DSGVO

Gerade hat die DSGVO ihr einjähriges Jubiläum gefeiert. Aus diesem Anlass hat AT Internet einen umfassenden Leitfaden erstellt, wie Sie sicherstellen können, dass Ihre Digital Analytics zu 100% mit der Verordnung übereinstimmt. Begleitend zu diesem Leitfaden haben wir eine Blog-Serie und ein DSGVO-Quiz vorbereitet, um Sie auf den neuesten Stand zu bringen!

Im ersten Blogartikel waten wir durch die Flut von spöttischen Artikeln darüber, warum die Verordnung bisher unwirksam war, als es darum ging sich um Probleme beim Datenschutz zu kümmern. Sind diese Vorwürfe berechtigt oder ist es nach 12 Monaten noch zu früh ein so komplexes und ambitioniertes Projekt zu kritisieren?


Hier sind die Top 12 Kritikpunkte an die DSGVO – und das Plädoyer  der Verteidigung ✔️für die Verordnung …

1. ❌ Es herrschte totales Chaos, als die DSGVO startete. 206.326 Verletzungen wurden gemeldet kaum dass ein paar Monate vergangen waren.

 

✔️ Obwohl es nach der Einführung der DSGVO eine große Zahl an gemeldeten Fälle gab, konnten viele schnell gelöst werden. Von den rund 200.000 Verstößen in den ersten neun Monaten der Verordnung wurden rund 65.000 auf Basis eines Datenverletzungsberichts eines Data Controllers initiiert. Von den 95.000 Beschwerden waren bereits rund 52 Prozent abgeschlossen und nur 1% betrafen nationale Gerichte.

 

2. ❌ Für den Verbraucher hat die Verordnung nur zu einer endlosen Flut an nie endenden Privacy-Pop-Up-Nachrichten geführt, die niemand wirklich liest. Dies hat zu einer gewissen Ermüdung bei der Einverständniserklärung geführt und wenig oder gar nichts dazu beigetragen, das Verständnis der Menschen für ihren Datenschutz zu verbessern.

 

✔️ Die Umsetzung des DSGVO hat aber in der Tat bei Verbrauchern das Bewusstsein zu Fragen der Privatsphäre deutlich erhöht. Nach dem Cambridge-Analytica-Skandal hat eine Umfrage in Großbritannien ergeben, dass 72% der Personen bereits vor dem 25..Mai 2018 ihre Zustimmungseinstellungen geändert hatten und planten in Zukunft weniger Daten mit anderen zu teilen.

 

3. ❌ Die DSGVO wälzt zu viel Verantwortung auf Einzelne ab, die ein begrenztes Verständnis für die Komplexität der Verordnung haben.

 

✔️ Nach den Ergebnissen von Eurobarometer vom März 2019 in einem Artikel des Europäischen Datenschutzausschusses (EPDB) bestätigt die Zunahme von Anfragen und Beschwerden ein wachsendes Verständnis der Menschen was die Datenschutzrechte anbelangt – 67% der befragten EU-Bürger gaben an, dass sie von der DSGVO gehört haben und 36% von ihnen gaben an, dass sie sich dessen bewusst sind, was die DSGVO mit sich bringt.

 

✔️ 57% der befragten EU-Bürger gaben an, dass sie sich der Existenz einer öffentlichen Behörde in ihrem Land bewusst sind, die für den Schutz ihrer Datenschutzrechte zuständig ist. Dieses Ergebnis zeigt einen Anstieg von 20 Prozentpunkten gegenüber den Eurobarometer-Ergebnissen von 2015.

Das kann sich in Zukunft nur noch steigern …

 

4. ❌ Unternehmen haben keine Ahnung, wie sie die Vorgaben erfüllen können und wie eine Verletzung eigentlich definiert wird – was sich in der großen Zahl von Beschwerden widerspiegelt. Laut IAPP gaben mehr als 56% der Befragten, die der DSGVO unterworfen sind, an, dass sie weit davon entfernt seien, die Vorgaben einzuhalten  und ein Fünftel sagte, dass „die vollständige Einhaltung unmöglich ist“. In der Hoffnung, die Kosten einer fehlerhaften oder verzögerten Compliance zu vermeiden, verfolgen viele Unternehmen einen riskanten Ansatz des „Abwartens„, da sie sich schwer damit tun die beste Vorgehensweise zu finden.

