DSGVO Umsetzung in der EU

Die Umsetzung der DSGVO in der restlichen EU

Deutschland gehörte neben Österreich, Frankreich, Irland und Kroatien zu einem der ersten Länder, die sich an die Gesetzgebung und Umsetzung der DSGVO machten. Einige unserer Nachbarn jedoch haben den Start direkt verpasst.

So hat schon 2018 einen Tag vor dem Inkrafttreten „DIE WELT“ berichtet, dass Deutschland und Österreich gerüstet sind, und unsere nächsten Nachbarn wie Italien, Spanien, Portugal, Rumänien und Lettland nachziehen werden, während Tschechien, Ungarn, Zypern, Griechenland, Belgien, Bulgarien, Litauen und Slowenien erst mit großer Verzögerung überhaupt die Rahmenbedingungen dafür schaffen können. Und damit auch eine Strafe, also die angedrohten Bußgelder, von Brüssel gar nicht verhängt werden können.

In vielen Ländern war das Gesetzgebungsverfahren erst lange nach dem Inkrafttreten abgeschlossen. Wie sich die Umsetzung der DSGVO hierzulande darstellt, haben wir bereits in diesem Artikel behandelt. Nun schauen wir uns an, wie der Datenschutz diesbezüglich in anderen EU-Ländern gehandhabt wird.

Die Öffnungsklauseln

DSGVO Umsetzung in der EU

Foto: Pixabay.com, copyright by typographyimages, CC0 1.0, 1944688

Ein Sonderfall stellt beispielsweise Rumänien dar. Das Umsetzungsgesetz ist zwar am 31. Juli 2018 in Kraft getreten, aber einige Punkte sind unklar geblieben und die Bußgelder für Behörden und Parteien sind erheblich niedriger angesetzt als für die Bürger.

Überhaupt haben die anderen EU-Länder die „Öffnungsklauseln“ recht unterschiedlich geregelt. Es gibt circa 70 sogenannte Öffnungsklauseln, die es den Ländern ermöglichen, ihre eigene Auslegung der Artikel der Verordnung einzubringen. Einige Länder haben mehr, andere weniger davon Gebrauch gemacht.

Bei unseren Nachbarn sind also die Vorschriften noch nicht, nicht abschließend oder nicht identisch wie bei uns umgesetzt. Zum einzelnen Stand in den verschiedenen Ländern geben die Behördenseiten in Landessprache Auskunft.

Ein Blick zu den Nachbarn – wie sind die Regeln dort?

Der Datenschutz wird auch in unseren Nachbarländern durch eigene Gesetze weiter ausformuliert und laufend verbessert. Wer also genau verfolgen möchte, welche Regelungen gelten, sollte sich mit den konkreten Vorschriften vertraut machen. Werfen wir einen Blick auf einige Nachbarn.

Italien:

In Italien ist das neue Datenschutzgesetz am 19.09.2018 in Kraft getreten. Das bestehende Gesetz von 2003 wurde um einige Vorschriften zum Datenschutzbeauftragten und dessen Aufgaben ergänzt. Die von der EU vorgesehenen Sanktionen und Bußgelder wurden ebenfalls abgenickt. Mehr dazu: Italienisches Datenschutzgesetz (Decreto Legislativo 10 agosto 2018, n. 101)

Frankreich:

In Frankreich ist das neue Datenschutzgesetz  am 21.06.2018 von der “CNIL” (französische Datenschutzbehörde) veröffentlicht worden und am 12. Dezember 2018 in Kraft getreten.

Österreich:

Bei unseren nächsten Nachbarn ist der Datenschutz ebenfalls schon länger Programm. Die österreichische Datenschutzseite gibt darüber umfassend Auskunft. Hinweis „Im Gegensatz zur alten Datenschutzrichtlinie ist die Datenschutz-Grundverordnung (kurz DSGVO) in Österreich unmittelbar anwendbar. Das Datenschutzgesetz ergänzt die DSGVO nur.“

Eine Besonderheit ist, dass nach dem österreichischen Datenschutzgesetz (DSG) nach der neuen Anpassung eine Verarbeitung von personenbezogenen Daten „über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen“ besonders bei Straftaten unter bestimmten Voraussetzungen zulässig ist.

