Datenschützer, IT-Security-Firmen und die EU ziehen nach einem Jahr Datenschutz-Grundverordnung Bilanz.
Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft. Ein Jahr später wird nun allenthalben eine erste Bilanz gezogen: Was hat die DSGVO für Nutzer, Konsumenten und Unternehmen verändert? In wie weit entsprechen Websites der neuen Norm? Wie viele und wie hohe Bussgelder wurden verhängt?
Die grosse Abmahnungswelle ist im ersten Jahr ausgeblieben. Die höchste Busse wurde in Frankreich ausgesprochen: Die dortigen Datenschützer belegten Google mit einem Bussgeld von 50 Millionen Euro – wegen intransparenter Verwendung von Nutzerdaten unter anderem zu Werbezwecken. Der Konzern ist in Berufung gegangen.
In Deutschland sind rund 100 Bussgelder mir einer Gesamtsumme 483'000 Euro bekannt geworden. Das höchste Bussgeld verhängte die Datenschutzbehörde in Stuttgart: 80'000 Euro musste ein Unternehmen zahlen, weil Gesundheitsdaten ins Internet gelangt waren. Meist handelt es sich um Bussen von unter 10'000 oder wenigen hundert Euro.
Zugenommen haben die Beschwerden über Verstösse gegen die neuen Datenschutzregeln. Europaweit waren es knapp 150'000, in Deutschland fast 40'000. Hamburgs Datenschützer Johannes Caspar erklärte der 'Süddeutschen Zeitung', die Aufsichtsbehörden seien überlastet, die Bürokratie drohe auszuufern und es sei schwierig, den Datenschutz innerhalb der EU grenzüberschreitend durchzusetzen.
EU sieht gestiegenes Datenschutz-Bewusstsein
Die zuständige EU-Kommission wertet es allgemein als Erfolg, dass das Thema Datenschutz durch die DSGVO an Aufmerksamkeit gewonnen hat: "Das Bewusstsein der Menschen steigt", erklärten Kommissionsvize Andrus Ansip und Justizkommissarin Vera Jourova in
einer Erklärung. "Die Datenschutz-Grundverordnung hat die Landschaft in Europa und darüber hinaus verändert. Die Einhaltung der Vorschriften ist jedoch ein dynamischer Prozess und geschieht nicht über Nacht. Unsere zentrale Priorität für die kommenden Monate ist es, für eine ordnungsgemässe und gleiche Umsetzung in den Mitgliedstaaten zu sorgen."
'Netzpolitik' holte
Statements von zwölf Datenschutzexperten und -expertinnen zur DSGVO ein. Ailidh Callander von Privacy International fordert: "Was wir jetzt brauchen, ist die proaktive Umsetzung der DSGVO durch Unternehmen. Sie müssen beispielsweise die Anforderungen von 'Datenschutz by design' und 'by default' umsetzen." Kerstin Demuth von Digitalcourage: "Entscheidend wird auch sein, dass wir (Nutzer) selber unsere Rechte in Anspruch nehmen, zum Beispiel auf Auskunft, Löschung oder Änderung unserer Daten."
Verbesserungsbedarf bei IT-Security
Die grosse Hektik, die zum Start der DSGVO ausbrach, hat sich gelegt. Diverse IT-Security-Firmen weisen in ihren Mitteilungen zu "1 Jahr DSGVO" darauf hin, dass die Sensibilität für den Umgang mit Daten gerade auch bei kleineren Unternehmen geschärft wurde, es jedoch immer noch einigen Verbesserungsbedarf gibt.
So schreibt Netwrix: "Eine positive Folge der DSGVO ist, dass Unternehmen dazu angehalten werden, ihren Umgang mit Daten zu hinterfragen. Oftmals sind Firmen hierbei Sicherheitslücken oder unsichere Praktiken aufgefallen, die ohne Vorbereitung auf die Verordnung wahrscheinlich weiterhin unentdeckt geblieben wären."
"Ein Grossteil der Datenschutzverletzungen geht auf die eine oder andere Weise auf mangelnde Security-Hygiene im Unternehmen zurück, beispielsweise auf fehlende Updates oder Patches", heisst es bei Tanium. "IT- und Sicherheits-Teams könnten deshalb das Jubiläum von DSGVO zum Anlass nehmen, die teamübergreifende Zusammenarbeit in ihrem Unternehmen zu verbessern, um im Gefahrenfall schnell reagieren zu können.“
Varonis Systems schreibt: "Die vagen Hoffnungen, dass sich durch die DSGVO die Datensicherheit nachhaltig verbessert, was ja eines der zentralen Ziele ist, haben sich bislang noch nicht erfüllt. Dennoch sind die Ergebnisse auch kein Grund, die Verordnung generell in Frage zu stellen oder zu resignieren: Wir sehen nach wie vor grosse Anstrengungen auf Seiten der Unternehmen, die Vorgaben umzusetzen."
Websites auf DSGVO-Einhaltung untersucht
Die Firma ImmuniWeb, die auf Tests und Bewertungen der Anwendungssicherheit von Web- und Mobile-Applikationen spezialisiert ist, hat die 100 meistbesuchten Websites in jedem der 28 EU-Mitgliedsstaaten einer Überprüfung unterzogen. Wie weit wird die DSGVO eingehalten?
Im gesamten EU-Durchschnitt ergab sich eine häufige Nichteinhaltung durch fehlende oder schwer erreichbare Datenschutzerklärungen (51,50 Prozent) sowie durch Tracking beziehungsweise nicht vom Nutzer zugelassenen oder unsicheren Einsatz von Cookies, die potentiell sensiblen Daten galten (78,25 Prozent). 6,75 Prozent der Nichteinhaltungen gingen auf veraltete oder angreifbare CMS oder CMS-Komponenten zurück, 5,96 Prozent auf fehlende HTTPS-Verschlüsselung oder die Verwendung des unsicheren Standards SSLv3.
Auch diese Untersuchung zeigt, dass die Umsetzung der DSGVO noch dauert und es weitere Verbesserungsmöglichkeiten beim Datenschutz und der Sicherheit von digitalen Daten gibt. Doch die Aufmerksamkeit für diese Themen ist gewachsen.
"Die meisten Europäerinnen und Europäer wissen, dass die Einhaltung der Datenschutzvorschriften von unabhängigen Datenschutzbehörden kontrolliert wird", kommentiert 'Heise' den ersten Geburtstag der DSGVO. "Kein Verantwortlicher in Wirtschaft und Staat kann sich heute noch darauf berufen, von datenschutzrechtlichen Pflichten nichts gehört zu haben." (paz)