 

✔️ Als brandneue Verordnung wird die DSGVO Zeit brauchen, um wirklich wirksam zu werden – Verwirrung während der Umsetzungsphase ist zu erwarten. Sie ist auch eine monumentale Herausforderung für die Regulierungsbehörden, nicht nur für die Unternehmen, die reguliert werden. Viele Organisationen arbeiten nach Monaten immer noch den Rückstand auf, der sich nach Inkrafttreten der DSGVO angesammelt hat. Das kann sehr mühselig sein und man braucht dafür einen erfahrenen Datenschutzbeauftragten (DPO), der sich sowohl mit rechtlichen als auch technischen Fragen auskennt.

 

✔️ Die Regulierungsbehörden haben den größten Teil des Jahres 2018 damit verbracht, sich personell richtig aufzustellen, ihre Abläufe abzustimmen und die letzten Fragen vor der DSGVO zu beantworten.

 

5. ❌ Auf die Frage, wie Firmen und Privatpersonen die Forderungen der DSGVO erfüllen können, gibt es zu wenig Antworten und zu wenig Hilfe. Lokale Datenschutzbehörden (DPA) ergreifen nicht die notwendigen Maßnahmen, um Unternehmen und Privatpersonen über die Anforderungen der Regulierung zu informieren.

 

✔️ Nach einer Rekordzahl von Beschwerden in Frankreich hat die CNIL Maßnahmen ergriffen, um Organisationen zu unterstützen und die erfolgreiche Umsetzung der DSGVO sicherzustellen. Dazu gehören die Sensibilisierung der lokalen Behörden mittels eines praktischen Leitfadens, Themenblättern (Teleservices, Sicherheit, Datenschutzbeauftragte (DPO) und lokale Behörden, etc.) und ein spezielles Modul in der Online-Schulung, die für jedermann offen ist. Sie bieten Support über die CNIL-Website. Ein Asset und ein Entwickler-Kit wurden bereits veröffentlicht. Die CNIL steht auch in engem Dialog mit Fachleuten und „Branchengrößen“, um die Entwicklung von Kompetenzen in allen Bereichen und die Unterstützung der Datenschutzbeauftragten zu fördern. In der Praxis haben sie Werkzeuge für jedermann auf ihrer Website, darunter:

  • Eine Möglichkeit, zu überprüfen, ob eine Organisation einen DPO für Personen eingerichtet hat, die ihre Rechte ausüben möchten, oder eine Frage an eine Organisation zu stellen, die ihre Daten verwaltet, einschließlich Kontaktdaten, die über eine eigene Suchmaschine öffentlich zugänglich sind.
  • Einen Online-DSGVO-Lehrgang, der seit März 2019 für alle offen ist und bereits von mehr als 35.100 Personen besucht wurde, darunter 6.900, die ein Zertifikat für den erfolgreichen Abschluss erhalten haben.
  • Ein Modell für ein Verzeichnis der Verarbeitungsaktivitäten, das es ermöglicht, alle Datenverarbeitungsvorgänge zu identifizieren und einen Überblick über Handlungen im Zusammenhang mit personenbezogenen Daten zu haben
  • Open-Source-Software zur Durchführung einer Datenschutzverträglichkeitsprüfung (DIA), die für einige Verarbeitungsvorgänge verpflichtend ist

Inzwischen gab es 2.044 Benachrichtigungen über Datenverstöße in Frankreich und 89.271 auf europäischer Ebene. Außerdem wurden von mehr als 53.000 Organisationen mehr als 19.000 Datenschutzbeauftragte (natürliche oder juristische Personen) ernannt. Es gab auch einen Zustrom von Informationsanfragen von Fachleuten, die das DSGVO-Framework anwenden wollen, und eine wachsende Mobilisierung von Fachleuten und Personen zum Datenschutz – die CNIL-Website hat im vergangenen Jahr mehr als 8,1 Millionen Besuche gehabt.

