Seit dem 25. Mai 2018 gilt sie nun – die Datenschutz-Grundverordnung („DSGVO“). Sie erzeugte hohe mediale Aufmerksamkeit und stärkte das Bewusstsein für Datenschutz in der Bevölkerung. Zugleich verursachte sie bei Unternehmen einen hohen Aufwand, um die geforderten Compliance-Maßnahmen umzusetzen. Was sich bislang getan hat und was Unternehmen in punkto DSGVO künftig im Blick haben sollten.
Lokale Datenschutzgesetze in EU-Mitgliedstaaten
Die DSGVO gilt in den EU-Mitgliedstaaten als Verordnung unmittelbar. Dennoch enthält sie mehr als 50 sog. Öffnungsklauseln. Diese verpflichten oder berechtigen die EU-Mitgliedstaaten, lokale Datenschutzgesetze zu bestimmten Bereichen zu erlassen.
In Deutschland trat zeitglich mit Geltung der DSGVO das neue Bundesdatenschutzgesetz in Kraft (siehe hierzu unseren Kompass Beitrag „Was Sie zum neuen Bundesdatenschutzgesetz wissen sollten“). Inzwischen haben laut Europäischer Kommission 25 der 28 EU-Mitgliedstaaten nationale Datenschutzgesetze erlassen.
Die zusätzlichen, unterschiedlichen lokalen Datenschutzgesetze in den EU-Mitgliedstaaten stellen v.a. multinationale Unternehmen vor weitere Herausforderungen.
Zahlreiche Stellungnahmen der Datenschutzbehörden
Der Europäische Datenschutzausschuss soll die einheitliche Anwendung der DSGVO in den EU-Mitgliedsaaten sicherstellen. Dieser veröffentlichte eine Reihe von Leitlinien und anderen Dokumenten zu verschiedenen Aspekten der DSGVO. Diese sollen als Orientierung dienen, wie die DSGVO auszulegen ist, und zu einer einheitlichen Anwendung der Verordnung beitragen.
Auch die Datenschutzbehörden der EU-Mitgliedstaaten veröffentlichten zahlreiche Stellungnahmen und Orientierungshilfen zur Auslegung der DSGVO – z.B. in Deutschland die Datenschutzkonferenz (siehe hierzu unseren Kompass Beitrag „Neues Kurzpapier der Datenschutzkonferenz – Gemeinsam für die Verarbeitung Verantwortliche“).
Anfragen und Beschwerden bei Datenschutzbehörden signifikant gestiegen
Seit die DSGVO gilt, sind die Anfragen und Beschwerden bei den Datenschutzbehörden signifikant angestiegen (siehe z.B. Tätigkeitsbericht des Bayerischen Landesamtes für Datenschutzaufsicht).
Laut der Europäischen Kommission stellten Individuen seit dem 25. Mai 2018 bei den Datenschutzbehörden der EU-Mitgliedstaaten fast 145.000 Anfragen und Beschwerden. Die häufigsten Gründe für Beschwerden sind hierbei Telemarketing, Direktmarketing und Videoüberwachung.
Die Anzahl der Beschwerden ist zwar neu. Doch die häufigsten Gründe hierfür sind altbekannte, die auch schon zu Beschwerden geführt haben, bevor die DSGVO galt.
Datenpannen signifikant angestiegen
Unter der DSGVO wurde die Schwelle abgesenkt, wann ein Unternehmen eine Verletzung des Schutzes personenbezogener Daten (kurz: Datenpannen) melden muss.
Die Definition von „Verletzung des Schutzes personenbezogener Daten“ ist weit. Ein Unternehmen muss laut DSGVO innerhalb von 72 Stunden, nachdem eine Verletzung des Schutzes personenbezogener Daten bekannt wurde, diese der zuständigen Datenschutzbehörde melden – es sei denn, dass es voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Die Folge: Die Meldungen von Datenpannen haben sich signifikant erhöht. Laut Europäischer Kommission wurden EU-weit bei den lokalen Datenschutzbehörden mehr als 89.000 Datenpannen gemeldet, seitdem die DSGVO gilt.
