Zwei Jahre Datenschutz-Grundverordnung – Umsetzung und Datenschutzcompliance als Daueraufgabe

2. Juni 2020

© BBH

Am 25.5.2020 hatte die Datenschutz-Grundverordnung (DS-GVO) ihren zweiten „Geburtstag“. Eine erste Evaluation der Verordnung durch die EU-Kommission steht kurz bevor. Nach zwei Jahren der Anwendung lässt sich zudem feststellen, dass die Aufsichtsbehörden in Deutschland ihre Sanktionspraxis erheblich verschärft haben. Nicht zuletzt deshalb sollten Unternehmen den Datenschutz als dauerhafte Unternehmensaufgabe begreifen.

Datenschutz als Daueraufgabe

Mit der DS-GVO verfolgt der Unionsgesetzgeber das Ziel, die Rechte der Bürgerinnen und Bürger in der Union zu stärken und ihnen mehr Kontrolle über ihre personenbezogenen Daten zu ermöglichen.

Nach anfänglichen Wirren und Verunsicherungen haben sich Unternehmen und Behörden zwischenzeitlich zunehmend mit den Vorgaben der DS-GVO arrangiert. Gleichzeitig hat sich das Beschwerdeaufkommen bei den Datenschutzaufsichtsbehörden gegenüber dem Jahr 2017 teilweise vervielfacht.

Die meisten Aufsichtsbehörden haben seit der Geltung der DS-GVO im Jahr 2018 an Personalkapazität „aufgerüstet“. So wurden allein dem Bundesbeauftragten für das laufende Jahr weitere 67 Stellen bewilligt. Auch 2018 und 2019 hatte dieser bereits zusätzliche Stellen zugesprochen bekommen, um bestehende und neue Aufgaben besser wahrnehmen zu können. Durch den Zuwachs wird die bisher 250 Stellen umfassende Behörde in Zukunft über wesentlich mehr Mitarbeiterinnen und Mitarbeiter verfügen.

Unternehmen sollten die Umsetzungsthemen weiter vorantreiben und den Datenschutz insgesamt als Unternehmensaufgabe begreifen. Dazu gehören etwa ein datenschutzkonformer Onlineauftritt, die Festlegung und Dokumentation der technisch-organisatorischen Maßnahmen und der Meldeprozesse bei Datenschutzverletzungen, die Umsetzung eines Löschkonzepts sowie gegebenenfalls ein Konzept für den Umgang mit personenbezogenen Daten in der Unternehmensgruppe.

Verschärfte Sanktionspraxis

Dies gilt auch vor dem Hintergrund einer bemerkenswerten Verschärfung der Sanktionspraxis: Während die Aufsichtsbehörden Verstöße gegen die neuen „Spielregeln“ zum Datenschutz seit Geltung der DS-GVO bis Mai 2019 mit bundesweit insgesamt gerade einmal 485.000 Euro ahndeten, verhängte die Berliner Beauftragte für Datenschutz und Informationsfreiheit im Oktober 2019 gegen die Deutsche Wohnen SE ein Rekordbußgeld in Höhe von rund 14,5 Mio. Euro wegen Verstößen gegen die DS-GVO (wir berichteten). Bei Überprüfungen vor Ort sei festgestellt worden, dass das Unternehmen für die Speicherung personenbezogener Daten ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen.

Im Dezember 2019 belegte zudem der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9,55 Mio. Euro. Das Unternehmen hatte nach Ansicht des Bundesbeauftragten keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.

Evaluation und aktuelle Corona-bedingte Herausforderungen

Die DS-GVO wird regelmäßig bewertet und überprüft (vgl. Art. 97 DS-GVO). Die erste Evaluation erfolgt in Kürze. Dazu legt die EU-Kommission dem Europaparlament und dem Europäischen Rat einen Bericht vor, der auch veröffentlicht wird. Falls erforderlich, wird die Kommission auf dieser Basis Vorschläge zur Änderung der Verordnung vorlegen. Es wird mit Spannung erwartet, welche Ergebnisse und Empfehlungen der Evaluationsbericht enthalten wird.

Zum zweiten Geburtstag der DS-GVO stellen sich zahlreiche Fragen zum Datenschutz im Zusammenhang mit der Eindämmung der Corona-Pandemie. Erhebung und Verarbeitung von Gesundheitsdaten durch Arbeitgeber oder sog. Tracking Tools, Homeoffice und Videokonferenzen (gegebenenfalls aus dem Homeoffice) sind datenschutzrelevante Vorgänge, die einer risikoadäquaten und sicheren Umsetzung auf der Grundlage klarer Regeln bedürfen. Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat kürzlich zwar klargestellt, dass der Schutz personenbezogener Daten und Maßnahmen zur Bekämpfung der Infektion sich nicht grundsätzlich entgegenstehen. Informationen zur Gesundheit seien indes sehr sensible Daten. Wer solche Daten erhebe oder verarbeite, müsse sich der besonderen Verantwortung bewusst sein.

Der Datenschutz und die Beachtung der Vorgaben der DS-GVO bleiben daher auch in deren drittem Geltungsjahr im Fokus und sind nicht zuletzt angesichts der erhöhten Sanktionsgefahr unverändert zu beachten.

Ansprechpartner: Dr. Jost Eder/Alexander Bartsch/Thomas Schmeding/Dr. Maximilian Festl-Wietek

Share
Weiterlesen

18 April

Missbrauchsverfahren nach den Energiepreisbremsengesetzen: Bundeskartellamt nimmt Energieversorger unter die Lupe

Die Energiepreisbremsengesetze sollten Letztverbraucher für das Jahr 2023 von den gestiegenen Strom-, Gas- und Wärmekosten entlasten. Um zu verhindern, dass Versorger aus der Krise auf Kosten des Staates Kapital schlagen, wurden in den dazu erlassenen Preisbremsengesetzen besondere Missbrauchsverbote implementiert, über...

Weiterlesen

15 April

Masterplan Geothermie für NRW: Startschuss für Förderprogramm zur Risikoabsicherung hydrothermaler Geothermie

Am 8.4.2024 hat das Ministerium für Wirtschaft, Industrie, Klimaschutz und Energie NRW den Masterplan Geothermie für NRW veröffentlicht. Als erste Maßnahme ging zeitgleich ein Förderinstrument zur Absicherung des Fündigkeitsrisiko als zentrales Hemmnis für Vorhaben mitteltiefer und tiefer geothermischer Systeme an...

Weiterlesen