 

6. ❌ In Organisationen wurde eine riesige neue Bürokratie rund um den Datenschutzbeauftragten geschaffen und die damit verbundenen Kosten sind enorm. Die DSGVO macht es allen Unternehmen, die in der EU tätig sind, zur Vorschrift einen DPO zu ernennen, wenn ihr Kerngeschäft aus Datenverarbeitungstätigkeiten besteht. Wenn sie spezielle Datenkategorien (sensible Daten, wie Biometrie, ethnische, Gesundheitsdaten etc.) verarbeiten, müssen sie unabhängig von der Größe der Verarbeitung einen solchen benennen – ebenso wie öffentliche Institutionen. Wenn kein DPO ernannt wird, können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes eines Unternehmens verhängt werden, je nachdem, was höher ist. Dies wird voraussichtlich einen Bedarf an bis zu 28.000 DPOs in der EU und den USA und 75.000  weltweit verursachen.

 

✔️ Obwohl erste Berichte davor gewarnt haben, dass die DSGVO den Bedarf für eine große Anzahl von DPOs schaffen würde, werden viele Unternehmen diese Stelle auslagern. Die tatsächliche Zahl wird deshalb um einiges niedriger sein. Auch kleinere Unternehmen dürfen sich einen DPO teilen. Dabei kann es ich um bestehende Mitarbeiter oder um neue Arbeitskräfte handeln.

 

✔️ Die DSGVO mag drakonisch erscheinen, indem sie fordert, dass jede Organisation ihren eigenen DPO hat, aber die Datengesetzgebung hatte einen drastischen Modernisierungsbedarf um mit einem sich schnell verändernden Online-Ökosystem Schritt zu halten und das Gesetz zweckmäßig zu machen.

 

✔️ Durch die Förderung einer Kultur des Datenschutzes innerhalb einer Organisation spart der DPO Geld, indem er mögliche Bußgelder vermeidet.

 

✔️ Die Unternehmen sind dabei zu erkennen, dass abgesehen vom Fokus auf die Strafen, die sie erhalten könnten, die DSGVO-Compliance als Chance gesehen werden kann mit Kunden in Kontakt zu treten und Loyalität als  eine Triebfeder für mehr Kundentreue und mehr Wachstum aufzubauen. Dies ist einer der Gründe, warum  Mobile Banking, Streaming-Dienste und Tech-Unternehmen extrem agil waren, wenn es um die DSGVO-Compliance ging. DPOs müssen unabhängig agieren können und können nicht immer den Anweisungen der Geschäftsleitung folgen. Auch das führt zu einer Atmosphäre des Vertrauens in die Datenschutzpraktiken eines Unternehmens.

 

7. ❌ Die EU-Datenbehörden sind nicht ausreichend personell ausgestattet oder koordiniert, um die Anforderungen zu erfüllen. Die EU-Regulierungsbehörden behaupteten , sie hätten nicht genügend Ressourcen oder Mittel, um mit der neuen Arbeitsbelastung durch die DSGVO fertig zu werden, und sie bräuchten eine „erhebliche Aufstockung der Ressourcen und des Personals“.

 

✔️ 2018 war ein Übergangsjahr und die verschiedenen Agenturen brauchten Zeit, um Mitarbeiter einzustellen. Die EU-Datenbehörden haben festgestellt, dass „die Kooperationsverfahren zwar robust und effizient sind, aber zeit- und ressourcenintensiv – Die Behörden müssen Ermittlungen durchführen, sich an Verfahrensregeln halten, Informationen mit anderen Überwachungsbehörden austauschen und sich mit ihnen abstimmen.“

 

✔️ Die irische DPA hat ihre Mitarbeiterzahl von 27 auf über 130 aufgestockt um mit dem steilen Anstieg der Beschwerden mithalten zu können. Die Zahl der Angestellten soll im nächsten Jahr auf über 200 steigen.

 

✔️ Der Rahmen rund um DSGVO-Bußgelder wird noch geschaffen. Einer der wahrscheinlichen Gründe für die ungleichen DSGVO-Bußgelder im Ländervergleich und der langsame Prozess, der damit verbunden ist, sind die fehlenden Präzedenzfälle, die als Vorbild dienen könnten.

 

✔️ 2019 sollten die Menschen damit rechnen, dass die Regulierungsbehörden bei ihren Interpretationen des Gesetzes konsistenter werden.

 

8. ❌ Es gibt wenig internationale Koordination – die DPAs mehrerer EU-Länder müssen auch das breite Spektrum der Geldbußen harmonisieren.

