Gemischte Erfahrungen - Ein Jahr DSGVO

Namenlose Klingelschilder, geschwärzte Gesichter auf Gruppenfotos, Friseure, die am Telefon seitenlange Datenschutzerklärungen vorlesen, bevor sie einen Termin vereinbaren - die Umsetzung der Europäischen Datenschutz-Grundverordnung (DSGVO ), die im Mai 2018 wirksam wurde, führte nicht selten zu Überreaktionen mit kuriosen Folgen.

„Es gibt viel zu viele selbst ernannte Datenschutzberater, die durch die Lande ziehen und irgend etwas behaupten“, ärgert sich Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht in Bayern (BayLDA), „und dabei stets auf die drohenden drakonischen Strafen verweisen.“ Für die Aufsichtsbehörden hätte dies zu einem „Wahnsinnsstress“ geführt. „Wir hatten im vergangenen Jahr einen enormen Beratungsaufwand.“ Vor allem Vereine zeigten sich verunsichert, wohl weil Medienberichten zufolge erste Abmahnwellen in erster Linie solche Organisationen trafen. Kranig hält diese Berichte für „völlig falsch“: „Abmahnungen gegen Vereine oder kleine Gewerbetreibende auf Basis der DSGVO sind überhaupt kein Thema.“

Diese Einschätzung teilt Medienrechtsanwalt Christian Solmecke, der sich auf die Beratung der Internet- und IT-Branche spezialisiert hat: „Wir haben schon vor der Anwendbarkeit der DSGVO keine ‚Abmahnwelle‘ befürchtet (…), doch das Ausmaß der tatsächlich versendeten Abmahnungen blieb noch hinter unseren Erwartungen zurück.“ Im März 2019 berichteten jedoch vermehrt Online-Händler und andere Webseitenbetreiber von Abmahnungen, die von der „IGD Interessengemeinschaft Datenschutz e. V.“ verschickt wurden. Wegen fehlender SSL-Verschlüsselung würden die Abgemahnten gegen die in der DSGVO verankerte Pflicht verstoßen, geeignete technische und organisatorische Maßnahmen (TOM) nach dem Stand der Technik zu verwenden. Die Betroffenen sollten eine Unterlassungserklärung abgeben sowie 285,60 Euro an den Verein überweisen. „Aus Sicht des LfDI BW der erste breitere Versuch, nach der DSGVO Abmahnungen auszusprechen“, twitterte der Landesbeauftragte für Datenschutz und Informationssicherheit in Baden-Württemberg (LfDI BW) Stefan Brink.

Derzeit ist noch gar nicht entschieden, ob die DSGVO überhaupt eine Basis für Abmahnungen bietet. „Schon vor der DSGVO in Zeiten des Bundesdatenschutzgesetzes war umstritten, ob das Datenschutzgesetz sogenannte Marktverhaltensregeln enthält, die abmahnfähig sind“, erklärt Rechtsanwalt Solmecke. BayLDA-Präsident Kranig räumt den Abmahnern kaum Chancen ein: „Wir gehen davon aus, dass die DSGVO ein abschließendes Sanktions­regime definiert und Abmahnungen aus Datenschutzgründen daher gar nicht möglich sind.“

Dieser Auffassung folgten laut Solmecke auch mehrere Gerichte, etwa die Landgerichte Bochum und Wiesbaden, nicht jedoch das OLG Hamburg, das eine Einzelfallprüfung für notwendig hält. Auch wenn die Erfolgsaussichten vor Gericht hoch seien, sollte man Abmahnschreiben wegen DSGVO-Verstößen nicht auf die leichte Schulter nehmen, erklärt der Rechtsexperte: „Es ist wichtig, jede einzelne Abmahnung durch einen Rechts­anwalt prüfen zu lassen, der einschätzen kann, wie stichhaltig die Argumentation ist und wie man dagegen vorgeht.“

