Seit mehr als 150 Tagen ist die DSGVO in Kraft und bisher gab es nur wenige Gerichtsurteile dazu. In vielen Fällen wird erst ein Gerichtsurteil Klarheit bringen.

Die DSGVO lässt, aufgrund nicht immer klarer Formulierungen, viele Auslegungsmöglichkeiten zu und dies führt zu Unsicherheiten und Fragen nicht nur bei den Anwendern sondern auch bei den diversen Aufsichtsbehörden. Auch sind sich Aufsichtsbehörden und Gerichte nicht immer einig, wie ein Sachverhalt auszulegen ist.

Gerade im deutschsprachigen Raum ist es weder für Kleinst-, noch Klein- noch mittelgrosse oder grosse Unternehmen immer klar, was denn nun wie umzusetzen ist. 

Deutschland erschwert es seinen Unternehmen besonders, da es nicht eine Datenschutz-Aufsichtsbehörde auf Bundesebene gibt sondern jedes Bundesland eine eigene hat. Diese geben auch eigene (zu verwendende) Vorlagen heraus – ein nicht zu unterschätzender Mehraufwand für Unternehmen, welche in mehreren Bundesländern tätig sind. 

Zusätzlich hält die DSGVO fest, dass mit Nicht-EU-Staaten personenbezogene Daten nur dann ohne Beschränkungen ausgetauscht werden dürfen, wenn der Datenschutz in dem jeweiligen Empfänger-Land als äquivalent betrachtet wird. Mit den USA wurde der sogenannte Privacy Shield vereinbart, d.h. US-Unternehmen verpflichten sich, sich an die definierten Vorgaben des Privacy Shield Abkommens zu halten und dies wird vom FTC überprüft. Mit Unternehmen, die sich dem Privacy Shield unterstellen, können personenbezogene Daten ohne weitere Formalitäten ausgetauscht werden. Macht ein US-Anbieter beim Privacy Shield nicht mit, müssen zusätzliche vertragliche Formalitäten eingehalten werden (z.B. SCC oder BCR), ansonsten ist eine Zusammenarbeit und ein Datenaustausch mit dem US-Unternehmen verboten. Es gibt ein EU-US Privacy Shield und ein CH-US Privacy Shield.

Bisher hat die Schweiz den Äquivalenz Status der EU. Ob dies so bleibt, ist weiterhin offen. Die Parlamentarier in Bern können sich bisher nicht auf eine neue Gesetzgebung einigen und dem einen oder der anderen scheinen weder die Dringlichkeit noch die Konsequenzen eines Verlusts der Äquivalenz klar zu sein.

Ohne Äquivalenz könnten Daten zwar in ein EU Land transferiert werden, der Rückfluss wäre jedoch nicht mehr ohne deutlichen Mehraufwand möglich. Dies könnte für KMU als letzte Konsequenz bedeuten, dass sie keine Privatkunden aus der EU mehr bedienen dürften (Gastgewerbe, Hotellerie (HRS, Booking.com), Online Shop etc.). Grossfirmen wie die Banken oder Pharma können sich mittels interner Richtlinien verpflichten, sich an die DSGVO zu halten – der zusätzliche Aufwand ist jedoch für KMU zu teuer resp. nicht umsetzbar.

Weltweit werden sich nun immer mehr Unternehmen bewusst, dass sie von der DSGVO betroffen sind – auch ohne Domizil in einem EU Land. Werden personenbezogene Daten von Menschen, welche in der EU wohnhaft sind, durch ein Unternehmen verarbeitet, das nicht in der EU domiziliert ist, ist das Unternehmen verpflichtet, eine Vertretung in der EU schriftlich zu benennen (Art. 27 DSGVO).