 

✔️ Um mehr Anleitung zu geben, wie eine Datenschutzbehörde die Höhe eines Bußgeldes berechnen soll, hat die niederländische Datenschutzbehörde, die Autoriteit Persoonsgegevens, ein Rahmenwerk herausgegeben, um zu bestimmen, wie schwer eine Strafe ausfallen wird. Das niederländische Rahmenwerk (auf Niederländisch) hat vier Kategorien von Verstößen, und jede Kategorie hat eine definierte „Standard“-Geldstrafe, zusammen mit einer Reihe von möglichen Geldstrafen, die von der Schwere der Verletzung abhängen.

 

✔️ Das britische Informationskommissariat (ICO) koordiniert sich sowohl mit den niederländischen als auch mit den norwegischen DPAs um einen gemeinsamen Rahmen oder ein Matrixwerkzeug für verschiedene Überwacher zu schaffen, um ihnen eine Grundlage für die Berechnung von Bußgeldern zu geben.

 

✔️ Die Datenschutzbehörden in der gesamten EU werden in Kürze Jahresberichteveröffentlichen, die uns ein umfassenderes und besseres Bild von der Compliance nach einem Jahr DSGVO geben werden.

 

9. ❌ Die Androhung enormer Geldstrafen wurde nie in die Tat umgesetzt mit Ausnahme des französischen Urteils gegen Google. In den ersten acht Monaten derDSGVO wurden nur 91 Geldstrafen verhängt, und (die Geldstrafe in Höhe von 50 Mio. € gegen Google nicht mitberücksichtigt) die durchschnittliche DSGVO-Strafe betrug etwa 66.000Euro. Selbst Googles Geldstrafe war lediglich ein Bruchteil des Umsatzes des Unternehmens im Jahr 2018 im Wert von 136,2 Milliarden Dollar, rund 0,4 Prozent – weit unter den möglichen 4 Prozent.

 

✔️ Die Geldbußen, die verhängt wurden, waren extrem beschränkt und spiegeln wider, dass die DPAs nicht darauf aus sind Unternehmen ein Bein zu stellen sondern vorsichtig vorgehen.

 

✔️ Die „symbolische“ DSGVO-Strafe der französischen CNIL gegen Google wegen „mangelnder Transparenz, unzureichender Informationen und mangelnder gültiger Zustimmung in Bezug auf die Personalisierung der Anzeigen“ kann für den Tech-Riesen als Schuss vor den Bug gewertet werden. Es zeigte auch, dass DPAs den Willen und die Muskeln haben, Bußgelder gegen größere Unternehmen umzusetzen, und dass die wichtigsten Akteure nicht unantastbar sind.

 

✔️ Die erste DSGVO-Strafe wurde gegen die deutsche Social-Media-Plattform Knuddels verhängt. Obwohl es sich um eine massive Datenschutzverletzung handelte, bei der E-Mail-Adressen und Passwörter von 330.000 Nutzern gefährdet wurden, führte die proaktive Herangehensweise des Unternehmens an die Verletzung dazu, dass die Strafe nur 20.000 € betrug. Die Verantwortlichen reagierten nicht nur schnell, indem sie die deutschen Datenschutzbehörden und Kunden benachrichtigten, sie arbeiteten auch schnell daran, die empfohlenen Sicherheitsverfahren anzuwenden. 

Stefan Brink, baden-württembergischer Datenschutzbeauftragter, kommentierte seine Geldstrafe in Höhe von 20.000 Euro gegen Knuddels so: „Der LfDI ist nicht daran interessiert, an einem Wettbewerb um die höchstmöglichen Geldbußen teilzunehmen. Am Ende geht es um die Verbesserung der Privatsphäre und Datensicherheit für die Nutzer. “ Auch wenn abzuwarten bleibt, ob andere DPAs einen ähnlichen Ansatz verfolgen, stellt dieser Fall einen wertvollen Präzedenzfall dar.

 

✔️ Im März 2019 zeigte die polnische DPA eine sehr zurückhaltende Reaktion, indem sie nur eine Geldstrafe von 219.000 Euro an ein Unternehmen ausgab, das es versäumt hat, sechs Millionen Personen über die Verarbeitung ihrer persönlichen Daten zu informieren. Dagegen verhängte die dänische DPA eine Geldstrafe von 161.000 Euro gegen eine Firma, die personenbezogene Daten länger vorrätig hielt, als es die DSGVO erlaubt.

