MenüZurück
Wird geladen.

30.10.2018

06:18

Datenschutz-Grundverordnung

Unternehmen drohen Bußgelder in „erheblichem Umfang“

Von: Dietmar Neuerer

Viele Unternehmen halten immer noch nicht die neue EU-Datenschutzregeln ein. Die Aufsichtsbehörden haben bereits etliche Bußgeldverfahren eingeleitet.

DSGVO: Unternehmen drohen Bußgelder in „erheblichem Umfang“ dpa

DSGVO

Die Datenschutz-Grundverordnung ist nach einer zweijährigen Übergangsfrist seit Mai offiziell in Kraft und gilt erstmals europaweit.

Berlin Die unzureichende Umsetzung der seit 25. Mai geltenden EU-Datenschutzgrundverordnung (DSGVO) ruft die Aufsichtsbehörden auf den Plan. Eine Handelsblatt-Umfrage unter mehreren Landes-Datenschutzbeauftragten ergab, dass inzwischen zahlreiche Bußgeldverfahren eingeleitet wurden.

Noch in diesem Jahr würden Bußgelder „in erheblichem Umfang anfallen“, sagte der Chef der Behörde in Baden-Württemberg, Stefan Brink, dem Handelsblatt. Als Beispiele für DSGVO-Verstöße nannte Brink rechtswidrige Videoüberwachungen sowie Verletzungen des Schutzes personenbezogener Daten.

Die Datenschutz-Grundverordnung ist nach einer zweijährigen Übergangsfrist seit Mai offiziell in Kraft und gilt erstmals europaweit. Die Unternehmen müssen nunmehr noch sorgsamer mit den Informationen ihrer Kunden umgehen, sie umfassender informieren und Einwilligungen einholen. Zudem müssen Kunden in der Lage sein, die Löschung ihrer Daten in Auftrag zu geben oder ihre Daten zu einem anderen Anbieter zu übertragen.

Zum ersten Mal sieht das Regelwerk auch mögliche Bußgelder bei Verstößen vor – bis zu 20 Millionen Euro oder bei Unternehmen bis zu vier Prozent des Weltjahresumsatzes. Die Betonung liegt aber auf „mögliche“ Bußgelder. Denn falls man überhaupt ins Visier der Behörden gerät, müssen etwaige Strafmaßnahmen immer verhältnismäßig sein.

In den Strafen sehen Datenschützer vor allem ein wirksames Instrument gegen wiederholte Verstöße etwa durch Internet-Größen wie Facebook und Google. In vielen Anwendungsfällen, etwa in kleinen Firmen, bei Vereinen – oder nun auch bei Vermietern – herrscht allerdings vielfach Unsicherheit über die tatsächliche Auslegung.

Mehr zum Thema:

Der Hamburger Datenschützer Johannes Caspar hat bislang zwei Bußgeldverfahren eingeleitet. Zwei weitere Fälle befänden sich in der „Sachverhaltsermittlung“, sagte Caspar dem Handelsblatt. Seine Behörde habe zudem „mehrmals Verwarnungen ausgesprochen“.

Als Beispiele für DSGVO-Verstöße nannte Caspar etwa „werbliche Ansprachen“ per E-Mail, die ohne Rechtsgrundlage stattfänden, weil hier grundsätzlich eine Einwilligung erforderlich sei. „Ein Dauerthema ist auch das Vermieterfragerecht, wenn zum Beispiel ein potentieller Vermieter bereits im Vorfeld einer Besichtigung unzulässig viele Daten erheben will.“

Meldungen von Datenpannen extrem angestiegen

Nordrhein-Westfalens Datenschutzbeauftragte Helga Block hat bereits erste Bußgeldbescheide erlassen. „Dabei ging es insbesondere um Fälle, in denen wir von den angeschriebenen Verantwortlichen keine Auskünfte erhalten haben“, sagte Block dem Handelsblatt. Dabei sei die Auskunftspflicht nicht neu, sondern habe auch schon nach dem bislang geltenden Datenschutzrecht gegolten. Dasselbe gelte für den „unrechtmäßigen Einsatz“ von Mini-Kameras, sogenannten Dashcams.

