Alle Blogbeiträge

DSGVO Update – Das erste Jahr

Aktualisiert am 23. Februar 2021.

Ein Jahr ist vergangen, seit die europäische DSGVO (Allgemeine Datenschutz-Grundverordnung) am 25. Mai 2018 in Kraft getreten ist.

Ein Helikopterblick auf die Situation zeigt ein Jahr später sowohl Herausforderungen als auch Chancen in Bezug auf die Umsetzung und Auswirkungen.

Hier folgt ein DSGVO-Jubiläumsupdate!

Erinnerung: Was ist die DSGVO?

Die DSGVO (Datenschutz-Grundverordnung) ist ein EU-Recht, das regelt, wie Unternehmen, Organisationen und andere Stellen mit personenbezogenen Daten umzugehen haben. Ihr Geltungsbereich ist global, denn sie verlangt die Einhaltung ihrer Regeln und Vorschriften von jedem der mit den Daten eines EU-Bürgers zu tun hat.

Die DSGVO gibt den Europäern die Möglichkeit, zu kontrollieren, welche Daten sie weitergeben möchten, und ermöglicht es ihnen, die Löschung ihrer gesammelten Daten zu verlangen.

Lesen Sie hier mehr über die DSGVO im Detail.

Lesen Sie hier den offiziellen DSGVO-Gesetzestext.

67% der EU-Bürger haben von der DSGVO gehört
67% der Europäer haben schon von der DSGVO gehört.

Wenn Sie eine Website haben, verwenden Sie höchstwahrscheinlich Cookies und Tracking-Technologien und werden daher von der DSGVO aufgefordert, die Regeln einzuhalten.

Dazu gehören:

  • eine klare und unmissverständliche Zustimmung der Nutzer einzuholen,
  • vor der Verarbeitung personenbezogener Daten,
  • nach Angabe aller Arten von Cookies und anderer Tracking-Technologien, die auf ihren Seiten vorhanden sind und betrieben werden,
  • auf leicht verständliche Weise, die es den Nutzern ermöglicht, die Einwilligung für jede einzelne Kategorie von Cookies zu erteilen und zu widerrufen,
  • um dann jede Zustimmung des Benutzers sicher und vertraulich dokumentieren zu können,
  • Die Zustimmung muss jährlich erneuert werden. Einige nationale Datenschutzrichtlinien empfehlen jedoch eine häufigere Erneuerung, z. B. nach 6 Monaten. Prüfen Sie Ihre lokalen Datenschutzrichtlinien für Compliance.

Haben Sie Zweifel, ob Ihre Website DSGVO-konform ist? Probieren Sie den kostenlosen Konformitätstest von Cookiebot aus.

Testen Sie Cookiebot 14 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.

Wenn Sie eine Website haben, die Dienstleistungen für die EU anbietet, sind Sie gesetzlich verpflichtet, die DSGVO zu befolgen.

Das bedeutet, dass Sie die Anforderungen des Gesetzes hinsichtlich des Umgangs mit Benutzerdaten und persönlichen Informationen befolgen müssen.

Die Verwendung einer Software zur Verwaltung von Einwilligungen wie Cookiebot kann Sie zu 100% mit der DSGVO konform machen.

Registrieren Sie sich und probieren Sie es noch heute kostenlos aus.

Überblick über die Durchsetzung der DSGVO

Ein Jahr nach der Umsetzung der DSGVO beginnen wir langsam ihre Auswirkungen zu verstehen.

Die Durchsetzung der DSGVO wird teils von den Datenschutzbehörden, aber auch durch Beschwerden von Einzelpersonen initiiert.
Die Durchsetzung der DSGVO wird teils von den Datenschutzbehörden, aber auch durch Beschwerden von Einzelpersonen initiiert.

Während die Geldbußen gegen Unternehmen, die gegen die DSGVO verstoßen, nur langsam anwachsen, zeigen sich ihre Auswirkungen auch an neuen Datenschutzgesetzen, die weltweit aufkommen, sowie an ihrer Rolle als Initiator von Diskussionen zum Thema Privatsphäre.

