Die Datenschutzgrundverordnung, die seit dem 25. Mai 2018 gilt, ist das strengste und umfassendste Datenschutzgesetz der Welt. Mit dem Gesetz ist Europa sogar zum internationalen Trendsetter geworden. Neben Australien orientieren sich einige asiatische Länder an dem Regelwerk und sogar die USA haben erkannt, dass Datenschutz kein Hindernis, sondern ein notwendiges Regelwerk ist. Ein Jahr später ist es an der Zeit, Bilanz zu ziehen. Dieser Artikel beleuchtet, wie weit die Umsetzung der DSGVO derweil fortgeschritten ist und welche Maßnahmen weiterhin geplant sind. Außerdem deckt er die fünf häufigsten Lücken hinsichtlich der DSGVO auf.
Was bisher geschah: Daten und Fakten zur DSGVO
Mit der Einführung der neuen DSGVO wurde die Befürchtung laut, dass es zu einer unüberblickbaren Strafwelle kommen könnte. Davon ist bisher nichts zu sehen. Im vergangenen Jahr wurde laut Handelsblatt deutschlandweit in insgesamt 70 Fällen ein Bußgeld verhängt, Verwarnungen gab es 54. Auf Nordrhein-Westfalen entfielen dabei rund die Hälfte der Bußgelder, gefolgt von Berlin mit neun Bußgeldstrafen. Acht Bundesländer haben bisher komplett darauf verzichtet, Bußgelder in Sachen DSGVO zu verhängen. Die höchste Bußgeldstrafe (80.000 Euro) wurde von Baden-Württemberg ausgesprochen. Dabei ging es um online veröffentlichte Gesundheitsberichte, die personenbezogene Daten enthielten. Weitet man den Blick und nimmt die ganze EU ins Visier, gingen alles in allem über 144.000 Anfragen und Beschwerden mit DSGVO-Bezug bei den Datenschutzbehörden ein. Die Beschwerden betrafen in der Hauptsache die Bereiche Telefonmarketing, E-Mail-Marketing und Videoüberwachung.
Übrigens: Die Summe aller Geldstrafen belief sich in Deutschland auf rund 485.000 Euro. Zum europäischen Vergleich: In einem europäischen Krankenhaus wurde nach einem Datenschutzverstoß mit Patientendaten ein Bußgeld in Höhe von 400.000 Euro verhängt.
Hinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an PDF „DSGVO Fragebogen und Bilanz“ eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.
Wo kein Kläger, da kein Richter – geht die Strategie auf?
Momentan ist davon auszugehen, dass die niedrige Zahl an verfolgten Verstößen nicht darauf zurückzuführen ist, dass alle Unternehmen ihre DSGVO-Hausaufgaben gemacht haben. Das zeigt auch die Statistik, die sich auf April 2018, also auf den Zeitpunkt kurz bevor die DSGVO in Kraft trat, bezieht. Vielmehr dürfte ein überaus milder Umgang mit Verstößen zugrunde liegen – die Behörden scheinen teils bewusst beide Augen zuzudrücken. Dies könnte auch an einer internen Überforderung liegen. Immerhin stellt die DSGVO einen eindeutigen bürokratischen Mehraufwand dar, der in manchen Bundesländern kurioserweise mit Budget- und Personalkürzungen einherging. Dabei dürfte es sich allerdings um eine vorübergehende Umgangsweise mit der Datenschutzgrundverordnung handeln. Auf Dauer ist damit zu rechnen, dass die Zahl an Anfragen und Beschwerden steigt und der Umgang mit diesen souveräner werden wird.
Ein Blick auf die Trendentwicklung der DGSVO-Verstöße deutet die Richtung an: In Hessen wurden 2018 bei der zuständigen Aufsichtsbehörde 630 Beschwerden eingereicht. Im Vorjahr waren dies nur 85. In Nordrhein-Westfalen waren es 2018 sogar 1200 Vorfälle, nach nur 60 in 2017. Zu der begonnenen positiven Entwicklung der ersten Monate wird sicherlich auch beitragen, dass die Aufsichtsbehörden nun verstärkt auf Umsetzungsüberwachung setzen. So kündigt beispielsweise Dr. Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit (LfDI) in Baden-Württemberg, deutlich an: „2019 wird das Jahr der Kontrollen.“
Übrigens: Mehr zum Stand der Umsetzung der DSGVO lesen Sie im Artikel DSGVO Status Quo. Wenn Sie wissen wollen, welche Maßnahmen Sie ergreifen können, um Ihr Unternehmen DSGVO-konform zu machen, hilft Ihnen dagegen dieser DSGVO-Artikel weiter.
Vorreiter der Aufsichtsbehörden – Wer nimmt die DSGVO ernst?
