Matrix Technology AG
Finsurance Blog > Zwei Jahre DSGVO – Ein Resümee

Zwei Jahre DSGVO – Ein Resümee

Wolfgang Mokosch

Wolfgang Mokosch

Senior IT-Consultant & interne Revision

Wolfgang Mokosch beschäftigt sich seit mehr als zwei Jahrzehnten mit unterschiedlichen Aspekten aus den Themengebieten IT-Sicherheit und Risk Management. Seine Kernkompetenzen liegen in den Bereichen Sicherheitskonzepte, Sicherheitsmanagement und Datenschutz.

Alle Beiträge des Autors

Am 25. Mai 2020 jährt sich das Inkrafttreten der EU – Datenschutzgrundverordnung (DSGVO) zum zweiten Mal. Grund genug, an diesem zweiten Geburtstag eine Bilanz zu ziehen.

Da eine Bilanz auch immer im Auge des Betrachters liegt, greife ich bei meinem Resümee auf die offiziellen Erkenntnisse der zuständigen Behörde zurück und vergleiche diese mit den Erfahrungen, die wir im Beratungsumfeld der matrix gemacht haben. Alle im folgenden verwendeten Zahlen und Grafiken sind dem Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht (LDA) für das Jahr 2019 entnommen.

Und mit der Jahreszahl 2019 beginnt schon einmal die erste Schwierigkeit meiner „Jubiläumsanalyse“. Im Januar 2019 war die DSGVO zwar schon ein halbes Jahr alt, aber die Bußgeldverfahren wurden im kompletten Jahr 2019 noch weitestgehend nach dem alten Bundesdatenschutzgesetz abgehandelt. Für den gesamten Berichtszeitraum meldet das bayerische LDA gerade einmal einen einzigen verhängten Bußgeldbescheid nach EU DSGVO. Damit verlieren die Zahlen, dass insgesamt ca. 100 Bußgelder im Gesamtvolumen von 483.500 Euro verhängt wurden, ihre Aussagekraft bezüglich der EU DSGVO. Denn ein durchschnittliches Bußgeld von ca. 5.000 Euro erscheint noch ziemlich weit weg zu sein von den nach DSGVO möglichen theoretischen Bußgeldern in Höhe von 4 % des Jahresumsatzes eines Unternehmens. Erst mit dem Tätigkeitsbericht des Jahres 2020 werden wir hier mehr wissen.

Interessant sind aber die veröffentlichten Beschwerden und Beratungen pro Jahr:

DSGVO-Beschwerden und Kontrollanregungen pro Jahr

Die obenstehende Grafik zeigt, dass das Thema Datenschutz insgesamt in der Bevölkerung viel stärker wahrgenommen wird als noch vor 2017. Dies hat aber aus meiner Sicht nicht nur etwas mit der neuen Gesetzgebung zu tun, sondern ist vielmehr der Tatsache zu verdanken, dass durch die öffentliche Berichterstattung über Whistleblower und staatliche Abhöraktionen der Datenschutz in den Medien zunehmend präsenter wurde.

Auch mag der Anstieg der Zahlen im Vorfeld des Inkrafttretens der DSGVO etwas damit zu tun haben, dass der ein oder andere „seriöse Berater“ seine Dienste anbot, um Unternehmen vor der zu erwartenden Abmahnindustrie zu schützen. Bestes Beispiel dafür ist der Reifenhändler meines Vertrauens. Diesem familiengeführten Zwei-Mann-Betrieb wurde doch tatsächlich ein DSGVO konformer Wartungsvertrag (!) für seine Website angeboten, auf der er Kunden darauf hinweist, dass er existiert.

Auch die Grafik über die erfolgten Beratungen pro Jahr erscheint schlüssig:

dshvo_beratungen-pro-jahr

Corona führt zu einem erhöhten Beratungsaufkommen in puncto Datenschutz

Um das Datum des Inkrafttretens der DSGVO stieg das Beratungsvolumen für das LDA sprunghaft an, um dann aber wieder genauso schnell abzuflachen.

Dies deckt sich auch mit unserer matrix Beratungspraxis. Hatten wir vor Mai 2018 noch einige Datenschutzberatungen, ist die Nachfrage nach diesem Produkt ab Mitte 2018 nahezu komplett eingebrochen. Erst Corona hat dieses Thema wieder präsenter gemacht. Viele Unternehmen, die sich im Zuge der Pandemie mit Arbeiten von Zuhause und den dafür benötigten Collaboration – Lösungen beschäftigen, sind nun gesetzlich verpflichtet, sich mit der Datenschutzfrage im Zusammenhang mit diesen technischen Lösungen zu beschäftigen.

Dabei werde ich immer wieder mit der Frage konfrontiert: „Ist dieses Produkt DSGVO – konform?“

Darauf kann ich nur immer wieder pauschal antworten, dass in einem ersten Schritt geprüft werden muss, ob mit diesem Produkt DSGVO konform gearbeitet werden kann. Dies ist Voraussetzung dafür, dass das Produkt in einem zweiten Schritt überhaupt DSGVO konform konfiguriert werden kann. Und – last but not least – muss sichergestellt werden, dass die Endnutzer auch datenschutzkonform arbeiten.

Um bei einer solch nicht trivialen Aufgabe beratend tätig sein zu können, muss der Berater zunächst einmal verstehen, wofür der Kunde das Produkt einsetzen möchte. Daraus werden die Anforderungen aus dem Datenschutz abgeleitet. In einem nächsten Schritt analysiert der Berater das Produkt und legt den Leistungsschnitt zwischen Nutzer und Produktanbieter fest. Alle Teilaspekte, die durch den Nutzer festgelegt werden, müssen klar von den Anteilen des Anbieters getrennt werden.

Bei Produkten wie beispielsweise Microsoft 365 können die Datenschutzanforderungen natürlich nicht vollumfänglich auf den einzelnen Nutzer heruntergebrochen werden. Da aber Microsoft als Produktanbieter die Konfiguration des Produkts dem jeweiligen Kunden überlasst, muss dieser Sorge dafür tragen, dass Datenschutzanforderungen über Group Policies implementiert werden und nicht jeder einzelne Endnutzer dafür verantwortlich ist.

Ich bin sicher, dass wir diese Entwicklung, wie wir sie aktuell bei der matrix beobachten, in der Anfragenstatistik des LDA für das Jahr 2020 ablesen werden können. Man könnte es auch auf einfachen Nenner bringen: Corona hat dem Datenschutz zu einer Renaissance verholfen!