebe bedeutete die DSGVO zunächst vor allem viel Aufwand. "Die meisten Betriebe verwenden für ihre Datenschutzerklärung Mustervorlagen der Wirtschaftskammer. "Neben dem ersten Set-up für die Datenerfassung, -sammlung und -weiterverarbeitung benötigen die Systeme aber auch eine ständige Überprüfung und Evaluierung, ob die Maßnahmen noch der aktuellen Rechtsprechung genügen", erläutert Stefanie Werinos-Sydow, Datenschutzexpertin bei PHH Rechtsanwälte. Daten müssten wie Klimaanlagen ständig gepflegt werden. Handlungsbedarf sieht sie besonders bei kleinen Unternehmen. Als Beispiel nennt sie die jüngste Diskussion über die Unzulässigkeit von Google Analytics.
Vielen Start-ups wiederum fehle die nötige Sensibilität für das Thema, etwa wenn sie Datenverträge mit multinationalen Web-Hosting-Unternehmen schließen. "Da heißt es oft, entweder ihr unterschreibt, oder seid nicht dabei." Lohninger sieht das ähnlich. "Gerade im Marketing oder anderen Bereichen, wo US-Firmen Platzhirsche sind, fließen immer noch viele Daten unkontrolliert ab". Ebenso würden sich Kreditauskunfteien und andere Datensammel-Firmen nicht immer an die Gesetze halten.
Aus ArbeitnehmerInnensicht
"Datenschutzverstöße sind kein Kavaliersdelikt mehr. Da hat sich in den Betrieben einiges zum Positiven verändert“, zieht auch Clara Fritsch, Datenschutzexpertin bei der Angestelltengewerkschaft GPA-djp zufrieden Bilanz. Die häufigsten Fälle im Arbeitsleben betreffen die Personalverwaltung, z.B. Umgang mit Bewerberdaten sowie digitale Kommunikationstools wie eMail- und Chat-Programme. "Digitale Tools wie Aktivitätstracking ermöglichen es dem Arbeitgeber, mehr Infos über die Mitarbeiter zu sammeln als überhaupt nötig ist", weiß Fritsch. Die vielen Datenspuren ermöglichen "Profiling" zur Leistungsbeurteilung.
Die Covid-Pandemie brachte ganz neue Themen wie die Umsetzung der 3-G-Regel, wo Arbeitgeber den Impfstatus zwar erheben, nicht aber in einem Verzeichnis abspeichern dürfen und später wieder löschen müssen. Neue Herausforderungen ergeben sich im Zusammenhang mit dem Homeoffice. Etwa wenn sensible Dokumente zu Hause ausgedruckt werden und in unbefugte Hände geraten können. "Es kann nicht sein, dass dann in einer WG jeder irgendwelche Firmengeheimnisse erfährt", meint Werinos-Sydow. Überschießende Datenerhebung, etwa wenn Arbeitgeber wissen wollen, wer im Homeoffice sonst noch lebt.
Im Allgemeinen würden immer noch viel zu viele Daten gesammelt, sagt Fritsch, das Prinzip der Datenminimierung werde nicht eingehalten. Hier seien auch die Betriebsräte gefordert, diese hätten ein wichtiges Mitspracherecht.
Fazit: Die DSGVO hat definitiv zur Sensibilisierung beim Datenschutz beigetragen, auch die Konsumenten sind aufmerksamer und achten genauer darauf, wer welche Daten erhebt. Der Datenschutz ist präsenter geworden. Es werden aber immer noch zu viele Daten erhoben, einfach weil es möglich ist. Juristen sehen immer noch viel Klärungsbedarf bei Auslegungsfragen. Auch der Datentransfer mit den USA - Stichwort Google Analytics - muss geklärt werden.
Datenschützer wie epicenter.works fordern eine personelle Aufstockung der Datenschutzbehörde, damit diese ihren Aufgaben angemessen nachkommen kann. "Das Gesetz ist insgesamt gelungen, aber es ist trotz der hohen Strafen zu zahnlos", meint Lohninger.
Kommentare