BR24 Logo
BR24 Logo
Startseite

Datenschutzgrundverordnung: Die Schonfrist ist vorbei | BR24

© dpa/pa, Bildagentur-online/McPhoto

Frauenhand mit Stempel, Aufschrift: DSGVO, Datenschutzgrundverordnung

33
Per Mail sharen
  • Artikel mit Audio-Inhalten

Datenschutzgrundverordnung: Die Schonfrist ist vorbei

Im Mai 2018 trat die europäische Datenschutzgrundverordnung in Kraft. Bis jetzt galt eine Schonfrist für deren Umsetzung. Damit ist jetzt Schluss. Auch im Freistaat wurden bereits die ersten Blauen Briefe verschickt.

33
Per Mail sharen

Die Datenschutzgrundverordnung (DSGVO) regelt, wie personenbezogene Daten durch Behörden, Unternehmen, Vereine, Organisationen oder beispielsweise Krankenhäuser weiterverarbeitet werden dürfen. Die DSGVO betrifft das große Telekommunikationsunternehmen genauso wie den Sportclub im Dorf.

Bereits Millionen-Strafzahlungen ausgesprochen

Anfang 2019 wurden die ersten hohen Strafzahlungen ausgesprochen. Frankreich verhängte eine 50-Millionen-Strafe gegen den Internetkonzern Google wegen mangelnder Transparenz beim Umgang mit Nutzerdaten. Im Juli 2019 wurde British Airways mit einer Rekordstrafe von 204,6 Millionen Euro belegt. Das ist die höchste Summe, die bis jetzt weltweit für unzureichenden Datenschutz eingefordert wurde.

In Deutschland folgte ein Bußgeldbescheid gegen den Konzern 1&1 Drillisch. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit verhängte Anfang Dezember eine Strafzahlung in Höhe von 9,6 Millionen Euro.

"Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an." Ulrich Kelber, Bundesbeauftragter für Datenschutz und Informationsfreiheit

Auch in Bayern wird es ernst

Auch der Landesbeauftragte für Datenschutz in Bayern, Thomas Petri, hat die ersten Blauen Briefe verschickt.

"In Bayern habe ich im Jahre 2019 noch kein einziges Bußgeld verhängt. Ich habe aber einzelnen Unternehmen schon blaue Briefe versandt und habe gesagt, bringt eure IT-Sicherheit, bringt euer Datenschutzmanagement in Ordnung, ansonsten läuft die Schonfrist 2019 ab." Thomas Petri, Landesbeauftragter für Datenschutz in Bayern

Noch soll sich die Zahl im zweistelligen Bereich bewegen. Doch damit möchte er ganz klar vermitteln: Wer nicht reagiert, soll es finanziell spüren. Zwar gebe es eine Art Richtgröße bei der Bemessung von Bußgeldern, die liege bei 20 Millionen Euro, doch "wenn ein Konzernunternehmen oder ein öffentliches Unternehmen Umsätze hat, die darüber groß hinausgehen", so Petri gegenüber dem BR, "da kann man auch bis zu zwei Prozent des Weltjahresumsatzes an Bußgeld verhängen. Das ist schon eine Hausmarke."

Datensicherheit bei den Krankenhäusern besonders wichtig

Ein besonderes Auge hat Petri dabei auf Krankenhäuser, denn die Verarbeitung von Gesundheitsdaten fällt in eine besondere Kategorie. Diese personenbezogenen Daten dürfen nur unter strengen Voraussetzungen und meist nur mit Einwilligung von Betroffenen verarbeitet werden.

