Tausende Online-Shops mussten nach dem Willen der Datenschutzgrundverordnung (DSGVO) spätestens am 25. Mai 2018 um Punkt 0:00 Uhr auf die neue Rechtslage eingestellt sein. Neben den zahlreichen unklaren Themen wie Abmahnfähigkeit und Cookies oder sagenumwobenen Bußgeldern trieb die DSGVO zuletzt jedoch auch skurrile Blüten wie „Das Fax ist nicht mehr DSGVO-konform”. Was hat sie denn nun nach drei Jahren gebracht, die verheißungsvolle DSGVO?

DSGVO: Warum, weshalb, wieso?

Ohne Datenerhebung läuft nichts im Internet. Seien es die verwendeten Tracking-Tools bzw. Cookies oder die ganz normale Eingabe und Speicherung von Kundendaten während eines Bestellprozesses. Doch der Ruf des Datenschutzes im world wide web ist denkbar schlecht. Durch die weit verbreitete öffentliche Meinung, dass speziell im Internet der Datenschutz nicht immer gewährleistet ist, war es an der Zeit, eine konsequentere Datenschutzregelung in der EU zu schaffen. Es war daher längst überfällig, dass ein Datenschutzrecht verabschiedet wird, dass dem technischen Fortschritt (die Cookie-Richtlinie stammt beispielsweise aus den 90ern) gerecht wird und vor allem ein einheitlicher Rahmen innerhalb der gesamten EU geschaffen wird. 

Auch der Handel über die Grenzen soll von den einheitlichen Gesetzen maßgeblich profitieren und Unternehmen zu mehr Offenheit ermutigt werden. Als weiterer Vorteil, zumindest für die Datenschützer, zählt das „One Stop Shop Prinzip“. Das bedeutet, dass Unternehmen wegen ein und derselben Datenverarbeitung nicht mit mehreren Datenschutzaufsichtsbehörden parallel kommunizieren müssen, sondern nur mit der an ihrem Hauptsitz. 

Tatsächlich, und das ist ein positiver Aspekt, haben sich mit der DSGVO viele Menschen überhaupt zum ersten Mal intensiv mit dem Thema Datenschutz auseinandergesetzt. Viele Länder – unter anderem auch Deutschland – haben zwar bereits zuvor zahlreiche Grundprinzipien beim Umgang mit Daten festgelegt – die jedoch weitestgehend stiefmütterlich behandelt wurden.

Bußgelder: Zahl der gemeldeten DSGVO-Verstöße steigt

Die Datenschützer haben nach anfänglichen Startschwierigkeiten im eigenen Haus aber die Daumenschrauben angezogen. Rund zweieinhalb Jahre, nachdem die DSGVO in Kraft getreten ist, überwiegen in jedem zweiten Unternehmen zwar noch immer die negativen Aspekte der Neuregelung. Es ist aber nicht verwunderlich, dass seit Inkrafttreten bis Anfang 2020 rund 160.000 Verstöße aufgetreten sein sollen. Zuletzt taf es Notebooksbilliger.de und Facebook.

Ein schönes Sümmchen kam auch durch die zahlreichen weiteren 2020 noch massenhaft begangenen DSGVO-Verstöße zusammen. Unter den Hauptsündern war Google mit 100 Millionen Euro. Insgesamt verhängten die europäischen Datenschutzbeauftragten nach einer Meldung Strafen in Höhe von insgesamt rund 160 Millionen Euro. Die wegen Verstößen gegen die DSGVO in der EU verhängten Strafen seien 2020 deutlich angestiegen.

DSGVO: Bei Unternehmen überwiegt Frust vor Sicherheit

Die Datenschutzgrundverordnung ist in ihrer amtlichen Veröffentlichung epische 88 Seiten lang und besteht neben 173 Erwägungsgründen aus 99 Artikeln. Doch viel hilft nicht immer viel, denn Händler können mit der umfangreichen, für viele immer noch neuen Verordnung in der Praxis wenig anfangen.