Belgien:

Belgien verwendet bei der Umsetzung keine Öffnungsklauseln und hat das Gesetzgebungsverfahren am 1. Oktober 2018 abgeschlossen. Infos über das neue Gesetz gibt es auf der Webseite der Aufsichtsbehörde „the Data Protection Authority“. Die Seite ist zwar viersprachig angelegt (NL, EN, FR, DE), nicht alle Informationen sind aber in allen Sprachen abrufbar.

Niederlande:

Die Niederlande verwendet eine Öffnungsklausel und erlaubt (gemäß Artikel 9 Absatz 1 DSGVO) biometrische Daten zur Personenidentifikation – allerdings nur bei berechtigtem Interesse und wenn es erforderlich ist.

Schweden:

Unsere schwedischen Nachbarn haben bereits im April 2018 ihr Gesetz „Ny Dataskyddslag“ erlassen.  Die Regierungsseite regeringen.se ist auch auf Englisch einsehbar.

Dänemark:

Die Dänen haben rechtzeitig ein eigenes Datenschutzgesetz beschlossen, das pünktlich mit Inkrafttreten der DSGVO im Mai 2018 anwendbar war. Das dänische Datenschutzgesetz erlaubt einige Lockerungen; beispielsweise bei der Verarbeitung personenbezogener Daten von Beschäftigten. 

Irland:

DSGVO Umsetzung eu

Foto: Pixabay.com, copyright by andibreit, CC0 1.0, 3958460

Ein Blick nach Irland ist für uns besonders interessant, weil dort die großen Konzerne wie Twitter oder Facebook sitzen, deren Datenschutz damit auch für uns hinsichtlich der Server-Standorte relevant ist. Pünktlich zum Start der DSGVO hat Irland am 18.05.2018 ihre „Data Protection Bill“ in Kraft gesetzt.

Fazit:

Die DSGVO hat trotz langer Vorankündigung für einige Verwirrung gesorgt. Und zwar nicht nur bei den Betroffenen, die in ihren Firmen die Regeln später umsetzen mussten. Auch die EU-Staaten mussten sich zunächst viele Gedanken machen, wie sie die Regeln der neuen DSGVO am besten einführen oder durch die Öffnungsklauseln integrieren konnten. Trotzdem konnten letztendlich, wenn auch mit Verzögerung, alle Hürden genommen werden. Die DSGVO wurde mittlerweile, allerdings mit unterschiedlichen Ausprägungen, überall umgesetzt.

DSGVO Umsetzung in Deutschland

Ein Jahr danach – Ist die Umsetzung der DSGVO gelungen? DSGVO in Deutschland

Die EU-Datenschutzgrundverordnung (DSGVO) ist seit einem Jahr, genauer: seit dem 25. Mai 2018, in Kraft getreten. (Der Gesetzestext wird über das Europäische Justizportal zur Verfügung gestellt.)

Doch wie ist die Umsetzung in Deutschland und Europa bisher verlaufen? Und sind bereits für Verstöße die angedrohten hohen Bußgelder verhängt worden? Immerhin dürfen nach § 83 DSGVO bis zu 20 Millionen Euro (alternativ im Fall eines Unternehmens bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs) als Strafe festgesetzt werden!

Der Sinn der DSGVO will sich den Unternehmen nicht ganz erschließen

DSGVO Umsetzung in Deutschland

Foto: Pixabay.com, Copyright by wattblicker, 3589608

Die EU hat mit ihrer aktuellen VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 den Startschuss zum neuen Datenschutz gegeben. Für die umfangreichen Änderungen hatten die Unternehmen ganze zwei Jahre Zeit, nämlich bis zum 25. Mai 2018.

Man hat dennoch den Eindruck, dass vor allem die kleineren Unternehmen die Verordnung und das neue Gesetz eher locker sehen. Vermutlich, weil sie denken, dass sie weniger betroffen sind oder weil die Wahrscheinlichkeit überprüft zu werden geringer ist als bei den großen Firmenkolossen. Hinzu kommt, dass viele von ihnen den Sinn und den Nutzen der DSGVO nicht erkennen.

