Am 25.05.2018 kam die EU-Datenschutz-Grundverordnung (DSGVO) zur Geltung. Ein Jahr begleitet sie uns daher nun bereits aktiv. In diesem einen Jahr ist seither einiges passiert. Viele Unklarheiten und Mythen umgaben und umgeben die DSGVO. Was ist also dran an dieser DSGVO?
Die Schlagzeilen der Zeitungen waren voll davon, befeuerten zum Teil die Ängste. Privat kam man vor einem Jahr am ehesten in Kontakt mit der DSGVO, weil das eigene E-Mail-Postfach voll war mit Nachrichten von Unternehmen, die mit Hinweis auf die DSGVO plötzlich eine (weitere) Einwilligung einholen wollten.
Die Unsicherheit war groß, so lässt sich das vergangene Jahr mit der DSGVO wohl am besten zusammenfassen. Dies zeigt nicht nur die tägliche Beratungspraxis, sondern auch die eine oder andere öffentlich bekannt gewordene Geschichte aus den vergangenen 365 Tagen.
Man denke nur an die Ankündigung aus Wien, dass über 200.000 Klingelschilder ausgetauscht werden sollten, um die Verwendung von Namen zu vermeiden, denn schließlich verstieße dies gegen die DSGVO. Die Angst vor Millionenbußgeldern führte zu entsprechendem Aktionismus und dazu, dass dieser Sachverhalt als „#klingelgate“ in die neuere Datenschutz-Geschichte eingeht.
Aufgrund von massiven Unsicherheiten wurden in Erinnerungsbüchern einer Kindertagesstätte zum Abschied bei Ende der Kindergartenzeit auf Bildern die Gesichter der Freunde und Erzieher/innen geschwärzt, zu lesen in der Hamburger Morgenpost vom 02.08.2018. Gruppenbilder sollte es darüber hinaus gar nicht mehr geben. All dies, obwohl es Einwilligungen der Eltern gab.
Weiterhin war etwa zu lesen, dass bereits der Austausch von Visitenkarten einen Verstoß gegen die DSGVO darstelle, wenn die Übergabe nicht unmittelbar begleitet würde von entsprechenden Datenschutzhinweisen über die Verarbeitung der erhaltenen Daten. Dies berichtete „Die Welt“ am 15.05.2018.
Eine Arztpraxis in Mainz ging sogar so weit ihre Patienten und Patientinnen bestätigen zu lassen „die neue Datenschutz-Grundverordnung erhalten und gelesen zu haben, sowie deren Bedingungen zu akzeptieren.“ Natürlich gilt die DSGVO unabhängig davon, ob man damit einverstanden ist oder diese auch nur gelesen hat.
Zwar betreffen jene kleinen Geschichten durchaus Themen der DSGVO. Die vermeintlich aufgezeigten Probleme, der Umgang mit diesen und die hier teilweise gewählten Lösungen sind jedoch eindeutig weniger dem Regelungsregime der DSGVO geschuldet als vielmehr diesbezüglichen Unsicherheiten und fehlenden Kenntnissen.
Datenschutz ist, das war bereits vor Geltung der DSGVO nicht anders, ein wichtiges und teilweise sehr komplexes Thema für alle Unternehmen. Gerade dort, wo besonders sensible Daten verarbeitet werden – wie etwa in der Arztpraxis, der Physiotherapie, der Pflege und teilweise in Fitnessstudios – ist eine besondere Sensibilität für die Belange des Datenschutzes angebracht. Bildschirme, die so aufgestellt sind, dass jeder Besucher Daten anderer Patienten einsehen kann, sollten ebenso der Vergangenheit angehören wie öffentlich zugängliche (unbeaufsichtigte) Stapel von Patientenakten.
Eine Umfrage der cobra GmbH, einem spezialisierten CRM-Unternehmen aus Konstanz, zum Jahreswechsel 2018/2019 (www.cobra.de/blitzumfrage) hat ergeben, dass lediglich knapp 20 Prozent der befragten Unternehmen davon ausgehen die Vorgaben der DSGVO bereits vollständig einzuhalten. Die Umfrage zeigte insbesondere auf, dass hinsichtlich der Umsetzung der DSGVO noch ein weiter Weg vor den meisten Unternehmen liegt.