Wie kann die DSGVO durchgesetzt werden?

Die DSGVO kann auf verschiedene Weise durchgesetzt werden, durch

  • Warnungen,
  • Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist,
  • Datenschutzkontrollen unter der Leitung der EU-Kommission,
  • vorübergehende oder dauerhafte Einschränkung der Befugnis eines Unternehmens, Daten zu verarbeiten und/oder zu sammeln,
  • und das Verbot, in der Europäischen Union zu operieren.

Bisher wurde die DSGVO hauptsächlich durch Verwarnungen und Bußgelder durchgesetzt.

Arten von DSGVO Beschwerden
Häufige Arten von DSGVO-Beschwerden

DSGVO-Bußgelder im ersten Jahr

Die Summe der DSGVO-Geldbußen, die ein Jahr nach ihrer Vollstreckung verhängt wurden, beläuft sich nach Angaben des IAPP auf rund 56.000.000€.

Nach Angaben der Londoner Wirtschaftsprüfungsgesellschaft Ernst & Young lag das durchschnittliche DSGVO-Bußgeld bisher bei etwa 70.000€.

Infografik der DSGVO-Durchsetzungen in der EU
DSGVO-Durchsetzung in Zahlen (Infografik nach IAPP).

Die meisten der bisherigen DSGVO-Durchsetzungsfälle waren diskretionär, d.h. sie wurden von Fall zu Fall spezifisch verhängt.

Die Geldbußen unterscheiden sich danach, gegen welche Artikel der DSGVO ein Unternehmen verstößt: Wenn es gegen seine eigenen Verpflichtungen verstößt, wird es mit niedrigeren Geldbußen belegt, während Verstöße gegen die individuellen Persönlichkeitsrechte mit höheren Geldbußen geahndet werden.

Deutschland, Polen, Dänemark, Österreich und Portugal gehören zu den EU-Mitgliedstaaten, die Unternehmen oder Organisationen wegen Verletzung der DSGVO in diesem ersten Jahr mit einer Geldstrafe belegt haben.

Frankreich führt die Durchsetzung der DSGVO im ersten Jahr an

Die französische Datenschutzbehörde CNIL kann zu Recht als führende Kontrollinstanz der DSGVO bezeichnet werden, wenn es um die Durchsetzung und Beratung geht.

Die CNIL erhielt im Jahr 2018 über 11.000 Beschwerden – ein Anstieg von 32,5 % gegenüber dem Vorjahr – und ein großer Teil der Beschwerden konzentrierte sich auf das durch die DSGVO eingeführte Recht, die Löschung personenbezogener Online-Daten zu beantragen. Das französische DPA agierte auch bei der Anleitung von Unternehmen zur Einhaltung der DSGVO sowie bei der Beratung für die Gesetzgebung als Vorbild.

Die größte monetäre Durchsetzung der DSGVO ergab sich jedoch auch aus der CNIL am 21. Januar 2019, als die französische Datenschutzbehörde wegen dreier getrennter DSGVO-Verletzungen – mangelnde Transparenz (Artikel 12), unzureichende Information (Artikel 6) und mangelnde gültige Zustimmung zur Personalisierung der Anzeigen (Artikel 7) – eine Strafe von 50 Millionen Euro gegen Google verhängte.

Die Geldbuße in Höhe von 50 Mio.€ war das Ergebnis einer Untersuchung, die auf der Grundlage von zwei Gruppenbeschwerden der Datenschutzverbände None of Your Business (noyb) und La Quadrature du Net (LQDN) eingeleitet wurde, die Google beschuldigten, bei der Verarbeitung personenbezogener Daten, insbesondere bei personalisierten Anzeigen, gegen die DSGVO verstoßen zu haben.