 

✔️ Im Juni 2019 vergab die CNIL eine zweite Strafe in Höhe von 400.000 € an den französischen Immobilienkonzern Sergic. Obwohl es sich um einen schwerwiegenden Verstoß handelte, d. h. um einen Mangel an Sorgfaltspflicht bei der Bekämpfung der Verwundbarkeit und die Tatsache, dass die zugänglichen Dokumente sehr intime Aspekte aus dem Leben der Betroffenen enthielten, berücksichtigte die CNIL die Größe des Unternehmens und seine finanziellen Möglichkeiten und verhängte nur eine begrenzte Geldstrafe. 

 

10. ❌ Es ist ein schwacher Start für die Regulation, wenn man bedenkt, dass die DPAs bereits rund 100.000 selbst gemeldete Verstöße und Nutzerbeschwerden bearbeitet haben.

 

✔️ Die Beschwerden werden noch bearbeitet, und die Auswirkungen sind noch nicht zu spüren, da wir noch keine nennenswerten Maßnahmen gesehen haben, sowohl was das Volumen als auch was die Menge betrifft.

Die EDPB veröffentlichte einen Bericht, in dem festgestellt wurde, dass von den 206.326 Fällen, die im Rahmen der GDPR in den 31 Ländern des Europäischen Wirtschaftsraums (EWR) gemeldet wurden, die nationalen Datenschutzbehörden nur 52 Prozent der Fälle gelöst haben. Da die Regulierungsbehörden diesen Rückstand durcharbeiten, können die Unternehmen in den kommenden Monaten mit mehr Geldstrafen mit höheren Beträgen rechnen.

 

✔️ Viele Fälle laufen auch auf internationaler und nationaler Ebene – es gab 446 grenzüberschreitende Fälle, die in der Regel viel komplexer sind und mehr Zeit zur Klärung beanspruchen. Von der großen Zahl der Fälle, die an die EWR-Aufsichtsbehörden (SAs) gemeldeten wurden, gab es mehr als 144.000 Anfragen und Beschwerden sowie über 89.000 Datenverstöße. 63 Prozent davon wurden abgeschlossen und 37 Prozent laufen noch.

 

11. ❌ Die DSGVO ist gegen die Tech-Giganten wirkungslos, da sie die Regulierung bestenfalls liberal ausgelegt haben. Die Verordnung war für die großen Tech-Unternehmen mit einem großen Mangel an Transparenz wirkungslos. Facebook war in den Schlagzeilen weil es  Gesichtserkennungssoftware wiedereingeführt hat und Daten mit seiner jüngst erworbenen Tochter WhatsApp austauscht. Paul-Olivier Dehaye (ein Datenschutzexperte, der bei der Aufdeckung des Cambridge-Analytica-Skandals von Facebook mitgeholfen hat) erklärte, dass „große Unternehmen wie Facebook allen anderen 10 Schritte voraus sind und den Regulierungsbehörden 100 Schritte voraus sind – es gibt sehr große Fragen darüber, was sie tun“.

 

✔️ Die CNIL-Geldbuße gegen Google war ein entscheidender erster Schritt und schuf einen wichtigen Präzedenzfall um die Auswirkungen und die Reichweite der DSGVO zu bewerten. Für 2019 und darüber hinaus sind weitere Bußgelder zu erwarten.

 

12. ❌ Google verschließt weiterhin die Augen, wenn es darum geht, die Zustimmung der Nutzer zu erhalten, „bevor es Daten unter seiner schnell wachsenden Reihe von Netzwerken und Produkten — von YouTube über Google Photos bis hin zu Gmail und mehr verteilt. Nicolas Vinocur von Poltico verweist auf ein bedeutendes Schlupfloch, das von den Tech-Riesen ausgenutzt wird. Der Chief Policy Officer bei Brave, Johnny Ryan, bezeichnet die Verarbeitung von Nutzerdaten bei Werbegeschäften durch Google als „massives und anhaltendes Datenleck“, bei dem das Unternehmen „täglich Tausenden von anderen Unternehmen“ intime Nutzerdaten zukommen lässt. Laut Brave sendet Googles Anzeigenbörse bei jedem Besuch einer Website persönliche Informationen über Nutzer an „Dutzende oder Hunderte“ potenzieller Werbetreibender, ohne Grenzen für die Verwendung der Daten zu setzen, was es zum „grössten Leck für personenbezogene Daten macht, das bisher bekannt geworden ist“.

