Als die DSGVO 2018 in Kraft trat, wurde sie als Wende hin zu einer strengeren Rechtsdurchsetzung gefeiert. Doch wie sieht es in der Praxis aus? Anlässlich des diesjährigen Datenschutztages am 28. Januar hat noyb eine Umfrage mit mehr als 1.000 Datenschutzexpert:innen durchgeführt, die einen Einblick in die inneren Abläufe von Unternehmen ermöglicht: 74% der Befragten glauben demnach, dass die Behörden mit Sicherheit “relevante Verstöße” finden würden, wenn sie ein durchschnittliches Unternehmen vor Ort kontrollieren würden. Die Umfrage zeigt außerdem, dass die Behörden ihren Ansatz zur Rechtsdurchsetzung grundlegend ändern müssten, um Unternehmen effektiv zur Einhaltung des Gesetzes zu bewegen.
Strikte Durchsetzung als leeres Versprechen. Als die Datenschutzgrundverordnung (DSGVO) im Mai 2018 in Kraft trat, versprach sie einen Wandel hin zu einer konsequenten Durchsetzung des geltenden Rechts. Um dieses Ziel zu erreichen, erteilte die EU-Politik den Behörden umfangreiche Ermittlungsbefugnisse und die Möglichkeit zur Verhängung hoher Geldstrafen. Laut einer aktuellen noyb-Umfrage unter Datenschutzexpert:innen aus ganz Europa glauben die meisten Befragten, dass die DSGVO den Umgang mit persönlichen Daten “erheblich verbessert” hat. Gleichzeitig gaben allerdings 74% der Teilnehmenden an, dass die Behörden bei einer Vor-Ort-Untersuchung eines durchschnittlichen Unternehmens mit Sicherheit “relevante Verstöße” feststellen würde.
Max Schrems, Vorstandsvorsitzender von noyb: “Es ist alarmierend, wenn 74% der unternehmensinternen Datenschutzexperten sagen, dass die Behörden bei Unternehmen erhebliche Verstöße feststellen würden. Solche Zahlen wären unvorstellbar, ginge es um die Einhaltung des Steuerrechts oder Brandschutzvorschriften. Die Nichteinhaltung scheint nur dann die Norm zu sein, wenn es um personenbezogene Daten geht.”
Objektive Insiderdaten zur Einhaltung der DSGVO. Um einen möglichst umfassenden Einblick in die praktische Anwendung der DSGVO zu erhalten, wurden in der noyb-Umfrage 65 Fragen gestellt, die eine Reihe von Themen in unterschiedlichen Bereichen der Rechtsdurchsetzung und Compliance abdecken. Dadurch konnten wir objektive Daten zu internen als auch externen Faktoren sammeln, die Datenschutzbeauftragte in ihren Arbeit beeinflussen bzw. Unternehmen zu mehr Compliance motivieren. Die Ergebnisse dieser Umfragen können Behörden helfen, funktionierende Strategien zu entwickeln und Datenschutzbeauftragten die Arbeit zu erleichtern.
Im Konflikt mit Marketing, Management und Co. Unsere Umfrage zeigt, dass Datenschutzbeauftragte unter Druck stehen, die Einhaltung der DSGVO im Sinne der Geschäftsinteressen einzuschränken: 46% der Befragten gaben an, dass Marketing und Sales aktiv zur Einschränkung der Compliance drängen, während sich 32% von der Geschäftsleitung unter Druck gesetzt fühlen. Wie zu erwarten war, ist es auch besonders schwierig, diese Akteure von notwendigen Änderungen zu überzeugen. 51% gaben außerdem an, dass Lieferanten aus Nicht-EU-/EWR-Ländern schwierig zu überzeugen sind.
Max Schrems: “Datenschutzbeauftragte müssen unabhängig sein und unternehmensintern für die Einhaltung der Gesetze sorgen. In der Realität erzählen jedoch viele, dass sie unter Druck gesetzt werden, den geschäftlichen Interessen Vorrang zu lassen.”
