In einem Jahr DSGVO wurden in Deutschland Bußgelder in Höhe von rund einer halben Million Euro verhängt
Die in vielen Medien angekündigte und gefürchtete Abmahnwelle aufgrund von Verstößen gegen die DSGVO ist im vergangenen Jahr ausgeblieben. Auch die verhängten Bußgelder bewegten sich in einem niedrigeren Rahmen als angenommen. Nach Recherchen der Sonntagszeitung „Welt am Sonntag“ wurden in Deutschland seit dem 25. Mai 2018 insgesamt Bußgelder in Höhe von 449.000 Euro verhängt. Diese Zahl beruht auf einer Umfrage der Zeitung unter 14 Bundesländern – die Länder Mecklenburg-Vorpommern und Thüringen hätten sich nicht an der Befragung beteiligt.
Die höchste Strafe in Höhe von 80.000 Euro sei in Baden-Württemberg verhängt worden. Dabei ging es um die Veröffentlichung von empfindlichen Gesundheitsdaten im Internet. Ein soziales Netzwerk hatte im selben Bundesland 20.000 Euro Strafe gezahlt, weil die Verantwortlichen Passwörter von Nutzern unverschlüsselt gespeichert hatten. In Berlin ist die Landesdatenschutzbeauftragte mit 50.000 Euro Bußgeld gegen eine Bank vorgegangen, die unbefugt personenbezogene Daten von ehemaligen Kunden bearbeitet hatte. Insgesamt habe es seit dem 25. Mai 2018 75 Verstöße gegen die DSGVO gegeben, die mit Bußgeldern zwischen wenigen Hundert bis hin zu mehreren Tausend Euro geahndet wurden.
Im ersten Jahr wurden also nur „schwerwiegende“ Verstöße gegen die DSGVO mit hohen Bußgeldern belegt, wobei sich auch diese in einem verhältnismäßig niedrigen Rahmen bewegen, wenn man bedenkt, dass laut DSGVO bei besonders gravierenden Verstößen eine Strafe in Höhe von bis zu 20 Millionen Euro bzw. bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes möglich ist.
Trotz dieser abschreckenden Summe hängen noch viele Unternehmen hinterher, wenn es um die datenschutzkonforme Verarbeitung personenbezogener Daten, die rechtskonforme Nutzung von Diensthandys oder die Auswahl sicherer Passwörter geht. Es ist also höchste Zeit, die Prozesse hinsichtlich des neuen Datenschutzrechts anzupassen und Mitarbeiter dementsprechend anzuweisen. „Das Datenschutz-Paket“ unterstützt Unternehmen dabei. Sie erhalten nicht nur einen Überblick über die Anforderungen der DSGVO und des BDSG, sondern auch Vorlagen zur Umsetzung der Vorgaben und Sensibilisierung der Mitarbeiter.
DSGVO: 2019 wird das Jahr der Kontrollen
Führungskräfte sollten sich jedoch nicht darauf ausruhen, dass die Datenschutzbehörden im ersten Jahr DSGVO vor allem auf Verhältnismäßigkeit gesetzt haben. Wie der Landesdatenschutzbeauftragte von Baden-Württemberg, Dr. Stefan Brink, es bei der Vorstellung seines Tätigkeitsberichts im Januar 2019 formulierte, lag der Schwerpunkt der Tätigkeit der Datenschützer bisher auf der Beratung. Im Jahr 2019 verschiebt sich der Fokus auf die Kontrolle: „Jetzt ist es unsere Aufgabe, den Erfolg unserer Arbeit zu überprüfen", sagte Brink.
Welche Bereiche werden kontrolliert?
Die Kontrollen werden laut Brink insbesondere die Bereiche öffentliche Sicherheit, Verkehr, Kommunales sowie das Gesundheits- und Bildungswesen betreffen. Konkret sollen folgende Punkte im Fokus der Kontrollen stehen:
- städtische und private Videoüberwachung
- Datenspeicherung bei der Polizei
- im Auto generierte Daten
- Ratsinformationssysteme
- Krankenhäuser
- Arztpraxen
- Apotheken
- Versicherungen
- Museen
- Online-Shops (insbesondere Tracking)
Diese Kontrollen werden laut Brink sowohl angekündigt stattfinden, als auch ohne vorherige Ankündigung und stichprobenartig ohne besonderen Anlass. Dennoch will zumindest der Landesdatenschutzbeauftragte von Baden-Württemberg auch im kommenden Jahr auf Beratung setzen: „Strafen werden auch künftig nur bei gravierenden Verstößen und dann ausgesprochen, wenn klare Rechtsverletzungen nicht beseitigt werden.“
Beratung ist weiterhin notwendig
Dieser Ansatz kommt Unternehmen, Behörden und Vereinen entgegen, denn die DSGVO hat viele Rechtsunsicherheiten mit sich gebracht und tut es immer noch. Denkt man an Kuriositäten wie die Klingelschilder, die angeblich nicht mehr datenschutzkonform gewesen waren oder an die Namensschilder von Mitarbeitern, die plötzlich das Persönlichkeitsrecht der betroffenen Person verletzen würden. Gerade das Thema Einwilligung und das sog. „berechtigte Interesse“ werden die Gerichte in der nächsten Zeit beschäftigen.
In jedem Bereich gibt es spezielle Fälle, die erst nach und nach sowie durch Beratung durch die Aufsichtsbehörden geklärt werden. Wichtig ist nur, dass Unternehmen sich rechtzeitig an die Datenschützer wenden und nicht abwarten, bis und ob ein Verstoß auffällt.
Entlastung für Vereine und kleine Unternehmen?
Vereine, die oft ehrenamtlich tätig sind, und kleine Unternehmen, die nicht in großem Maße personenbezogene Daten verarbeiten, nimmt Brink aus der Schusslinie. Diese würden nicht im Fokus der Kontrollen stehen.
Währenddessen fordert das Land Niedersachsen in einem aktuellen Entschließungsantrag, dass kleine Unternehmen und Vereine entlastet und die Regelungen der DSGVO „mittelstandsfreundlicher“ auf nationaler Ebene nachgebessert werden. Das Land fordert u. a., dass
- die Mindestzahl, ab der ein Unternehmen einen Datenschutzbeauftragten benennen muss, von derzeit 10 Mitarbeitern deutlich angehoben wird. Auch für Vereine solle es Ausnahmen geben;
- die Meldefrist bei Verletzung des Schutzes personenbezogener Daten von derzeit 72 Stunden evaluiert wird. Diesen Zeitrahmen hält das Land für zu kurz.
Es gibt bereits Stimmen, die sich gegen eine Nachbesserung zu diesem Zeitpunkt aussprechen. Erst solle die Wirkung der DSGVO abgewartet und die genannten Punkte dann gezielt evaluiert werden.
Ab Mitte 2019 soll die offizielle Evaluierung der DSGVO durch die Europäische Kommission beginnen, zu der es dann einen öffentlichen Bericht geben wird.
Quellen: baden-wuerttemberg.datenschutz.de, Welt am Sonntag, bundesrat.de