Logo Logo
Cookiebot

 

Die Datenschutz-Grundverordnung (DSGVO) kann einen Einfluss darauf haben, wie Ihre Webseite Online-Tracking anwenden darf.

 

Testen Sie unseren kostenlosen Konformitätstest, um zu prüfen, ob Cookies und Online-Tracking auf Ihrer Webseite mit der DSGVO und ePR kompatibel sind.

Die DSGVO wird ein Jahr alt - Ein Blick auf die Auswirkungen

Ein Jahr ist vergangen, seit die europäische DSGVO (GDPR) am 25. Mai 2018 in Kraft getreten ist.

Ein Helikopterblick auf die Situation zeigt ein Jahr später sowohl Herausforderungen als auch Chancen in Bezug auf die Umsetzung und Auswirkungen.

Hier folgt ein DSGVO-Jubiläumsupdate!

Erinnerung: Was ist die DSGVO?


Die DSGVO (Datenschutz-Grundverordnung) ist ein EU-Recht, das regelt, wie Unternehmen, Organisationen und andere Stellen mit personenbezogenen Daten umzugehen haben. Ihr Geltungsbereich ist global, denn sie verlangt die Einhaltung ihrer Regeln und Vorschriften von jedem der mit den Daten eines EU-Bürgers zu tun hat.

Die DSGVO gibt den Europäern die Möglichkeit, zu kontrollieren, welche Daten sie weitergeben möchten, und ermöglicht es ihnen, die Löschung ihrer gesammelten Daten zu verlangen.

Lesen Sie hier mehr über die DSGVO im Detail.

Lesen Sie hier den offiziellen DSGVO-Gesetzestext.

67% der EU-Bürger haben von der DSGVO gehört

67% der Europäer haben schon von der DSGVO gehört.

Wenn Sie eine Website haben, verwenden Sie höchstwahrscheinlich Cookies und Tracking-Technologien und werden daher von der DSGVO aufgefordert, die Regeln einzuhalten.

Dazu gehören:

Cookiebot ist eine DSGVO-konforme Lösung für Ihre Website. Probieren Sie es hier kostenlos aus.

Überblick über die Durchsetzung der DSGVO


Ein Jahr nach der Umsetzung der DSGVO beginnen wir langsam ihre Auswirkungen zu verstehen.

Die Durchsetzung der DSGVO wird teils von den Datenschutzbehörden, aber auch durch Beschwerden von Einzelpersonen initiiert.

Die Durchsetzung der DSGVO wird teils von den Datenschutzbehörden, aber auch durch Beschwerden von Einzelpersonen initiiert.

Während die Geldbußen gegen Unternehmen, die gegen die DSGVO verstoßen, nur langsam anwachsen, zeigen sich ihre Auswirkungen auch an neuen Datenschutzgesetzen, die weltweit aufkommen, sowie an ihrer Rolle als Initiator von Diskussionen zum Thema Privatsphäre.

Wie kann die DSGVO durchgesetzt werden?

Die DSGVO kann auf verschiedene Weise durchgesetzt werden, durch

Bisher wurde die DSGVO hauptsächlich durch Verwarnungen und Bußgelder durchgesetzt.

Arten von DSGVO Beschwerden

Häufige Arten von DSGVO-Beschwerden

DSGVO-Bußgelder im ersten Jahr

Die Summe der DSGVO-Geldbußen, die ein Jahr nach ihrer Vollstreckung verhängt wurden, beläuft sich nach Angaben des IAPP auf rund 56.000.000€.

Nach Angaben der Londoner Wirtschaftsprüfungsgesellschaft Ernst & Young lag das durchschnittliche DSGVO-Bußgeld bisher bei etwa 70.000€.

Infografik der DSGVO-Durchsetzungen in der EU

DSGVO-Durchsetzung in Zahlen (Infografik nach IAPP).

