Was hat sich seit dem Inkrafttreten der DSGVO verändert?

In der Realität angekommen.

Mit Stichtag 25. Mai 2018 ist die DSGVO in Geltung getreten und wurde somit „real“. Die letzten sechs Monate haben wertvolle Erkenntnisse geliefert: Entgegen der im Vorfeld erfolgten medialen Berichterstattung ist die Welt nicht in Folge von fehlenden Einwilligungen und drakonischen Bußgeldern untergegangen.

Gleichzeitig darf die DSGVO aber auch nicht verharmlost werden. So liegen etwa schon erste Entscheidungen zur neuen Rechtslage vor und es sind auch bereits mehrere große Verfahren innerhalb der EU (z.B.: Facebook und WhatsApp) anhängig. Generell ist zum Verhalten der Aufsichtsbehörden – insbesondere der nationalen Datenschutzbehörde – anzumerken, dass diese zwar einen harten, aber auch fairen Kurs fährt.
Bei jeder Entscheidung wird die Gelegenheit der Rechtfertigung als auch klare (und verbindliche) Handlungsanweisungen durch die Behörde gegeben. Geldbußen werden tendenziell als letztes Mittel ausgesprochen. Die Ursachen hierfür dürfte einerseits die „Anweisung“ sein primär beratend und verwarnend zu agieren, andererseits natürlich aber auch der Fakt, dass die DSGVO auch für die Behörden neu ist und erst eine gewisse Erfahrung angesammelt werden muss.

Positive Aspekte durch die DSGVO

Aber auch die Unternehmen, welche unter die DSGVO fallen, sowohl als Verantwortliche als auch Auftragsverarbeiter, hatten in den letzten 6 Monaten ausgiebig Gelegenheit Erfahrungen hinsichtlich Implementierung und dem regulären DSGVO-Alltag zu sammeln. Letzterer ist vor allem geprägt von der Abarbeitung von Auskunftsansuchen sowie der Vornahme von trivialen Data-Breach-Notifications aufgrund einer versehentlich versendeten E-Mail. Dennoch hat die DSGVO auch diverse positive Aspekte, welche vor allem im Zuge der Implementierung sichtbar werden:

Die für Unternehmen wohl wichtigsten positiven Effekte gab es wohl im Bereich der Informationssicherheit. Dies deshalb, weil die DSGVO einen dazu verpflichtet durch Etablierung technischer und organisatorischer Maßnahmen für ein angemessenes Schutzniveau der personenbezogenen Daten zu sorgen. In praktischer Hinsicht waren hier nicht immer flächendeckend neue Systeme notwendig, sondern oftmals punktuelle Maßnahmen für die zielführende Strategie.
So war es in vielen Unternehmen ausreichend bisherige Sicherheitslücken durch Aktualisierung einzelner kritischer Systeme zu schließen. Auch die Einführung zusätzlicher Kontrollinstanzen wie etwa ein Berechtigungsmanagement oder Mobile-Device-Management, zwecks Regulierung einer chaotischen „Bring–your–own–Device“- Politik, ist hier oftmals problemlösend. In einigen Fällen macht es die DSGVO-Compliance hier nicht mal erforderlich, dass technische Änderungen vorgenommen werden. Oft kann mittels rein organisatorischer Maßnahmen, wie etwa der Einführung eines Vier-Augen-Prinzips, der gleiche Effekt erzielt werden.

Einen weiteren positiven Aspekt beinhalten auch die Dokumentationspflichten der DSGVO, welche im Ergebnis verlangen, dass ein Verantwortlicher zu jeder Zeit audit-fähig sein muss. Exemplarisch kann hier etwa das Verzeichnis der Verarbeitungstätigkeiten genannt werden. Der darin enthaltene Vorteil besteht darin, dass Unternehmen sich zwangsweise mit ihren internen Arbeitsprozessen auseinandersetzen müssen, sodass diese entweder dokumentiert oder auch entsprechend angepasst werden können.

Unterschiedliche Aufwände im Unternehmen

Die Vorteile, welche die DSGVO mit sich bringt, wie etwa eine bessere Unternehmenskenntnis oder ein erhöhtes Sicherheitsniveau, liegen auf der Hand. Nicht zu leugnen ist aber auch, dass die DSGVO-Implementierung in jedem Fall mit Aufwänden verbunden ist: Die intensive Analyse interner Prozesse, die Durchführung von Schulungen usw. All dies bindet zwangläufig Zeit und Personal.
In dieser Hinsicht haben aber bereits die Monate vor dem Inkrafttreten der DSGVO gezeigt, dass sich Aufwände in Unternehmen, welche über ein Compliance Management System (CMS) verfügen erheblich reduzierten. Dies liegt im Wesentlichen daran, dass sich Datenschutz Management und Compliance Management in vielerlei Hinsicht ähneln. Viele Prozesse aus dem CMS, wie etwa kartellrechtliche Schulungen oder interne Richtlinien, lassen sich rasch auf das Thema Datenschutz anpassen.

Fazit

Viele Befürchtungen um die DSGVO, wie etwa die Verhängung drakonischer Strafen, waren im Nachhinein betrachtet überzogen. Die Implementierung als auch der laufende Betrieb sind aber dennoch mit nicht unerheblichen Aufwänden verbunden, welche aber gleichzeitig auch Gelegenheit zur Eigenanalyse und Eigenverbesserung bieten. Der damit einhergehende Aufwand lässt sich mit einem funktionierenden Compliance Management System reduzieren.