In Berlin stehen Strafmaßnahmen kurz bevor. „Bis Ende des Jahres ist mit ersten Bußgeldern nach neuem Recht zu rechnen“, sagte die Sprecherin der Datenschutzbehörde, Dalia Kues, dem Handelsblatt. „Solche Verfahren bedürfen umfassender, sorgfältiger Ermittlungen und durchlaufen strenge förmliche Verfahrensschritte, weshalb sie insgesamt längere Zeit in Anspruch nehmen.“

Besonders hoch sei das Beschwerdeaufkommen im Bereich der Betroffenenrechte, erläuterte Kues, etwa wenn Unternehmen Selbstauskünfte nicht oder nicht richtig erteilten oder den Löschansprüchen von Betroffenen nicht nachkämen. „Auch der Bereich unerwünschte E-Mail-Werbung ist eingabenstark“, sagte Kues.

Ebenfalls „beschwerdeintensiv“ sei das Arbeitsgebiet Telemedien. „Dort betreffen die Beschwerden vielfach den Einsatz von Cookies oder die Datenschutzerklärungen von Internetauftritten“, erläuterte die Behördensprecherin. „Wir erhalten sehr viele Hinweise zu Webseiten, die gar keine oder offensichtlich mangelhafte Datenschutzhinweise enthalten.“

Insgesamt sei jedoch „die Tendenz erkennbar, dass die DSGVO Unternehmen für das Thema Datenschutz sensibilisiert hat“, sagte Kues. „Das zeigt sich auch am extremen Anstieg der Meldungen von Datenpannen, die sich seit dem 25. Mai 2018 um das Zwölffache im Vergleich zum selben Zeitraum im Jahr 2017 erhöht haben.“

Exklusive Analyse: Viele Apps halten sich nicht an die neuen Datenschutzregeln

Exklusive Analyse

Viele Apps halten sich nicht an die neuen Datenschutzregeln

Defizite gibt es bei der Kontaktaufnahme, zudem sind viele Datenschutzerklärungen unverständlich. Verbraucherschützer fordern ein konsequenteres Vorgehen gegen Verstöße.

Auch NRW-Datenschützerin Block stellt fest, dass aufgrund der neuen Regeln Datenschutz in den Unternehmen und Behörden verstärkt zum Thema gemacht werde. „Dies dürfte nicht zuletzt an den verschärften Sanktionsmöglichkeiten liegen“, sagte sie. „Vielen gerade kleineren Stellen ist erst jetzt bewusst geworden, welche Pflichten sie eigentlich auch schon nach dem alten Recht hatten.“

Der Datenschützer Brink kritisierte indes, dass die zweijährige Frist zur Umsetzung der DSGVO-Vorgaben „tatsächlich nicht überall effektiv genutzt“ worden sei. „In der Zwischenzeit“, glaubt er, „haben sich die Unternehmen aber auf die DSGVO eingestellt.“ Ähnlich sieht es der Hamburger Datenschützer Caspar. Er sagte allerdings auch, „dass in vielen Bereichen ein hoher Nichtbefolgungsgrad der Datenschutzregelungen existieren dürfte“.

Beratungsanfragen vor allem von kleinen Unternehmen, Freiberuflern und Vereinen

Caspar berichtete zugleich von einem drastischen Anstieg der Datenschutzbeschwerden seit Inkrafttreten der der neuen Datenschutzregeln vor fünf Monaten. „Seit dem 25. Mai 2018 haben uns etwa 1870 Eingänge erreicht, davon circa 870 Beschwerden“, sagte er. Im Vergleich zum Vorjahr hätten sich die Zahlen somit verdoppelt.

In NRW hat die Datenschutzbehörde bisher etwa 9000 schriftliche Eingaben registriert, darunter Beschwerden sowie allgemeine Beratungsanfragen. Das sind insgesamt den Angaben zufolge schon deutlich mehr als im gesamten Jahr 2017.