Die Verunsicherung kommt allerdings nicht von ungefähr. „Die DSGVO soll alle Aspekte der Datenverarbeitung regeln“, sagt Rebekka Weiß, Leiterin Vertrauen & Sicherheit beim Digitalverband Bitkom, „und das in einer Zeit, in der nahezu jeder Prozess digitalisiert wird und die Verarbeitung personenbezogener Daten im Mittelpunkt sehr vieler alltäglicher Abläufe steht.“ Es sei beispielsweise nach wie vor unklar, wie man DSGVO-konform eine Visitenkarte übergeben oder seine Informationspflichten am Telefon erfüllen könne. „Wie gehe ich mit Daten um, die mir unaufgefordert zugeschickt werden? Wie sieht ein rechtskonformes Vertragskonstrukt aus, das mehr als zwei Firmen betrifft?“, nennt Weiß weitere Fragen, die von der DSGVO nur unzureichend beantwortet würden. Zu den größten Schwierigkeiten in der Umsetzung führen laut Rebekka Weiß die Informationspflichten. „Unternehmen wissen häufig nicht, wann sie wen, wie und in welchem Umfang über die Verarbeitung personenbezogener Daten belehren müssen.“

Wie die unterschiedliche Auslegung der Vorschriften durch Aufsichtsbehörden zu Chaos führen kann, zeigt das Beispiel Wiener Wohnen. Ein Mieter hatte sich bei der Hausverwaltung, die in Wien rund 220.000 Gemeindewohnungen betreut, unter Berufung auf die DSGVO darüber beschwert, dass sein Name auf dem Klingelschild seiner Wohnung zu lesen sei. Wiener Wohnen entschied nach Rücksprache mit der für Datenschutzfragen zuständigen Wiener Magistratsabteilung MA 63, sämtliche Klingelschilder in den rund 2000 Wohnanlagen auszutauschen und durch Wohnungsnummern, sogenannte Topnummern, zu ersetzen.

Der Fall machte auch in Deutschland Schlagzeilen. Vermieter und Hausverwaltungen fragten die Ämter um Rat - mit unterschiedlichen Ergebnissen. „Zusammen mit dem Bundesbeauftragten für den Datenschutz gibt es hierzulande 17 unabhängige Aufsichtsbehörden, die durchaus unterschiedliche Rechtsauffassungen vertreten“, erklärt Bitkom-Bereichsleiterin Weiß. „Das kann bei Unternehmen, die mit Tochterunternehmen in mehreren Bundesländern ihren Sitz haben, zu großer Verwirrung führen.“

Die Datenschützer versuchen zwar, in der deutschen Datenschutzkonferenz (DSK) zu einer einheitlichen Anwendung der Vorschriften zu kommen, was bisher aber nur teilweise gelingt. Im Fall der Namensschilder hält etwa der baden-württembergische Datenschützer Stefan Brink die DSGVO prinzipiell für anwendbar. „Jedenfalls bei größeren Wohneinheiten [wird] gelten, dass die Namen der Bewohner der Mieterkartei des Vermieters oder einer entsprechenden Datensammlung der Hausverwaltung entnommen sind“, schreibt er in seinem Tätigkeitsbericht 2018. Wenn diese Sammlung ein Mindestmaß an Strukturierung aufweise, sei sie als Dateisystem im Sinne der Datenschutz-Grundverordnung anzusehen, so der Landesbeauftragte weiter.

Anders Andrea Voßhoff, die bis Januar als Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) amtierte: „Das Ausstatten der Klingelschilder mit Namen für sich genommen stellt weder eine automatisierte Verarbeitung noch eine tatsächliche oder beabsichtigte Speicherung in Dateisystemen dar“, erklärte sie im Oktober 2018. „Klingelschilder sind kein Fall für die EU-Datenschutzverordnung.“

Solange Uneinigkeit zwischen Aufsichtsbehörden bestehe, könnten sich keine allgemein gültigen Best Practices ausbilden, moniert Bitkom-Bereichsleiterin Weiß: „Das hemmt die Umsetzung der DSGVO-Vorschriften und schadet deren Akzeptanz.“ Die unterschiedlichen Auslegungspraktiken laufen auch der erklärten Absicht der EU-Kommission zuwider, europaweit eine Harmonisierung bei der Verarbeitung personenbezogener Daten zu erreichen. „Es ist von entscheidender Bedeutung, dass die Datenschutzbehörden einen gemeinsamen EU-Ansatz entwickeln“, forderte die zuständige EU-Kommissarin Veˇra Jourová auf der „9th Annual European Data Protection & Data Privacy Conference“, die im März in Brüssel stattfand.

Das entspricht auch dem Geist der DSGVO. Kapitel 7 fordert die Zusammenarbeit zwischen den Aufsichtsbehörden untereinander und mit der Kommission, und der in Artikel 68 definierte Europäische Datenschutzausschuss, in den jedes Land einen Vertreter entsendet, soll Leitlinien und Empfehlungen für eine einheitliche Anwendung der DSGVO erarbeiten.