"Die IT-Sicherheit muss stehen, denn, wenn ich da einen Angriff habe, dann ist eben nicht nur der ordentliche Versorgungsbetrieb in Gefahr, sondern man kann da eben auch über gezielte Angriffe Patientendaten manipulieren, ohne dass die Kliniken das mitbekommen. Wenn die IT-Sicherheit nicht stimmt, ist das ein Szenario, dass nicht unrealistisch ist. Da müssen die Kliniken ihre Hausaufgaben machen.“ Thomas Petri, Landesbeauftragter für Datenschutz in Bayern

Vom Verein bis zum Krankenhaus: DSGVO gilt für alle

Nicht nur Behörden, Organisationen und Unternehmen werden auf Datenschutzverstöße geprüft. Im Dezember traf es auch ein Krankenhaus in Rheinland-Pfalz. Der dortige Datenschutzbeauftragte verhängte ein Bußgeld von rund 100.000 Euro wegen mehrerer Verstöße gegen die Datenschutzgrundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme.

Die DSGVO betrifft auch alle Vereine, einschließlich der gemeinnützigen, nicht eingetragenen oder nicht rechtsfähigen Vereine. Angefangen vom Mitgliedsantrag über Einladungen zu Veranstaltungen oder Mitgliederversammlungen bis hin zum Internetauftritt eines Vereins – es gibt viele Szenarien, in denen personenbezogene Daten wie Name, Anschrift, E-Mail-Adresse, Geburtsdatum oder Geschlecht verarbeitet werden. Bei Verstößen haftet in der Regel der Vorstand. Ist ein Datenschutzbeauftragter bestellt und hat dieser falsch oder gar nicht beraten, kann der Vorstand diesen haftbar machen.

Die Datenschutzbeauftragten der Länder sprechen aber davon, dass Abmahnungen von Vereinen eher selten zu befürchten sind.

Das Ranking der Datenschutzverstöße

Eine Studie von Precise Security listet die zehn größten Fälle von DSGVO-Verstößen auf. Die höchste Zahlung musste die Fluglinie British Airlines entrichten, gefolgt von der Hotelkette Marriott International mit 110,39 Millionen Euro und Google mit 50 Millionen Euro Bußgeld. Auf Platz Vier folgt die Österreichische Post, gefolgt von Deutsche Wohnen SE, Bulgarian National Revenue Agency, der niederländischen Regierungsbehörde UWV, dem polnischen Online-Shop Morele net., der DSK Bank und dem Haga Hospital in Den Haag.

Der Digitalverband Bitkom hat eine Umfrage unter seinen Mitgliedern gestartet. Danach hat von den mehr als 500 Unternehmen gerade einmal ein Viertel (24 Prozent) die DSGVO vollständig umgesetzt.

Bilanz des Datenschutzbeauftragten

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, DSK, hat einen ersten Bericht über ihre Erfahrungen zur DSGVO erstellt. Dabei kam sie zum Schluss, dass "die Erfüllung von Informationspflichten aus Art. 13 und 14 DSGVO insbesondere kleinere Verantwortliche, wie etwa KMU oder Vereine weiterhin vor große Umsetzungsprobleme stellt". Trotz alledem will die DSK daran festhalten, dass es keine Ausnahmen geben soll. Eine Ausnahmeregelung der Informationspflichten für Vereine sowie kleine und mittelständische Unternehmen (KMU) mit unter 250 Mitarbeitern lehnte sie ab.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder fordert in ihrem Bericht aber auch Änderungen. So sei es überflüssig, den Aufsichtsbehörden die Kontaktdaten der Datenschutzbeauftragten eines jeden Unternehmens, Verbandes oder beispielsweise eines Vereins zu melden, denn diese seien leicht im Impressum oder dem Eintrag im Handelsregister zu finden.

Bei den Nutzerprofilen gibt es noch Verbesserungsbedarf

Änderungen fordern die Datenschutzbeauftragten vor allem bei der Erstellung von persönlichen Profilen und "deren kommerzieller und politischer Auswertung". Noch sei ein typisches Profiling nicht genau definiert, da jedes europäische Land hier eigene Definitionen hat.

© BR

Ab Januar ist die Schonfrist vorbei