Die Datenschutz-Grundverordnung (DSGVO) soll die Privatsphäre der Verbraucher:innen stärken und wird seit mittlerweile vier Jahren angewendet. Mit der Einführung der EU-Verordnung mussten Unternehmen und Organisationen ihre Abläufe bei der Erfassung und Verarbeitung von personenbezogenen Daten teils stark anpassen. Was hat die DSGVO bislang gebracht und können sich Verbraucher:innen im Jahre 2022 in Sachen Datenschutz sicher fühlen?

Mit Tim Berghoff von der G Data CyberDefense AG ziehen wir im DiFü-Interview ein Resümee und sprechen darüber, an welchen Stellen Unternehmen beim Verbraucher:innenschutz künftig noch nachbessern müssen.

DiFü News: Welche Bilanz ziehen Sie nach vier Jahren DSGVO? Wo stehen wir heute in Sachen Datenschutz der Verbraucher:innen? 

Tim Berghoff ist Security Evangelist bei G DATA CyberDefense.

Tim Berghoff ist Security Evangelist bei G DATA CyberDefense

Tim Berghoff: Insgesamt ist das Bewusstsein in den Unternehmen für den Datenschutz gestiegen. Doch noch immer sind vielerorts die erforderlichen Maßnahmen nicht vollständig zur Umsetzung gekommen. Ein möglicher Grund dafür ist sicherlich auch der hohe finanzielle und personelle Aufwand, den Unternehmen für den Datenschutz betreiben müssen.

 

Die ersten Bußgelder wurden ungeachtet dessen verhängt. Datenschutzverstöße ziehen also echte Konsequenzen für Firmen nach sich – und das auch abseits der „üblichen Verdächtigen“ unter den internationalen Großkonzernen.

 

Bußgelder in zweistelliger Millionenhöhe wurden unter anderem verhängt, weil Mitarbeitende und Kund:innen deutscher Unternehmen unrechtmäßig überwacht wurden. Einige Betriebe nutzen mittlerweile auch die DSGVO als Marketing-Argument.

Welchen Einfluss hat die voranschreitende und gerade durch Corona noch einmal beschleunigte Digitalisierung auf das Thema Datenschutz? 

Gerade zu Beginn der Pandemie ist der Datenschutz tatsächlich etwas ins Hintertreffen geraten. Schnelle und pragmatische Entscheidungen waren gefordert, um weiterhin arbeiten zu können. 

Die Pandemie war in vielen Bereichen ein Katalysator. So ist heute bei einigen Anbietern der Datenschutz stärker, als er es vorher gewesen ist. Zoom – vor der Pandemie kaum bekannt und quasi über Nacht an die Spitze gekommen – hat hier in kurzer Zeit stark nachbessern müssen, und davon profitieren wir letztlich alle. Aber dennoch ist das Projekt „Datenschutz“ alles andere als abgeschlossen.

Nehmen die Unternehmen den Schutz der Daten ihrer Kund:innen ernst, oder gibt es noch immer viele Verstöße? 

Diese 5 Rechte haben Verbraucher:innen durch die DSGVO
  1. Das Recht auf Vergessen
  2. Das Recht auf Zustimmung
  3. Das Recht auf Widerspruch
  4. Das Recht auf Auskunft
  5. Das Recht auf Beschwerde

Hier gibt es weitere Infos zu den Rechten.

Da immer mehr Bußgelder verhängt werden, ist Unternehmen natürlich daran gelegen, hier auch Verbesserungen vorzunehmen und Vorfälle zu verhindern.

 

Selbst wenn Strafzahlungen nur bedingt abschrecken, ist ein Datenschutzvorfall für ein Unternehmen unangenehm – gerade, wenn dieser in der Öffentlichkeit bekannt wird.

 

Die drohenden, teils erheblichen Bußgelder im Verbund mit dem Scham-Faktor sind hier ein durchaus wirksamer Hebel.

