Der 25. Mai des letzten Jahres war der Stichtag für die Geltung der neuen Datenschutzregelungen. Als sichtbares Zeichen, dass sich etwas geändert hat, wurden in der Folge von sehr vielen Unternehmen Informationen zu ihrer Datenverarbeitung versendet und neue Einwilligungserklärungen bei den Betroffenen angefragt.

Obwohl die EU-Datenschutzgrundverordnung (DS-GVO) nun seit einem Jahr anwendbar ist, herrscht nach wie vor eine gewisse Unsicherheit im Umgang mit den neuen Regeln, sowohl auf Seiten der Unternehmen als auch bei den Betroffenen. Grundsätzlich ist jeder, der personenbezogene Daten verarbeitet, verpflichtet, die notwendige Rechtsgrundlage für Erlaubnis zur Verarbeitung zu prüfen und die Betroffenen detailliert zu informieren. Gerade kleinere und mittlere Unternehmen haben die Vorgaben der DS-GVO aber bis jetzt noch nicht vollständig umgesetzt.

Das Risiko einer Sanktion durch die Datenschutzbehörden wurde bis zur DS-GVO von vielen Unternehmen vernachlässigt. Erste Erfahrungen mit der neuen Behördenpraxis zeigen jedoch, dass dies keine empfehlenswerte Haltung ist. Dass die Möglichkeit einer Beschwerde besteht und welche Stelle dafür zuständig ist, hat sich aufgrund der geforderten Datenschutzerklärungen bei den Betroffenen zunehmend verbreitet.

Auch wenn nicht gleich am 26. Mai 2018 der Druckauftrag für Bußgeldbescheide auf Grundlage des neuen Rechts gestartet wurde, haben sich die Aktivitäten der Datenschutzbehörden doch erheblich intensiviert. Nach Angaben des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) in Baden-Württemberg sind die Beschwerdezahlen im privaten Sektor um 30 % angestiegen, die Beratungsanfragen um 150 % und haben sich die Datenpannenmeldungen sogar mehr als verzehnfacht.

Erstmals hat der LfDI im Jahr 2018 auch von seiner Bußgeldbefugnis Gebrauch gemacht und Bußgelder in Höhe von mehr als 100.000,- Euro verhängt. Der LfDI nimmt damit eine gewisse Vorreiterstellung ein.

Bundesweit zeigt sich ein ähnliches Bild: Nach Meldungen aus den Ländern und von der Bundesdatenschutzbeauftragten wird von einer Verdoppelung der Eingaben und Beschwerden zu Datenschutzverstößen gesprochen. Zahlreiche Bußgeldbescheide wegen Verstößen gegen datenschutzrechtliche Bestimmungen sind noch in 2018 ergangen. Die Karenzzeit kurz nach Inkrafttreten der DS-GVO ist also mittlerweile abgelaufen und die Behörden haben sich neu aufgestellt. Auch wenn bislang aus Deutschland noch keine spektakulären Bußgelder in Millionenhöhe bekannt wurden, schöpfen die Behörden zunehmend ihren Spielraum nach oben aus.

Im europäischen Ausland ging die französische Datenschutzaufsicht „CNIL“ zuletzt beherzt gegen Google vor und verhängte ein Bußgeld von 50 Millionen Euro wegen der intransparenten Informationspolitik des Unternehmens.

Die Beispiele zeigen: Unternehmen kann nur geraten werden kann, das Thema Datenschutz ernst zu nehmen. Die Aktualisierung der Datenschutzerklärung auf der Webseite mag ein erster notwendiger Schritt gewesen sein. Damit ist aber noch längst nicht alles Erforderliche getan. Um sämtliche Geschäftsprozesse, bei denen personenbezogene Daten verarbeitet werden, datenschutzrechtlich konform zu organisieren, ist eine gründliche Bestandsanalyse, Prüfung und gegebenenfalls Anpassung geboten.

Dr. Tilo Jung

» zur Übersicht