Titelbild
27.05.2019

Ein Jahr DSGVO in Deutschland

Seit dem 25. Mai 2018 gilt die EU-DSGVO in den Mitgliedsstaaten der Europäischen Union als direkt anwendbares Recht. Was ist seit Inkrafttreten der Verordnung passiert? Welche Bußgelder wurden bislang verhängt? Worauf müssen Unternehmen besonders achten? Ein Überblick zum aktuellen Status Quo.

Das Portal für Gründer und Unternehmer

DSGVO - Das Wichtigste in Kürze

Seit dem 25. Mai 2018 gilt die EU-DSGVO in den Mitgliedsstaaten der Europäischen Union als direkt anwendbares Recht. Damit besteht ein nunmehr harmonisiertes Datenschutzrecht mit Öffnungsklauseln in einigen Bereichen, die den Nationalstaaten weiterhin einen gewissen Gestaltungsspielraum erlauben. Die EU-DSGVO wird in Deutschland diesbezüglich weiterhin von den ebenfalls im vergangenen Jahr novellierten Bestimmungen des Bundesdatenschutzgesetzes (BDSG) ergänzt.

Die EU-Datenschutzgrundverordnung will maßgeblich das Grundrecht auf informationelle Selbstbestimmung gewährleisten. Jeder soll selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten bestimmen können. Als personenbezogene Daten gelten u.a. Name, Adresse, Lokalisierung, Online-Kennungen, Gesundheitsdaten, Informationen zum Einkommen, Kulturelles Profil etc.

DSGVO - Regeln, Geltungsbereiche, Rechte & Pflichten für Unternehmer

iStock-1025838426

Die EU-Datenschutzgrundverordnung

Seit dem 25. Mai 2018 gilt die EU-DSGVO in den Mitgliedsstaaten der Europäischen Union als direkt anwendbares Recht. Sie ersetzt damit in den grundlegenden Bereichen das bis dato bestehende nationale Datenschutzrecht (z.B. das Bundesdatenschutzgesetz „BDSG“). Nationale Handlungsspielräume sind durch Öffnungsklauseln darüber hinaus weiterhin gegeben.

Für wen gilt die DSGVO?

Die EU-Datenschutzgrundverordnung ist ein Regelwerk für alle in der EU tätigen Unternehmen, egal wo sie ansässig sind.

Die Folgen und Auswirkungen der DSGVO seit ihrem Inkrafttreten

Die Datenschutzbeauftragten der Länder haben seit Ende Mai vergangenen Jahres in 81 Fällen Bußgelder aufgrund von Verstößen gegen die EU-Datenschutzgrundverordnung verhängt. Dies geht aus einer Umfrage der WELT AM SONNTAG unter den betreffenden Behörden hervor. Die Gesamtsumme der Bußgelder beläuft sich demnach auf bislang 485.490 EUR. Daraus ergibt sich eine durchschnittliche Bußgeldhöhe von knapp 6.000 EUR.

Führend im Abmahnprozess ist Baden-Württemberg mit einem Bußgeld in Höhe von 80.000 EUR aufgrund der Veröffentlichung von Gesundheitsdaten im Internet. Außerdem verhängte die Datenschutzbeauftragte in Berlin ein Bußgeld in Höhe von 50.000 EUR gegen eine Bank. Diese hatte unbefugt personenbezogene Daten ehemaliger Kunden weiter verarbeitet.

Das bislang eindrucksvollste Bußgeld der EU-DSGVO und der Geschichte des Datenschutzes überhaupt verhängte die französische Datenschutzbehörde im Januar 2019 gegen den Google-Konzern. Stattliche 50 Mio. EUR musste Google daraufhin aufgrund u.a. folgender Vorwürfe zahlen:

  • “Wesentliche Informationen, wie die Zwecke der Datenverarbeitung, die Aufbewahrungsfristen oder die Kategorien von personenbezogenen Daten, die für die Personalisierung der Anzeigen verwendet werden, sind (bei Google) zu sehr auf mehrere Dokumente verteilt, mit Buttons und Links, auf die geklickt werden muss, um auf zusätzliche Informationen zuzugreifen.“
  • Es liegt keine wirksame Einwilligung der Nutzer für die Verwendung ihrer Daten zu Werbezwecken vor.
  • Beim Einrichten eines neuen Google-Kontos können Nutzer zwar die Einstellungen zur Anzeige von personalisierter Werbung verändern, jedoch ist die Option versteckt und das betreffende Kästchen im Formular bereits vorausgefüllt.

Abmahnmonitor: Was müssen Unternehmen in der Umsetzung der EU-DSGVO beachten?

Im Rahmen der bereits geführten und eingangs exemplarisch genannten Abmahnverfahren standen besonders die folgend genannten Punkte im Zentrum der Kritik.