 

✔️ Die irische DPA hat vor kurzem eine Untersuchung zu möglichen Verstößen durch Googles Online-Ad-Exchange gestartet – sie wurde die führende Behörde, um über Googles Datenschutzbestimmungen zu wachen, nachdem Alphabet im Januar seine europäische Basis nach Irland verlegt hat.

 

✔️ Die irische Datenschutzbeauftragte Helen Dixon sagte, in den „kommenden Monaten“ seien erhebliche Bußgelder zu erwarten. Derzeit laufen 18 Untersuchungen der irischen DPA, die für die Mehrheit der dort ansässigen großen Tech-Unternehmen zur führenden DSGVO-Regulierungsbehörde geworden ist.

 

✔️ Die Fälle, die vor der DPC in Irland verhandelt werden, gehören zu den folgenreichsten, die im Zusammenhang mit der DSGVO stattfinden. Als Präzedenzfälle, die „Geschäftsmodelle neu definieren“ könnten, müssen die Maßnahmen mit anderen Ländern koordiniert werden. Die Entscheidungen müssen absolut wasserdicht sein, um juristischen Anfechtungen standzuhalten. Der Fortschritt der irischen DPO wird von grundlegender Bedeutung sein, um die DSGVO in Zukunft abzusichern – da auch andere US-amerikanische hochkarätige Technologieführer wie Facebook, Twitter, WhatsApp, Airbnb, Microsoft und Oath ihren europäischen Hauptsitz in Irland haben um die Vorteile zu nutzen, die der „One-Stop-Shop“-Mechanismus bietet, der die grenzüberschreitende Datenverarbeitung für Nicht-EU-Organisationen im Rahmen der DSGVO vereinfacht.


Teil zwei befasst sich mit dem, was die Zukunft für den Datenschutz bereithält. Schauen Sie wieder vorbei, um herauszufinden, wie es mit der DSGVO weitergeht.

 

Stellen Sie sicher, dass Ihre Digital Analytics DSGVO-konform ist!

Die Analytics Suite von AT Internet erfüllt zu 100% die Bestimmungen der DSGVO. Der Schutz der Nutzerdaten und die Wahrung der Privatsphäre der Nutzer stehen seit über 20 Jahren im Mittelpunkt unseres Analyseansatzes.

Als unabhängiger europäischer Anbieter haben wir uns vom ersten Tag an stark an den strengen europäischen Datenschutz-und Privatsphäre-Richtlinien orientiert. Unsere Lösung wurde von Anfang an auf dem Prinzip des Privacy-by-Design entwickelt. Unsere langjährigen guten Beziehungen zur CNIL, der französischen Datenschutzbehörde und dem TÜV in Deutschland sprechen Bände. Diese vertrauenswürdigen Behörden erkennen die Konformität und Sicherheit der Analytics Suite an und haben uns Jahr für Jahr ihr Compliance-Zertifikat verliehen.

Das Bewusstsein für Datenschutz nimmt zu! Lesen Sie unseren aktuellen KOSTENLOSEN Leitfaden: Digital Analytics und die DSGVO – ein Jahr später – wie Sie sicherstellen, dass Sie konform sind.

Digital Analytics und die DSGVO

Author

Zweisprachiger Redaktions- und Übersetzungsmanager (und ein Junge aus London!). Chris ist ein erfahrener BtoB- und BtoC-Texter. Er kann zielgerichtet redaktionelle Inhalte für interne und externe Kommunikationsmaterialien erstellen, Kernbotschaften auf die Websites bringen und überzeugende redaktionelle Werkzeuge aufbauen um die Leser zu fesseln. Seine Aufgabe ist es, den Informationsfluss auf den Punkt zu bringen und den internationalen Internet-Kunden von AT Internet treffsichere, aufschlussreiche Inhalte zu liefern, die für internationale Unternehmen und deren Publikationen relevant sind.

Comments are closed.