Der Umgang mit der DSGVO ist in den Datenschutzbehörden Deutschlands unterschiedlich. Während der Großteil bislang schweigt, was Pläne für eine konsequentere Umsetzung betrifft, äußern sich Bayern und Baden-Württemberg ganz klar: Künftig soll kein Auge mehr zugedrückt werden.
Übrigens: Sieht man sich die Zahl der Verwarnungen an, haben die Niederlande mit über 1000 Verwarnungen die Nase vorn.
DSGVO durchsetzen: Welche Kontrollmaßnahmen stehen bevor?
Bundesweit ist man sich überwiegend einig: Die DSGVO an sich ist nahezu perfekt, lediglich an der Durchsetzung hapert es. Um dies zu ändern, werden die folgenden Maßnahmen diskutiert:
DSGVO-Fragebögen
Laut dem Deutschen Datenschutz Institut werden aktuell von mehreren Aufsichtsbehörden Fragebögen an Unternehmen versendet, die den Status amtlicher Dokumente besitzen. Unternehmen sind somit dazu verpflichtet, den DSGVO-Fragebogen auszufüllen und nach bestem Wissen und Gewissen Auskunft über die DSGVO-Konformität im jeweiligen Unternehmen zu geben.
Mehr Geld für Aufsichtsbehörden
Damit die Aufsichtsbehörden für Datenschutz ihren Aufgaben in den 16 Bundesländern nachkommen können, wurde das Personal in den letzten Monaten aufgestockt und auch aktuell wird weiter nach neuen Mitarbeitern gesucht.
Übrigens: Mitglieder des EDPB, des europäischen Datenschutzausschusses, bemängeln, dass es ihnen nicht erlaubt ist, Verstößen gegen die DSGVO nachzugehen. Dies ist bislang den Bundesbehörden vorbehalten. Eine Idee ist daher, den EDPB personell aufzustocken und mit der Befugnis auszustatten, eigene Fälle auf EU-Ebene zu verfolgen.
Welche Rolle spielen die fehlende Objektivität und die Angst, Fehler zu machen?
Fragt man einen langjährigen Autofahrer, ob er gut fährt und sich sicher dabei fühlt, würde er dies höchstwahrscheinlich bejahen – und im Anschluss z.B. im Rahmen eines Fahrsicherheitstraining den Optimierungsbedarf bei Nässe oder in brenzligen Situationen zustimmen. Ähnlich scheint es mit der DSGVO zu sein. Wie die erste der beiden Statistiken in diesem Artikel zeigt, geben 42% der Deutschen an, die DSGVO zu kennen und sie verstanden zu haben. Dennoch geben 37% zu, die Verordnung nicht wirklich vollständig zu verstehen. Bei der Frage, warum es noch immer Unternehmen gibt, die nicht DSGVO-konform sind, spielt sicherlich die Angst, Fehler zuzugeben, eine große Rolle (in diesem Fall, dass man noch nicht alle DSGVO-Maßnahmen umsetzen konnte). Die DSGVO wird als sehr komplex wahrgenommen und man traut sich nicht wirklich an sie heran, sondern vertraut der datenschutzbeauftragten Person, ähnlich wie z. B. dem Steuerberater. Doch wie heißt es so schön? „Unwissenheit schützt vor Strafe nicht“ oder um im Sinnbild zu bleiben: Eine selbstständige Person ist immer gut beraten, die BWA oder die Bilanz zumindest zu verstehen, auch wenn diese meist durch einen Steuerberater erstellt werden. Vertraut man hier nicht blind, minimiert sich das Risiko steuerlicher Überraschungen im Nachhinein. Ebenso gilt dies für das Detailwissen hinsichtlich gesetzlicher Pflichten und Rechte, denn bekanntlich steckt der Teufel im Detail.
Übrigens:Im Artikel „Fehler im Job“ erfahren Sie mehr darüber, wie Menschen mit Fehlern und Wissenslücken im beruflichen Kontext umgehen.
Hinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an PDF „DSGVO Fragebogen und Bilanz“ eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.
Tipps aus dem Experteninterview mit dem Deutschen Datenschutz Institut
Aus unserem Netzwerk haben wir zur DSGVO-Bilanz das Deutsche Datenschutz Institut befragt, um auf dessen exklusive Erfahrungen aus einer Vielzahl von Beratungen und Umsetzungsmaßnahmen zurückgreifen zu können. Die folgenden fünf Versäumnisse im Hinblick auf die Umsetzung der DSGVO treten bei den unterstützten Unternehmen am häufigsten auf:
1. Das Verzeichnis der Verarbeitungstätigkeiten
Im Verzeichnis der Verarbeitungstätigkeiten sind alle Kernprozesse, in denen personenbezogene Daten verarbeitet werden, zu dokumentieren. Geschieht dies nicht, kann man im Falle eines Vorwurfs keine schlüssigen Gegenbeweise vorlegen. Das Werk für den Fall eines DSGVO-Verstoßes existiert oft nicht oder wird zumindest unzureichend gepflegt.
