de en
Nexia Ebner Stolz

Rechtsberatung

Ein Jahr DSGVO: Handlungsbedarf vor allem beim Schutz personenbezogener Daten

Seit über einem Jahr greift die Datenschutzgrundverordnung (DSGVO) und die Aufregung über die neuen Vorgaben hat sich etwas gelegt. Erfreulich ist, dass die Aufsichtsbehörden nicht in Aktionismus ausgebrochen sind.

Sie waren viel­mehr ihrer­seits mit der Klär­ung vie­ler offe­ner Fra­gen beschäf­tigt. Auch ist die befürch­tete groß­flächige Abmahn­welle durch Wett­be­wer­ber oder Ver­brau­cher­schutz­or­ga­ni­sa­tio­nen aus­ge­b­lie­ben. Den­noch hat die DSGVO einen Nerv getrof­fen, wie die erheb­lich ges­tie­ge­nen Anfra­gen und Beschwer­den von Betrof­fe­nen bei Unter­neh­men und Auf­sichts­be­hör­den zei­gen.

Ein Jahr DSGVO: Handlungsbedarf vor allem beim Schutz personenbezogener Daten© Unsplash

Dies führt dazu, dass in vie­len Unter­neh­men wei­ter­hin eine gewisse Ver­un­si­che­rung besteht. Ins­be­son­dere klei­nere Betriebe kämp­fen noch immer mit einer Flut an Anfor­de­run­gen und Doku­men­ta­ti­ons­ar­beit. Hier leis­ten mit­un­ter die Behör­den Unter­stüt­zung, klä­ren auf und geben Tipps, wie nach best­mög­li­cher Pra­xis mit per­so­nen­be­zo­ge­nen Daten umzu­ge­hen ist und wel­che Maß­nah­men umzu­set­zen sind.

Unter­neh­men sind inso­weit auch gut bera­ten, die Umset­zung der DSGVO vor­an­zu­t­rei­ben, denn die DSGVO ist kein Papier­ti­ger: Inzwi­schen wer­den auch von den deut­schen Auf­sichts­be­hör­den Sank­tio­nen ver­hängt, wenn auch noch in über­schau­ba­rer Höhe. So wurde gegen ein Chat­por­tal ein Buß­geld von 20.000 Euro fest­ge­setzt. Es ging um eine Daten­panne, bei der zwei Mil­lio­nen Anmel­de­da­ten öff­ent­lich bekannt wur­den, in denen Pass­wör­ter im Klar­text zu lesen waren. Nur weil das Unter­neh­men sich sehr koope­ra­tiv zeigte und Anfor­de­run­gen der Behör­den sch­nell umsetzte, wurde kein höhe­res Buß­geld auf­er­legt. Für ein Daten­leck im Gesund­heits­be­reich setzte der Lan­des­be­auf­tragte für Daten­schutz und Infor­ma­ti­ons­f­rei­heit Baden-Würt­tem­berg ein Buß­geld in Höhe von 80.000 Euro fest. Hier waren ver­se­hent­lich beson­ders sen­si­ble Infor­ma­tio­nen im Inter­net frei zugäng­lich.

Von Sei­ten der EU-Kom­mis­sion wird aller­dings eine strin­gente Umset­zung sowie ein Aus­sc­höp­fen der Buß­geld­ka­ta­loge von bis zu 20 Mio. Euro oder 4 % des welt­wei­ten Jah­re­s­um­sat­zes erwar­tet – je nach­dem, wel­cher Wert der höhere ist. Selbst „for­ma­le“ Feh­ler kön­nen recht hoch sank­tio­niert wer­den. So wur­den in ande­ren EU-Mit­g­lied­staa­ten bereits deut­lich höhere Buß­gel­der ver­hängt. So hat die fran­zö­si­sche Daten­schutz­be­hörde CNIL dem Inter­net­kon­zern Google eine Straf­zah­lung in Höhe von 50 Mio. Euro auf­er­legt, weil die Nut­zer in den Daten­schutz­er­klär­un­gen nicht tran­s­pa­rent und aus­rei­chend infor­miert wer­den, was genau mit ihren Daten pas­siert. Außer­dem habe Google teil­weise Daten trotz unwirk­sa­mer Ein­wil­li­gun­gen sei­ner Nut­zer ver­wen­det. Ein Kran­ken­haus bei Liss­a­bon erhielt ein Buß­geld von 400.000 Euro von der por­tu­gie­si­schen Auf­sichts­be­hörde CNPD auf­er­legt: Unter ande­rem, weil zu viele Per­so­nen Zugriff auf Pati­en­ten­da­ten hat­ten. So waren alle 985 User mit dem Pro­fil „Arzt“ im Kran­ken­haus­in­for­ma­ti­ons­sys­tem hin­ter­legt, obwohl dort nur 296 Ärzte beschäf­tigt sind. All diese Fälle zei­gen, der Schutz per­so­nen­be­zo­ge­ner Daten spielt eine zen­trale Rolle bei der Umset­zung der DSGVO in einem digi­ta­len Zei­tal­ter.

Ins­ge­s­amt zeigt sich aller­dings ein gewan­del­tes Bewusst­sein der Unter­neh­men für den Schutz per­so­nen­be­zo­ge­ner Daten. Viele sehen das Poten­zial für Pro­zess­ver­bes­se­run­gen. Die­ses liegt in der Über­schnei­dung von Anfor­de­run­gen des Daten­schut­zes und der IT-Sicher­heit. Dar­aus erge­ben sich auch Syn­er­gie­ef­fekte. Einige Aspekte des neuen Rechts las­sen sich mit über­schau­ba­rem Auf­wand in die Pra­xis umset­zen, etwa Ver­ein­ba­run­gen mit Auf­trags­ver­ar­bei­tern oder die Infor­ma­tion von Kun­den, Beschäf­tig­ten oder Dienst­leis­tern durch Daten­schutz­er­klär­un­gen. Vor allem Soft­wa­re­an­bie­ter oder Bet­rei­ber von Rechen­zen­t­ren erken­nen einen Wett­be­werbs­vor­teil darin, wenn sie sich zukünf­tig im Hin­blick auf die Daten­si­cher­heit zer­ti­fi­zie­ren las­sen und so das Ver­trauen Ihrer Kun­den im Ver­g­leich zur inter­na­tio­na­ler Kon­kur­renz gewin­nen.

Hin­weis

Die DSGVO ist bei Unter­neh­men, Betrof­fe­nen und Auf­sichts­be­hör­den ange­kom­men. Unter­neh­men soll­ten des­halb mit der Umset­zung nicht war­ten, bis noch beste­hende Zwei­fels­fra­gen im Umgang mit der DSGVO absch­lie­ßend geklärt sind. Der­zeit legen die Lan­des­da­ten­schutz­be­auf­trag­ten ein beson­de­res Augen­merk auf Online-Tra­cking, digi­tale Wer­bung sowie die Erfül­lung der Infor­ma­ti­ons- und Mel­depf­lich­ten. Kri­tisch geprüft wird auch der Umgang mit sen­si­b­len Infor­ma­tio­nen, etwa wenn Gesund­heits­da­ten für die Online-Ter­min­ve­r­ein­ba­rung bei Ärz­ten ein­ge­ge­ben wer­den. Gerade in die­sen Berei­chen soll­ten Unter­neh­men ihre Haus­auf­ga­ben gemacht haben oder zügig nach­ho­len.

nach oben