Zwei Jahre Datenschutz-Grundverordnung – Umsetzung und Datenschutzcompliance als Daueraufgabe

2. Juni 2020

© BBH

Am 25.5.2020 hatte die Datenschutz-Grundverordnung (DS-GVO) ihren zweiten „Geburtstag“. Eine erste Evaluation der Verordnung durch die EU-Kommission steht kurz bevor. Nach zwei Jahren der Anwendung lässt sich zudem feststellen, dass die Aufsichtsbehörden in Deutschland ihre Sanktionspraxis erheblich verschärft haben. Nicht zuletzt deshalb sollten Unternehmen den Datenschutz als dauerhafte Unternehmensaufgabe begreifen.

Datenschutz als Daueraufgabe

Mit der DS-GVO verfolgt der Unionsgesetzgeber das Ziel, die Rechte der Bürgerinnen und Bürger in der Union zu stärken und ihnen mehr Kontrolle über ihre personenbezogenen Daten zu ermöglichen.

Nach anfänglichen Wirren und Verunsicherungen haben sich Unternehmen und Behörden zwischenzeitlich zunehmend mit den Vorgaben der DS-GVO arrangiert. Gleichzeitig hat sich das Beschwerdeaufkommen bei den Datenschutzaufsichtsbehörden gegenüber dem Jahr 2017 teilweise vervielfacht.

Die meisten Aufsichtsbehörden haben seit der Geltung der DS-GVO im Jahr 2018 an Personalkapazität „aufgerüstet“. So wurden allein dem Bundesbeauftragten für das laufende Jahr weitere 67 Stellen bewilligt. Auch 2018 und 2019 hatte dieser bereits zusätzliche Stellen zugesprochen bekommen, um bestehende und neue Aufgaben besser wahrnehmen zu können. Durch den Zuwachs wird die bisher 250 Stellen umfassende Behörde in Zukunft über wesentlich mehr Mitarbeiterinnen und Mitarbeiter verfügen.

Unternehmen sollten die Umsetzungsthemen weiter vorantreiben und den Datenschutz insgesamt als Unternehmensaufgabe begreifen. Dazu gehören etwa ein datenschutzkonformer Onlineauftritt, die Festlegung und Dokumentation der technisch-organisatorischen Maßnahmen und der Meldeprozesse bei Datenschutzverletzungen, die Umsetzung eines Löschkonzepts sowie gegebenenfalls ein Konzept für den Umgang mit personenbezogenen Daten in der Unternehmensgruppe.

Verschärfte Sanktionspraxis

Dies gilt auch vor dem Hintergrund einer bemerkenswerten Verschärfung der Sanktionspraxis: Während die Aufsichtsbehörden Verstöße gegen die neuen „Spielregeln“ zum Datenschutz seit Geltung der DS-GVO bis Mai 2019 mit bundesweit insgesamt gerade einmal 485.000 Euro ahndeten, verhängte die Berliner Beauftragte für Datenschutz und Informationsfreiheit im Oktober 2019 gegen die Deutsche Wohnen SE ein Rekordbußgeld in Höhe von rund 14,5 Mio. Euro wegen Verstößen gegen die DS-GVO (wir berichteten). Bei Überprüfungen vor Ort sei festgestellt worden, dass das Unternehmen für die Speicherung personenbezogener Daten ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen.

Im Dezember 2019 belegte zudem der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9,55 Mio. Euro. Das Unternehmen hatte nach Ansicht des Bundesbeauftragten keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.

Evaluation und aktuelle Corona-bedingte Herausforderungen

Die DS-GVO wird regelmäßig bewertet und überprüft (vgl. Art. 97 DS-GVO). Die erste Evaluation erfolgt in Kürze. Dazu legt die EU-Kommission dem Europaparlament und dem Europäischen Rat einen Bericht vor, der auch veröffentlicht wird. Falls erforderlich, wird die Kommission auf dieser Basis Vorschläge zur Änderung der Verordnung vorlegen. Es wird mit Spannung erwartet, welche Ergebnisse und Empfehlungen der Evaluationsbericht enthalten wird.

Zum zweiten Geburtstag der DS-GVO stellen sich zahlreiche Fragen zum Datenschutz im Zusammenhang mit der Eindämmung der Corona-Pandemie. Erhebung und Verarbeitung von Gesundheitsdaten durch Arbeitgeber oder sog. Tracking Tools, Homeoffice und Videokonferenzen (gegebenenfalls aus dem Homeoffice) sind datenschutzrelevante Vorgänge, die einer risikoadäquaten und sicheren Umsetzung auf der Grundlage klarer Regeln bedürfen. Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat kürzlich zwar klargestellt, dass der Schutz personenbezogener Daten und Maßnahmen zur Bekämpfung der Infektion sich nicht grundsätzlich entgegenstehen. Informationen zur Gesundheit seien indes sehr sensible Daten. Wer solche Daten erhebe oder verarbeite, müsse sich der besonderen Verantwortung bewusst sein.

Der Datenschutz und die Beachtung der Vorgaben der DS-GVO bleiben daher auch in deren drittem Geltungsjahr im Fokus und sind nicht zuletzt angesichts der erhöhten Sanktionsgefahr unverändert zu beachten.

Ansprechpartner: Dr. Jost Eder/Alexander Bartsch/Thomas Schmeding/Dr. Maximilian Festl-Wietek

Share
Weiterlesen

30 April

Das Solarpaket I ist da: Wichtige Neuerungen im Überblick

Am vergangenen Freitag haben Bundestag und Bundesrat das Solarpaket I beschlossen. Nachdem das Gesetz eigentlich noch in 2023 verabschiedet werden und am 01.01.2024 in Kraft treten sollte, wird es nun voraussichtlich im Mai wirksam werden. Nur ein kleiner Teil des...

Weiterlesen

29 April

Umsatzbesteuerung der öffentlichen Hand: Erneute Verlängerung der Übergangsregelung des § 2b UStG?

Die endgültige Einführung des § 2b UStG könnte erneut verschoben werden, nun auf den 1.1.2027. Dies lässt sich dem Referentenentwurf des Bundesministeriums der Finanzen (BMF) zum Jahressteuergesetz 2024 entnehmen. Damit bekämen Kommunen zwei weitere Jahre Zeit, sich auf die Umstellung...

Weiterlesen