Das bremst natürlich die Motivation, die Umsetzung in Angriff zu nehmen. Erschwerend kommt hinzu, dass die Änderungen mit großem Planungs-, Zeit- und Geldaufwand einhergehen. Die will und kann sich nicht jeder leisten, auch wenn ihm am Ende eigentlich nichts anderes übrigbleibt.

Zufriedenheit mit der Umsetzung in den deutschen Unternehmen

Verschiedene Umfragen unterschiedlicher Institutionen (beispielsweise Statista, Thales) haben gezeigt, dass fast ein Viertel der Unternehmen zum Stichtag noch gar nicht darauf vorbereitet gewesen ist. Und das sind nur diejenigen, die es offen zugegeben haben!

Auch nach der Umsetzung sind noch nicht alle Unternehmen mit den bisherigen Umsetzungen zufrieden, es bleibt noch viel Luft nach oben. Immerhin behaupten über 80% der befragten Unternehmen (laut Thales), dass sie die Umsetzung gut geschafft haben. Hier hat sich die Zufriedenheit zumindest bereits eingestellt, während die restlichen 20% noch damit hadern.

Deutsche sind nach wie vor skeptisch

Für dich als Bürger ist die Einführung der DSGVO eigentlich ein Glück. Denn endlich erfährst du auch, was mit deinen Daten passiert und kannst sicher sein, dass nicht jeder deine personenbezogenen Daten in die Finger bekommt.

Doch immer wieder tauchen Datenskandale (wie beispielsweise bei Facebook oder WhatsApp) auf, die zeigen, dass deine Daten anscheinend doch nicht in solch guten Händen sind, wie erwartet.

Die Telekom hat dazu aktuell eine Umfrage durch das Meinungsforschungsinstitut Civey durchführen lassen, die die Skepsis deutlich zeigt. Nur 16,3% der Befragten fühlen sich jetzt besser vor dem Missbrauch ihrer persönlichen Daten geschützt. Fast 70% ist nach wie vor misstrauisch.

Und die Beteuerungen von Mark Zuckerberg (Facebook) und Konsorten, dass unsere Daten durch die großen Konzerne geschützt sind, fallen ebenfalls nicht auf fruchtbaren Boden. 80% der Deutschen glauben nicht daran!

Dennoch sind viele Bürger informiert und aufgeklärt. Das ergibt sich aus der Tatsache, dass die meisten Bußgeldverfahren von Beschwerden Betroffener ausgehen und die Zahl der Beschwerden ganz extrem angestiegen ist, seit dem 25.Mai 2018.

Wie gelungen finden Profis die Umsetzung?

Nicht nur die gestressten Unternehmen und die skeptischen Bürger haben ihre Meinung zur neuen DSGVO. Die Seite Netzpologik.org hat verschiedene Experten, Aktivisten, Datenschutzexperten und Anwälte zu diesem Thema befragt. Auch hier ist man skeptisch.

Denn die großen Datenschutzprobleme sind nach Meinung der Experten noch nicht behoben. Der kommerzielle Datenmissbrauch wurde dadurch ebenfalls nicht abgestellt. Die Umsetzung selbst ist und bleibt für einige Staaten ein Problem und es gibt auch nicht genügend Ressourcen für die Überwachung der Einhaltung der DSGVO. Dies sind nur einige Denkansätze der Befragten.

Das European Data Protection Board hebt besonders die Entwicklung der Beschwerden hervor und sieht darin ein Zeichen für das gewachsene Datenschutzbewusstsein.

Auch Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit zieht ein eher positives Resümee. Er bezeichnet das erste Jahr seit Einführung der DSGVO als „Erfolgsgeschichte“ und betont, dass die DSGVO den Datenschutz nicht nur in Deutschland und Europa, sondern weltweit nach vorn gebracht hat.

Die erste Aufregung und der Aktionismus rund um die Einführung haben sich mittlerweile gelegt, die meisten Firmen arbeiten nun konzentrierter und mit dem Datenschutz als langfristiges Ziel, sagt auch die Anwältin und Expertin für Datenschutz, Frau Vera Jungkind.

Schwierigkeiten für EU-weit und international agierende Unternehmen

Der räumliche Anwendungsbereich durch § 3 DSGVO genau geregelt, der die Thematik viel deutlicher beschreibt als die bisherige Datenschutzrichtlinie 95/46/EG.