Zehn fatale Fehler, die du vermeiden musst:

  1. Unzureichende technische und organisatorische Maßnahmen (Systeme und Managementlösungen, die nicht ausschließen können, dass bei einem Hackerangriff auf Kreditkarten- oder andere Kundendaten aus dem Buchungssystem z.B. eines Hotels unbefugt zugegriffen werden könnte; Mängel bei der Speicherung von Passwörtern innerhalb eines sozialen Netzwerkes)
  2. Offenlegung von Gesundheitsdaten im Internet aufgrund unzureichender interner Kontrollmechanismen, oder z.B. Weitergabe an den falschen Patienten durch ein Krankenhaus
  3. Offenlegung von Kontoauszügen gegenüber Unbefugten beim Online-Banking
  4. E-Mail-Adressen im offenen Verteiler
  5. Offenlegung von Daten, die sich auf einen Dritten beziehen durch unbefugte Weitergabe
  6. Datenübergabe an einen Geschäftsnachfolger
  7. Offenlegung von Kundendaten durch Kopie bei Hackerangriff auf einen Online-Shop
  8. Aufzeichnung von Kunden und Arbeitnehmern durch unzulässige Videoüberwachung
  9. Unzulässige Werbe-E-Mails
  10. Unbefugte Verarbeitung personenbezogener Daten ehemaliger Kunden (konkret im Bankensektor abgemahnt)

Welche Daten sind betroffen? Was müssen kleine Unternehmen tun?

Recht und Steuern

Was kleine Unternehmen über die DSGVO wissen müssen

Die neue EU-Datenschutzgrundverordnung (DSGVO) soll personenbezogene Daten von Kunden und Mitarbeitern besser schützen. Ab 25. Mai gilt sie EU-weit ohne Ausnahme und sieht sowohl für die großen Internetkonzerne als auch kleine Unternehmen empfindliche Strafen vor, wenn sie nicht eingehalten wird.

Quo Vadis DSGVO? - Fazit und Ausblick

Eine Flut an E-Mails, unsichere Websitebetreiber mit teils deaktivierten Domains, schwierige Arzttermine im geheimen Flüsterton bis hin zu digitalem Trickbetrug bildeten die Anfangshürden in der alltäglichen Implementierung der EU-Datenschutzgrundverordnung. Darüber hinaus wurde der bürokratische Aufwand innerhalb der Unternehmen vielfach unterschätzt. Die rechtlich adäquate Formulierung neuer Dokumente und neue Dokumentationspflichten zum Datenschutzmanagement bis hin zu "Datenschutz-Folgenabschätzungen" im Fall von besonders risikobehafteten Datenverarbeitungen stellten einen administrativen (Mehr)-Aufwand dar, den insbesondere kleine und mittlere Unternehmen zunächst entsprechend technologisch und personell etablieren mussten.

Dass sich dies lohnt, zeigen aktuelle Entwicklungen auf Gesetzgebungsebene zum Schutz weiterer sensibler Informationen, die für Unternehmer von ganz ureigenem Interesse sind. Wer die EU-DSGVO Richtlinien im vergangenen Jahr bis dato erfolgreich umgesetzt hat, kann künftig auch seine Geschäftsgeheimnisse besser schützen.

Allgemein ist festzuhalten, dass seit Einführung der EU-DSGVO die Sensibilität gegenüber dem Thema Datenschutz in der Bevölkerung stark gestiegen ist. Dies ist im Sinne der Initiatoren für mehr informationelle Selbstbestimmung zu begrüßen. Ein vielfacher Anstieg der Beschwerden bei den Aufsichtsbehörden der Länder gegenüber ihrem Nicht-Gelten ist allerdings durchaus kritisch zu bewerten.

Mehr Informationen zum Thema Datenschutz

iStock-1025838426

Die EU-Datenschutzgrundverordnung

Seit dem 25. Mai 2018 gilt die EU-DSGVO in den Mitgliedsstaaten der Europäischen Union als direkt anwendbares Recht. Sie ersetzt damit in den grundlegenden Bereichen das bis dato bestehende nationale Datenschutzrecht (z.B. das Bundesdatenschutzgesetz „BDSG“). Nationale Handlungsspielräume sind durch Öffnungsklauseln darüber hinaus weiterhin gegeben.

iStock-590152382

Das neue Geschäftsgeheimnisgesetz

Das neue Geschäftsgeheimnisgesetz gilt ab sofort ohne Übergangsfrist. Unternehmen müssen jetzt ihre Geschäftsgeheimnisse angemessen schützen. Tun Sie das nicht, droht im schlimmsten Fall der ungestrafte Diebstahl sensibler Informationen. Ein Handlungsleitfaden.

Crypto

Digitalisierung

Tiefgreifende Veränderungen von Wirtschaft und Gesellschaft durch digitale Technologien - die digitale Transformation ist ein struktureller Veränderungsprozess eines Unternehmens und eine der wichtigsten Führungsaufgaben der kommenden Jahre. Künstliche Intelligenz, Big Data, neue Geschäftsmodelle und Arbeitswelten: Hier erfährst du alles rund um digitale Themen und Potenziale für dein Unternehmen.

Über den Autor
Kathleen Händel

Kathleen Händel

Kathleen schreibt seit 2018 im Magazin von Unternehmenswelt. Neue Ideen und Konzepte, disruptive Technologien und nachhaltiges Unternehmertum bilden ihre Interessenschwerpunkte. Zuvor war Kathleen als Content Creator für die Social StartUp-Szene, verschiedene Stiftungen und Kommunikationsagenturen tätig. Seit 2019 recherchiert die studierte Kulturwissenschaftlerin für dich alle Fakten und Zusammenhänge, die du in deinem Tagesgeschäft brauchst.