Laut einer Umfrage im Auftrag von G DATA Ende 2021 vertrauen nur 45 Prozent der deutschen Bevölkerung Behörden und Institutionen beim Thema Datenschutz. Sind die Zweifel berechtigt? 

Dass sich das Vertrauen in deutsche Behörden in Grenzen hält, ist angesichts der Behäbigkeit und Zögerlichkeit seitens vieler Behörden im Bereich der Digitalisierung nicht verwunderlich. Andere Länder wie Dänemark und Estland sind hier gern genannte Beispiele. Diese haben sich aber wesentlich eher dem Thema angenommen und sind insgesamt auch weit weniger bevölkerungsreich als Deutschland.

Zum Vergleich: Dänemark hat etwa fünf Millionen Einwohner. Das entspricht grob einem Drittel der Bevölkerung von Nordrhein-Westfalen. Hier gibt es sicherlich Verbesserungspotenzial. Prozesse werden in der Verwaltung teilweise noch analog gedacht.

Digitalisierung bedeutet aber nicht, dass einfach Papier durch Webformulare und Dateien ersetzt wird. Behörden, die auch höchst sensible Daten verarbeiten, stehen nicht über dem Gesetz, und das gilt auch für die DSGVO.

Was ist aus Ihrer Sicht der größte Mythos rund um die DSGVO und Datenschutz? 

Die DSGVO hat anfangs für eine Menge Verunsicherung und Panik gesorgt. Vor allem bei Unternehmen, Vereinen und Webseitenbetreibern war die Befürchtung: „Jetzt dürfen wir gar nichts mehr“. Insgesamt ist aber die oft heraufbeschworene „Datenschutz-Apokalypse“ ausgeblieben.

Denn in der Tat ist es so, dass viele Dinge, die vor dem Inkrafttreten der DSGVO erlaubt waren, es weiterhin sind – solange sich die involvierten Anbieter an die europäischen Datenschutzbestimmungen halten und sofern die Nutzer:innen auch darüber aufgeklärt wurden, wo, wie und wofür ihre Daten verarbeitet werden. Es geht also nicht darum, “alles zu verbieten”, sondern darum, den Umgang mit Daten transparenter zu gestalten.

Übrigens ist der Umgang mit personenbezogenen Daten grundsätzlich verboten, es sei denn, es gibt für diese Verarbeitung gute Gründe. Im Juristendeutsch nennt sich dieses Prinzip “Verbot mit Erlaubnisvorbehalt”.

Was ist mit Blick auf die Zukunft die größte Herausforderung und wo gibt es den größten Nachholbedarf für einen besseren Datenschutz der Verbraucher:innen? 

Das Interesse am Thema darf vor allem nicht nachlassen. Gerade im Licht der aktuellen Nachrichtenlage gehen einige wichtige Meldungen unter und bekommen nicht die Aufmerksamkeit, die sie verdienen – Stichwort „Hackback“.

Auch wenn das augenscheinlich mit Datenschutz nichts zu tun hat, gibt es doch Auswirkungen auf die Datensicherheit von Bürger:innen, wenn staatlichen Stellen erlaubt wird, Sicherheitslücken zu horten.

Was sind „Hackbacks“?

Bei sogenannten Hackbacks handelt es sich um digitale Gegenschläge von Betroffenen einer Hacker- bzw. Cyberattacke. Hackbacks sind also Cyberattacken, die sich gegen die ursprünglichen Angreifer richten.

Eine weitere große Herausforderung ist, dass die Mühlen der Justiz bei Datenschutzverstößen nur sehr langsam mahlen.

 

Das hat bereits jetzt zu einem Vollzugsrückstand geführt – Gerichte kommen bei der Menge der gemeldeten Fälle und der Zahl der Verfahren nicht mehr nach. Hier muss nicht nur personell, sondern auch organisatorisch erheblich nachgelegt werden.

Auch darf Datenschutz nicht zum Hemmschuh und Totschlag-Argument gegen jedwede Veränderung und Modernisierung werden. Hier gilt es, Wege zu finden, den Datenschutz zu sichern. Und das muss wesentlich schneller geschehen.