2 Jahre DSGVO: Happy Birthday und bitte werde erwachsen!

Thomas Reisinger | 23.May 2020

Heute am 25.05.2020 wird die DSGVO sage und schreibe zwei Jahre alt. Zeit um ein bisschen in Nostalgie zu schwelgen und zu reflektieren was in der Welt des Datenschutzes hinter uns liegt und Gedanken daran zu verschwenden über das was noch alles kommen kann. Und vor allem was vielleicht noch kommen soll!

Vor zwei Jahren - am 25.05.2018 - wurde die Europäische Datenschutz Grundverordnung (DSGVO) wirksam und bereitete im Vorfeld vielen Unternehmen schlaflose Nächte aus Furcht vor einer riesigen Welle an drakonischen Bußgeldern. Die Realität verlief anders. Wie so oft bewahrheitet sich das Sprichwort, dass nichts so heiß gegessen wird, wie es gekocht wurde. Auf den 25.05.2018 folgten zunächst einige ruhige Monate.

Gerüchte, Gerüchte & Gerüchte im Vorfeld

Es mag einen daher nicht verwundern, dass die im Vorfeld gefürchtete Welle an drakonischen Bußgeldern ausgeblieben ist. Stattdessen wurden und werden Aufsichtsbehörden in den allermeisten Fällen beratend und ermahnend tätig.
Ein Bußgeld wird in aller Regel nicht sofort verhängt. Untätig waren die Aufsichtsbehörden dennoch nicht: rund 150 Mio EURO beträgt die Summer aller bisherig verhängten und rechtskräftigen Bußgelder. Die verhängten Strafen reichen hierbei von symbolischen Geldbußen in Höhe von 90 EUR bis hin zu achtstelligen Beträgen wie im Fall der Geldbuße in Höhe von 50 Mio EUR gegen Google.

Österreich

Auch hierzulande war die Datenschutzbehörde (DSB) dem wirtschaftsliberalen Credo "Beraten anstatt Strafen!" nicht immer treu. Im Gegenteil: mit 18 Mio EUR wurde eines der höchsten Bußgelder verhängt. Gerichtet hat sich das Bußgeld gegen die österreichische Post, welche heimlich Daten zur politischen Gesinnung gesammelt hat.

Schadenersatz

Neben Geldbußen bescherten uns die letzten zwei Jahre auch Erkenntnisse im Bereich des Schadenersatzes bei Datenschutzverletzungen. Genau wie im Fall der Bußgelder blieb auch hier der gefürchtete Albtraum von Sammelklagen und Schadenersatzforderungen im Milliardenbereich aus. Durchaus richtungsweisend war hier eine Entscheidung aus Österreich: so hat das OLG Feldkirch entschieden, dass von einer Datenschutzverletzung betroffenen Person Schadenersatz nur dann zusteht, wenn dieser ein tatsächlicher Schaden entstanden ist. Allein aus dem Umstand, dass ein Unternehmen eine Datenschutzverletzung begangen hat kann jedenfalls kein Schadenersatz abgeleitet werden.

Unser Resume zu Österreich

Die Message ist klar: es soll nicht Datenschutz um jeden Preis gemacht werden, aber man darf es sich nicht mehr leisten können ihn zu ignorieren!

Was sagt Österreichs prominentester Datenschützer

In einem offenen Brief an EU-Organe kritisiert Österreichs wohl prominentester Datenschützer vor allem das lasche Vorgehen der irischen Behörde, die nicht nur seiner Ansicht nach, die großen amerikanischen Datenkrallen zu schonen scheint. Er spricht sogar von "äußerst verstörende Handlungen" im Verfahren gegen Facebook (Whatsapp/Instagram).

FAZIT

Die Kernziele der DSGVO wurden durchaus teilweise verfehlt (Irland und die Unantastbarkeit großer Konzerne), der administrative Mehraufwand hat sich für Unternehmen, welche die bis zur DSGVO geltende Rechtslage schlicht ignoriert haben, durchaus bei dem Einen mehr, bei dem Anderen weniger erhöht.

Gebracht hat uns die DSGVO jedoch durchaus was; viele Unternehmen setzen sich erstmals mit Datenschutz auseinander und ganz nebenbei bekommt der ein oder andere noch ein Aha-Erlebnis bezüglich Informationssicherheit und wozu das gut sein könnte.

Dass noch viel zu tun ist und die großen Datenkraken noch zu wenig in die Schranken gewiesen wurden, wird in vielen Situationen offensichtlich.
Keiner beißt die Hand die ihn füttert. Deshalb muss es unserer Ansicht nach, eine europäische Behörde geben für die dicken Fische. Idealerweise in rotierender Zusammensetzung um möglichst große Unabhängigkeit auch gegen große Player zu gewährleisten.

Links zum Artikel

Privacy Affairs: GDPR Fine Tracker
derstandard.at (Schrems - Beschwerde an die Behörden)

---