Seit einem Jahr wird die DSGVO angewendet. Der Weltuntergang war prophezeit worden, eine Abmahnwelle, die durchs Land rast und kleinere Firmen mit sich reißt, Bußgelder, die Unternehmen vernichten. Was davon ist tatsächlich eingetreten?
Wellen gab es tatsächlich. Wellen der Aufregung in erster Linie, die auf Unkenntnis alter BDSG- wie neuer DSGVO-Regeln und auf Missverständnissen beruhten, wie die um Namen auf Klingelschildern, um Blitzer-Fotos oder Kindergarten-Bilder mit geschwärzten Gesichtern. Irrungen und Wirrungen, die in der Anfangszeit nach der Anwendung für Wirbel gesorgt haben, hat Der Spiegel in einem Rückblick auf die vergangenen zwölf Monate aufgegriffen.
Auskunftsersuchen
Die Abmahnwelle hingegen ist ausgefallen. Stattdessen überschwemmten Wellen von Auskunfts- und Löschanträgen von EU-Bürgern Unternehmen und Organisationen. Die Zahl der Anfragen wächst kontinuierlich und zeigt, dass die Stärkung der Verbraucherrechte, die die DSGVO beabsichtigt, greift und von den Bürgern aufgegriffen wird. Für Unternehmen stellt die fristgerechte Bearbeitung der Anfragen durchaus eine Herausforderung dar, da sich personenbezogene Daten nicht nur in Datenbanken, wo sie einfach aufzufinden sich, sondern auch als unstrukturierte Daten an beliebigen anderen Stellen im Unternehmensnetz befinden können.
Anfragen und Beschwerden bei Datenschutzbehörden
Eine weitere Welle traf die Datenschutzbehörden. Zeitweise erstickten sie in Arbeit und ächzten unter der Flut von Beschwerden, Anfragen und Beratungswünschen.
EU-weit sollen mehr als 150.000 Beschwerden wegen Datenschutzverstößen bei den Behörden aufgelaufen sein. Dem Bundesdatenschutzbeauftragten (BfDI) wurden seit Ende Mai 2018 etwa 7.300 Datenschutzverstöße von öffentlichen Stellen des Bundes, Post- und Telekommunikationsunternehmen gemeldet. In Bayern stiegen die Meldungen von Datenschutzverstößen ebenfalls stark an. 2.376 Meldungen gingen nach dem 25. Mai 2018 ein, zwischen dem Jahresbeginn 2018 und dem Stichtag waren es nur 95. Hamburg verzeichnete in Jahr 2018 durchschnittlich 57 Beschwerden monatlich, seit Anfang 2019 liegt die Quote bei 93 im Monat. Die Berliner Datenschutzbehörde spricht von einer Verdreifachung der Beschwerden.
Dem 27. Tätigkeitsbericht des BfDI zufolge gingen ihm zwischen dem 25. Mai 2018 und dem Jahresende mehr als doppelt so viele Anfragen und Beschwerden zu wie im gesamten Jahr 2017. Die Landesbehörden arbeiteten zeitweise am Anschlag, in Nordrhein-Westfalen gingen 12.000 schriftliche Anfragen im Jahr 2018 und zeitweise zusätzlich 140 Anrufe pro Tag ein. In Bayern stiegen die Beratungsanfragen von 3.700 im Jahr 2017 auf 9.200 im Jahr 2018, in Baden-Württemberg hatte sich die Anzahl der Anfragen und Beschwerden an die Behörde von Juni bis August 2018 verdreifacht.
Datenpannen
Für die DSGVO spricht eindeutig, dass die Zahl der von Unternehmen und Organisationen gemeldeten Datenpannen stark gestiegen ist. EU-weit wurden seit der Anwendung der DSGVO laut dem IT-Medium Golem nahezu 90.000 Datenpannen gemeldet, ein Viertel davon in Deutschland. In den Jahren 2016 und 2017 lag die Zahl der gemeldeten Datenpannen in Nordrhein-Westfalen jeweils bei niedrigen 52. In Baden-Württemberg hat sich die Zahl der gemeldeten Datenpannen im Jahr 2018 mehr als verzehnfacht. Die Zahl der in Berlin gemeldeten Datenpannen hat sich laut einer Pressemitteilung des Berliner Datenschutzbeauftragten vom 23. Mai 2019 in den vergangenen zwölf Monaten vervierzehnfacht. Da Datenpannen laut DSGVO der Datenschutzbehörde gemeldet werden müssen, befördern die hohen Bußgelder offensichtlich die Transparenz.
Bußgelder
Bisher wurde noch kein Unternehmen durch Bußgelder ruiniert. In Deutschland wurden seit vergangenem Mai laut einer Umfrage der „Welt am Sonntag“ in mindestens 75 Fällen Bußgelder in der Gesamthöhe von einer knappen halben Million Euro verhängt. 14 von 16 befragten Bundesländern hatten Informationen zur Verfügung gestellt; Bußgelder gab es in Baden-Württemberg, Berlin, Hamburg, Nordrhein-Westfalen, Rheinland-Pfalz und dem Saarland. Die Verstöße bildeten ein breites Spektrum ab und reichten von der ungesicherten Speicherung von Daten, die infolge eines Hackerangriffs öffentlich wurden, über unzulässige Werbemails bis zu offenen E-Mail-Verteilern. Andere Quellen sprechen von 42 Bußgeldern und 54 Verwarnungen, wieder andere von 100 Bußgeldern. Die letztgenannte Quelle listet sie nach Bundesländern auf und ergänzt Kurzbeschreibungen der Verstöße.
In der restlichen EU wurden bis Februar 2019 in gut 90 Fällen ein Bußgeld verhängt; das erste im Juli 2018 hatte ein Krankenhaus in Portugal betroffen, das Unbefugten den Zugriff auf Patientenakten gewährt und sich gegenüber der Datenschutzbehörde uneinsichtig gezeigt hatte. Das spektakulärste Bußgeld in der Höhe von 50 Millionen Euro wurde in Frankreich gegen Google verhängt. Insgesamt sollen nur in sieben EU-Ländern Bußgelder verhängt worden sein, mit den besonders aktiven Ländern Deutschland, Lettland und Frankreich.
Trotz vieler Kritikpunkte ist die DSGVO überwiegend gut angekommen. Die Verbraucher fordern ihre Rechte ein; der Schutz der Daten hat sich deutlich verbessert, die Transparenz infolge der Meldepflicht für Datenpannen ist erheblich gestiegen. Allerdings haben sich die Verwirrungen noch nicht restlos aufgelöst. Vor allem kleine Unternehmen und Organisationen tun sich häufig noch schwer bei der Einschätzung dessen, was an Maßnahmen wichtig und notwendig und was Angstmache, Mythen oder Geschäftemacherei zuzurechnen ist. Für Privatpersonen und kleine Unternehmen und Vereine, die sich über wichtige Punkte vergewissern wollen, hat die Computerzeitschrift c’t FAQs auf dem aktuellen Stand der Dinge zusammengestellt und in ein Booklet zum Herunterladen gegossen.