de en
Nexia Ebner Stolz

Rechtsberatung

Ein Jahr DSGVO: Handlungsbedarf vor allem beim Schutz personenbezogener Daten

Seit über einem Jahr greift die Da­ten­schutz­grund­ver­ord­nung (DS­GVO) und die Auf­re­gung über die neuen Vor­ga­ben hat sich et­was ge­legt. Er­freu­lich ist, dass die Auf­sichts­behörden nicht in Ak­tio­nis­mus aus­ge­bro­chen sind.

Sie wa­ren viel­mehr ih­rer­seits mit der Klärung vie­ler of­fe­ner Fra­gen be­schäftigt. Auch ist die befürch­tete großflächige Ab­mahn­welle durch Wett­be­wer­ber oder Ver­brau­cher­schutz­or­ga­ni­sa­tio­nen aus­ge­blie­ben. Den­noch hat die DS­GVO einen Nerv ge­trof­fen, wie die er­heb­lich ge­stie­ge­nen An­fra­gen und Be­schwer­den von Be­trof­fe­nen bei Un­ter­neh­men und Auf­sichts­behörden zei­gen.

Ein Jahr DSGVO: Handlungsbedarf vor allem beim Schutz personenbezogener Daten© Unsplash

Dies führt dazu, dass in vie­len Un­ter­neh­men wei­ter­hin eine ge­wisse Ver­un­si­che­rung be­steht. Ins­be­son­dere klei­nere Be­triebe kämp­fen noch im­mer mit ei­ner Flut an An­for­de­run­gen und Do­ku­men­ta­ti­ons­ar­beit. Hier leis­ten mit­un­ter die Behörden Un­terstützung, klären auf und ge­ben Tipps, wie nach bestmögli­cher Pra­xis mit per­so­nen­be­zo­ge­nen Da­ten um­zu­ge­hen ist und wel­che Maßnah­men um­zu­set­zen sind.

Un­ter­neh­men sind in­so­weit auch gut be­ra­ten, die Um­set­zung der DS­GVO vor­an­zu­trei­ben, denn die DS­GVO ist kein Pa­pier­ti­ger: In­zwi­schen wer­den auch von den deut­schen Auf­sichts­behörden Sank­tio­nen verhängt, wenn auch noch in über­schau­ba­rer Höhe. So wurde ge­gen ein Chat­por­tal ein Bußgeld von 20.000 Euro fest­ge­setzt. Es ging um eine Da­ten­panne, bei der zwei Mil­lio­nen An­mel­de­da­ten öff­ent­lich be­kannt wur­den, in de­nen Passwörter im Klar­text zu le­sen wa­ren. Nur weil das Un­ter­neh­men sich sehr ko­ope­ra­tiv zeigte und An­for­de­run­gen der Behörden schnell um­setzte, wurde kein höheres Bußgeld auf­er­legt. Für ein Da­ten­leck im Ge­sund­heits­be­reich setzte der Lan­des­be­auf­tragte für Da­ten­schutz und In­for­ma­ti­ons­frei­heit Ba­den-Würt­tem­berg ein Bußgeld in Höhe von 80.000 Euro fest. Hier wa­ren ver­se­hent­lich be­son­ders sen­si­ble In­for­ma­tio­nen im In­ter­net frei zugäng­lich.

