Datenschutz-Akademie » Datenschutz-News » 11 Monate DSGVO: Was sind die wichtigsten Erkenntnisse?

Text im Bild: "11 Monate DSGVO: Wichtigsten Erkenntnisse und Handlungsempfehlungen"

11 Monate DSGVO: Was sind die wichtigsten Erkenntnisse?

Bereits 1995 verabschiedet das Europäische Parlament die Datenschutzrichtlinie, welche sich mit dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten befasst. Das Thema Datenschutz spielt in Deutschland demnach schon länger eine bedeutende Rolle. Trotzdem stellte das Inkrafttreten der DSGVO im Mai 2018 viele Unternehmen vor Herausforderungen. Insbesondere Unternehmen, die sich noch gar nicht mit dem Thema Datenschutz beschäftigten, mussten zunächst die Basisanforderungen der DSGVO umsetzen. Doch was sind die wichtigsten Erkenntnisse nach bereits 11 Monaten DSGVO?

1. Die Aufsichtsbehörden haben sich 2018 auf Beratung konzentriert

Im vergangenen Jahr konzentrierten sich die Aufsichtsbehörden im Wesentlichen auf die Beratung von Unternehmen. Behörden erhielten viele Anfragen von insbesondere Kleinunternehmen und Vereinen. Es bestand Unsicherheit darüber, welche konkreten Maßnahme im Zuge der DSGVO umzusetzen sind. Dieser Unsicherheit wurde durch Beratungsleistung und Vorlagen zur Umsetzung der Standard-Anforderungen entgegengewirkt. Neben der Beratung wurden allerdings auch hunderte Datenpannen an die Aufsichtsbehörden herangetragen, die bereits 2018 Schritt für Schritt abgearbeitet wurden

2. Abmahnwelle ist 2018 ausgeblieben

Es wurde befürchtet, das mit Beginn des Inkrafttretens der Datenschutz-Grundverordnung eine Abmahnwelle über deutsche Unternehmen hinwegrollt. Abmahnfähig sollten in diesem Kontext nicht DSGVO-konforme Datenschutzerklärungen auf Internetseiten sein. Diese Abmahnwelle ich allerdings 2018 ausgeblieben.

Erste Rechtsurteile zeigen allerdings: Unternehmen die in Ihrer Datenschutzerklärung Informationspflichten vernachlässigen, verstoßen weiterhin auch gegen wettbewerbsrechtliche Vorgaben. Denn Unternehmen, die Datenschutz-Anforderungen nicht korrekt umsetzen, verschaffen sich dadurch Wettbewerbsvorteile gegenüber anderen Unternehmen. Dadurch ist für den Zeitraum 2019 / 2020 zu erwarten, dass der Anteil der Abmahnungen, aufgrund verfehlter Datenschutzerklärung, vermehrt ausgesprochen wird. Unter anderem auch, da in diesem Zeitraum vermutlich auch die E-Privacy-Verordnung in Kraft treten wird.

Daher raten wir dazu vor allem die Datenschutzerklärung und die Informationspflichten voll umfänglich umzusetzen.

3. Aufsichtsbehörden werden 2019 intensiver und auch ohne Anlass kontrollieren

Bereits zum Ende des Jahres 2018 haben einige Aufsichtsbehörden aktiv auf Umsetzung der DSGVO kontrolliert.

Zu nennen sind hier insbesondere die Aufsichtsbehörden in Bayern. Auf den entsprechenden Internetauftritten kann nachgelesen werden, welche Unternehmen mit einer Kontrolle zu rechnen haben und welche Themen im Rahmen dieser Kontrolle abgefragt werden. Doch auch Thüringen nimmt die Umsetzung der DSGVO erst. Der Datenschutz-Beauftragte von Thüringen fragte den Stand zur DSGVO-Umsetzung, bei vielen Thüringer Unternehmen, anhand eines Fragebogens aktiv nach. Auch in anderen Bundesländern, wie Nordrhein-Westfalen wurden Kontrollen durchgeführt.

