5 Jahre RODO: 5 Erfolge und 5 Misserfolge

Seit dem Inkrafttreten der EU-Datenschutzgrundverordnung sind fünf Jahre vergangen. Zeit, Bilanz zu ziehen. Was hat sich bewährt und was könnte verbessert werden? Lesen Sie unsere kurze Zusammenfassung der Erfolge und Misserfolge von DSGVO.

Was hat sich bewährt?

• Stärkeres Datenschutz-Bewusstsein: Die für die Verarbeitung Verantwortlichen und die Verarbeiter personenbezogener Daten sind sich ihrer Verpflichtungen aus der DSGVO stärker bewusst. Die betroffenen Personen wissen heute mehr über ihre eigenen Rechte im Zusammenhang mit der Datenverarbeitung.
• Eine gemeinsame Regelung für die gesamte EU: Stellungnahmen des Europäischen Datenschutzausschusses und Urteile des EuGH klären die verschiedenen Begriffe und Verpflichtungen im Rahmen der DSGVO. Es ist möglich, dass die DSGVO in Zukunft in der gesamten EU einheitlich angewandt wird.
• Größere Transparenz für die Betroffenen: Das Transparenzprinzip ermöglicht den Betroffenen, besser darüber informiert zu sein, wie ihre personenbezogenen Daten verwendet werden.
• Auskunftsrecht: Die DSGVO sieht einen breiten Umfang von Datenzugangsrechten vor, darunter das Recht auf eine kostenlose Kopie der Daten. Das Auskunftsrecht erleichtert die Ausübung sonstiger Rechte der Betroffenen und stärkt ihre Position gegenüber den für die Verarbeitung Verantwortlichen.
• Breiter territorialer Geltungsbereich der DSGVO: Die DSGVO gilt auch für Einrichtungen, die keine Organisationseinheiten in der EU haben, aber personenbezogene Daten von Europäern verarbeiten. Dadurch wird sichergestellt, dass die Einrichtungen außerhalb der EU die Anforderungen der DSGVO erfüllen und die Sicherheit personenbezogener Daten mindestens auf demselben Niveau wie die für die Verarbeitung Verantwortlichen in der EU gewährleistet ist.

Woran ist noch zu arbeiten?

• Überlange Verfahren der Datenschutzbehörden und der Verwaltungsgerichte: Personen, die sich über die unrechtmäßige Verarbeitung ihrer Daten beschweren, und die Betroffenen müssen lange auf die Entscheidung dieser Fälle warten.
• Unsicherheit bei globalen Datenübertragungen: Insbesondere im Hinblick auf die Datenübermittlung in die Vereinigten Staaten nach dem „Schrems“-Urteil des EuGH. Dies führt zu einem Chaos bei der Nutzung von Marketing-Tools oder Cloud-Lösungen, bei denen die Daten außerhalb der EU übermittelt werden.
• Wenig Nutzen aus Zertifizierungsmechanismen und Verhaltenskodizes: Es gibt nur einen genehmigten EU-Zertifizierungsmechanismus, während in Polen nur ein Verhaltenskodex genehmigt wurde. Es fehlen also Instrumente, die es den kleinen und mittleren Unternehmen erleichtern sollten, ihren Verpflichtungen aus der DSGVO nachzukommen und die Einhaltung der DSGVO nachzuweisen.
• Mangelndes Verständnis des risikobasierten Ansatzes durch einige für die Verarbeitung Verantwortliche oder Auftragsverarbeiter: Die Anwendung von DSGVO erfordert einen dynamischen und flexiblen Ansatz für die durch die Verordnung auferlegten Verpflichtungen (z. B. Risikobewertung oder Überprüfung des Auftragsverarbeiters). Mangelndes Verständnis führt zu geringem oder fehlendem Datenschutz aufgrund veralteter Sicherheitsvorkehrungen, die von für die Verarbeitung Verantwortlichen oder Datenverarbeitern angewendet werden.
• Nichtumsetzung der vorherigen Konsultationen als Plattform für die Zusammenarbeit zwischen den für die Verarbeitung Verantwortlichen und der Aufsichtsbehörde: die vorherigen Konsultationen sollten eine Plattform zur Erleichterung der Zusammenarbeit zwischen dem für die Verarbeitung Verantwortlichen, der sich mit der komplexen Datenverarbeitung befasst, und der Aufsichtsbehörde sein. In der Praxis finden solche Konsultationen nur selten statt, so dass die für die Verarbeitung Verantwortlichen keine praktische Unterstützung durch eine Behörde erhalten, wenn es darum geht, die Einhaltung der DSGVO zu gewährleisten.