Ein Jahr danach...


Autor

Barbara Buj
Produktmanagement VRG HR

Rund ein Jahr ist seit Inkrafttreten der EU-Datenschutz-Grundverordnung (EU-DSGVO) vergangen. Anfangs herrschte bei vielen Unternehmen Unsicherheit über die „richtige“ Umsetzung der DSGVO und mögliche Sanktionen, falls dies nicht gelingt. Auch wurde häufig Kritik an der unklaren „schwammigen“ Formulierung der Verordnung und fehlenden konkreten Hinweisen für deren Umsetzung laut. Über all dem schwebten die bedrohlichen Zahlen über die Höhe von Sanktionen und insbesondere in Deutschland – dem deutschen Wettbewerbsrecht geschuldet – die Furcht vor einer Abmahnwelle.

Wie sieht es heute tatsächlich aus in Sachen Datenschutz?

Doch die große Abmahnwelle blieb (bislang) aus – zwar gab es schon Abmahnungen, aber lange nicht in dem Umfang, wie vorab angenommen. Jedoch kam es durchaus zu einer (eher noch übersichtlichen) Zahl von Bußgeldbescheiden: In Deutschland haben die Datenschutzaufsichtsbehörden der Bundesländer rund 100 Bußgelder mit einer Gesamtsumme von knapp 500.000 € verhängt. Zum Beispiel musste das Online Chat-Portal Knuddels eine Geldstrafe in Höhe von 20.000 € zahlen, da Nutzerdaten ungesichert auf den Servern gespeichert und bei einem Hackerangriff gestohlen worden waren. In Baden-Württemberg wurde ein Bußgeld von 80.000 € verhängt, weil Patientendaten aufgrund mangelnder interner Kontrollprozesse im Internet landeten. Dagegen fallen die Sanktionen im EU-Ausland weit höher aus (ob wegen härterer Urteile oder größerer Verstöße sei dahingestellt): Google hat von Frankreich etwa einen Bußgeldbescheid in Höhe von 50 Millionen Euro erhalten. Und in Portugal musste ein Krankenhaus 400.000 € bezahlen, weil Mitarbeiter unerlaubten Zugriff auf Patientendaten hatten.

Für Unternehmen in Deutschland bedeuten die vergleichsweise milden und wenigen Bußgelder jedoch nicht, dass jetzt nichts mehr zu tun ist. Im Gegenteil: Erst jetzt zeigt sich, ob die Anpassungs- und Umstellungsprozesse umfassend greifen, und auch die Aufsichtsbehörden werden zunehmend aktiv(er): Während in den letzten zwölf Monaten vor allem die Beratung im Fokus stand, werden die Aufsichtsbehörden nun verstärkt Kontrollen durchführen – angekündigte ebenso wie unangekündigte und auch ohne dass konkrete Beschwerden vorliegen. Dabei stehen vor allem Unternehmen, die eine Vielzahl sensibler Daten speichern, sowie Firmen aus dem Social-Media-Bereich im Vordergrund. Es ist also davon auszugehen, dass es künftig zu einer größeren Zahl an Bußgeldern und auch zu höheren Beträgen kommen wird.

Auch die Sorge, dass reihenweise Blogs und Websites offline gehen, hat sich so nicht bestätigt. Einige wenige sind nicht mehr präsent, die meisten blieben online – ob im Detail immer ganz Datenschutz-konform, ist leider nach wie vor nicht vollständig klar – die angekündigte klarstellende e-Privacy-Verordnung lässt nach wie vor auf sich warten.

Die Unsicherheit ist also auf allen Seiten, aber vor allem bei Unternehmen immer noch groß – besonders kleine und viele mittelständische Unternehmen tun sich – nach wie vor – schwer mit der Interpretation und Umsetzung der DSGVO. Gerade vor dem Hintergrund erforderlicher Dokumentations- und Nachweispflichten tappt so mancher noch im Dunkeln, weil oftmals unklar ist, was genau dokumentiert werden muss, und was eben auch nicht. Der bürokratische und administrative Aufwand wächst enorm – manch eine Firma hat auch deshalb – aller Digitalisierungs-Tendenzen zum Trotz – ihre digitalen Aktivitäten nach außen auf ein Minimum beschränkt. Kein Wunder also, dass erste Forderungen laut werden nach wirklich unmissverständlichen Formulierungen und Regelungen: Forderungen etwa, wie die nach einer Differenzierung der DSGVO zwischen kleinen und mittelständischen Unternehmen, zwischen Vereinen und international agierenden Großkonzernen.

Und wie geht es jetzt weiter…?

Wie schon erwähnt ist davon auszugehen, dass es in Zukunft zu vermehrten Bußgeldverfahren (und höheren Bußgeldern) kommen wird – allein aufgrund der angekündigten verstärkten Kontrollen seitens der Behörden.

Ob auch mit verstärkten Abmahnaktivitäten zu rechnen ist, lässt sich heute noch nicht prognostizieren, da die Abmahnbarkeit von DSGVO-Verstößen im Einzelnen noch nicht gerichtlich geklärt ist.

Aufgeschoben ist also nicht aufgehoben: Die Datenschutz-Grundverordnung besitzt nun mal rechtliche Gültigkeit, an die sich alle in der gleichen Form zu halten haben. Noch! Denn vielleicht gibt es ja zukünftig Anpassungen hinsichtlich Unternehmensart oder -größe. Bleiben wir gespannt …

Übrigens: Wussten Sie, dass es tatsächlich DSGVO-konforme Aktenvernichter gibt? Sogar in sechs Schutzklassen und Sicherheitsstufen! Wenn Sie also Unterlagen mit personenbezogenen Daten vernichten möchten, sollten Sie auf jeden Fall – wie bei vielen anderen Themen auch – immer auf die richtige Einstellung achten.


Weitere Artikel

ESS/MSS-Portal – da fängt der Urlaub schon gut an!

Entlastung auf allen Seiten dank Employee/Manager Self-Service

Weiterlesen

EU-DSGVO: Ein Jahr danach…

Wie sieht es heute tatsächlich aus in Sachen Datenschutz?

Weiterlesen