Diese Verständigungsprozesse allein bringen jedoch noch keine Rechtssicherheit, betont BayLDA-Präsident Kranig: „Selbst wenn sich alle Aufsichtsbehörden einig sind, heißt das noch lange nicht, dass die getroffenen Beschlüsse vor Gericht Bestand haben.“ Je mehr Prozesse es gebe, desto schneller komme es zur Klärung. „Unsere Aufgabe muss sein, noch viel mehr Anordnungen zu erlassen, die dann gerichtlich überprüft werden können“, sagt der Datenschützer. Weiß sieht das genauso: „Alle Verfahren, die höchstrichterlich entschieden werden, sind wichtige Bausteine für die Rechtssicherheit.“

Trotz aller Unsicherheiten gibt es für Unternehmen keinen Grund zur Panik, denn in vielen Ländern der EU haben sich die Datenaufsichtsbehörden mit dem Verhängen von Strafen im ersten Jahr der DSGVO sehr zurückgehalten. In Österreich wurden laut Auskunft der österreichischen Datenschutzbehörde (DSB) gegenüber der Zeitung „Der Standard“ vier Geldbußen zwischen 300 und 4.800 Euro verhängt, drei davon aufgrund unzulässiger Videoüberwachung.

In Deutschland ergingen nach einer Umfrage des „Handelsblatts“ unter den Datenschutzbeauftragten der Länder bis Mitte Januar dieses Jahres 41 Bußgeldbescheide. Einer der bekanntesten Fälle ist die Chat-Plattform Knuddels.de mit Sitz in Karlsruhe, der bei einem Hackerangriff Login-Daten von mehr als 300.000 Nutzern gestohlen wurden. Obwohl das Unternehmen durch die Speicherung von Passwörtern im Klartext eklatant gegen Vorschriften der DSGVO verstoßen hatte, fiel die vom zuständigen Landesbeauftragten in Baden-Württemberg Stefan Brink verhängte Strafe mit 20.000 Euro recht milde aus. Das Unternehmen hätte in vorbildlicher Weise Datenverarbeitungsstrukturen und Versäumnisse offengelegt und innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung der IT-Sicherheit ergriffen, erklärte Brink: „Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen.“

Insgesamt verhängte der LfDI Baden-Württemberg 2018 Bußgelder von über 100.000 Euro. Es gehe aber nicht darum, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten, betont Brink: „Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die Nutzer.“ Der Datenschützer erwartet weitere Bußgeldbescheide in fünf- bis sechsstelliger Höhe. „Verfahren, die die Verhängung einer Geldbuße im Millionen-Euro-Bereich erwarten lassen, sind nicht anhängig.“

Diese Zurückhaltung der verantwort­lichen Stellen in Deutschland sei genau richtig, findet Karl-Heinz Wonsak, Security Solution Manager bei Axians IT Solutions, der bereits einige Projekte im Bereich Datenschutz und Datensicherheit betreut hat: „Es kann nicht das Ziel der Aufsichtsbehörden sein, die DSGVO konfrontativ durchzusetzen. Die Organisationen müssen vielmehr dazu befähigt werden, den Datenschutz in ihre Prozesse zu integrieren.“

Nicht alle europäischen Aufsichtsbehörden waren allerdings so milde wie die österreichischen und die deutschen. So verhängte in Portugal die Datenschutzbehörde CNPD gegen das Krankenhaus Barreiro Montijo eine Geldbuße von 400.000 Euro, weil zahlreiche Unbefugte Zugriff auf Patientendaten hatten, die eigentlich nur von Ärzten einsehbar sein sollten.

Mehr als elf Millionen Euro betrug gar das Strafmaß, das die italienische Aufsichtsbehörde Garante gegen fünf Unternehmen aussprach. Um die Meldepflichten aus den Anti-Geld­wäsche-Gesetzen zu umgehen, hatten die Firmen große Geldbeträge auf viele kleine Überweisungen aufgeteilt und dafür die Daten von mehr als tausend Personen missbraucht, die sie ohne Wissen der Betroffenen kopierten Ausweispapieren entnommen hatten.

