Vor zwei Jahren trat die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Zeit, ein Fazit zu ziehen. Was ist gut gelaufen? Wo hakt es? Wo muss nachgebessert werden? Die EU-Kommission wird im Mai ihre Bilanz in Form einer Evaluation präsentieren. Dr. Falk Herrmann, CEO von Rohde & Schwarz Cybersecurity gibt hier vorab seine Einschätzung.

Keine IT-Verordnung hat Unternehmen und Gesellschaft in den vergangenen Jahren so tiefgreifend beschäftigt wie die EU-DSGVO. Ob Konzern, Verein oder Start-up – jede Organisation muss seit dem 25. Mai 2018 die Regeln zum Schutz persönlicher Daten umsetzen. Zumindest ein Ziel wurde damit erreicht: Die EU-DSGVO hat das Thema Datenschutz ganz oben auf die Agenda all derer gesetzt, die personenbezogene Daten speichern oder verarbeiten.

Zudem lässt sich die Zahl der real erfolgten Hackerangriffe erstmals ermitteln. Denn Verstöße gegen personenbezogene Daten, die Betroffene schädigen könnten, müssen den Behörden laut Datenschutzgrundverordnung gemeldet werden. Diese Informationen sind eine wichtige Hilfe im Kampf gegen die Cyberkriminalität.

Mammutprojekt Datendokumentation
Gleichzeitig tun sich viele Unternehmen schwer, die Regelungen umzusetzen. Nach einer Umfrage des BITKOM aus dem September 2019 hatte nur jedes vierte Unternehmen mehr als ein Jahr nach Inkrafttreten der EU-DSGVO alle Vorgaben umgesetzt. Vor allem die Pflicht, zu dokumentieren, welche Daten ein Unternehmen erhebt, zu welchem Zweck es sie verwendet und wie es sie weiterverarbeitet, ist ein Mammutprojekt.

Unternehmen fällt die Umsetzung leichter, die bereits ein Verzeichnis der Datenverarbeitungsverfahren geführt haben. Wer die Hürde allerdings einmal genommen hat, dem bietet die Dokumentation erstmals einen umfassenden Überblick seiner Datenschätze und eine wertvolle Grundlage zukünftiger Arbeit. Der Aufwand lohnt sich also.

Richtig ist aber auch, dass die EU-DSGVO vor allem für kleine Organisationen eine bürokratische Hürde darstellt, die dem Ziel nicht immer angemessen ist. Das hat auch die Bundesregierung erkannt und sorgt für Erleichterungen. Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten wurde bereits gelockert: Sie gilt nun erst für Unternehmen mit mindestens 20 Mitarbeitern, und nicht wie zuvor bereits bei 10 Mitarbeitern.

Rechtsunsicherheit versus Pragmatismus
Laut BITKOM-Umfrage ist die Unsicherheit bei der Auslegung der Vorgaben eine weitere große Hürde bei deren Umsetzung. Die EU-DSGVO bleibt beispielsweise bei der Einwilligungspflicht für das Setzen von Cookies unkonkret. Inzwischen hat ein EuGH-Urteil Klarheit geschaffen. Tracking-Cookies dürfen nur noch mit ausdrücklicher Einwilligung der Nutzer gesetzt werden.

Für Unsicherheit sorgten auch besonders strenge Auslegungen der EU-DSGVO, die die Nutzung von Klingelschildern, Visitenkarten und Klassenfotos einbezogen. Die Unsicherheit scheint inzwischen einem gesunden Pragmatismus gewichen zu sein: Visitenkarten gehen wie eh und je von Hand zu Hand und über den meisten Klingeln hängt nach wie vor ein Namensschild.

Zu einer entspannteren Haltung mag auch die Tatsache beitragen, dass die große Abmahnwelle bisher ausblieb. Nach Angaben von DLA Piper verhängten die EU-Staaten seit Inkrafttreten der DSGVO bis zum 17. Januar 2020 Bußgelder von 114 Millionen Euro. Im Vergleich zu den möglichen Höchststrafen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes pro Unternehmen, die nach der EU-DSGVO verhängt werden können, erscheint dies relativ gering.

Dennoch wurden Sanktionen ausgesprochen und damit wichtige Zeichen gesetzt. Mit dem bislang höchsten Bußgeld wurde in Deutschland 2019 der Immobilienkonzern Deutsche Wohnen belegt. Es belief sich auf 14,5 Millionen Euro. Auf Platz zwei folgte Ende 2019 mit 9,6 Millionen Euro ein Bußgeld gegen den Telekommunikationskonzern 1&1 Drillisch. Die Firma hatte sich nicht ausreichend geschützt, um Dritten den Zugriff auf persönliche Kundendaten zu verwehren.

Lücken im System
In den kommenden Jahren könnten die Strafzahlungen deutlich steigen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat ein schärferes Vorgehen bei Verstößen gegen die Vorgaben angekündigt. Im Visier hat er dabei vor allem größere Konzerne. Aber auch mittlere und kleine Unternehmen sollten das Thema Datenschutz unverändert ernst nehmen.

