In Anbetracht der unterschiedlichen Umsetzungen der vormaligen nationalen Datenschutzrichtlinien hatte sich die Europäische Union dazu verpflichtet gesehen, einen EU-weit gleichartigen Schutz bei der Verarbeitung personenbezogener Daten zu etablieren. Obwohl für deutsche Unternehmen bereits mit dem alten Bundesdatenschutzgesetz ein entsprechendes Rechtsinstrument und auch die damit verbundenen Pflichten existierten, schuf bei vielen Unternehmen erst die DSGVO das Bewusstsein für diese Thematik – womöglich auch befördert durch die deutlich höheren Bußgeldmöglichkeiten der Datenschutzbehörden.
Was haben die letzten drei Jahre beim Datenschutz verändert?
Rückblickend zeigt sich, dass tatsächlich vielfach Bußgelder in Millionenhöhe verhängt worden sind. Gleichzeitig bemühen sich viele verantwortliche Stellen ernsthaft, die Umsetzung der DSGVO vollumfänglich zu vollziehen. Daneben entwickeln sich aber auch immer neue Herausforderungen. Ein Beispiel hierfür war das höchstrichterlich herbeigeführte Ende des Angemessenheitsbeschlusses zur Datenübermittlung in die USA – dem sogenannten „Privacy Shield“ – als Nachfolger des ehemaligen „Safe Harbour“ Abkommens. Damit einher ging eine erneute Rechtsunsicherheit für alle Verantwortlichen, die eigentlich durch die DSGVO verhindert werden sollte. Ein Vorschlag zur praktischen Umsetzung dieser Entscheidung wurde weder vom Gericht noch von den zuständigen Aufsichtsbehörden zeitnah erbracht, obwohl der Ausgang des Verfahrens weitgehend erahnt werden konnte. Das Fehlen an Praxistauglichkeit lässt aber nicht nur die Verantwortlichen im Regen stehen, sondern eben auch den Betroffenen. Eine Datenübermittlung in ein technologiebestimmendes Drittland von heute auf morgen zu untersagen, ohne echte Alternativen aufzuzeigen, wird sie in der Realität nicht unterbinden können – insbesondere im Bereich der KMU. Hier hat sich bereits gezeigt, dass Verantwortliche bei der Umsetzung datenschutzrechtlicher Rechtsprechung schnell an Ihre Grenzen stoßen.
Es kann jedoch als echter Erfolg der DSGVO verbucht werden, dass insbesondere erste große, weltweit agierende Auftragsverarbeiter es ihren Kunden ermöglichen, Datenverarbeitungen auf den Europäischen Raum beschränken zu können. Als Beispiel seien an dieser Stelle Microsoft und Amazon genannt, die inzwischen weitgehend die technischen Voraussetzungen geschaffen haben, Daten in ihren Cloud-Lösungen zu verarbeiten, ohne dass diese dabei die EU verlassen.
Es lässt sich feststellen, dass das Datenschutzrecht mittlerweile als fester Bestandteil der Unternehmens-Compliance wahrgenommen wird. Und damit einher geht eine Anerkennung der Rechte der Betroffenen. Rückblickend ist das sehr positiv – es sollte schließlich nicht vergessen werden, dass seit dem Volkszählungsurteil aus dem Jahre 1983 Datenschutz als Grundrecht festgestellt ist. Gleichzeitig wurde die Rechtsprechung aber im Laufe der Jahrzehnte durch neue Technologien und nationale Einzelinteressen überholt, was letztlich die Einführung der DSGVO notwendig und unumgänglich machte.
Ist Datenschutz die Mühe wert?
Zweifellos gibt es gute Gründe, die Art und Weise der Umsetzung einiger Maßgaben der DSGVO als praxisfern und bürokratisch zu bezeichnen, ohne sie wäre eine informationelle Selbstbestimmung des Einzelnen aber schlicht unmöglich. Die beschleunigte Digitalisierung erleichtert Privatunternehmen den Zugriff auf personenbezogene Daten, öffentliche Interessen konkurrieren mit dem Schutz der Privatsphäre – gerade in der Pandemie wird dieses Dilemma offenbar. Die DSGVO liefert den Rahmen für staatliches Handeln und die Mittel zu verhindern, dass personenbezogene Daten vom geschützten Gut zur Handelsware werden.