Home > Sicherheits- und Compliance-Blog > Sicherheit und Compliance > DSGVO – seit drei Jahren in Kraft Und jetzt? Ein Grund zum Feiern?

DSGVO – seit drei Jahren in Kraft Und jetzt? Ein Grund zum Feiern?

von Ulrike Eder updated Juni 4, 2021 Sicherheit und Compliance

Lesezeit: 4 Minuten

Am 25. Mai 2018 trat die DSGVO (englisch GDPR) – Datenschutz-Grundverordnung – zum Schutz personenbezogener Daten von EU-Bürgern in Kraft.

Die Anfänge waren nicht ohne Schwierigkeiten: schon im Mai 2016 wurde die DSGVO verabschiedet, doch fast 2 Jahre später, kurz vor dem Termin der Rechtswirksamkeit, waren immer noch mehr als 60 % der Unternehmen nicht genügend vorbereitet. So gaben 64% der befragten Verantwortlichen von Unternehmen noch kurz vor dem Inkrafttreten der neuen Regularien an, nicht zu wissen, dass auch das Geburtsdatum der Kunden zu den personenbezogenen Daten gehört und damit zu schützen ist. (https://www.darkreading.com/application-security/gdpr-confusion-persists-among-businesses-survey-shows/d/d-id/1329809)

Wie hat die DSGVO den Geschäftsalltag der Unternehmen verändert?

Am Anfang war vielen Unternehmen, v.a. den KMUs, nicht klar, wie sie die neuen Anforderungen in ihrem laufenden Geschäft umsetzen können und müssen. Ist es mit der Rolle von Datenschutzbeauftragten getan, benötigt mein Unternehmen neue Prozesse, wo und wie kann mir neue Sicherheits-Software helfen? Welche Bereiche in meinem Betrieb sind betroffen?

All diese Fragen sind sicher auch heute noch nicht überall und bei jedem Unternehmen komplett beantwortet oder die Lösungen umgesetzt, aber das Bewusstsein für die Wichtigkeit des Schutzes der personenbezogenen Daten ist gestiegen.

Die Bedeutung der Daten und ihr Schutz nimmt zu – dank der DSGVO.

Nicht nur, dass die Menge unserer Daten immer weiter und schneller zunimmt, sie „reisen“ auch mehrfach um die Welt, auf Wegen, die uns oft nicht klar sind.

Auf welchen Servern befinden sich die zu schützenden Daten, bevor sie beim Empfänger ankommen? Sind sie beim Transfer und auf dem Server geschützt? Wer hat Zugriff? Cloud-Datenbanken, IoT-Geräte, mobile Datenverarbeitung und immer mehr mobile Endgeräte, wie kann ein Unternehmen hier noch den Überblick behalten?

Datenpannen nehmen zu

In den letzten 12 Monaten mussten die Aufsichtsbehörden registrieren, als in der Zeit vom Mai 2018 bis Ende 2019. Im vergangenen Jahr wurden deutschlandweit 26.057 Datenpannen gemeldet. Die meisten Pannen waren in Verbindung mit dem Versand von Dokumenten, Cyber-Angriffen und technischen Mängeln zu verbuchen.

Die deutschen Datenschutzbehörden verhängten in 2020 Bußgelder in Höhe von 48,1 Millionen Euro, rund 50 % mehr, als im Jahr davor. Den „Rekord“ an Bußgeld hält Google, das im vergangen Jahr in Frankreich eine Strafe in Höhe von 50 Millionen Euro erhalten hat.

Diese Entwicklung entgeht auch den Unternehmenslenkern nicht. Deshalb haben sich viele Unternehmen über IT-Sicherheitslösungen, von Firewalls über Verschlüsselungslösungen bis hin zu Lösungen zum Schutz der Kommunikationskanäle, informiert und diese auch eingeführt.

Als Bürger wollen und müssen wir sicher sein, dass die Daten, die von uns erhoben werden, wie z.B. Gesundheitsinformationen, nicht in falsche Hände geraten. Hierbei gibt die DSGVO die Regeln vor und interne Prozesse, IT-Strukturen und Software helfen bei der Umsetzung, ob bei Behörden, Kommunen oder Wirtschaftsunternehmen.

Für Unternehmen ist es wichtig, vertrauliche Daten zu schützen, einerseits die, die als personenbezogen definiert sind und von Gesetz wegen abzusichern sind, aber auch die Informationen, die den Wert eines Unternehmens darstellen: Know-How, Erfindungen, Patente, Firmeninternas im weitesten Sinne.

Vorteile der DSGVO

Für europäische Unternehmen ist die Sensibilität und der Mehraufwand zum Schutz der personenbezogenen Daten jedoch nicht nur eine Belastung, sondern beweist sich auch als Wettbewerbsvorteil gegenüber Anbietern, die diesen Schutz nicht bieten.