Auch die Behörde in Berlin registrierte ein hohes Beschwerdeaufkommen. In den Monaten Mai bis einschließlich September seien insgesamt 2157 Beschwerden von betroffenen Bürgern eingegangen, sagte Sprecherin Kues. Im gleichen Vorjahreszeitraum habe es lediglich 578 solcher Eingaben gegeben. Somit hat sich die Zahl der Beschwerden fast vervierfacht.

Auch bei den Hinweisen auf Datenschutzverstöße von Unternehmen, Behörden, betrieblichen Datenschutzbeauftragten, Beschäftigtenvertretungen oder Journalisten sei ein „extremer Anstieg im Vergleich zu den Vorjahren“ festzustellen.

Auch in Baden-Württemberg verzeichnet die zuständige Datenschutzbehörde eine deutliche Zunahme an Nachfragen beziehungsweise Beschwerden. Die Zahl der Eingaben sei seit Mai 2018 um das Dreifache gestiegen, sagte Behördenchef Brink. Unternehmen erkundigten sich etwa oft, ob ein betrieblicher Datenschutzbeauftragter zu bestellen sei und ob ein Auftragsverarbeitungs-Vertrag abgeschlossen werden müsse. Ein weiterer Themenschwerpunkt seien die Informationspflichten auf Webseiten.

Bitkom-Umfrage: „Klar verschätzt“ – Viele deutsche Unternehmen erfüllen EU-Datenschutz-Vorgaben nicht

Bitkom-Umfrage

„Klar verschätzt“ – Viele deutsche Unternehmen erfüllen EU-Datenschutz-Vorgaben nicht

Eine Umfrage zeigt: Nur wenige Unternehmen haben die Datenschutz-Grundverordnung umgesetzt. Etliche fordern, die Vorschriften nachzubessern.

Laut der Berliner Behördensprecherin Kues kommen Beratungsanfragen vor allem von kleinen Unternehmen, freiberuflich tätigen Personen und Vereinen, die sich eine rechtliche Beratung durch Rechtsanwälte oder Beratungsunternehmen nicht leisten können. „Sie betreffen sehr häufig die datenschutzkonforme Ausgestaltung von Webseiten und Fragen zur Bestellpflicht eines oder einer betrieblichen Datenschutzbeauftragten“, sagte Kues. „Auch unsere Start-up-Sprechstunde ist regelmäßig ausgebucht und wird von Gründerinnen und Gründern für Fragen rund um die DSGVO genutzt.“

Behörden wegen der DSGVO an den Grenzen ihrer Kapazitäten

Der Hamburger Datenschützer Caspar sprach von „vielen Einzelproblemen“, nach denen Unternehmen fragten. „Besonders interessant sind die Ausgestaltungen und Formen der Informations- und Auskunftspflichten, die Meldungen von Datenschutzverstößen, die Verpflichtung zur Bestellung von Datenschutzbeauftragten sowie die Ausgestaltung von Auftragsverarbeitung“, erläuterte der Datenschützer.

Die Behörden sehen sich wegen der DSGVO teilweise an den Grenzen ihrer Kapazitäten. „Angesichts einer Verdoppelung der Beschwerden arbeitet unsere Behörde über dem Limit“, sagte Caspar. In Berlin arbeiten die Mitarbeiter der Datenschutzbeauftragten nach Aussage der Behördensprecherin „seit Monaten an ihren Belastungsgrenzen“. Der „Gestaltungsspielraum bei der Datenschutzaufsicht“ sei wegen des anhaltend hohen Beschwerdeaufkommens und der begrenzten Personalressourcen gering.

Weniger dramatisch sieht es in NRW aus. Ihre Behörde sei bereits mit neuen Stellen verstärkt worden, sagte Block. Und sie sei zuversichtlich, dass noch weitere Stellen bereitgestellt würden, um die Aufgaben erfüllen zu können. Der Datenschützer Brink sieht sich schon jetzt für die neuen Herausforderungen „gut aufgestellt“, wie er sagte, nachdem er sein Personal um 20 Stellen habe aufstocken können.

Brexit 2019

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×