Kontrollen der Datenschutzbehörden
Die Datenschutzbehörden handeln nicht nur anlassabhängig, also z.B. bei einer Beschwerde oder Datenpanne, sondern auch unabhängig vom Anlass.
Die DSGVO verleiht den Datenschutzbehörden verschiedene Untersuchungsbefugnisse, u.a. die Befugnis, von Unternehmen Informationen anzufordern und Untersuchungen in Form von Datenschutzüberprüfungen. Einige Monate nach Geltung der DSGVO veröffentlichten einige Datenschutzbehörden die ersten Kontrollmaßnahmen.
Die Datenschutzbehörden von Niedersachsen und Bayern prüften anlassunabhängig, ob Unternehmen die DSGVO eingehalten haben (siehe hierzu unseren Kompass Beitrag „Deutsche Datenschutzbehörden starten stichprobenartige Prüfungen in Sachen DSGVO“).
Die Landesbeauftragte für den Datenschutz Niedersachsen verschickte in einer branchenübergreifenden Querschnittsprüfung an 50 Unternehmen unterschiedlicher Größe Fragebögen zu verschiedenen Bereichen des Datenschutzes. Das Bayerische Landesamt für Datenschutzaufsicht untersuchte u.a. Websites mit großer Reichweite. Es stellte hierbei im Umgang mit Passwörtern und Tracking-Werkzeugen zahlreiche Defizite fest.
Man kann davon ausgehen, dass es künftig vermehrt anlassunabhängige Datenschutzprüfungen der Datenschutzbehörden geben wird.
Bußgelder verhängt
Die ersten Bußgelder wurden bereits verhängt. Unter der DSGVO können die Datenschutzbehörden Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen.
In Deutschland verhängte der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg gegen ein soziales Netzwerk ein Bußgeld in Höhe von 20.000 Euro. Der Grund: Es habe gegen die Pflicht verstoßen, die Sicherheit personenbezogener Daten zu gewährleisten.
Das Unternehmen hatte eine Datenpanne gemeldet. Bei dieser wurden durch einen Hacker-Angriff personenbezogene Daten (inkl. Passwörter und E-Mail-Adressen) von ca. 330.000 Nutzern gestohlen und veröffentlicht. Dadurch kam ans Licht, dass die Passwörter der Kunden unverschlüsselt gespeichert wurden.
Bei der Entscheidung über die Höhe des Bußgelds würdigte die Datenschutzbehörde als positiv, dass der Anbieter mit der Datenschutzbehörde zusammenarbeitete und die IT-Sicherheit erheblich verbesserte.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verhängte für die verspätete Meldung einer Datenpanne und die fehlende Benachrichtigung der Betroffenen ein Bußgeld in Höhe von 20.000 Euro.
Auch in anderen EU-Mitgliedstaaten wurden Bußgelder verhängt: So z.B. in Österreich in Höhe von 5.000 Euro für die Videoüberwachung vor dem Gebäude. Diese erfasste erhebliche Teile des öffentlichen Weges, ohne entsprechend zu informieren. Die französische Datenschutzbehörde – die CNIL – verhängte das bislang höchste Bußgeld in Höhe von 50 Millionen Euro.
Es wird sich zeigen, wie sich die Verhängung von Bußgeldern weiter entwickelt und ob die Datenschutzbehörden der EU-Mitgliedstaaten die Höhe der Bußgelder vereinheitlichen.
Datenschutz-Compliance Programm einführen und weiterentwickeln
Nach einem Jahr DSGVO gilt es abzuwarten, wie sich die DSGVO und die lokalen Datenschutzgesetze in der Praxis bewähren, v.a., wie die Datenschutzbehörden und Gerichte die DSGVO und die nationalen Datenschutzgesetze auslegen.
Allerdings zeigt das erste Jahr auch: Unternehmen müssen die DSGVO ernst nehmen. Datenschutz ist zu einem großen Compliance-Risikofeld geworden. Unternehmen sind deshalb gut beraten, ein angemessenes Datenschutz-Compliance-Programm einzuführen und es kontinuierlich weiterzuentwickeln.
