Stand nach anderthalb Jahren Datenschutz-Grundverordnung

Schonfrist für DSGVO vorbei

Anzeige
Die deutschen Datenschutzbehörden geben ihre bisherige Zurückhaltung bei Verstößen gegen die EU-Datenschutz-Grundverordnung (DSGVO) allmählich auf. Die Anzahl und Höhe der Bußgelder steigt. Was Unternehmen tun können, um das Risiko zu minimieren und sich im Ernstfall effektiv zu verteidigen.

Ein Bußgeld von 50 Millionen Euro gegen Google wurde von der französischen Datenschutzbehörde verhängt. 200 Millionen Euro Bußgeld gegen British Airways, verhängt von der britischen Datenschutzaufsicht. Im Vergleich dazu waren die deutschen Datenschutzbehörden bisher sehr zurückhaltend bei ihren Sanktionen gegen hiesige Unternehmen. „Das in Deutschland bisher höchste Bußgeld lag bei 80.000 Euro; die Aufsichtsbehörde in Baden-Württemberg hat es verhängt, weil Gesundheitsdaten öffentlich abrufbar waren“, erläutert Rechtsanwalt Dr. Alexander Duisberg vom Münchner Büro der Anwaltskanzlei Bird & Bird. „Im statistischen Mittel liegen die Bußgelder nur bei rund 6000 Euro.“ Doch die Berliner Datenschutzbehörde hat nun ein Bußgeld in zweistelliger Millionenhöhe angekündigt, Adressat unbekannt. Dies wird als Zeichen gewertet, dass die Schonfrist anderthalb Jahre nach Wirksamwerden der DSGVO vorbei ist und man den Datenschutz nun auch hierzulande mit härteren Mitteln durchsetzen will.

Als besonders aktiv haben sich bisher die Datenschützer in Nordrhein-Westfalen erwiesen, sie verhängten die meisten Bußgelder. Die höchsten Bußgeldbescheide wurden von der Aufsichtsbehörde in Baden-Württemberg erlassen. Aus einigen Bundesländern kamen noch gar keine Bescheide. Höhe und Häufigkeit der Geldstrafen sind von Bundesland zu Bundesland sehr unterschiedlich und von einer einheitlichen Linie derzeit noch weit entfernt – unbefriedigend im Hinblick auf die Rechtssicherheit.

Gesetzgeberische Feinjustierung

Der Gesetzgeber hat ebenfalls eine Zwischenbilanz gezogen und die Rechtslage nachjustiert. In dem über 150 Artikel starken Datenschutz-Anpassungs-Gesetz wurden nicht nur Begriffsbestimmungen und Verweisungen angepasst, sondern auch einige Entlastungen beschlossen. So greift die Pflicht, einen betrieblichen Datenschutzbeauftragten zu benennen, künftig erst ab einer Anzahl von 20 Mitarbeitern, bisher waren es zehn. Für die Einwilligung der Mitarbeiter zur Datenverarbeitung reicht in Zukunft eine E-Mail, eine schriftliche Zustimmung in Papierform ist nicht mehr erforderlich.

Anhaltende Unsicherheit

Dennoch tun sich viele, vor allem mittelständische Unternehmen nach wie vor schwer mit der europäischen Grundverordnung. Dies liegt nach Ansicht von Dr. Jens Eckhardt, Vorstand Recht im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD), an dem ungewohnten Ansatz der DSGVO. „Während sich in der Praxis im ‚alten‘ Datenschutzrecht die Mehrzahl der Regelungen mit der Frage befasste, ob eine bestimmte Datenverarbeitung erlaubt ist oder nicht, befasst sich die Mehrzahl der Regelungen der DSGVO nun mit Dokumentations-, Organisations- und Transparenzanforderungen“, sagt der Jurist. „Diese sind sicherlich gut für den Datenschutz, steigern aber die Komplexität im Unternehmensalltag erheblich.“ So setzen sich nach wie vor viele Unternehmen einem hohen Bußgeldrisiko aus – nicht aus Ignoranz und Böswilligkeit, sondern schlichtweg aus Hilflosigkeit. „Der größte Fallstrick war die Unsicherheit, was konkret zu tun ist“, bringt es Eckhardt auf den Punkt.

Der Hype um den Datenschutz einerseits, der immer stärkere Zwang zu mehr Digitalisierung und Automatisierung, gerade in der Logistik, andererseits – sind dies nicht zwei sich abstoßende Pole, unvereinbar unter einem Unternehmensdach, erst recht im Mittelstand? Das muss nicht sein, sagt der Experte. „Das Datenschutzrecht ist nicht per se digitalisierungsfeindlich, es versucht nur, die Balance zwischen Verarbeitung personenbezogener Daten und Schutz der betroffenen Personen herzustellen“, erläutert BvD-Vorstand Eckhardt.

