Data Protection Academy » Data Protection News » 11 months of GDPR: What are the main findings?

Text in image: "11 months of GDPR: Most important findings and recommendations for action".

11 months of GDPR: What are the main findings?

Bereits 1995 verabschiedet das Europäische Parlament die Datenschutzrichtlinie, welche sich mit dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten befasst. Das Thema Datenschutz spielt in Deutschland demnach schon länger eine bedeutende Rolle. Trotzdem stellte das Inkrafttreten der GDPR im Mai 2018 viele Unternehmen vor Herausforderungen. Insbesondere Unternehmen, die sich noch gar nicht mit dem Thema Datenschutz beschäftigten, mussten zunächst die Basisanforderungen der DSGVO umsetzen. Doch was sind die wichtigsten Erkenntnisse nach bereits 11 Monaten DSGVO?

1. Die Aufsichtsbehörden haben sich 2018 auf Beratung konzentriert

Im vergangenen Jahr konzentrierten sich die Aufsichtsbehörden im Wesentlichen auf die Beratung von Unternehmen. Behörden erhielten viele Anfragen von insbesondere Kleinunternehmen und Vereinen. Es bestand Unsicherheit darüber, welche konkreten Maßnahme im Zuge der DSGVO umzusetzen sind. Dieser Unsicherheit wurde durch Beratungsleistung und Vorlagen zur Umsetzung der Standard-Anforderungen entgegengewirkt. Neben der Beratung wurden allerdings auch hunderte Datenpannen an die Aufsichtsbehörden herangetragen, die bereits 2018 Schritt für Schritt abgearbeitet wurden

2. Wave of warnings has failed to materialise in 2018

Es wurde befürchtet, das mit Beginn des Inkrafttretens der Datenschutz-Grundverordnung eine Abmahnwelle über deutsche Unternehmen hinwegrollt. Abmahnfähig sollten in diesem Kontext nicht DSGVO-konforme Datenschutzerklärungen auf Internetseiten sein. Diese Abmahnwelle ich allerdings 2018 ausgeblieben.

Erste Rechtsurteile zeigen allerdings: Unternehmen die in Ihrer Datenschutzerklärung Informationspflichten vernachlässigen, verstoßen weiterhin auch gegen wettbewerbsrechtliche Vorgaben. Denn Unternehmen, die Data protection requirements nicht korrekt umsetzen, verschaffen sich dadurch Wettbewerbsvorteile gegenüber anderen Unternehmen. Dadurch ist für den Zeitraum 2019 / 2020 zu erwarten, dass der Anteil der Abmahnungen, aufgrund verfehlter Datenschutzerklärung, vermehrt ausgesprochen wird. Unter anderem auch, da in diesem Zeitraum vermutlich auch die E-Privacy-Verordnung in Kraft treten wird.

Daher raten wir dazu vor allem die Datenschutzerklärung und die Informationspflichten voll umfänglich umzusetzen.

3. Aufsichtsbehörden werden 2019 intensiver und auch ohne Anlass kontrollieren

Bereits zum Ende des Jahres 2018 haben einige Aufsichtsbehörden aktiv auf Umsetzung der GDPR controlled.

Zu nennen sind hier insbesondere die Aufsichtsbehörden in Bayern. Auf den entsprechenden Internet presence kann nachgelesen werden, welche Unternehmen mit einer Kontrolle zu rechnen haben und welche Themen im Rahmen dieser Kontrolle abgefragt werden. Doch auch Thüringen nimmt die Umsetzung der DSGVO erst. Der Datenschutz-Beauftragte von Thüringen fragte den Stand zur DSGVO-Umsetzung, bei vielen Thüringer Unternehmen, anhand eines Fragebogens aktiv nach. Auch in anderen Bundesländern, wie Nordrhein-Westfalen wurden Kontrollen durchgeführt.

Es ist davon auszugehen, dass Kontrollen im Jahr 2019 in stärkerem Ausmaß, beispielsweise durch flächendeckende Erfassung über Fragebögen, stattfinden werden. Unsere Rücksprachen mit den Aufsichtsbehörden lassen aber auch darauf schließen, dass 2019 viele Behörden ihren Fokus nach wie vor eher auf Beratung als auf Sanktionen über Bußgelder konzentrieren werden. Natürlich nur insofern, wenn keine extremen Beanstandungen bei der Umsetzung der DSGVO festgestellt werden.

Bußgelder könnten beispielsweise in Fällen auftreten, wie:

Inadequate implementation of minimum requirements (e.g. lists of procedures).
Durchführung Videoüberwachungen von Mitarbeitern ohne Anlass.
Vernachlässigung der Datensicherheit (z.B. nicht ausreichendes Rollen- und Rechtemanagement).

Neben der Möglichkeit in den Fokus der Aufsichtsbehörden zu gelangen, kann eine Datenpanne auch durch Dritte gemeldet werden.

Dementsprechend ist es sehr empfehlenswert, zumindest die Mindestanforderungen der Datenschutz-Grundverordnung zu etablieren. Weiterhin empfehlenswert ist es den Data protection to improve continuously in the sense of a management task.

External Data Protection Officer

Gern können Sie uns als external data protection officer (DPO) order. We also offer individual consulting services as well as audits and will be happy to provide you with a non-binding offer. You can find more information about our external data protection officers on our website.