Die meisten der bisherigen DSGVO-Durchsetzungsfälle waren diskretionär, d.h. sie wurden von Fall zu Fall spezifisch verhängt.

Die Geldbußen unterscheiden sich danach, gegen welche Artikel der DSGVO ein Unternehmen verstößt: Wenn es gegen seine eigenen Verpflichtungen verstößt, wird es mit niedrigeren Geldbußen belegt, während Verstöße gegen die individuellen Persönlichkeitsrechte mit höheren Geldbußen geahndet werden.

Deutschland, Polen, Dänemark, Österreich und Portugal gehören zu den EU-Mitgliedstaaten, die Unternehmen oder Organisationen wegen Verletzung der DSGVO in diesem ersten Jahr mit einer Geldstrafe belegt haben.

Frankreich führt die Durchsetzung der DSGVO im ersten Jahr an

Die französische Datenschutzbehörde CNIL kann zu Recht als führende Kontrollinstanz der DSGVO bezeichnet werden, wenn es um die Durchsetzung und Beratung geht.

Die CNIL erhielt im Jahr 2018 über 11.000 Beschwerden - ein Anstieg von 32,5 % gegenüber dem Vorjahr - und ein großer Teil der Beschwerden konzentrierte sich auf das durch die DSGVO eingeführte Recht, die Löschung personenbezogener Online-Daten zu beantragen. Das französische DPA agierte auch bei der Anleitung von Unternehmen zur Einhaltung der DSGVO sowie bei der Beratung für die Gesetzgebung als Vorbild.

Die größte monetäre Durchsetzung der DSGVO ergab sich jedoch auch aus der CNIL am 21. Januar 2019, als die französische Datenschutzbehörde wegen dreier getrennter DSGVO-Verletzungen - mangelnde Transparenz (Artikel 12), unzureichende Information (Artikel 6) und mangelnde gültige Zustimmung zur Personalisierung der Anzeigen (Artikel 7) - eine Strafe von 50 Millionen Euro gegen Google verhängte.

Die Geldbuße in Höhe von 50 Mio.€ war das Ergebnis einer Untersuchung, die auf der Grundlage von zwei Gruppenbeschwerden der Datenschutzverbände None of Your Business (noyb) und La Quadrature du Net (LQDN) eingeleitet wurde, die Google beschuldigten, bei der Verarbeitung personenbezogener Daten, insbesondere bei personalisierten Anzeigen, gegen die DSGVO verstoßen zu haben.

"Erstmals nutzt eine europäische Datenschutzbehörde die Möglichkeiten der DSGVO, um eindeutige Gesetzesverstöße zu ahnden", sagte der Vorsitzende von noyb Max Schrems.

Diese Beschwerden wurden am 25. und 28. Mai 2018, d.h. am ersten und dritten Tag der Umsetzung der DSGVO, an die französische DPA (Data Protection Authority) gerichtet. Dass die CNIL sechs Monate gebraucht hat, um dies zu untersuchen und durchzusetzen, sagt viel über die Dauer größerer Fälle zu DSGVO-Durchsetzung... und könnte auf noch viel größere Durchsetzungsmaßnahmen in der Zukunft hinweisen.

DSGVO Geldstrafen innerhalb der EU

In der EU verteilte Geldstrafen für DSGVO-Verstöße

IRLAND, eine Herausforderung und ein Versprechen

Technisch gesehen hat Irland die einzigartige Rolle, der führende Regulator der DSGVO zu sein.

Warum, könnten Sie fragen?

Nun, da eine Bestimmung in der DSGVO vorschreibt, dass ihre Hauptregulierungsbehörde das Land ist, in dem sich der Datenverantwortliche eines Technologieunternehmens befindet, und weil Irland die europäische Hauptniederlassung für viele große Technologieunternehmen wie Facebook und Google ist, die von der irischen Regierung lasche Steuerregelungen genießen, liegt es in der Verantwortung Irlands, die Durchsetzung der DSGVO gegenüber den Größten der Branche zu leiten.