Was das Strafmaß betrifft, so hält aktuell die französische Datenschutzbehörde CNIL den Rekord. Sie will von Google wegen mangelnder Transparenz, unzureichender Aufklärung und einer fehlenden gültigen Zustimmung zur Personalisierung von Anzeigen 50 Millionen Euro kassieren. Die Entscheidung der CNIL im Januar 2019 kam kurz bevor Google sich dem Zugriff der nationalen Datenschutzbehörden weitgehend entziehen konnte. Mit Wirkung vom 22. Januar ist die Google Ireland Limited für die Verarbeitung personenbezogener Daten von Bürgern im Europäischen Wirtschaftsraum (EU plus Island, Liechtenstein und Norwegen) sowie der Schweiz zuständig und nicht mehr der US-Mutterkonzern.

Die DSGVO folgt dem „One-Stop-Shopping-Prinzip“ und sieht in Art. 56 Abs. 1 vor, dass für Unternehmen mit grenzüberschreitender Datenverarbeitung diejenige Aufsichtsbehörde zuständig ist, in deren Land sich die Hauptniederlassung befindet. Für Google ist nun also die irische Data Protection Commission als sogenannte „federführende Aufsichtsbehörde“ zuständig, die nicht gerade als besonders scharfe Verfechterin des Datenschutzes bekannt ist. Ob sich die CNIL mit ihrer Bußgeldforderung durchsetzt, müssen die Gerichte entscheiden. Google hat vor dem obersten französischen Verwaltungsgericht Berufung eingelegt.

Der Bußgeldbescheid gegen Google macht das prinzipielle Problem der Digitalkonzerne deutlich: Ihr Geschäftsmodell beruht im Wesentlichen auf dem Sammeln, Analysieren und Vermarkten von Nutzerdaten. Es ist damit nur schwer mit den Vorgaben der Datenschutz-Grundverordnung wie Datensparsamkeit und Zweckbindung in Einklang zu bringen, auch wenn die Unternehmen viel Zeit und Geld in die Überarbeitung ihrer Verträge und Datenschutzerklärungen investiert haben. Allein Google hat nach eigenen Angaben 500 Personenjahre für die Vorbereitung auf die DSGVO aufgewendet.

Wenig beeindruckt von der DSGVO scheint vor allem Facebook zu sein, zumindest legen dies etliche Datenskandale nahe, die in letzter Zeit publik wurden. Die Affäre um das Unternehmen Cambridge Analytica, das Informationen aus rund 87 Millionen Facebook-Accounts missbrauchte, um den US-Wahlkampf zu manipulieren, datiert zwar noch vor dem Wirksamwerden der DSGVO, zeigt aber bereits den Stellenwert, den Facebook dem Datenschutz einräumt. Die Nutzerdaten wurden nicht durch einen Hack oder eine Sicherheitslücke abgezogen, sondern über eine reguläre Programmierschnittstelle, die das soziale Netzwerk App-Anbietern zur Verfügung stellte. Lediglich die Weitergabe der Informa­tionen an Dritte widersprach den Nutzungsbedingungen, deren Einhaltung von Facebook aber wohl nicht oder kaum geprüft wurde.

Der nächste größere Vorfall ereignete sich im September 2018. Hacker hatten durch Kombination mehrerer Sicherheitslücken rund 50 Millionen Facebook-Accounts übernommen. Die irische Aufsichtsbehörde prüft derzeit, ob Facebook hier die Meldevorschriften der DSGVO (Art. 33) missachtet hat, nach denen ein solcher Vorfall „unverzüglich und möglichst binnen 72 Stunden“ anzuzeigen ist.

Ein klarer Verstoß gegen die Grundverordnung dürfte der Passwortskandal sein, der im März bekannt wurde. Facebook gab zu, Hunderte Millionen von Zugangsdaten unverschlüsselt und für Mitarbeiter zugänglich auf den Servern des Netzwerks gespeichert zu haben. Laut Artikel 5 Abs. 1f DSGVO müssen personenbezogene Daten „in einer Weise verarbeitet werden, die eine angemessene Sicherheit (…) gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung“. Nach Artikel 32 sind dazu technische und organisatorische Maßnahmen (TOM) nach dem Stand der Technik zu ergreifen, nicht zuletzt die Verschlüsselung personenbezogener Daten.

Nicht nur Datenschützern stößt die Sammelleidenschaft des Konzerns und der laxe Umgang mit Datensicherheit sauer auf. Im Februar 2019 untersagte das Bundeskartellamt Facebook die Zusammenführung von Nutzerdaten aus verschiedenen Quellen, sofern keine Einwilligung durch den Nutzer vorliegt. Der Behörde missfiel die Praxis des Konzerns, Daten aus den verschiedensten Quellen zusammenzuführen, und dabei nicht nur auf firmeneigene Dienste wie Instagram und Whatsapp zuzugreifen, sondern über Angebote wie den Facebook-Like-Button, Facebook-Login oder das Tracking-Tool Facebook Customer Audience im gesamten Internet personenbezogene Informationen zu sammeln. Facebook legte gegen den Beschluss Beschwerde ein.

