Am 25. Mai 2018 trat die DSGVO in Kraft. Große Erwartungen, aber auch Befürchtungen, waren mit ihrer Einführung verbunden. Was hat die DSGVO bewirkt und wie geht es weiter?
Während es vor der DSGVO nur wenige Möglichkeiten gab, Datenschutzverstöße zu sanktionieren, änderte sich das bei ihrer Einführung rapide. Der Bußgeldrahmen wurde drastisch erhöht. Damit sollten vor allem die großen Technologie-Konzerne zu datenschutzgerechtem Verhalten gebracht werden - und die Erwartungen an eine wirksame Sanktionierung erfüllten sich.
Bußgelder greifen
Viele Firmen wurden zur Zahlung von Bußgeldern aufgefordert. Im Januar dieses Jahres verlangte die französische Aufsichtsbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) 5 Mio Euro von den Betreibern der Social-Media-Plattform TikTok. Der Grund: datensammelnde Cookies konnten zwar mit einem Klick akzeptiert werden, ihre Ablehnung war aber für die Nutzerinnen und Nutzer sehr schwierig durchzuführen. Außerdem verhängte die irische Datenschutzbehörde DPC (Data Protection Commission) gegen den Konzern Meta, ehemals Facebook, ein Bußgeld in Höhe von 1,2 Milliarden Euro wegen unzulässiger Datenübermittlungen in die USA.
Die Befürchtung, dass die Einführung der DSGVO eine große Abmahnwelle auslösen würde, trat nicht ein. Ebenso war der bürokratische Aufwand bei der Umsetzung der DSGVO durch Unternehmen, Behörden und Kommunen geringer als erwartet. Denn schnell standen Dienstleister wie die GKDS bereit, die dabei unterstützten.
ePrivacy-Verordnung verzögert sich
Mit der DSGVO sollte auch die ePrivacy-Verordnung zur europaweiten Regelung der elektronischen Kommunikation in Kraft treten und unter anderem Direktwerbung verbieten. Die ePrivacy-Verordnung gibt es immer noch nicht. Die Europäische Union, die EU-Kommission und das Europaparlament haben zwar die Verhandlungen dazu wiederaufgenommen, die Einführung der ePrivacy-Verordnung verzögert sich aber weiter.
Inzwischen plant die EU-Kommission einige Änderungen an der DSGVO, die im Wesentlichen die grenzüberschreitenden Datenverarbeitungen betreffen. Nachdem vor allem die irische Aufsichtsbehörde Datenschutzbeschwerden gegen große Technologieunternehmen schleppend bearbeitete, ist nun geplant, verbindliche Bearbeitungsfristen einzuführen. Auch sollen die Beschwerdeverfahren harmonisiert und damit die Zusammenarbeit zwischen den einzelnen Aufsichtsbehörden beschleunigt werden.
Die DSGVO ist fünf Jahre alt geworden und den Kinderschuhen entwachsen. Sie wird akzeptiert, umgesetzt und hat ihren anfänglichen Schrecken längst verloren.