2. Die Risikoanalyse
Jedes Unternehmen sollte eine Risikoanalyse für die Prozesse vornehmen, bei denen personenbezogene Daten verarbeitet werden. In deren Rahmen werden die Auswirkungen für den Betroffenen sowie potenzielle Strafen, die das Unternehmen treffen könnten, erörtert, sodass entweder Maßnahmen zum Risikoausschluss getroffen oder aber finanzielle Rücklagen für den Fall der Fälle geschaffen werden können. Oft liegt eine solche Risikoanalyse nicht vor.
3. Weitergabe personenbezogener Mitarbeiterdaten
Besonders große Unklarheit scheint es in Bezug auf den Umgang mit Mitarbeiterdaten zu geben. Auch hier gilt selbstverständlich die DSGVO. Folgende drei Beispiele zeigen den Bedarf an alltäglichem DSGVO-Bewusstsein auf:
3.1 Mitarbeiterporträts im Rahmen von Teamvorstellungen auf Internetseiten oder Projektangeboten oder auch im Rahmen von Marketingkampagnen sind selten schriftlich von der jeweiligen Person genehmigt.
3.2 Nicht nur Manager, Führungskräfte oder Abteilungsleiter erfahren den internen Unternehmensservice der zentralen Organisationsunterstützung im Außendienst. Ein Beispiel ist die Mietwagenbuchung für eine Geschäftsreise, für die persönliche Daten der jeweiligen Person das Haus verlassen.
3.3 Ein weiteres Beispiel ist die zentrale Messeorganisation, bei der im Rahmen einer Zimmerbuchung oder auch Flugbuchung persönliche Daten an Dritte übergeben werden.
Tipp: Integrieren Sie eine übergreifende DSGVO-Einwilligung für die häufig notwendige Datennutzung von persönlichen Daten (Standardfälle je Aufgabenbeschreibung der Mitarbeiter) in Ihre Arbeitsverträge.
4. Schriftliche Vereinbarung über die Auftragsverarbeitung
Die Auftragsverarbeitung regelt Gegenstand und Zweck der Verarbeitung und enthält, welche Art von personenbezogenen Daten verarbeitet werden, meist auf Grundlage eines Vertrags. Weitere Details und Pflichten erfahren Sie im Art. 28 Abs. 3 DSGVO, der die Mindestanforderungen vorgibt.
In diesem Kontext besteht oft ein unklarer Datenschutz bei Freelancern. Wer mit Freelancern arbeitet, muss klare Vertragsgrundlagen zum Datenschutz schaffen. Die datenschutzrechtliche Vereinbarung kann beispielsweise die Auflage enthalten, dass der Freelancer sich an die unternehmensinternen Regelungen zum Datenschutz halten muss.
5. Nicht DSGVO-konforme IT-Konzepte
Zu den bisherigen Top5 der DSGVO-Lücken gehören die nicht Datenschutz-konformen IT-Konzepte, die in vielen Unternehmen noch darauf warten, geschlossen zu werden. Kaufmännisch und datenschutzrechtlich lassen sich die Vorgaben meist gut nachvollziehen, doch wenn es auf die technische Ebene der IT-Architektur geht, kann oft die Frage nach dem Standort bestimmter Server nicht beantwortet werden.
Ermitteln Sie Ihren persönliche DSGVO-Bilanz mit einem objektiven Expertenrat und Blick von Außen
Die abschließende Frage an den Geschäftsführer des Deutschen Datenschutz Instituts Jens Burkard lautete:
Welchen Tipp können Sie unserer Leserschaft in puncto Auswahl des richtigen DSGVO-Umsetzungspartners geben?
Sicher ist bei der Einführung der DSGVO nicht alles rund gelaufen und auch heute gibt es noch viele offene Fragen. So war das anfängliche Beratungsangebot spärlich. Es ist kein Geheimnis, dass die Nachfrage an DSGVO-Beratungen groß und das Angebot an Datenschutzbeauftragten sehr gering war. Ich empfehle Ihren Leserinnen und Lesern, die jeweilige Qualifikation des Datenschutzbeauftragten zu überprüfen. Handelt es sich um eine Person, welche die Minimalanforderungen durch z.B. einen 2-3 tägigen Online-Kurs absolviert hat oder eine Person, die ausschließlich DSGVO-Beratungen durchführt und über einen umfangreichen Projekterfahrungsschatz verfügt. Es schadet keineswegs, wenn Sie nicht von einer Person abhängig sind, sondern ein DGSVO-Team bei der Umsetzung unterstützt.