Auch für Unternehmen, die Facebook als Marketing-Plattform nutzen, birgt das Vorgehen des sozialen Netzwerks rechtliche Risiken. Facebook stellt Betreibern von Unternehmensseiten, sogenannten Fanpages, über „Facebook Insight“ Informationen über Besucher zur Verfügung. Dafür setzt das Netzwerk Cookies auf den Geräten der Betroffenen, über die personenbezogene Daten erhoben werden. Nach einer Entscheidung des EuGH vom 5. Juni 2018 tragen die Fanpage-Betreiber Mitverantwortung an dieser Datenverarbeitung, weshalb eine Vereinbarung über die Datennutzung durch gemeinsam Verantwortliche nach Art. 26 DSGVO notwendig sei. Facebook hatte im September 2018 eine solche Vereinbarung vorgelegt, die jedoch nicht allen Datenschützern ausreichte. Die Berliner Beauftragte für Datenschutz und Informations­sicherheit Maja Smoltczyk kündigte im November 2018 eine umfassende Prüfung von Fanpages an: „Das höchste europäische Gericht hat klargestellt, dass die Nutzung der von Facebook eingerichteten Plattform die Betreiberinnen und Betreiber von Fanpages nicht von ihren Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien kann. Wer von diesen Dienstleistungen profitiert und gleichzeitig [eine] personenbezogene Datenverarbeitung auslöst, muss sich seiner datenschutzrechtlichen Verantwortung stellen.“

Die Diskussion um die DSGVO hat in der Öffentlichkeit ein deutlich gesteigertes Bewusstsein für Datenschutz geschaffen. „Die Bürger nehmen ihre Rechte zunehmend wahr“, schreibt die Europäische Kommission in einer Mitteilung von Ende Januar 2019. „Bislang sind mehr als 95.000 Beschwerden bei den nationalen Datenschutzbehörden eingegangen.“

BayLDA-Präsident Thomas Kranig bestätigt das: „Die Zahl der Beschwerden hat sich seit Einführung der DSGVO verdoppelt.“ Aber nicht nur die Flut an Beschwerden, die, sofern berechtigt, binnen drei Monaten bearbeitet werden müssen, stellt die Behörden vor Kapazitätsprobleme: „Die Zahl der Beratungsanfragen ist um den Faktor 2,5 gestiegen, die Mitteilungen von Datenschutzverletzungem haben sich verzwanzigfacht“, berichtet Kranig. „Das ist eine Arbeitsbelastung, die wir nicht schultern können.“ Zwar habe die Behörde im Vorfeld der DSGVO vier neue Mitarbeiter einstellen können, eine weitere Aufstockung werde von der bayerischen Staatsregierung derzeit aber abgelehnt. „Ich habe eine derartig extreme Entwicklung nicht erwartet. Die Lage ist kata­strophal“, sagt Kranig. Er sieht die Gefahr, dass sich die Behörden auf Pflichtaufgaben wie die Bearbeitung von Beschwerden und die Verfolgung von Verstößen beschränken müssen. „Es wäre fatal, wenn wir gezwungen würden, unsere Beratungstätigkeit einzustellen“, so Kranig. „Das würde zu noch mehr Rechtsunsicherheit führen.“

In anderen Landesbehörden sieht es ähnlich aus. Auch der baden-württembergische Landesbeauftragte Stefan Brink spricht in seinem aktuellen Tätigkeitsbericht von einer Inanspruchnahme an der Grenze der Belastbarkeit. „Keine Behörde kann eine Verdoppelung, zeitweise sogar die Verdreifachung ihrer Arbeitslast einfach wegstecken.“ Im Unterschied zu den Bayern konnte die Aufsichtsbehörde in Stuttgart eine „im Bundesvergleich einmalig gute Aufstockung des Personals“ auf 53,5 Stellen durchsetzen.