Die oft gerügte DSGVO sorgt für eine Stärkung der EU als Wirtschaftsstandort.
Viele Unternehmen aus Drittstaaten verlegen ihre Rechenzentren oder auch die Firmenzentralen in die EU, um die DSGVO als Wettbewerbsvorteil mit anbieten zu können.

Und selbst außerhalb der EU gibt es positive Auswirkungen, da sich weitere Länder von der DSGVO inspirieren lassen und den Datenschutz im eigenen Land verstärkt haben oder dies als Ziel geäußert haben, wie der California Privacy Act CCPA (https://www.nzz.ch/international/datenschutz-kalifornien-tritt-in-die-fussstapfen-der-eu-ld.1531045#back-register) zeigt.
Die Verordnung ist in kurzer Zeit zum weltweiten Standard für Online-Datenschutz geworden. So kann sich die Wirtschaft im digitalen Umfeld auf feste Richtlinien stützen und es entsteht ein Vertrauen, das für Unternehmen im weltweiten Handel lebenswichtig ist.

Es fehlt eine Harmonisierung der Auslegungen und Durchsetzungen der DSGVO Regularien

Vieles ist gut, nicht alles perfekt.

Leider besteht immer noch Unsicherheit bei der länderübergreifenden Zusammenarbeit, nationale Verfahren laufen nach unterschiedlichen Regeln ab und kommen oft zu verschiedenen Ergebnissen. Den Datenschutzbehörden der EU werden zu langsames und zu zögerliches Handeln in der Konsolidierung vorgeworfen.

Achim Berg, dem Präsident des IT-Verbands Bitkom, kritisiert, dass die Abstimmung unter den 27 Aufsichtsbehörden auf EU-Ebene zur einheitlichen Auslegung und Durchsetzung der Regeln immer noch zu schleppend ist. Selbst die 18 Aufsichtsbehörden von Bund und Ländern legen die DSVO unterschiedlich aus. Deshalb sind noch immer viele Unternehmen unsicher, wie sie einzelne Vorgaben umzusetzen haben.

Wie geht es nun mit der DSGVO weiter?

Margrethe Vestager, EU-Kommissarin für Wettbewerb, kündigte 2020 verstärkte Durchsetzungsmaßnahmen an. Ebenso deuteten auch die deutschen Behörden schon im 2. Halbjahr 2019 an, ihre eher beobachtende und beratende Haltung in 2020 zu ändern und ebenso, wie viele andere EU-Staaten, bis zu sechsstellige Bußgelder bei Verstößen zu verhängen.

Dies wurde jedoch im vergangenen Jahr unter den Pandemiebedingungen noch zurückhaltend umgesetzt, da die Pandemie die Unternehmen vor völlig neue Herausforderungen stellte. Hier war es hilfreich, dass die Datenschutzregeln der DSGVO einen flexiblen Rechtsrahmen bieten, wie Věra Jourová, die Vizepräsidentin der EU-Kommission für Werte und Transparenz, betont.

Aber gerade durch die Pandemie wurde allen Beteiligten auch die Sinnhaftigkeit der DSGVO deutlich, wie beispielsweise der Umgang mit personenbezogenen Gesundheitsinformationen in der Corona Warn-App zeigte.

Jedoch muss die DSGVO noch an vielen Stellen optimiert werden und durch die Angst vor „existenzbedrohenden Bußgeldern“ werden Innovationen verhindert oder wichtige Digitalisierungsvorhaben verschoben, meint Achim Berg.

Es ist also klar, dass die Richtung stimmt und der Datenschutz nicht mehr von der Agenda wegzuwischen ist, auch wenn es in Detailfragen noch Verbesserungsbedarf gibt.

Wie kann sich ein Unternehmen vor Datenpannen schützen?

Vor allem für die IT-Sicherheit (Art. 32 DSGVO) gilt ein besonders hohes Potential für Optimierungen.

Unternehmen müssen ihre Prozesse und Datenflüsse analysieren, müssen die Kontrolle über ein- und ausgehende Daten haben. Und sie müssen diese so schützen, dass externe Angreifer keinen Weg finden, auf Daten zuzugreifen und dass Mitarbeiter keine versehentliche Datenpanne verursachen können.

Hochsensible Daten verlangen den Einsatz von „State-of-the-Art“ Software, die von Verschlüsselung, über revisionssichere Dokumentation bis zu Risikoanalysen und dem Überblick über alle Speicherorte und die Wege der Daten, alle Möglichkeiten der Sicherheit bietet und die Verantwortlichen in Unternehmen wieder ruhig schlafen lässt!