Von Sei­ten der EU-Kom­mis­sion wird al­ler­dings eine strin­gente Um­set­zung so­wie ein Aus­schöpfen der Bußgeld­ka­ta­loge von bis zu 20 Mio. Euro oder 4 % des welt­wei­ten Jah­res­um­sat­zes er­war­tet – je nach­dem, wel­cher Wert der höhere ist. Selbst „for­male“ Feh­ler können recht hoch sank­tio­niert wer­den. So wur­den in an­de­ren EU-Mit­glied­staa­ten be­reits deut­lich höhere Bußgelder verhängt. So hat die französi­sche Da­ten­schutz­behörde CNIL dem In­ter­net­kon­zern Google eine Straf­zah­lung in Höhe von 50 Mio. Euro auf­er­legt, weil die Nut­zer in den Da­ten­schutz­erklärun­gen nicht trans­pa­rent und aus­rei­chend in­for­miert wer­den, was ge­nau mit ih­ren Da­ten pas­siert. Außer­dem habe Google teil­weise Da­ten trotz un­wirk­sa­mer Ein­wil­li­gun­gen sei­ner Nut­zer ver­wen­det. Ein Kran­ken­haus bei Lis­sa­bon er­hielt ein Bußgeld von 400.000 Euro von der por­tu­gie­si­schen Auf­sichts­behörde CNPD auf­er­legt: Un­ter an­de­rem, weil zu viele Per­so­nen Zu­griff auf Pa­ti­en­ten­da­ten hat­ten. So wa­ren alle 985 User mit dem Pro­fil „Arzt“ im Kran­ken­haus­in­for­ma­ti­ons­sys­tem hin­ter­legt, ob­wohl dort nur 296 Ärzte be­schäftigt sind. All diese Fälle zei­gen, der Schutz per­so­nen­be­zo­ge­ner Da­ten spielt eine zen­trale Rolle bei der Um­set­zung der DS­GVO in einem di­gi­ta­len Zeit­al­ter.

Ins­ge­samt zeigt sich al­ler­dings ein ge­wan­del­tes Be­wusst­sein der Un­ter­neh­men für den Schutz per­so­nen­be­zo­ge­ner Da­ten. Viele se­hen das Po­ten­zial für Pro­zess­ver­bes­se­run­gen. Die­ses liegt in der Über­schnei­dung von An­for­de­run­gen des Da­ten­schut­zes und der IT-Si­cher­heit. Dar­aus er­ge­ben sich auch Syn­er­gie­ef­fekte. Ei­nige As­pekte des neuen Rechts las­sen sich mit über­schau­ba­rem Auf­wand in die Pra­xis um­set­zen, etwa Ver­ein­ba­run­gen mit Auf­trags­ver­ar­bei­tern oder die In­for­ma­tion von Kun­den, Be­schäftig­ten oder Dienst­leis­tern durch Da­ten­schutz­erklärun­gen. Vor al­lem Soft­ware­an­bie­ter oder Be­trei­ber von Re­chen­zen­tren er­ken­nen einen Wett­be­werbs­vor­teil darin, wenn sie sich zukünf­tig im Hin­blick auf die Da­ten­si­cher­heit zer­ti­fi­zie­ren las­sen und so das Ver­trauen Ih­rer Kun­den im Ver­gleich zur in­ter­na­tio­na­ler Kon­kur­renz ge­win­nen.

Hinweis

Die DS­GVO ist bei Un­ter­neh­men, Be­trof­fe­nen und Auf­sichts­behörden an­ge­kom­men. Un­ter­neh­men soll­ten des­halb mit der Um­set­zung nicht war­ten, bis noch be­ste­hende Zwei­fels­fra­gen im Um­gang mit der DS­GVO ab­schließend geklärt sind. Der­zeit le­gen die Lan­des­da­ten­schutz­be­auf­trag­ten ein be­son­de­res Au­gen­merk auf On­line-Tracking, di­gi­tale Wer­bung so­wie die Erfüllung der In­for­ma­ti­ons- und Mel­de­pflich­ten. Kri­ti­sch geprüft wird auch der Um­gang mit sen­si­blen In­for­ma­tio­nen, etwa wenn Ge­sund­heits­da­ten für die On­line-Ter­min­ver­ein­ba­rung bei Ärz­ten ein­ge­ge­ben wer­den. Ge­rade in die­sen Be­rei­chen soll­ten Un­ter­neh­men ihre Haus­auf­ga­ben ge­macht ha­ben oder zügig nach­ho­len.

nach oben