Ein Jahr DSGVO in Deutschland

DSGVO - Das Wichtigste in Kürze

Seit dem 25. Mai 2018 gilt die EU-DSGVO in den Mitgliedsstaaten der Europäischen Union als direkt anwendbares Recht. Damit besteht ein nunmehr harmonisiertes Datenschutzrecht mit Öffnungsklauseln in einigen Bereichen, die den Nationalstaaten weiterhin einen gewissen Gestaltungsspielraum erlauben. Die EU-DSGVO wird in Deutschland diesbezüglich weiterhin von den ebenfalls im vergangenen Jahr novellierten Bestimmungen des Bundesdatenschutzgesetzes (BDSG) ergänzt.

Die EU-Datenschutzgrundverordnung will maßgeblich das Grundrecht auf informationelle Selbstbestimmung gewährleisten. Jeder soll selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten bestimmen können. Als personenbezogene Daten gelten u.a. Name, Adresse, Lokalisierung, Online-Kennungen, Gesundheitsdaten, Informationen zum Einkommen, Kulturelles Profil etc.

Für wen gilt die DSGVO?

Die EU-Datenschutzgrundverordnung ist ein Regelwerk für alle in der EU tätigen Unternehmen, egal wo sie ansässig sind.

Die Folgen und Auswirkungen der DSGVO seit ihrem Inkrafttreten

Die Datenschutzbeauftragten der Länder haben seit Ende Mai vergangenen Jahres in 81 Fällen Bußgelder aufgrund von Verstößen gegen die EU-Datenschutzgrundverordnung verhängt. Dies geht aus einer Umfrage der WELT AM SONNTAG unter den betreffenden Behörden hervor. Die Gesamtsumme der Bußgelder beläuft sich demnach auf bislang 485.490 EUR. Daraus ergibt sich eine durchschnittliche Bußgeldhöhe von knapp 6.000 EUR.

Führend im Abmahnprozess ist Baden-Württemberg mit einem Bußgeld in Höhe von 80.000 EUR aufgrund der Veröffentlichung von Gesundheitsdaten im Internet. Außerdem verhängte die Datenschutzbeauftragte in Berlin ein Bußgeld in Höhe von 50.000 EUR gegen eine Bank. Diese hatte unbefugt personenbezogene Daten ehemaliger Kunden weiter verarbeitet.

Das bislang eindrucksvollste Bußgeld der EU-DSGVO und der Geschichte des Datenschutzes überhaupt verhängte die französische Datenschutzbehörde im Januar 2019 gegen den Google-Konzern. Stattliche 50 Mio. EUR musste Google daraufhin aufgrund u.a. folgender Vorwürfe zahlen:

• “Wesentliche Informationen, wie die Zwecke der Datenverarbeitung, die Aufbewahrungsfristen oder die Kategorien von personenbezogenen Daten, die für die Personalisierung der Anzeigen verwendet werden, sind (bei Google) zu sehr auf mehrere Dokumente verteilt, mit Buttons und Links, auf die geklickt werden muss, um auf zusätzliche Informationen zuzugreifen.“
• Es liegt keine wirksame Einwilligung der Nutzer für die Verwendung ihrer Daten zu Werbezwecken vor.
• Beim Einrichten eines neuen Google-Kontos können Nutzer zwar die Einstellungen zur Anzeige von personalisierter Werbung verändern, jedoch ist die Option versteckt und das betreffende Kästchen im Formular bereits vorausgefüllt.

Abmahnmonitor: Was müssen Unternehmen in der Umsetzung der EU-DSGVO beachten?

Im Rahmen der bereits geführten und eingangs exemplarisch genannten Abmahnverfahren standen besonders die folgend genannten Punkte im Zentrum der Kritik.

Zehn fatale Fehler, die du vermeiden musst:

1. Unzureichende technische und organisatorische Maßnahmen (Systeme und Managementlösungen, die nicht ausschließen können, dass bei einem Hackerangriff auf Kreditkarten- oder andere Kundendaten aus dem Buchungssystem z.B. eines Hotels unbefugt zugegriffen werden könnte; Mängel bei der Speicherung von Passwörtern innerhalb eines sozialen Netzwerkes)
2. Offenlegung von Gesundheitsdaten im Internet aufgrund unzureichender interner Kontrollmechanismen, oder z.B. Weitergabe an den falschen Patienten durch ein Krankenhaus
3. Offenlegung von Kontoauszügen gegenüber Unbefugten beim Online-Banking
4. E-Mail-Adressen im offenen Verteiler
5. Offenlegung von Daten, die sich auf einen Dritten beziehen durch unbefugte Weitergabe
6. Datenübergabe an einen Geschäftsnachfolger
7. Offenlegung von Kundendaten durch Kopie bei Hackerangriff auf einen Online-Shop
8. Aufzeichnung von Kunden und Arbeitnehmern durch unzulässige Videoüberwachung
9. Unzulässige Werbe-E-Mails
10. Unbefugte Verarbeitung personenbezogener Daten ehemaliger Kunden (konkret im Bankensektor abgemahnt)

Quo Vadis DSGVO? - Fazit und Ausblick

Eine Flut an E-Mails, unsichere Websitebetreiber mit teils deaktivierten Domains, schwierige Arzttermine im geheimen Flüsterton bis hin zu digitalem Trickbetrug bildeten die Anfangshürden in der alltäglichen Implementierung der EU-Datenschutzgrundverordnung. Darüber hinaus wurde der bürokratische Aufwand innerhalb der Unternehmen vielfach unterschätzt. Die rechtlich adäquate Formulierung neuer Dokumente und neue Dokumentationspflichten zum Datenschutzmanagement bis hin zu "Datenschutz-Folgenabschätzungen" im Fall von besonders risikobehafteten Datenverarbeitungen stellten einen administrativen (Mehr)-Aufwand dar, den insbesondere kleine und mittlere Unternehmen zunächst entsprechend technologisch und personell etablieren mussten.

Dass sich dies lohnt, zeigen aktuelle Entwicklungen auf Gesetzgebungsebene zum Schutz weiterer sensibler Informationen, die für Unternehmer von ganz ureigenem Interesse sind. Wer die EU-DSGVO Richtlinien im vergangenen Jahr bis dato erfolgreich umgesetzt hat, kann künftig auch seine Geschäftsgeheimnisse besser schützen.

Allgemein ist festzuhalten, dass seit Einführung der EU-DSGVO die Sensibilität gegenüber dem Thema Datenschutz in der Bevölkerung stark gestiegen ist. Dies ist im Sinne der Initiatoren für mehr informationelle Selbstbestimmung zu begrüßen. Ein vielfacher Anstieg der Beschwerden bei den Aufsichtsbehörden der Länder gegenüber ihrem Nicht-Gelten ist allerdings durchaus kritisch zu bewerten.