Es ist davon auszugehen, dass Kontrollen im Jahr 2019 in stärkerem Ausmaß, beispielsweise durch flächendeckende Erfassung über Fragebögen, stattfinden werden. Unsere Rücksprachen mit den Aufsichtsbehörden lassen aber auch darauf schließen, dass 2019 viele Behörden ihren Fokus nach wie vor eher auf Beratung als auf Sanktionen über Bußgelder konzentrieren werden. Natürlich nur insofern, wenn keine extremen Beanstandungen bei der Umsetzung der DSGVO festgestellt werden.

Bußgelder könnten beispielsweise in Fällen auftreten, wie:

  • Mangelhafte Umsetzung der Mindestanforderungen (z.B. Verfahrensverzeichnisse).
  • Durchführung Videoüberwachungen von Mitarbeitern ohne Anlass.
  • Vernachlässigung der Datensicherheit (z.B. nicht ausreichendes Rollen- und Rechtemanagement).

Neben der Möglichkeit in den Fokus der Aufsichtsbehörden zu gelangen, kann eine Datenpanne auch durch Dritte gemeldet werden.

Dementsprechend ist es sehr empfehlenswert, zumindest die Mindestanforderungen der Datenschutz-Grundverordnung zu etablieren. Weiterhin empfehlenswert ist es den Datenschutz im Sinne einer Management-Aufgabe kontinuierlich zu verbessern.

Externer Datenschutzbeauftragter

Gern können Sie uns als externen Datenschutzbeauftragten (DSB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.

DSB-Leistungen entdecken

4. Bußgelder sind nicht transparent

Bereits 2018 wurden diverse Bußgelder vollstreckt. Die Spanne reicht von dreistelligen Summen in Deutschland bis zu internationalen Bußgeldern in Millionen-Höhe. Eine Vielzahl an Bußgeldern wurden in unterschiedlicher Größenordnung, für verschiedene Vergehen vollstreckt.

Diese Vergehen sind zum Beispiel:

  • Videoüberwachung ohne Anlass
  • Nicht abgeschlossene Auftragsverarbeitung
  • Offene E-Mail-Verteiler
  • Mangelhafte Rollen- und Rechtekonzepte

Problematisch ist, dass es keinen einheitlichen Standard im Sinne eines Bußgeldkatalogs gibt. Sowohl für die Datenschutz-Beauftragten, als auch für die betroffenen Unternehmen ist es aktuell schwer einzuschätzen, welcher Verstoß zu welchem Bußgeld führt. Möglicherweise kann auch eine kooperative Zusammenarbeit mit den Aufsichtsbehörden eine Minderung der Bußgelder zur Folge haben. Allerdings gibt es auch dazu keine konkreten Ausführungen. Es wäre daher sinnvoll, dass die Aufsichtsbehörden einen abgestimmten Katalog erarbeiten, der transparent darstellt, bei welchen Kategorien von Verstößen, Unternehmen mit welchen Bußgeldern abgestraft werden.

5. Größtes Umsetzungsproblem ist die Rechtsunsicherheit

Eine Bitkom-Umfrage ergab, dass mehr als 50 Prozent der Unternehmen das größte Problem bei der Umsetzung der DSGVO in der Rechtsunsicherheit sehen.

Diversen Handreichungen der Datenschutzkonferenz zu verschiedenen kritischen Fragestellung werden bereits als Unterstützungsleistung angeboten. Beispielhaft zu nennen ist:

  • Der Bestellpflicht eines Datenschutz-Beauftragten bei kleineren Arztpraxen
  • Der Umgang mit Auftragsverarbeitungs-Verhältnissen
  • Die Durchführung einer Datenschutz-Folgeabschätzungs inklusive der dafür notwendigen Kriterien (Blacklist / Whitelist)

Dennoch gibt es viele detaillierte praxisbezogene Rechtsfragen, die bis heute noch nicht umfassend beantwortet wurden. Dazu gehören zum Beispiel:

  • Wie realisiere ich Informationspflichten, wenn ich eine Visitenkarte von einem Interessenten für meine Produkte bekomme?
  • Müssen kleine Betriebe, die hoheitliche Aufgaben übernehmen (z.B. KFZ-Betriebe die eine Abgasuntersuchung durchführen) tatsächlich ein Datenschutz-Beauftragten bestellen?
  • Was ist der Stand der Technik bei der Umsetzung der Datensicherheit?
  • Wie gehe ich beim Mediensprung mit den Informationspflichten um?
  • Ist ein Steuerberater der Lohnbuchhaltung durchführt auch ein Auftragsverarbeiter?

