DSGVO: Jubiläum der Milliarden-Verordnung

Sind wir gut vorbereitet? Haben wir an alles gedacht? Was passiert, wenn die erste Klageandrohung im Postfach liegt? Vor zwei Jahren, in der Nacht vom 24. auf den 25. Mai, haben viele Website-Betreiber wachgelegen und sind diese Fragen zum hundertsten Mal im Kopf durchgegangen. Auch hierzulande, im Nicht-EU-Land Schweiz.

Damals trat die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft und verschärfte die Gesetzgebung beim Schutz von Personendaten massiv. Strenger wurde dadurch zwar nicht unbedingt der Gesetzestext selbst, sondern vor allem die Folgen bei Zuwiderhandlung: Im Raum standen Strafzahlungen von bis zu 20 Millionen Euro oder vier Prozent des globalen Jahresumsatzes der betroffenen Firmen.

Plötzlich Datenschutz in ganz Europa

Anders als die zuvor gültige «Richtlinie 95/46/EG» musste die DSGVO damals nicht erst von den EU-Mitgliedsstaaten in nationales Recht gegossen werden. Sie galt unmittelbar und überall – von Belgien über Litauen bis Zypern. Und sorgte praktisch überall für Bauchweh. Teils zurecht, weil manche Länder bis dato tatsächlich praktisch keinen Datenschutz kannten. «Teils aber völlig unbegründet», sagte im Nachhinein der damalige Grünen-Europaabgeordnete und geistige Vater des Gesetzes, Jan-Philipp Albrecht aus Deutschland. «Die DSGVO ist schliesslich fast eine Kopie des deutschen Bundesdatenschutzgesetzes, dessen Passagen fast komplett in die gesamteuropäische Verordnung übernommen wurden», so Albrecht.

Whitepaper jetzt kostenlos herunterladen!

Was macht eine qualitativ hochwertige Adressliste aus und warum ist diese für Newsletter so wichtig? Ausserdem: Wie die Datenbank regelmässig Zuwachs bekommt, ohne die DSGVO zu verletzen.

Laden Sie jetzt unser kostenloses Whitepaper herunter.

 Weil insbesondere amerikanische D̶a̶t̶e̶n̶s̶a̶m̶m̶l̶e̶r̶ Internetkonzerne nach dem 25. Mai 2018 ihre Firmensitze nicht mehr in weniger regulierte Staaten verlegen konnten, opponierten und lobbyierten sie fast fünf Jahre lang vehement dagegen. Auf der unter anderem von der Organisation «Open Data City» betriebenen Website LobbyPlag wurden Abgeordnete aufgelistet, die Dokumente von Amazon, Ebay, Facebook oder Google wörtlich in ihre Argumentation übernommen haben.

Irland ist ein Paradies für Datensammler

Ob diese Öffentlichkeit schlussendlich dazu führte, dass die DSGVO nicht im Sinne von Zuckerberg und Co. umgesetzt wurde, ist nicht bekannt. Ein Schlupfloch haben die Konzerne trotzdem gefunden: die Verantwortlichkeiten für die Kontrollen. Für die Prüfung (ob die DSGVO eingehalten wird) sowie die Festlegung der Höhe der Bussen sind die Datenschutzbeauftragten der EU-Mitgliedsstaaten zuständig. Zwar dürfen sich Bürger*innen in jedem Land an die Datenschutzbehörde wenden, egal an welchem Ort die Rechtsverletzung geschehen ist. Fakt ist jedoch, dass trotz dieses sogenannten One-Stop-Shop-Verfahrens das Land zusätzlich involviert wird, in dem das entsprechende Unternehmen seinen Hauptsitz hat.

Es ist also kein Zufall, dass alle relevanten US-Konzerne ihren Europasitz nach Dublin verlegten oder gleich dabehielten – steuergünstig war die grüne Insel schon vorher. Die irische Datenschutzbehörde ist chronisch unterbesetzt und kommt mit den Kontrollen nicht hinterher. Vergangenes Jahr kümmern sich 137 Mitarbeitende um 6624 Beschwerden, 5818 Meldungen von Datenschutzverletzungen, 48'000 Anfragen und 54 eröffnete Untersuchungen (Quelle). Für das aktuelle Jahr hat die irische Regierung ihrer Behörde das Budget um «nur» 1.6 Millionen Euro – beantragt gewesen wären deren 6 – auf insgesamt 16,9 Millionen Euro erhöht. Kritiker unterstellen Irland Befangenheit. So wehrte sich der ehemaliger Finanzminister lange gegen eine Steuerrückzahlung von Apple in Höhe von 13 Milliarden Dollar. «Man habe Apple nicht bevorzugt», beteuerte Michael Noonan in der entsprechenden Beschwerde beim Europäischen Gerichtshof.

