Die DSGVO als Erfolgsgeschichte: Zwei Jahre nach dem Start der europäischen Datenschutzgrundverordnung zog die EU-Kommission ein positives Zwischenfazit. In einem Evaluierungsbericht sieht man viele Verbesserungen durch die EU-weiten Datenschutzregeln, allerdings auch noch einigen Optimierungsbedarf.
Wie in der Datenschutzgrundverordnung vorgesehen, hat die EU-Kommission zwei Jahre nach dem Wirksamwerden der Verordnung dem EU-Parlament und dem Rat jetzt einen ersten Evaluierungsbericht vorgelegt. Weitere solcher Berichte sollen künftig im Vier-Jahres-Rhythmus folgen.
EU-Kommission hat Parlament und Rat den ersten Evaluierungsbericht vorgelegt
In dem Papier stellt die EU-Kommission der DSGVO insgesamt ein gutes Zeugnis aus. Die zuständige EU-Kommissarin Vera Jourová sprach bei der Vorstellung des Berichts von einer Erfolgsgeschichte und sieht anfängliche Bedenken und Skepsis, etwa im Hinblick auf eine Überregulierung und ausufernde Bürokratie, als wiederlegt an.
Mittelweg zwischen ungezügelten Markt und Überregulierung
Mit der DSGVO gehe Europa einen Mittelweg zwischen einem weitgehend ungezügelten Markt ohne wirksame Beschränkungen wie etwa in den USA und einer massiven staatlichen Datenüberwachung wie in China.
Technologische Innovationen könnten aufgrund der europäischen Datenschutzregeln durch die Politik frühzeitig im Hinblick auf ihre Auswirkungen beurteilt werden, anstatt solche Folgenabschätzungen erst vornehmen zu können, wenn die Techniken bereits fertig entwickelt und implementiert worden seien.
Grundlagen und Schwachstellen der erfolgreichen Datenschutz-Strategie
Als einen Erfolgsfaktor der DSGVO macht der Bericht etwa die Einführung des One-Stop-Shop Mechanismus aus, durch den grenzüberschreitende Datenschutzstreitigkeiten einfacher als zuvor geregelt werden können. Allerdings sieht man in diesem Punkt auch noch einigen Verbesserungsbedarf. So sollten die nationalen Aufsichtsbehörden noch enger als bisher zusammenarbeiten und vor allem müssten die Staaten ihre Datenschutzbehörden mit den notwendigen finanziellen und personellen Ressourcen ausstatten, um ihre Aufgaben bewältigen zu können.
Zwar habe es in den letzten Jahren bereits deutlich Steigerungen gegeben, so wuchsen etwa im EU-Durchschnitt zwischen 2016 und 2019 die Personalkapazitäten der nationalen Datenschutzbehörden um 42 Prozent, die Budgets sogar um 49 Prozent, doch gebe es nach wie vor erhebliche Unterschiede zwischen den Mitgliedsstaaten. Insbesondere in Ländern wie Luxemburg und Irland, wo viele der internationalen IT-Konzerne ihre europäischen Firmensitze haben, werden nochmals deutlich größere Ressourcen benötigt, um die Kontrollpflichten erfüllen zu können.
Wie gelang die nationale Umsetzung der DSGVO?
Ebenfalls positiv fällt das Fazit im Hinblick auf die Übernahme der DSGVO-Regelungen in die nationalen Gesetze der EU-Mitgliedsstaaten auf. Hier hätten sich trotz der in der DSGVO enthaltenen Öffnungsklauseln, die eine Präzisierung der Regeln sowie die Option zur Beibehaltung nationaler Regelungen in einigen Bereichen enthalten, keine größeren Probleme ergeben. Alle EU-Staaten bis auf Slowenien seien ihren Pflichten vollständig nachgekommen.
Gewachsene Sensibilität für Datenschutz
Durch die Einführung der DSGVO sei die Datenschutzproblematik zudem verstärkt in das Bewusstsein der EU-Bürger gerückt. Nach einer Umfrage haben mittlerweile knapp 70 Prozent der EU Bevölkerung (über 16 Jahre) von der DSGVO zumindest schon einmal gehört, 71 Prozent kennen immerhin ihre jeweiligen nationalen Datenschutzbehörden. Zudem machen die Bürger zunehmend von ihren Rechten Gebrauch.
Auch außerhalb der EU hat die DSGVO Spuren hinterlassen und diente mittlerweile etwa bei vielen Staaten als Vorbild für eigene Datenschutzregelungen.
Verbliebene Datenschutz-Problemfelder
In dem Bericht wird allerdings auch anerkannt, dass die DSGVO insbesondere für kleinere und mittlere Unternehmen eine besondere Herausforderung mit sich bringe. Allerdings hält es die Kommission für nicht angebracht, Ausnahmen allein aufgrund der Betriebsgröße zu ermöglichen. Stattdessen sollten die nationalen Datenschutzbehörden diesen Unternehmen bzw. sonstigen Organisationen weitergehende Hilfestellungen anbieten und zusätzliche unterstützende Maßnahmen umsetzen.
Handlungsbedarf bei länderübergreifender Zusammenarbeit
Ebenso sieht der Bericht noch weiteren Handlungsbedarf bei der länderübergreifenden Zusammenarbeit. So will die EU-Kommission etwa eine europäische Datenschutzakademie aufbauen, mit der eine neue Plattform für den Informationsaustausch zwischen europäischen und internationalen Regulierungsbehörden geschaffen werden soll.
Weitere News zum Thema:
EuGH erklärt Privacy Shield für ungültig – DSGVO zu beachten
Datenschutz in Zeiten von Corona Covid 19
Umsetzung des DSGVO-Vorgaben in hiesigen Unternehmen
Hintergrund: 5 Kriterien für die Höhe der DSGVO-Bußgelder
Die Unternehmensbußgelder werden nach dem Konzept der Datenschutzbehörden anhand mehrerer Kriterien in einem fünfstufigen Prozess ermittelt:
- Zunächst wird das Unternehmen einer Größenklasse zugeordnet, wobei es vier verschiedene dieser Klassen (Kleinstunternehmen, kleine und mittlere Unternehmen sowie Großunternehmen) gibt.
- Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt.
- Anschließend wird ein wirtschaftlicher Grundwert ermittelt, der einer Art Tagessatz entspricht.
- Dieser Grundwert wird im vierten Schritt mit einem Faktor multipliziert, der die Schwere des Tatbestands wiederspiegelt. Die Faktoren reichen von 1-2 für leichte, formelle Verstöße (nach Art. 83 Abs. 4 DSGVO) bis zu 12 oder höher bei sehr schweren, materiellen Verstößen (nach Art. 83 Abs. 5, 6 DSGVO).
- Abschließend wird der so ermittelte Wert anhand weiterer täterbezogener oder sonst noch nicht berücksichtigter Umstände angepasst. Hiermit soll etwa verhindert werden, dass ein Unternehmen durch ein hohes Bußgeld zahlungsunfähig wird.
Weitere Details zu den Berechnungsvorgaben finden Sie im Konzept der Datenschutzbehörden.