Die DSGVO sei darauf ausgerichtet, bereits im Vorfeld und im Zuge der Entwicklung solcher Technologien den Datenschutz zu berücksichtigen, etwa durch die sogenannte Datenschutz-Folgenabschätzung in Artikel 35. „Für den Datenschutzbeauftragten liegt die Herausforderung darin, zu vermitteln, dass eine frühe Berücksichtigung sinnvoll ist, um einen datenschutzkonformen Fortschritt zu erzielen“, so Eckhardt.

Datenschutz im Einkauf

Ein Verdienst der DSGVO ist es, dass sie einen einheitlichen Rechtsrahmen geschaffen hat, der sogar über die Grenzen der Europäischen Union hinausreicht. Unternehmen, die weltweit einkaufen, haben heute wesentlich höhere Datenschutzanforderungen an ihre Lieferanten. Es spielt dabei nur eine untergeordnete Rolle, wo die Lieferanten sitzen, denn die DSGVO ist der gemeinsame datenschutzrechtliche Nenner, auf den man sich einigt. Ohnehin müssen sich alle Unternehmen, die ihre Dienste auf dem europäischen Markt anbieten, zur Einhaltung der Grundverordnung verpflichten, das verlangt das neue Marktortprinzip.

Offene Baustellen

Der größte Handlungsbedarf dürfte aktuell bei den Dokumentations- und den Löschpflichten bestehen. Dokumente wie Datenschutzerklärungen, Verzeichnisse von Verarbeitungstätigkeiten sowie Datenschutz-Folgenabschätzungen müssen dringend vervollständigt und aktualisiert werden. Adäquate Löschprozesse sind – wiederum unter Berücksichtigung der diversen Aufbewahrungspflichten – dringend zu implementieren, falls noch nicht geschehen. „Die Datenschutzbehörden neigen zu niedrigeren Bußgeldern, wenn man umfassend kooperiert und ernsthaft belegen kann, was man schon alles getan hat und wo nur noch das eine oder andere im Rahmen eines definierten Projekts zu finalisieren ist“, weiß Datenschutzrechtler Duisberg.

Verteidigungsstrategien im Ernstfall

Empfehlenswert ist, das Verhalten für den Ernstfall in einem Handbuch zusammenzutragen, das man herausziehen kann, wenn die Behörde tatsächlich vor der Tür steht oder ein Anhörungsbogen mit der Post ins Haus flattert. Zu diesem Zeitpunkt erst damit zu beginnen, dürfte dagegen wenig Eindruck auf die Datenschützer machen. Punkte wie Aufgabenverteilung, interne Kommunikation, Pressearbeit und Kommunikation mit der Datenschutzbehörde können in diesem Verteidigungshandbuch festgehalten werden. Auch das Thema „Durchsuchungen“ darf nicht tabu sein. Denn die Datenschutzbehörden haben andere Befugnisse als Polizei oder Staatsanwaltschaft; Artikel 31 DSGVO normiert eine umfassende Kooperationspflicht, die die Behörde im Rahmen ihrer Ermittlungen einfordern kann und von der die Mitarbeiter wissen müssen.

Auch im Ernstfall vor Gericht ist man mit einem solchen Leitfaden gut aufgestellt. Nach den Regeln der DSGVO obliegt dem Unternehmen die Beweislast dafür, dass alle Vorgaben des Datenschutzes richtig und vollständig umgesetzt worden sind. Dieser Nachweis gelingt am besten, wenn man neben den obligatorischen Dokumentationen auch eine Anleitung vorlegen kann, die das korrekte Verhalten im Schadensfall, bei Eintritt einer Datensicherheitspanne und bei einem datenschutzrechtlichen Ermittlungsverfahren aufzeigt.

Was die Datenschutzgrundverordnung zweifellos in kürzester Zeit geschafft hat: der Datenschutz spielt heute eine viel größere Rolle als noch vor zwei Jahren. Dies ist ein beachtlicher Erfolg für eine gesetzgeberische Maßnahme. Dort, wo das Bewusstsein für den Datenschutz noch nicht vorhanden oder nur sehr zaghaft ausgeprägt ist, werden zukünftig wohl empfindliche Bußgelder nachhelfen.


Die Datenschutzbehörden neigen zu niedrigeren Bußgeldern, wenn man umfassend kooperiert und ernsthaft belegen kann, was man schon alles getan hat und wo nur noch das eine oder andere im Rahmen eines definierten Projekts zu finalisieren ist.“

Dr. Alexander Duisberg


Der größte Fallstrick war die Unsicherheit, was konkret zu tun ist.“
Dr. Jens Eckhardt


Anja Falkenstein, Rechtsanwältin, Karlsruhe

Anzeige

Aktuelles Heft

Titelbild Beschaffung aktuell 12
Ausgabe
12.2019
PRINT
DIGITAL
ABO

Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Anzeige
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de