Diese und andere Fragen sind bis heute nicht abschließend geklärt und werden in den nächsten Monaten bis Jahren, entweder durch Handreichungen der Datenschutzkonferenz, Gesetzesanpassung oder Gerichtsurteile entschieden werden. Fakt ist aber auch das mindestens 80 Prozent der Aufgaben im Datenschutz durch jedes Unternehmen in Deutschland problemlos umgesetzt werden können. Auch im Bereich der Datensicherheit gibt es Mindeststandards (z.B. die ISO 27.1001, der BSI-IT-Grundschutz), sodass jedes Unternehmen grundlegende Maßnahmen zur Datensicherheit in Erfahrung bringen und umzusetzen kann.

Unbeachtet bei der Umsetzung der DSGVO sind auch in vielen Fällen die speziellen Rechtsgrundlagen der einzelnen Branchen. Es ist durchaus möglich, dass es bestimmte Rechtsgrundlagen ermöglichen, dass Unternehmen personenbezogene Daten erfassen oder verarbeiten, ohne vorher eine Einwilligung von den betroffenen Personen einzuholen. Der wesentliche Vorteil einer solchen Einwilligung ist es aber, dass man diese jederzeit widerrufen kann.

Zusammenfassend regelt die Datenschutz-Grundordnung viele prinzipielle Fragen bereits eindeutig. Sobald man sich aber in spezielle Branchen oder Rechtsgebiete bewegt, gibt es noch viele offene Fragen.

6. Datenschutz wird zur Billigware

Da die Nachfrage nach Datenschutzbeauftragten oder Experten für Datenschutz seit dem Mai 2018 stark gestiegen ist, gibt es viele relativ neue Anbieter, die in der Unsicherheit der Unternehmen finanzielle Chancen sehen. Aus diesem Grund tauchen im Moment zahlreiche sogenannte Datenschutz-Experten oder Anbieter von Datenschutz-Software am Markt auf. Teilweise werden sehr geringe Preise für die Bestellung als Datenschutz-Beauftragter oder sonstige Datenschutz-Leistungen aufgerufen. Problematisch dabei ist, dass seriöse Datenschutz-Beauftragte immer ein gewisses Haftungsrisiko selbst verantworten müssen. Die dafür notwendigen Absicherungen sind mit den aufgerufenen Preisen nicht zu finanzieren. Dieser Umstand lässt den Rückschluss zu, dass die angebotenen Leistungen keinen hochwertigen Datenschutz garantieren können.

Robin Data hat es sich deshalb zum Ziel gemacht Datenschutz auf höchstem Niveau anzubieten. Dazu haben wir ein Netzwerk an Partnern, welche ihre Datenschutz-Expertise branchenspezifisch über viele Jahren entwickelt haben. Datenschutz-Experten aus dem Netzwerk von Robin Data entwickeln mit und für unsere Kunden das optimale Datenschutz-Management-System.

Auch beim Datenschutz gilt: Wer billig investiert, investiert zweimal.

Demo besuchen

Nadine Porrmann
Neueste Anzeigen von Nadine Porrmann (Alle anzeigen)

Das könnte Sie auch interessieren:

Hinweisgeberschutzgesetz

Die Hinweisgeberschutzgesetz: Regelungen und Pflichten für Unternehmen, Anforderungen an Meldestellen, Whitepaper inklusive Checkliste!
Weiterlesen

Smart Home Datenschutz-Bedenken

Smart Home Anwendungen: Erfahren Sie warum die Vorteile im Alltag oft Datenschutz-Risiken beinhalten und wie Sie sich schützen können.
Weiterlesen
Bild von Thomas Ulrich auf Pixabay

Bundesrat erhöht die Bestellpflicht betrieblicher Datenschutzbeauftragter auf 20 Personen

Am 20. September hat der Bundesrat beschlossen, dass ein betrieblicher Datenschutzbeauftragter erst ab einer Anzahl von 20 Personen benannt werden muss.
Weiterlesen