Die unterschiedlichen Regelungen sind für Unternehmen, die innerhalb der EU in verschiedenen Ländern arbeiten oder internationale Standorte besitzen, problematisch, da an jedem Standort (nach Landesrecht) unterschiedliche Vorschriften gelten, die notfalls andere Maßnahmen erfordern. Das kommt durch die unterschiedliche Ausformulierung innerhalb des Spielraums, den die Länder aufgrund der Öffnungsklauseln haben.

Die Firmen mit weltweiten Standorten müssen dann in jedem Zweigbetrieb die landesrechtlichen Bestimmungen erfüllen und können im Zweifelsfall nicht überall dieselbe Firmenregelung anwenden. Die Planung und Überwachung verschärfen sich dadurch deutlich. Denn die Rechte der Betroffenen auf Auskunft oder Löschung müssen auch außerhalb der EU angewendet werden.

Eine besondere Herausforderung sind die Datenspeicher der Unternehmen, die mit Cloud-Software arbeiten. Denn bei ERP-basierten Systemen, die einen weltweiten Zugriff aller Berechtigten mittels der Cloud möglich machen, kommt es zu den größten Problemen, wenn die Server außerhalb der EU oder der anerkannten Staaten stehen. Dies ist häufig der Fall und die Server unterliegen daher anderen Datenschutzbestimmungen.

Konsequenzen

Sogar Unternehmen wie die Nachrichtendienste haben deswegen teilweise ihre Kontakte abgeschnitten, weil der Aufwand der Protokollierung aller Datenverarbeitungen zu groß gewesen wäre, berichten verschiedene Netzquellen.

Wie ebenfalls berichtet wird, nutzen einige amerikanische Unternehmen die DSGVO als „Salesgenerator“ durch spezielle Abo-Varianten für die Leser der EU. Begründung für den zahlungspflichtigen Zugang zu den News ist das Argument, dass die Leser hier keinem Drittanbieter-Tracking und keinen On-Site-Werbungen ausgesetzt sind.

Besondere Herausforderung für die Automobilindustrie

Eine neue Herausforderung stellt auch die zunehmende Vernetzung der Fahrzeuge dar. Immer mehr Automobilhersteller bieten eigene Apps zur direkten Vernetzung von Fahrzeug und Servicedienst an. Dabei handelt es sich um ein großes Datenvolumen, das hier vorschriftsmäßig verwaltet, analysiert und geschützt werden muss.

Fazit

DSGVO Umsetzung Deutschland

Foto: Pixabay.com, copyright by TPHeinz, 3669706

Die Umsetzung der DSGVO ist auch ein Jahr nach dem Inkrafttreten noch schwierig und teilweise unverständlich für die Unternehmen. Die mangelhafte Umsetzung spiegelt sich in den ersten verhängten Bußgeldern wieder. Diese halten sich zum Glück noch im Rahmen. (Mehr dazu in unserem Artikel über die Bußgelder).

Dennoch wird hier sicherlich noch eine Verbesserung eintreten. Gerade Unternehmen, die neue Kunden gewinnen und alte halten wollen, müssen zeigen, dass sie das Vertrauen verdient haben. Es geht hier aber auch um das Prestige der Firma.

Die Bürger sind verunsichert und misstrauisch, aber auch informiert über ihre Rechte. Oft bleibt jedoch keine andere Wahl, als die eigenen Daten preiszugeben. Beispielsweise bei Arztbesuchen und Behörden.

Zu verhindern wäre dies höchstens in den sozialen Medien und in anderen Situationen, in denen dir freisteht, wo du dich anmeldest und welche Daten du hergeben möchtest. Beispielsweise bei diversen Online-Anmeldungen, Newslettern, Gewinnspielen, Umfragen, E-Mails oder der Datenverwaltung im PC.

 

PERSONAL DATA AND SENSITIVE DATA: WHAT DO THEY MEAN

During its daily business, either a small company and a large multinational with branches spread around the world, deals with Personal Data of customers, suppliers, employees or business partners. In Italy Personal Data Protection Law (Legislative Decree 196 of 20 June 2003) establishes the principles and norms to be respected for citizens’ right to privacy
(mehr …)