Trotz aller Anfangsschwierigkeiten zieht Axians-Manager Wonsak nach einem Jahr DSGVO eine positive Bilanz: „Die Unternehmen gehen heute wesentlich bewusster mit den Themen Datenschutz und Datensicherheit um, als sie es vor der Diskussion um die DSGVO getan haben.“ Nicht überall hatte diese Einsicht allerdings praktische Folgen. Laut einer Bitkom-Umfrage vom Herbst 2018 hatte damals erst knapp ein Viertel der deutschen Unternehmen die DSGVO-Vorgaben vollständig umgesetzt. Daran hat sich bis heute wenig geändert, glaubt Bitkom-Bereichsleiterin Rebekka Weiß: „Die grundsätzlichen Probleme bestehen nach wie vor.“

Neben der Rechtsunsicherheit nennen die von Bitkom Befragten vor allem den schwer abzuschätzenden Umsetzungsaufwand und fehlende praktische Hilfen als größte Herausforderungen. 35 Prozent der Studienteilnehmer fanden außerdem den Umsetzungszeitraum zu kurz. Mehr als drei Viertel der Befragten (78 Prozent) klagen darüber hinaus über Mehrarbeit im laufenden Betrieb. Vor allem Dokumentations- und Informationspflichten sorgen für höhere Aufwände. Nach Ansicht von Axians-Manager Wonsak sollte man aber nicht nur die zusätzliche Belastung sehen: „Wenn Organisationen beispielsweise ihr Datenmanagement optimieren, um den DSGVO-Vorgaben nachzukommen, können sie damit auch erheblich Kosten bei der Datenhaltung einsparen.“

Laut Rebekka Weiß tun sich besonders KMUs mit der Umsetzung schwer. „Die Pflichten sind für alle Unternehmen im Wesentlichen gleich, egal ob Start-up oder Konzern.“ Das lässt Datenschützer Kranig so nicht gelten: „In vielen Vorschriften der DSGVO wird die Angemessenheit betont“, sagt der Bay­LDA-Präsident. So müsse zwar jedes Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten führen, „das kann aber in einem Kleinbetrieb auch nur ein DIN-A4-Blatt sein.“ Auch bei den notwendigen technischen und organisatorischen Maßnahmen gibt es laut Kranig unterschiedliche Anforderungen. „Es macht durchaus einen Unterschied, ob ein Rechner mit sensiblen Patientendaten in einer Arztpraxis abgesichert werden muss oder der PC beim Bäcker oder im Gemüseladen.“

Weiß hofft dennoch, dass es bei der Re-Evaluierung der DSGVO, die ab 2020 ansteht, Änderungen zugunsten kleiner Betriebe gibt: „Es gilt zu überlegen, ob wirklich alle Pflichten für alle Unternehmen gleichermaßen gelten müssen, oder ob es in manchen Bereichen auch eine Abstufung geben könnte, ohne natürlich die Grundprinzipien anzutasten.“ Kranig hält die Verordnung in ihrer aktuellen Form für gut. „Nur die Umsetzung klappt noch nicht so recht.“ Nachbesserungsbedarf sieht der BayLDA-Präsident allenfalls bei der europaweit einheitlichen Durchsetzung der Verordnung durch die federführenden Aufsichtsbehörden. „Wenn wir hier keine Einigkeit erreichen, könnte das One-Stop-Shopping-Prinzip scheitern.“

Die Umsetzung der DSGVO war und ist eine Herausforderung. Die Klarheit der Bestimmungen lässt oft zu wünschen übrig. Ihre Auslegung und die abgeleiteten Empfehlungen variieren nicht nur zwischen den Nationen in der EU, sondern auch innerhalb Deutschlands von Bundesland zu Bundesland. Rechtliche Sicherheit werden nur höchstrichterliche Entscheidungen bringen, die erst in Jahren zu erwarten sind.

Dennoch ist nach einem Jahr DSGVO die Bilanz prinzipiell positiv. Sie hat eine öffentliche Diskussion entfacht und die Frage, wie mit personenbezogenen Daten umzugehen ist, in den Fokus gerückt. Sogar Digitalkonzerne wie Google, die mit der Verwertung persönlicher Daten viel Geld verdienen, versuchen, die Regelungen umzusetzen, ohne ihr Geschäftsmodell zu gefährden. Ob das gelungen ist, werden ebenfalls die Gerichte entscheiden müssen. Immer öfter wird selbst in den USA, etwa von Facebook-Chef Mark Zuckerberg, die DSGVO als Vorbild genannt. - Die Wiener dürfen übrigens bis auf Weiteres ihre Namensschilder behalten. Wohnbaustadträtin Kathrin Gaal stoppte Ende 2018 den Austausch: „So lange die rechtli­che Situation unklar ist, bleibt alles so, wie es ist“, erklärte sie.