“Erstmals nutzt eine europäische Datenschutzbehörde die Möglichkeiten der DSGVO, um eindeutige Gesetzesverstöße zu ahnden”, sagte der Vorsitzende von noyb Max Schrems.

Diese Beschwerden wurden am 25. und 28. Mai 2018, d.h. am ersten und dritten Tag der Umsetzung der DSGVO, an die französische DPA (Data Protection Authority) gerichtet. Dass die CNIL sechs Monate gebraucht hat, um dies zu untersuchen und durchzusetzen, sagt viel über die Dauer größerer Fälle zu DSGVO-Durchsetzung… und könnte auf noch viel größere Durchsetzungsmaßnahmen in der Zukunft hinweisen.

DSGVO Geldstrafen innerhalb der EU
In der EU verteilte Geldstrafen für DSGVO-Verstöße

IRLAND, eine Herausforderung und ein Versprechen

Technisch gesehen hat Irland die einzigartige Rolle, der führende Regulator der DSGVO zu sein.

Warum, könnten Sie fragen?

Nun, da eine Bestimmung in der DSGVO vorschreibt, dass ihre Hauptregulierungsbehörde das Land ist, in dem sich der Datenverantwortliche eines Technologieunternehmens befindet, und weil Irland die europäische Hauptniederlassung für viele große Technologieunternehmen wie Facebook und Google ist, die von der irischen Regierung lasche Steuerregelungen genießen, liegt es in der Verantwortung Irlands, die Durchsetzung der DSGVO gegenüber den Größten der Branche zu leiten.

Sowohl die deutsche als auch die französische DPA haben ihre Frustration über die mangelnde Durchsetzung der irischen DPA zum Ausdruck gebracht. 

Irland ist das Steuerparadies für Technologieunternehmen
Irland wirbt seit Jahren mit niedrigen Unternehmenssteuern für Technologieunternehmen.

Die irische DPA hat jedoch kürzlich bekannt gegeben, dass ihr Büro plant, in diesem Sommer Vollstreckungsmaßnahmen anzukündigen, und fügte hinzu, dass sie derzeit 51 groß angelegte Datenschutzuntersuchungen eingeleitet haben, von denen 17 Technologieunternehmen wie Twitter, WhatsApp, Instagram, LinkedIn und Apple betreffen, während 7 Fälle speziell Facebook betreffen.

Am 22. Mai 2019 – drei Tage vor dem Geburtstag der DSGVO – kündigte die Irish Data Protection Commission (DPC) eine umfassende Untersuchung der Firma DoubleClick von Google (inzwischen in Authorized Buyers umbenannt) wegen “vermuteter Verletzung” der Verarbeitung personenbezogener Daten an. Die Untersuchung wurde durch eine formelle Beschwerde von Dr. Johnny Ryan, Chief Policy Officer bei Brave, dem privaten Webbrowser, ausgelöst.

Diese Untersuchung könnte zu hohen Bußgeldern für Google führen oder noch schlimmer für das Unternehmen: ein vollständiges Verbot der Verwendung personenbezogener Daten in seinem Werbesystem. Die DSGVO zeigt tatsächlich Zähne.

Ein Jahr nach der Durchsetzung der DSGVO haben wir hauptsächlich kleinere Geldbußen gesehen, doch mittlerweile scheinen immer größere Ermittlungen und Geldbußen am Horizont sichtbar zu werden, gerade weil die größeren Durchsetzungsfälle gegen die größten Branchenschwergewichte lange dauern, bis sie ausgeführt sind.

Deshalb sagen Datenschutzexperten, dass sie erwarten, dass größere Geldstrafen für die DSGVO auf dem Weg sind.

Andere DSGVO-Durchsetzungstechniken

Die DSGVO ermächtigt die nationalen Datenschutzbehörden, die Hauptverantwortlichen für die Durchsetzung des Gesetzes zu sein. Das bedeutet, dass nationale DPAs Unternehmen mit Geldbußen belegen können (bis zu 20 Millionen Euro oder 4% ihres globalen Umsatzes) oder sie bestimmen können, wie oder welche Informationen sie in ihrem Unternehmen noch verwenden dürfen.

