Die Europäische Datenschutz-Grundverordnung kurz DSGVO ist nun inzwischen fünf Jahre in Kraft. Sie hat das Datenschutzrecht revolutioniert. An der DSGVO kommen nun selbst große US-Konzerne nicht mehr vorbei, auch weil die Datenschutzbehörden bei schwerwiegenden Verstößen Geldbußen von bis zu vier Prozent des weltweiten Jahresumsatzes verhängen können. Am härtesten wurde bislang der Onlineriese Amazon getroffen. Das Großherzogtum Luxemburg verdonnerte den US-Konzern im Juli 2021 zu einem Rekordbußgeld in Höhe von 746 Millionen Euro, nachdem sich zuvor eine europäische Bürgerrechtsorganisation über die Verarbeitung persönlicher Daten beschwert hatte. „Mit der DSGVO hat sich das Datenschutzrecht stark verändert. Sie ist zu einem weltweiten Meilenstein geworden“, erklärt der erfahrene Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein anlässlich des 5. Geburtstages der DSGVO am 25. Mai 2023.
In einer kleinen Serie zum 5-jährigen Jubiläum der DSGVO legt die UIMC den Fokus auf Anpassungen, Veränderungen und Weiterentwicklungen. Im zweiten Teil soll es um die Zeit um die wichtigsten Änderungen im Datenschutz durch die DSGVO gehen.
Was sich durch die DSGVO im Vergleich zum zuvor geltenden Bundesdatenschutzgesetz geändert?
Rechenschaftspflicht
Die Rechenschaftspflicht ist ein neuer Bestandteil des Datenschutzes seit der DSGVO. Danach müssen Unternehmen nachweisen und belegen können, dass sie die Grundsätze einhalten und die Verarbeitung personenbezogener Daten entsprechend der DSGVO erfolgt. Konkret: Auf Verlangen der Aufsichtsbehörde muss die Einhaltung der DSGVO-Regeln nachgewiesen werden. „Die Rechenschaftspflicht bedeutet einen kulturellen und organisatorischen Wandel im europäischen Datenschutz,“ so Dr. Jörn Voßbein.
Proaktive Transparenz
Der Datenschutz basiert auf vier Grundprinzipien: Zweckbindung, Datenminimierung, Transparenzgebot und dem Verbot mit Erlaubnisvorbehalt. Gerade die Transparenz wurde mit der DSGVO gestärkt. Konkret: Der Grundsatz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten leicht zugänglich, verständlich und in klarer und einfacher Sprache abgefasst sind. Die betroffenen Personen müssen proaktiv über die geplante Datenverarbeitung informiert werden (inkl. Zwecke, Datenempfänger und Speicherfristen).
Meldepflicht bei Datenpannen
Datenschutzverstöße müssen zeitnah den Aufsichtsbehörden gemeldet werden. So muss die zuständige Aufsichtsbehörde bei einer Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 der DSGVO unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung eine Meldung an die Aufsichtsbehörden abgeben. „Auch wenn 72 Stunden zunächst lang klingen, so zeigt die Praxis, dass diese Frist selbst ohne Wochenende oder Weihnachten eine große Herausforderung darstellt. Ohne klare Prozesse und die Sensibilisierung der Belegschaft wird man das nicht schaffen,“ zeigt Dr. Jörn Voßbein die Probleme in der Umsetzung auf.
Bußgeldhöhe
Eine enorme Veränderung durch die DSGVO gab es bei der Höhe von Bußgeldern. Für die im Gesetz unter Art. 83 Abs. 5 DSGVO aufgelisteten, besonders gravierenden Verstöße beträgt der Bußgeldrahmen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. In Deutschland wurde dem Modekonzern H&M im Jahr 2020 mit 35 Millionen Euro das höchste Bußgeld aufgebrummt. Es wurden Datenschutzverstöße mit Bußgeldern von mehr als 1,6 Mrd. Euro von den europäischen Datenschutzbehörden in den ersten vier Jahren der DSGVO sanktioniert.
Management-Ansatz
Durch die DSGVO fand auch eine Annäherung an etabliere Managementsysteme wie beispielsweise gemäß ISO 27001 statt. Die Umsetzung der DSGVO-Regeln sollte demnach entsprechend dem Management-Ansatz Plan-Do-Check-Act stattfinden. „Dies ermöglicht auch eine Integration in ein Qualitäts- und Informationssicherheits-Managementsystem, wodurch Synergien generiert werden können und alle Bereiche profitieren können,“ empfiehlt Managementsystem-Experte Dr. Jörn Voßbein.
Fazit:
„Die DSGVO hat den Datenschutz ins 21. Jahrhundert katapultiert. Merkmale sind die Stärkung der Betroffenenrechte, eine Verschärfung der Strafen bei Verstößen und ein neuer, strukturierter Umgang bei der Umsetzung in Organisationen“, beschreibt UIMC-Geschäftsführer Dr. Jörn Voßbein die Auswirkungen der DSGVO in den letzten fünf Jahren.
Teil 1: Do you remember? Viel zu tun und viel Unsicherheit vor dem 25.05.2018!
Teil 2: Was hat sich durch die DSGVO geändert?
Teil 3: Was ist in den vergangenen 5 Jahren passiert?
Teil 4: Was steht uns noch bevor?
Teil 5: Wünsch dir was: Was sollte sich noch ändern?