Discover DSB services

4. Bußgelder sind nicht transparent

Bereits 2018 wurden diverse Bußgelder vollstreckt. Die Spanne reicht von dreistelligen Summen in Deutschland bis zu internationalen Bußgeldern in Millionen-Höhe. Eine Vielzahl an Bußgeldern wurden in unterschiedlicher Größenordnung, für verschiedene Vergehen vollstreckt.

These misdemeanors are, for example:

Videoüberwachung ohne Anlass
Unfinished order processing
Open e-mail distribution lists
Mangelhafte Rollen- und Rechtekonzepte

Problematisch ist, dass es keinen einheitlichen Standard im Sinne eines Bußgeldkatalogs gibt. Sowohl für die Datenschutz-Beauftragten, als auch für die betroffenen Unternehmen ist es aktuell schwer einzuschätzen, welcher Verstoß zu welchem Bußgeld führt. Möglicherweise kann auch eine kooperative Zusammenarbeit mit den Aufsichtsbehörden eine Minderung der Bußgelder zur Folge haben. Allerdings gibt es auch dazu keine konkreten Ausführungen. Es wäre daher sinnvoll, dass die Aufsichtsbehörden einen abgestimmten Katalog erarbeiten, der transparent darstellt, bei welchen Kategorien von Verstößen, Unternehmen mit welchen Bußgeldern abgestraft werden.

5. Größtes Umsetzungsproblem ist die Rechtsunsicherheit

Eine Bitkom-Umfrage ergab, dass mehr als 50 Prozent der Unternehmen das größte Problem bei der Umsetzung der DSGVO in der Rechtsunsicherheit sehen.

Various handouts of the Data Protection Conference zu verschiedenen kritischen Fragestellung werden bereits als Unterstützungsleistung angeboten. Beispielhaft zu nennen ist:

The obligation to appoint a data protection officer in smaller medical practices
Der Umgang mit Auftragsverarbeitungs-Verhältnissen
Die Durchführung einer Datenschutz-Folgeabschätzungs inklusive der dafür notwendigen Kriterien (Blacklist / Whitelist)

Dennoch gibt es viele detaillierte praxisbezogene Rechtsfragen, die bis heute noch nicht umfassend beantwortet wurden. Dazu gehören zum Beispiel:

Wie realisiere ich Informationspflichten, wenn ich eine Visitenkarte von einem Interessenten für meine Produkte bekomme?
Müssen kleine Betriebe, die hoheitliche Aufgaben übernehmen (z.B. KFZ-Betriebe die eine Abgasuntersuchung durchführen) tatsächlich ein Datenschutz-Beauftragten bestellen?
What is the state of the art in implementing data security?
How do I deal with the information obligations when the media jump?
Ist ein Steuerberater der Lohnbuchhaltung durchführt auch ein Auftragsverarbeiter?

Diese und andere Fragen sind bis heute nicht abschließend geklärt und werden in den nächsten Monaten bis Jahren, entweder durch Handreichungen der Datenschutzkonferenz, Gesetzesanpassung oder Gerichtsurteile entschieden werden. Fakt ist aber auch das mindestens 80 Prozent der Aufgaben im Datenschutz durch jedes Unternehmen in Deutschland problemlos umgesetzt werden können. Auch im Bereich der Datensicherheit gibt es Mindeststandards (z.B. die ISO 27.1001, der BSI-IT-Grundschutz), sodass jedes Unternehmen grundlegende Maßnahmen zur Datensicherheit in Erfahrung bringen und umzusetzen kann.

Unbeachtet bei der Umsetzung der DSGVO sind auch in vielen Fällen die speziellen Rechtsgrundlagen der einzelnen Branchen. Es ist durchaus möglich, dass es bestimmte Rechtsgrundlagen ermöglichen, dass Unternehmen personenbezogene Daten erfassen oder verarbeiten, ohne vorher eine Einwilligung von den betroffenen Personen einzuholen. Der wesentliche Vorteil einer solchen Einwilligung ist es aber, dass man diese jederzeit widerrufen kann.

In summary, the basic data protection order already clearly regulates many questions of principle. However, as soon as one moves into specific sectors or legal areas, there are still many open questions.

6. Data protection becomes a cheap commodity

Da die Nachfrage nach Datenschutzbeauftragten oder Experten für Datenschutz seit dem Mai 2018 stark gestiegen ist, gibt es viele relativ neue Anbieter, die in der Unsicherheit der Unternehmen finanzielle Chancen sehen. Aus diesem Grund tauchen im Moment zahlreiche sogenannte Datenschutz-Experten oder Anbieter von Datenschutz-Software am Markt auf. Teilweise werden sehr geringe Preise für die Bestellung als Datenschutz-Beauftragter oder sonstige Datenschutz-Leistungen aufgerufen. Problematisch dabei ist, dass seriöse Datenschutz-Beauftragte immer ein gewisses Haftungsrisiko selbst verantworten müssen. Die dafür notwendigen Absicherungen sind mit den aufgerufenen Preisen nicht zu finanzieren. Dieser Umstand lässt den Rückschluss zu, dass die angebotenen Leistungen keinen hochwertigen Datenschutz garantieren können.

Robin Data hat es sich deshalb zum Ziel gemacht Datenschutz auf höchstem Niveau anzubieten. Dazu haben wir ein Netzwerk an Partnern, welche ihre Datenschutz-Expertise branchenspezifisch über viele Jahren entwickelt haben. Datenschutz-Experten aus dem Netzwerk von Robin Data entwickeln mit und für unsere Kunden das optimale Datenschutz-Management-System.