Letzteres kann z.B. im Falle eines Datenverstoßes durchgesetzt werden, wenn die Regulierungsbehörden ein Unternehmen für fahrlässig halten. In diesem Fall können sie dem Unternehmen ein Ultimatum stellen, entweder den Verstoß innerhalb von 90 Tagen zu beheben oder die Verwendung der von ihm erhobenen Daten einzustellen.

Im Rahmen der DSGVO gemeldete Datenschutzverletzungen
Im Rahmen der DSGVO gemeldete Datenschutzverletzungen

Wenn ein Unternehmen auf die Datenerhebung als Kerngeschäftsmodell für den Gewinn setzt, könnte dies möglicherweise ein größerer Schlag sein als eine Geldstrafe, egal wie groß sie ist..

Bisher gibt es nur zwei Beispiele dafür:

  • Das niederländische DPA hat den Steuerbehörden des Landes ab dem 1. Januar 2020 verboten, nationale Identifikationsnummern als Teil ihres Steuererklärungssystems zu verwenden.
  • Das maltesische DPA hat dem nationalen Grundbuch seines Landes vorübergehend verboten, Daten zu verarbeiten, während es die Behörde untersucht.

Die DSGVO als Impulsgeber – Datenschutzgesetze rund um die Welt

Ein Jahr nach der DSGVO beginnen wir, eine weitere ihrer Auswirkungen zu sehen, die nicht mit Geldbußen oder der Durchsetzung, sondern mit Gesetzesänderungen zu tun hat – was LinkedIn’s Leiter des globalen Datenschutzes kürzlich “die DSGVOisierung von Gesetzen in der ganzen Welt” nannte, was bedeutet, dass Gesetze auf der ganzen Welt anfangen, aufzublühen und Gestalt anzunehmen, inspiriert von der Reichweite und Stärke der DSGVO.

CCPA, California Consumer Privacy Act tritt im Januar 2020 in Kraft
Der California Consumer Privacy Act (CCPA) ist das strengste Datenschutzgesetz der USA und tritt am 1. Januar 2020 in Kraft.

Unter den Nationen oder Staaten in der Welt, die entweder die Datenschutzgesetze verabschiedet haben oder gerade dabei sind, diese zu erlassen, sind…

  • Brasilien, dessen LGPD am 15. August 2020 in Kraft tritt.
  • Kalifornien, dessen CCPA am 1. Januar 2020 in Kraft tritt.
  • Indien, dessen PDPA (Personal Data Protection Act of 2018) entworfen, aber noch nicht umgesetzt wurde.

Argentinien, Israel, Chile und China sind nur einige der Länder, die aktuell an Gesetzen und Vorschriften zum Datenschutz arbeiten.

Öffentliches Bewusstsein für die Ad-Tech-Branche und den Datenschutz

Als sie am 25. Mai 2018 in Kraft trat, war GDPR (die englische Abkürzung für die Datenschutz-Grundverordnung) ein Top-Suchbegriff von Google und übertraf sowohl Beyoncé als auch die Queen of England.

Das ist sie nun nicht mehr, aber ihre Mainstream-Reichweite ist noch zu spüren. Die DSGVO hat dazu beigetragen, eine öffentliche Diskussion über die Privatsphäre zu fördern, die bis heute andauert.

Bewusstsein der DPA
Nur 20% der Bürger wissen, welche Behörde für den Datenschutz zuständig ist. Immerhin 57% wissen, dass es überhaupt eine zuständige Behörde gibt.

Ihr Inkrafttreten vor einem Jahr fiel mehr oder weniger mit der Enthüllung des Facebook/Cambridge Analytica-Skandals zusammen, der vielleicht die größte und am häufigsten berichtete Datenschutzkrise des vergangenen Jahres war, die nur mit der digitalen Einmischung der russischen Regierung in die US-Präsidentschaftswahlen konkurrierte.