Fast drei Viertel der Befragten (72 Prozent) hatten vor dem Start laut einer Händlerbund-Umfrage entweder noch nie von der DSGVO gehört oder hatten zumindest davon gehört, aber wussten nicht, was genau auf sie zukommen würde. Nur fünf Prozent gaben damals an, dass sie sich bereits gut auskennen würden. Das war 2017.

Wer jetzt aber denkt, die große Präsenz der DSGVO in den Medien hätte bis zum Inkrafttreten Mitte 2018 etwas geändert, irrt. Auf die Frage, ob sich die Betroffenen auf die DSGVO vorbereitet fühlen, antwortete Anfang in einer weiteren Umfrage 2018 noch immer der Großteil (61 Prozent) mit „eher nicht” oder „gar nicht”. Noch immer gaben vier Prozent der befragten Online-Händler an, nie zuvor von der geplanten DSGVO gehört zu haben. Immerhin war der Anteil der „Ahnungslosen” gesunken.

Auch in den Jahren danach hat sich wenig getan. Rund zwei Jahre nach der Einführung der DSGVO sind etwa 89 Prozent der deutschen Unternehmen der Auffassung, dass diese praktisch nicht kompromisslos umsetzbar sei. Tatsächlich gelungen sei die Umsetzung der DSGVO laut einer Bitkom-Studie aus dem vergangenen Jahr erst bei etwa einem Fünftel der Firmen. Je rund ein Drittel (37 Prozent und 35 Prozent) haben die DSGVO „größtenteils“ oder immerhin „teilweise“ umgesetzt. Warum? Im September 2020 sahen 74 Prozent der Befragten einer Statista-Erhebung die Rechtsunsicherheit als eine der größten Herausforderungen bei der Umsetzung der DSGVO an. Sie wünschen sich mehr Unterstützung durch die Behörden.

„Fass ohne Boden“ – Unternehmen mit der DSGVO unzufrieden

Woran liegt es, dass die DSGVO zu so einem großen Problem für die Praxis geworden ist, bzw. Unternehmen nie mit ihr warm geworden sind? „Durch unklare Vorschriften und zusätzliche Anforderungen der Datenschutzbehörden ist aus der DSGVO ein Fass ohne Boden geworden“, fasst die Bitkom-Studie zusammen. Die vielen umfangreichen Vorgaben oder Unklarheiten in der Auslegung der Verordnung bringen Projekte zum Scheitern – und das ist genau das Gegenteil von dem, was die DSGVO bezweckt hat.

Neben dem Frust hat die DSGVO teilweise sogar sehr skurrile Blüten getrieben. Mag man bei den veröffentlichten Fotos fremder Personen noch von einer gewissen Einsicht ausgehen. Doch die (kurzzeitige) Panik, ob die Patienten im Wartezimmer noch namentlich aufgerufen werden dürfen oder die Klingelschilder der Bewohner eines Mehrfamilienhauses nun mit Nummern bestückt werden müssen, rief mindestens Kopfschütteln hervor. Außerdem lästig und vermutlich von jedem nur genervt weggeklickt sind die nun flächendeckend verwendeten Cookie-Banner auf jeder Webseite. Ihren Zweck verfehlen diese jedoch wie die meisten anderen Informationspflichten (insbesondere Rechtstexte wie AGB) gänzlich.

Die Unsicherheit oder gar Geringschätzung bei der Umsetzung ist deshalb auch nach drei Jahren noch da, vielleicht sogar gestiegen. Die zunehmende Auseinandersetzung mit dem (neuen) Datenschutzrecht im Gegenzug zu den immer noch massenhaft auftretenden Datenskandalen dürfte bei vielen den Eindruck noch einmal bestärkt haben, die DSGVO sei überflüssig oder gar eine Belastung. Zusammenfassend muss also gesagt werden, dass die Idee gut gemeint war, die Umsetzung jedoch noch verbesserungswürdig ist. Verglichen mit einem dreijährigen Kind hat die DSGVO noch nicht wirklich Laufen gelernt.