Vor zwei Jahren - am 25.05.2018 - wurde die Europäische Datenschutz Grundverordnung (DSGVO) wirksam und bereitete im Vorfeld vielen Unternehmen schlaflose Nächte aus Furcht vor einer riesigen Welle an drakonischen Bußgeldern. Die Realität verlief anders. Wie so oft bewahrheitet sich das Sprichwort, dass nichts so heiß gegessen wird, wie es gekocht wurde. Auf den 25.05.2018 folgten zunächst einige ruhige Monate.

Gerüchte, Gerüchte & Gerüchte im Vorfeld

Es mag einen daher nicht verwundern, dass die im Vorfeld gefürchtete Welle an drakonischen Bußgeldern ausgeblieben ist. Stattdessen wurden und werden Aufsichtsbehörden in den allermeisten Fällen beratend und ermahnend tätig.
Ein Bußgeld wird in aller Regel nicht sofort verhängt. Untätig waren die Aufsichtsbehörden dennoch nicht: rund 150 Mio EURO beträgt die Summer aller bisherig verhängten und rechtskräftigen Bußgelder. Die verhängten Strafen reichen hierbei von symbolischen Geldbußen in Höhe von 90 EUR bis hin zu achtstelligen Beträgen wie im Fall der Geldbuße in Höhe von 50 Mio EUR gegen Google.

Österreich

Auch hierzulande war die Datenschutzbehörde (DSB) dem wirtschaftsliberalen Credo "Beraten anstatt Strafen!" nicht immer treu. Im Gegenteil: mit 18 Mio EUR wurde eines der höchsten Bußgelder verhängt. Gerichtet hat sich das Bußgeld gegen die österreichische Post, welche heimlich Daten zur politischen Gesinnung gesammelt hat.

Schadenersatz

Neben Geldbußen bescherten uns die letzten zwei Jahre auch Erkenntnisse im Bereich des Schadenersatzes bei Datenschutzverletzungen. Genau wie im Fall der Bußgelder blieb auch hier der gefürchtete Albtraum von Sammelklagen und Schadenersatzforderungen im Milliardenbereich aus. Durchaus richtungsweisend war hier eine Entscheidung aus Österreich: so hat das OLG Feldkirch entschieden, dass von einer Datenschutzverletzung betroffenen Person Schadenersatz nur dann zusteht, wenn dieser ein tatsächlicher Schaden entstanden ist. Allein aus dem Umstand, dass ein Unternehmen eine Datenschutzverletzung begangen hat kann jedenfalls kein Schadenersatz abgeleitet werden.

Unser Resume zu Österreich

Die Message ist klar: es soll nicht Datenschutz um jeden Preis gemacht werden, aber man darf es sich nicht mehr leisten können ihn zu ignorieren!

Was sagt Österreichs prominentester Datenschützer

In einem offenen Brief an EU-Organe kritisiert Österreichs wohl prominentester Datenschützer vor allem das lasche Vorgehen der irischen Behörde, die nicht nur seiner Ansicht nach, die großen amerikanischen Datenkrallen zu schonen scheint. Er spricht sogar von "äußerst verstörende Handlungen" im Verfahren gegen Facebook (Whatsapp/Instagram).

FAZIT

Die Kernziele der DSGVO wurden durchaus teilweise verfehlt (Irland und die Unantastbarkeit großer Konzerne), der administrative Mehraufwand hat sich für Unternehmen, welche die bis zur DSGVO geltende Rechtslage schlicht ignoriert haben, durchaus bei dem Einen mehr, bei dem Anderen weniger erhöht.

Gebracht hat uns die DSGVO jedoch durchaus was; viele Unternehmen setzen sich erstmals mit Datenschutz auseinander und ganz nebenbei bekommt der ein oder andere noch ein Aha-Erlebnis bezüglich Informationssicherheit und wozu das gut sein könnte.

Dass noch viel zu tun ist und die großen Datenkraken noch zu wenig in die Schranken gewiesen wurden, wird in vielen Situationen offensichtlich.
Keiner beißt die Hand die ihn füttert. Deshalb muss es unserer Ansicht nach, eine europäische Behörde geben für die dicken Fische. Idealerweise in rotierender Zusammensetzung um möglichst große Unabhängigkeit auch gegen große Player zu gewährleisten.