Viele Befürchtungen haben sich zwar nicht bestätigt, doch Beschwerden gibt es zuhauf, die bei den Datenschutzbehörden eingehen. Waren es 2017 noch im Schnitt 400 Beschwerden und Anfragen pro Monat, schnellte die Zahl allein zwischen Juni und Dezember 2018 mit rund 1370 auf mehr als das Dreifache hoch, wie aus dem Tätigkeitsbericht des Bundesdatenschutzbeauftragten Ulrich Kelber hervorgeht.

Auch die Aufsichtsbehörden hält die Umsetzung auf Trab. Dennoch hält Kelber die DSGVO für eine „Zeitenwende im Datenschutz“. Eine befürchtete Abmahnwelle sei ausgeblieben, auch „plakative Falschmeldungen“ hätten sich nicht bewahrheitet. Es dürften weiter Fotografien angefertigt und Namen an Klingelschildern angebracht werden.

„Das Bewusstsein für Datenschutz ist auf allen Seiten höher“, sagt auch Achim Berg, Präsident des Bitkom. Der Digitalverband zieht aber eine „gemischte Bilanz“. Große internationale Plattform-Anbieter etwa profitierten von dem einheitlich gesteckten Rechtsrahmen, sagt Berg. Der deutsche Mittelstand und kleine Unternehmen dagegen kämpften weiter mit der Umsetzung. „Das Problem liegt nach wie vor darin, dass die DSGVO nicht zwischen Kleingartenverein und Großkonzern unterscheidet.“ Und hier müsse nachgebessert werden.

Die Umsetzung der Verordnung in den Unternehmen sei aber nicht eine Frage der Größe, sondern eher der Reife, schätzt Rechtsanwältin Jungkind. „Datenschutz ist ja nicht neu.“ Ob internationale Unternehmen oder gemeinnützige Organisationen – viele hätten lediglich „eine Schippe drauflegen“ müssen.

Für Unternehmen jeder Größe bedeute die DSGVO auch weiterhin „einen hohen Umsetzungsaufwand, und immer noch bestehen viele Rechtsunsicherheiten“, sagt hingegen Berg. Der Bitkom fordert, dass die Auslegung in der gesamten EU einheitlicher werden müsse.

Der Bundesverband der deutschen Industrie BDI lobt die DSGVO als wichtigen Grundstein für einen gemeinsamen Markt in der EU. Sie habe das Zeug, sich zu einem weltweiten Standard zu entwickeln, sagt Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung. „Datenschutz in der EU darf aber kein Standortnachteil werden“, verlangt Plöger. Bisher stünden sich Datenschutz und Technologien wie künstliche Intelligenz „diametral entgegen“. Etwa bei der Anonymisierung von Daten brauche es deshalb mehr Freiraum, damit die Entwicklung künstlicher Intelligenz nicht abwandere.

Unterdessen strahlen die Auswirkungen der DSGVO bereits weit über die Grenzen Europas hinaus. Auch in Japan oder Kalifornien sei die Verordnung mit Interesse verfolgt worden, betont der oberste Datenschützer Kelber. Selbst Facebook-Chef Mark Zuckerberg, der in Sachen Datenschutz unter Dauerbeschuss steht, hat lobende Worte übrig, obgleich Beschwerden über Facebooks Messenger-Dienst WhatsApp sowie außereuropäische Mail-Anbieter die Aufsichtsbehörden nach deren Angaben am häufigsten beschäftigen.

Die erste dicke Strafe auf Basis der DSGVO traf unterdessen Google. Im Januar stellte die französische Datenschutzbehörde CNIL Verstöße gegen die DSGVO fest und verdonnerte den Konzern zur Zahlung von rund 50 Millionen Euro. Google ist in Berufung gegangen.