Sowohl die deutsche als auch die französische DPA haben ihre Frustration über die mangelnde Durchsetzung der irischen DPA zum Ausdruck gebracht. 

Irland ist das Steuerparadies für Technologieunternehmen

Irland wirbt seit Jahren mit niedrigen Unternehmenssteuern für Technologieunternehmen.

Die irische DPA hat jedoch kürzlich bekannt gegeben, dass ihr Büro plant, in diesem Sommer Vollstreckungsmaßnahmen anzukündigen, und fügte hinzu, dass sie derzeit 51 groß angelegte Datenschutzuntersuchungen eingeleitet haben, von denen 17 Technologieunternehmen wie Twitter, WhatsApp, Instagram, LinkedIn und Apple betreffen, während 7 Fälle speziell Facebook betreffen.

Am 22. Mai 2019 - drei Tage vor dem Geburtstag der DSGVO - kündigte die Irish Data Protection Commission (DPC) eine umfassende Untersuchung der Firma DoubleClick von Google (inzwischen in Authorized Buyers umbenannt) wegen "vermuteter Verletzung" der Verarbeitung personenbezogener Daten an. Die Untersuchung wurde durch eine formelle Beschwerde von Dr. Johnny Ryan, Chief Policy Officer bei Brave, dem privaten Webbrowser, ausgelöst.

Diese Untersuchung könnte zu hohen Bußgeldern für Google führen oder noch schlimmer für das Unternehmen: ein vollständiges Verbot der Verwendung personenbezogener Daten in seinem Werbesystem. Die DSGVO zeigt tatsächlich Zähne.

Ein Jahr nach der Durchsetzung der DSGVO haben wir hauptsächlich kleinere Geldbußen gesehen, doch mittlerweile scheinen immer größere Ermittlungen und Geldbußen am Horizont sichtbar zu werden, gerade weil die größeren Durchsetzungsfälle gegen die größten Branchenschwergewichte lange dauern, bis sie ausgeführt sind.

Deshalb sagen Datenschutzexperten, dass sie erwarten, dass größere Geldstrafen für die DSGVO auf dem Weg sind.

Andere DSGVO-Durchsetzungstechniken

Die DSGVO ermächtigt die nationalen Datenschutzbehörden, die Hauptverantwortlichen für die Durchsetzung des Gesetzes zu sein. Das bedeutet, dass nationale DPAs Unternehmen mit Geldbußen belegen können (bis zu 20 Millionen Euro oder 4% ihres globalen Umsatzes) oder sie bestimmen können, wie oder welche Informationen sie in ihrem Unternehmen noch verwenden dürfen.

Letzteres kann z.B. im Falle eines Datenverstoßes durchgesetzt werden, wenn die Regulierungsbehörden ein Unternehmen für fahrlässig halten. In diesem Fall können sie dem Unternehmen ein Ultimatum stellen, entweder den Verstoß innerhalb von 90 Tagen zu beheben oder die Verwendung der von ihm erhobenen Daten einzustellen.

Im Rahmen der DSGVO gemeldete Datenschutzverletzungen

Im Rahmen der DSGVO gemeldete Datenschutzverletzungen

Wenn ein Unternehmen auf die Datenerhebung als Kerngeschäftsmodell für den Gewinn setzt, könnte dies möglicherweise ein größerer Schlag sein als eine Geldstrafe, egal wie groß sie ist..

Bisher gibt es nur zwei Beispiele dafür:

Die DSGVO als Impulsgeber - Datenschutzgesetze rund um die Welt


Ein Jahr nach der DSGVO beginnen wir, eine weitere ihrer Auswirkungen zu sehen, die nicht mit Geldbußen oder der Durchsetzung, sondern mit Gesetzesänderungen zu tun hat - was LinkedIn's Leiter des globalen Datenschutzes kürzlich "die DSGVOisierung von Gesetzen in der ganzen Welt" nannte, was bedeutet, dass Gesetze auf der ganzen Welt anfangen, aufzublühen und Gestalt anzunehmen, inspiriert von der Reichweite und Stärke der DSGVO.