Einige der größten Nachrichtenagenturen der Welt haben kontinuierlich über die DSGVO berichtet, und die Privatsphäre bleibt ein stetig großes Thema, z.B. in der NY Times mit ihrer Artikelreihe The Privacy Project.

FAQ

Was ist die DSGVO?

Die Allgemeine Datenschutz-Grundverordnung (DSGVO) ist ein EU-Gesetz, das die Verarbeitung personenbezogener Daten von Personen innerhalb der Europäischen Union regelt. Die DSGVO schreibt vor, dass Websites vor der Verarbeitung von personenbezogenen Daten die klare und positive Einwilligung der Nutzer einholen müssen.

Was ist eine gültige Cookie-Zustimmung nach DSGVO?

Eine gültige Cookie-Einwilligung nach der DSGVO ist eine klare und bejahende Handlung von Benutzern, die ihre Wünsche unmissverständlich zum Ausdruck bringt. Bei den Einwilligungsbannern auf Websites müssen Cookies standardmäßig deaktiviert sein, ohne vorher angekreuzte Kontrollkästchen, so dass die Benutzer aktiv diejenigen Cookies und Tracker auswählen und aktivieren, die sie zur Verarbeitung ihrer persönlichen Daten zulassen

Erfahren Sie mehr über die gültige Einwilligung in der EU

 

Wer setzt die DSGVO durch?

Die DSGVO wird von den Datenschutzbehörden in jedem EU-Mitgliedsland durchgesetzt. Die Nichteinhaltung kann mit einer Geldstrafe von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens geahndet werden. Das federführende Aufsichtsorgan der DSGVO ist das European Data Protection Board (EDPB), das sich aus Vertretern der einzelnen nationalen Datenschutzbehörden zusammensetzt.

Erfahren Sie mehr über die Einhaltung der DSGVO

Wie kann meine Website DSGVO-konform werden?

Wenn Ihre Website Cookies und Tracker von Dritten verwendet (z. B. durch die Verwendung von Social-Media-Links, Analytics-Tools oder Marketing-Plug-ins), müssen Sie die vorherige und ausdrückliche Einwilligung Ihrer Website-Besucher erfragen und einholen.

Ressourcen

Testen Sie kostenlos Cookiebot, um DSGVO-konform zu sein.

Lesen Sie hier mehr über die DSGVO im Detail.

Lesen Sie hier den offiziellen Text des DSGVO-Gesetzes.

Infografik des ersten Jahres der DSGVO.

Die durchschnittlichen Bußgelder von DSGVO im ersten Jahr ihrer Wirkung, so Ernst & Young.

Die britische ICO und ihre 57 DSGVO-Durchsetzungsmaßnahmen.

Liste der bisher größten Fälle von DSGVO-Durchsetzung.

Politico untersucht den Mangel an Durchsetzung durch Irland, den Hauptvollstrecker der DSGVO.

Der Facebook / Cambridge Analytica Skandal auf einen Blick.

Die Fakten der russischen Einmischung in die US-Präsidentschaftswahlen 2018.

    Bleiben Sie auf dem Laufenden

    Werden Sie jetzt Teil unserer wachsenden Community von Datenschutz-Befürwortern. Abonnieren Sie den Cookiebot™-Newsletter und erhalten Sie die neuesten Updates und spannende Informationen direkt in Ihren Posteingang.

    Mit einem Klick auf „Abonnieren“ bestätige ich, dass ich den Cookiebot™-Newsletter abonnieren möchte. Ich kann das Abonnement des Cookiebot™-Newsletters und die Einwilligung in die Verwendung meiner Daten ganz einfach widerrufen, indem ich auf den Abmeldelink klicke. Oder ich kann mich schriftlich an [email protected] wenden, um eine Anfrage zu stellen. Datenschutz­richtlinie.