Evidenzbasierte Rechtsdurchsetzung. Der offensichtliche Mangel an klaren Durchsetzungsmaßnahmen seitens der Behörden erschwert die Situation zusätzlich. Unsere Umfrage hat ergeben, dass Unternehmen am ehesten an der Einhaltung von Vorschriften arbeiten, wenn sie (oder auch andere Firmen) mit erheblichen Geldstrafen konfrontiert sind. 67,4% der Befragten geben an, dass Entscheidungen der Datenschutzbehörde, die ihr eigenes Unternehmen betreffen und eine Geldstrafe beinhalten zu mehr Compliance führen. 61,5% der Befragten geben sogar an, dass selbst Bußgelder gegen andere Organisationen Einfluss auf das eigene Unternehmen haben. Das nächstbeste Instrument scheint die Veröffentlichung von Entscheidungen zu sein: 52% geben an, dass sich bereits der Reputationsverlust eines anderen Unternehmens positiv auf die eigene Compliance auswirkt.
EDSA-Leitlinien oder Einstellung von Verfahren wenig relevant. Obwohl die Behörden erhebliche Anstrengungen, Zeit und Ressourcen in die Bereitstellung von Leitlinien investieren, scheinen Unternehmen diese weitgehend zu ignorieren. 46% der Befragten geben an, dass EDSA-Leitlinien nicht einflussreich sind, während nur 23% sie für etwas einflussreich halten. Auch direkte Beschwerden bei Unternehmen werden als nicht sehr einflussreich eingestuft. Trotz all dieser Hinweise auf die Notwendigkeit einer strengeren Durchsetzung findet man passende Maßnahmen in der Praxis nur selten. Das sieht man auch anhand von noybs eigener Arbeit: Die meisten unserer mehr als 800 Fälle sind seit mehr als zwei Jahren anhängig – und unsere gewonnenen Fällen beinhalten nur eine Handvoll Geldstrafen. Die meisten Verfahren werden informell beendet.
Max Schrems: “Die europäischen Behörden haben in den letzten Jahren zahlreiche Leitlinien produziert. Viele Behörden führen auch langwierige informelle Gespräche und schließen die Verfahren dann ohne weitere Maßnahmen ab. Gemessen an unseren Umfrageergebnissen scheint das nicht die beste Verwendung von Steuergeldern zu sein.”
Einschätzung der Insider noch immer positiver als Erfahrung der Nutzer:innen. Obwohl bereits die Einschätzung der Teilnehmenden alarmierend ist, scheint sie immer noch optimistischer zu sein als die durchschnittliche Erfahrung betroffener Personen erlauben würde. noyb selbst hat zum Beispiel die Erfahrung gemacht, dass 90% der Auskunftsersuchen entweder nicht rechtzeitig oder gar nicht beantwortet werden. Die meisten Anfragen wurden jedoch einfach ignoriert. Im Gegensatz dazu glauben 59% der Befragten, dass die meisten Unternehmen die Grundsatzvorschriften der DSGVO “größtenteils” einhalten würden.
Der einzige Ausweg: Evidenzbasierte Rechtsdurchsetzung. Glaubt man den Teilnehmenden unserer Umfrage, so liegt die einzig realistische Lösung des Problems in einer strengeren Rechtsdurchsetzung und einer Zunahme von klaren Behörden- und Gerichtsentscheidungen. Eine vollständige, detaillierte Liste der vorgeschlagenen Maßnahmen ist in unserer Studie zu finden. Die Umfrageergebnisse zeigen außerdem auf, dass dringend weitere Daten gesammelt werden müssen, um eine wirksame Arbeit der Behörden zu garantieren Die von noyb gesammelten Daten sind ein hervorragender Ausgangspunkt hierfür. Auch noyb selbst wird sich weiterhin mit dieser Thematik beschäftigen.