CCPA, California Consumer Privacy Act tritt im Januar 2020 in Kraft

Der California Consumer Privacy Act (CCPA) ist das strengste Datenschutzgesetz der USA und tritt am 1. Januar 2020 in Kraft.

Unter den Nationen oder Staaten in der Welt, die entweder die Datenschutzgesetze verabschiedet haben oder gerade dabei sind, diese zu erlassen, sind...

Argentinien, Israel, Chile und China sind nur einige der Länder, die aktuell an Gesetzen und Vorschriften zum Datenschutz arbeiten.

Öffentliches Bewusstsein für die Ad-Tech-Branche und den Datenschutz

Als sie am 25. Mai 2018 in Kraft trat, war GDPR (die englische Abkürzung für die Datenschutz-Grundverordnung) ein Top-Suchbegriff von Google und übertraf sowohl Beyoncé als auch die Queen of England.

Das ist sie nun nicht mehr, aber ihre Mainstream-Reichweite ist noch zu spüren. Die DSGVO hat dazu beigetragen, eine öffentliche Diskussion über die Privatsphäre zu fördern, die bis heute andauert.

Bewusstsein der DPA

Nur 20% der Bürger wissen, welche Behörde für den Datenschutz zuständig ist. Immerhin 57% wissen, dass es überhaupt eine zuständige Behörde gibt.

Ihr Inkrafttreten vor einem Jahr fiel mehr oder weniger mit der Enthüllung des Facebook/Cambridge Analytica-Skandals zusammen, der vielleicht die größte und am häufigsten berichtete Datenschutzkrise des vergangenen Jahres war, die nur mit der digitalen Einmischung der russischen Regierung in die US-Präsidentschaftswahlen konkurrierte.

Einige der größten Nachrichtenagenturen der Welt haben kontinuierlich über die DSGVO berichtet, und die Privatsphäre bleibt ein stetig großes Thema, z.B. in der NY Times mit ihrer Artikelreihe The Privacy Project.

Was kann man im Jahr Zwei der DSGVO erwarten?


Wie bereits erwähnt, ist es berechtigt zu sagen, dass wir im zweiten Jahr der Datenschutz-Grundverordnung größere und umfassendere DSGVO-Durchsetzungen erwarten können.

Größere Untersuchungen, größere Geldbußen.

Eine weitere Sache, die in diesem Jahr zu beachten ist, ist die ePrivacy-Verordnung, die derzeit im Gange ist, aber in der EU inmitten starker Lobbyarbeit der Technologieindustrie ins Stocken geraten ist. Es wird weiterhin erwartet, dass sie entweder 2019 oder 2020 in Kraft tritt.

Ressourcen


Testen Sie kostenlos Cookiebot, um DSGVO-konform zu sein.

Lesen Sie hier mehr über die DSGVO im Detail.

Lesen Sie hier den offiziellen Text des DSGVO-Gesetzes.

Infografik des ersten Jahres der DSGVO.

Die durchschnittlichen Bußgelder von DSGVO im ersten Jahr ihrer Wirkung, so Ernst & Young.

Die britische ICO und ihre 57 DSGVO-Durchsetzungsmaßnahmen.

Liste der bisher größten Fälle von DSGVO-Durchsetzung.

Politico untersucht den Mangel an Durchsetzung durch Irland, den Hauptvollstrecker der DSGVO.

Der Facebook / Cambridge Analytica Skandal auf einen Blick.

Die Fakten der russischen Einmischung in die US-Präsidentschaftswahlen 2018.

Machen Sie heute die Verwendung von Cookies und Online-Tracking auf Ihrer Website DSGVO-/ePR-konform

Jetzt kostenlos testen