DSGVO bringt Bürokratie statt effektivem Datenschutz

Gebracht hat die Einführung der Datenschutz-Grundverordnung rückblickend gesehen nicht viel. Schon vor einem Jahr bilanzierte unser Kunde und Datenschutzexperte Martin Steiger in der Netzwoche: «Bislang brachte die DSGVO nicht in erster Linie den betroffenen Personen mehr Datenschutz, sondern vor allem mehr Bürokratie für alle, die Personendaten bearbeiten.» Eine aktuelle Studie bestätigt das: Die ständig wiederkehrende Aufforderung, Website-Cookies zuzustimmen oder abzulehnen, beeinträchtige demnach für die meisten User das Surfen im Netz und führe sogar zu einem lascheren Umgang mit den eigenen Daten.

Dennoch war die Einführung der DSGVO kein Papiertiger – sie wirkte durchaus in manchen Fällen: Exemplarisch dafür die Busse in Höhe von 50 Millionen Euro, zu der Google von der französischen Datenschutzbehörde verdonnert worden ist. Nach Auslegung der zuvor gültigen Richtlinie hätte der Konzern bloss 150'000 Euro Strafe zahlen müssen. Das höchste Bussgeld indes war das nicht. Dieses wurde im Juli 2019 British Airways in Höhe von über 200 Millionen Euro verordnet, wobei das Rechtsverfahren aktuell immer noch läuft. Nichtsdestotrotz: Die ausgesprochenen Bussgelder summieren sich bei 240 geahndeten Verstössen auf 467’697’668 Millionen Euro. Die durch die DSGVO insgesamt verursachten Kosten dürften aber insgesamt bei einem Vielfachen davon liegen.

Schweiz übernimmt grosse Teile aus der DSGVO

Vergleichbare Bussen wurden in der Schweiz noch nicht ausgesprochen. Das liegt unter anderem auch daran, dass betroffene Personen hierzulande selbst Klage erheben müssen. Darüber hinaus gilt hier im Gegensatz zur EU für die Bearbeitung von Daten kein «Verbot mit Erlaubnisvorbehalt», sondern eine «Erlaubnis mit Verbotsvorbehalt». Heisst: Was nicht verboten ist, ist erlaubt. An dieser Prämisse soll bei der laufenden Revision des Datenschutzgesetzes, das nächstes Jahr in Kraft treten könnte, festgehalten werden.

Die EU-Kommission kommt der Schweiz allerdings zuvor: Sie prüft schon diesen Sommer, ob der Schweizer Datenschutz die DSGVO-Anforderungen erfüllt. Tut es das nicht, steigt der bürokratische Aufwand besonders für kleine Unternehmen massiv an, weil bei jedem Geschäftsabschluss vertraglich zusichert und bewiesen werden muss, dass die Datenschutzstandards der EU eingehalten werden. Relevant ist dies allerdings nicht nur deswegen. Die Schweiz zählt auch zu Europas grossen Datenspeicherern. Sie ist das Land mit den zweitmeisten Datacenters pro Kopf in Europa – gleich hinter, na wem wohl?, Irland natürlich.

Gut gemeint ist nicht gut gemacht

Ausser Spesen nix gewesen? Das nun nicht gerade. Die Gesetzgeber zielten wohl tatsächlich in erster Linie auf die grossen US-Konzerne. Getroffen haben sie vor allem aber viele Kleinunternehmen, die für ihre Verhältnisse grosse IT-Projekte stemmen mussten. Und jeden Montag klicken seitdem hunderte von Millionen von EU-Bürger*innen vermutlich Milliarden von Cookie-Akzeptanzerklärungen reflexartig weg, ohne sich vertieft Gedanken über den Schutz der eigenen Daten zu machen.

Gut gemeint ist eben doch noch lange nicht gut gemacht.

Tipp: Monatlicher Newsletter zum Thema Datenschutz

Unser Kunde Datenschutzpartner publiziert einmal monatlich einen interessanten Newsletter rund ums Thema Datenschutz.

Hier geht's zur Anmeldung.