Auch deshalb, weil ein verantwortungsvoller Umgang mit den Daten der Kunden und Mitarbeiter das Image stärkt und die Wettbewerbsfähigkeit fördert. Allerdings fehlen in der EU-DSGVO einige wichtige Regeln zum Schutz personenbezogener Daten. Zum Onlinehandel gibt es beispielsweise kaum explizite Vorgaben. Hier soll die e-Privacy-Verordnung (ePVO) bald für Klarheit sorgen. Sie wird den Schutz persönlicher Daten bei der Nutzung digitaler Kommunikation europaweit regeln.

Ursprünglich sollte die ePVO gemeinsam mit der EU-DSGVO in Kraft treten. Da sich die Mitgliedsstaaten noch nicht auf eine gemeinsame Linie einigen konnten, kam es zu Verzögerungen. Nun wird die ePVO voraussichtlich 2020 veröffentlicht werden. Noch ist nicht öffentlich bekannt, wie die Regelung aussehen soll.

EU-DSGVO wird unterlaufen
Eine weitere Lücke in der EU-DSGVO sehen Kritiker darin, dass Hersteller nicht in die Pflicht genommen wurden, Produkte zu entwickeln, die den Datenschutz fördern. Privacy by Design – also das Berücksichtigen des Datenschutzes bei der Produktion eines Gerätes – ist ein wichtiger Baustein für den sicheren Umgang mit Daten. Einige Unternehmen haben bereits begonnen, die Barriere zwischen DevOps und IT-Sicherheit einzureißen, und neuartige Methoden im Sinne von „DevSecOps“ zu etablieren. Der Gesetzgeber muss diese Entwicklung unterstützen, damit datenschutzkonforme Produkte auf dem Markt erhältlich sind.

Ähnliches gilt für das Speichern von Daten in der Cloud. Die marktbeherrschenden Cloud-Anbieter sitzen im Ausland. Die EU-DSGVO wird von dort geltenden Regelungen nicht selten ausgehebelt. Beispielsweise verpflichtet der „Clarifying Lawful Overseas Use of Data Act“ amerikanische Cloud-Provider, den US-Behörden Zugriff auf nicht in den USA gespeicherte Daten zu gewähren – und unterläuft damit die EU-DSGVO. Dies bedroht zudem die Wettbewerbsfähigkeit der deutschen Unternehmen, weil aufgrund der dafür notwendigen technischen Vorkehrungen auch das Risiko steigt, dass Cyberkriminelle und Drittstaaten Zugriff auf das technische Know-how der Unternehmen erhalten.

Neue IT-Sicherheitstechnologien
Ausländische Cloud-Provider bieten ihren Kunden zwar zunehmend die Möglichkeit, ihre Daten in Deutschland zu speichern. Auf diese Weise wollen sie europäischem Recht genügen. Das löst jedoch das Problem nicht wirklich: Die Cloud-Anbieter selbst können noch immer auf die Daten zugreifen, und aufgrund gesetzlicher Gegebenheiten in ihren Herkunftsländern verpflichtet werden, Dritten Zugang zu gewähren.

Um wirklich der EU-DSGVO zu genügen, braucht es stattdessen neue IT-Sicherheitstechnologien, die von Anbietern bereitgestellt werden, welche vollumfänglich europäischer Jurisdiktion unterliegen. Es sollte zudem ein datenzentrischer Ansatz gewählt werden, bei dem alle Daten verschlüsselt werden, der Kunde selbst entscheiden kann, wo seine Daten gespeichert werden und die Schlüssel ausschließlich im Besitz des Kunden sind. Damit haben Zugriffsversuche dritter Parteien auf die Daten keine Erfolgschance.

Und letztlich bleibt noch die Frage, wie es mit der europaweiten Harmonisierung des Datenschutzes klappt. Grundsätzlich gilt die EU-DSGVO in allen Mitglieds-staaten und besitzt Anwendungsvorrang vor nationalen Regelungen. Zahlreiche sogenannte „Öffnungsklauseln“ geben den Gesetzgebern der Mitgliedsstaaten aber die Möglichkeit, die EU-DSGVO durch die eigene Gesetzgebung zu konkretisieren und zu ergänzen. Beim Umgang mit Arbeitnehmerdaten sieht die EU-DSGVO zum Beispiel vor, dass spezifischere Vorschriften erlassen werden können. Für Unternehmen mit europäischen Standorten bedeutet dies eine zusätzliche Herausforderung.

Ausblick
Die EU-DSGVO ist ein Meilenstein auf dem Weg zu mehr Schutz personenbezogener Daten. Nach zwei Jahren zeigt sich: Vieles wurde bereits erreicht und die Umsetzung läuft. Doch die Regelung ist erst ein Anfang. Weitere Vorgaben sind notwendig, um eine vollumfängliche digitale Souveränität zu erreichen. Die EU-DSGVO gibt dafür die grundlegende Richtung vor – Unternehmen, Gesellschaft und Politik müssen diesen Weg jetzt konsequent weitergehen.

Weitere Beiträge....