Betroffene kennen ihre Rechte besser
Nicht ausschließlich durch die mediale Berichterstattung kennen von Datenverarbeitungen betroffene Personen zunehmend ihre Rechte, insbesondere im Vergleich zu dem Zeitraum vor Geltung der DSGVO. Diese Rechte fordern sie letztlich auch ein. Es wächst die grundsätzliche Sensibilität für datenschutzrechtliche Themen.
Dies zeigt nicht zuletzt die Anzahl von EU-weit 150.000 Beschwerden betroffener Personen bei den zuständigen Behörden im vergangenen Jahr, wie Spiegel Online in einem Artikel vom 22.05.2019 berichtet (https://www.spiegel.de/netzwelt/netzpolitik/dsgvo-jahresbilanz-fast-150-000-beschwerden-wegen-datenschutzverstoessen-a-1268745.html).
Die meisten Beschwerden habe es hiernach aufgrund von Werbeanrufen, Werbemails und Videoüberwachungssystemen gegeben. Das verwundert letztlich nicht, sind dies doch diejenigen Maßnahmen, die betroffene Personen gerade auch im privaten Umfeld unmittelbar belästigen könnten.
Verfahren und Bußgelder
Aufgrund der schieren Anzahl von Beschwerden, wenngleich sich die genannte Zahl als EU-weite Statistik versteht, erstaunt es nicht, dass man von einer entsprechenden Überlastung der Aufsichtsbehörden ausgehen darf.
Bei uns herrscht Land unter. Wir kommen nicht mehr hinterher, was die Fülle der Aufgaben angeht.
so Sachsen-Anhalts Datenschützer Harald von Bose, Artikel „In Sachsen-Anhalts Datenschutzbehörde herrscht „Land unter““ in: Volksstimme vom 27.05.2019
Das dürfte eher die Regel als die Ausnahme bei den Aufsichtsbehörden sein. Personalmangel ist sicherlich einer der Gründe.
Die DSGVO ließ insbesondere die Angst umgehen vor Millionen-Bußgeldern. Ein Bericht von „Die Welt“ zeigt, dass diese bislang ausgeblieben sind. Eine Umfrage von „WELT AM SONNTAG“ bei den Aufsichtsbehörden habe ergeben, dass seit Mai vergangenen Jahres in 81 Fällen Bußgelder wegen Verstößen verhängt worden seien in einer Gesamthöhe von 485.490 Euro, was einem durchschnittlichen Bußgeld in Höhe von etwa 6.000 Euro je Fall entspreche.
vgl. Die Welt, „485.000 Euro Strafe – Bundesländer ziehen Bußgeld-Bilanz“ vom 12.05.2019, abrufbar unter: https://www.welt.de/finanzen/article193326155/DSGVO-Verstoesse-Bundeslaender-ziehen-Bussgeld-Bilanz.html
Bislang wurden laut des Berichts in sieben Bundesländern Bußgelder verhängt: Baden-Württemberg (7 Fälle/ 203.000 Euro), Rheinland-Pfalz (9 Fälle/ 124.000 Euro), Berlin (18 Fälle/ 105.600 Euro), Hamburg (2 Fälle/ 25.000 Euro) Nordrhein-Westfalen (36 Fälle/ 15.600 Euro), Sachsen-Anhalt (6 Fälle/ 11.700 Euro) und Saarland (3 Fälle/ 590 Euro).
Die Welt, „485.000 Euro Strafe – Bundesländer ziehen Bußgeld-Bilanz“ vom 12.05.2019, abrufbar unter: https://www.welt.de/finanzen/article193326155/DSGVO-Verstoesse-Bundeslaender-ziehen-Bussgeld-Bilanz.html
Die Spanne der Beträge sei jedoch groß und reiche von einigen hundert Euro bis zu einem Maximum von 80.000 Euro, verhängt in einem Fall in Baden-Württemberg. In jenem Fall landeten Gesundheitsdaten im Internet.
Millionenbußgelder sind bislang ausgeblieben, gleichwohl haben die Aufsichtsbehörden für 2019 verstärkt Kontrollen angekündigt. Bußgelder können im Falle von Verstößen, insbesondere soweit besonders sensible Daten betroffen sind, nicht ausgeschlossen werden.
Viele Unternehmen haben sich bis heute nur am Rande, oder gar nicht, mit dem Thema Datenschutz befasst. Damit Ihr Unternehmen beim Thema Datenschutz rechtssicher aufgestellt ist, berät Sie ein externer Datenschutzbeauftragter bei der Erarbeitung und Umsetzung eines tragfähigen Datenschutzkonzepts.