DSGVO-Geburtstag: 2 Jahre Datenschutz-Grundverordnung

Am 25.05.2018 begann eine neue Datenschutz-Ära: Die Datenschutz-Grundverordnung (DSGVO) galt europaweit verbindlich für alle Unternehmen. Zwei Jahre später gibt es immer noch Unternehmen, die die DSGVO nicht umgesetzt haben. Das Gesetz erfuhr diverse Anpassungen, und auch vor horrenden Strafen machten die Aufsichtsbehörden nicht halt. Wir fassen für Sie zusammen, wie die DSGVO die Datenschutz-Welt verändert hat.

Angst bis Panik: Die Monate vor der DSGVO

Eigentlich hatten Unternehmen zwei Jahre Zeit zur Umsetzung, denn bereits im Jahre 2016 hielt die DSGVO Einzug in unser Rechtssystem. Das bekam nur kaum jemand mit: Medien und die Politik schwiegen sich aus, sodass es wenig verwunderte, als kurz vor knapp Panik entstand. Für viele Unternehmen kam sie sehr plötzlich, die Datenschutz-Grundverordnung – und so vieles blieb, bei vielen Unternehmen leider bis heute, unerledigt.

Wirtschaftsverbände waren sich größtenteils einig: Da käme ein Bürokratiemonster auf uns zu und eine Abmahnwelle wäre zu befürchten. Diese Abmahnwelle blieb aus, mit Bürokratie musste man sich jedoch in der Tat auseinandersetzen. Wohl dem, der schon rechtzeitig dran war: Verfahrensverzeichnisse bzw. Verarbeitungsverzeichnisse, Dokumentationen, technische und organisatorische Maßnahmen – all das gab es hier und da schon in Unternehmen. Diese gut vorbereiteten Firmen hatten keinen Grund zur Panik.

Nachdem die Abmahnwelle ausblieb und die Aufsichtsbehörden zu Beginn auch vorsichtig mit Bußgeldern waren, trieben Gerüchte um die DSGVO seltsame Blüten: Man munkelte, beim Arzt werde man nun nicht mehr mit dem Namen aufgerufen, Klassenfotos könnten nicht mehr aufgenommen werden und wahrscheinlich wird die DSGVO dafür sorgen, dass Klingelschilder mit Namen gegen welche mit Nummern ausgetauscht werden müssten; wir berichteten.

Als auch diese Gerüchte langsam aber sicher der Vergangenheit angehörten, war die DSGVO immerhin schon ein halbes Jahr alt. Viele Unternehmen, ob groß, ob klein, hatten sich langsam mit der DSGVO arrangiert. Eine Abmahnwelle gab es nie, es fielen diverse Einzelfälle auf, die manchmal auch durch Wettbewerber angeregt wurden.

Datenschutz aktiver wahrnehmen

Doch nicht nur für die Unternehmen selbst hat sich einiges geändert – auch für Verbraucherinnen und Verbraucher ist die Datenschutz-Grundverordnung Anlass, sich mit Datenschutz und Privatsphäre auseinanderzusetzen. Denn die DSGVO fordert aktives Handeln vom Verbraucher: er muss in einigen Bereichen einwilligen, wenn seine Daten verarbeitet werden, er hat Auskunfts- und Löschrechte sowie Mittel, diese Rechte durchzusetzen. Somit sorgt die DSGVO zweifelsfrei für mehr Transparenz und dafür, sich mit dem Thema Datenschutz näher auseinanderzusetzen.

Ist nun alles gut nach zwei Jahren DSGVO? Leider nein – vielmehr werden durch die DSGVO viele Probleme überhaupt erst einmal sichtbar. So müssen Firmen beispielsweise Datenschutzverletzungen („Datenpannen“) melden. Über 21.000 Meldungen dieser Art wurden seit Mai 2018 ausschließlich in Deutschland gemacht. Bedenkt man, dass vermutlich nicht jeder dieser Meldepflicht nachkommt, mag die Dunkelziffer noch höher liegen. Die gigantische Anzahl an Meldungen offenbart, dass zahlreiche Firmen beim Datenmanagement komplett überfordert sind – es ist ihnen nicht möglich, den Zugriff auf persönliche Daten effizient zu kontrollieren, sie zu sichern. Lückenhafte interne Prozesse und fehlendes Wissen bei Verantwortlichen sind Quellen dieser Entwicklung.

Strafen in Form von Bußgeldern gab es in der Zwischenzeit ebenfalls – und zwar nicht wenige.

Verhängte DSGVO-Bußgelder

Hielten sich die Aufsichtsbehörden in den ersten Monaten nach offiziellem Start der DSGVO noch zurück, um Unternehmen Zeit einzuräumen, ging es Ende 2018 mit den Bußgeldern los. Sie können die Website enforcementtracker.com nutzen, um sich alle DSGVO-Bußgelder anzusehen, die bislang in der EU verhängt wurden.

Knuddels.de wird zur Kasse gebeten

Das erste DSGVO-Bußgeld in Deutschland wurde vom LfDI Baden-Württemberg gegen den baden-württembergischen Social Media-Anbieter knuddels.de verhängt: 20.000 Euro musste der Konzern zahlen. In der Datenpannenmeldung des Unternehmens hieß es, dass durch einen Hackerangriff Daten von 330.000 Nutzern – einschließlich Login-Daten – entwendet wurden. Das Unternehmen speicherte Nutzerpasswörter im Klartext und ohne weitere Sicherheitsvorkehrungen. Optimierungen der internen Strukturen waren notwendig, um derartiges nicht noch einmal passieren zu lassen. Den ganzen Fall lesen Sie auf der Website des LfDI Baden-Württemberg.

Hamburger Unternehmen mit DSGVO-Bußgeld

Das Hamburger Unternehmen Kolibri Image Regina und Dirk Maass GbR wurde zu einem Bußgeld in Höhe von 5.000 Euro verurteilt – vorerst. Ein spannender Fall: Das kleine Unternehmen hatte es versäumt, einen Auftragsverarbeitungsvertrag zu erstellen. Nur durch eine Anfrage bei der Datenschutzbehörde fiel das Fehlen dieses Vertrags auf – auf dem Fuße sollte das Bußgeld folgen. Das Unternehmerpaar mit dem 2-Mann-Unternehmen hatte 14 Tage Zeit, das Geld aufzubringen. Man setzte sich zur Wehr, ging den Widerspruchsweg – erfolgreich: Anfang April nahm der Hamburger Datenschützer den Bußgeldbescheid zurück, das Verfahren wurde eingestellt. Die ganze Geschichte aus Sicht der Unternehmer können Sie auf der Website von Kolibri Image nachlesen.

80.000 Euro für Gesundheitsdaten im Müll

Wieder war es der LfDI Baden-Württembergs, der mit Bußgeldern nicht geizte: in diesem zweiten Fall aus Baden-Württemberg ging es um die Entsorgung von Papiermüll. Der mittelständische Finanzdienstleister, den die Strafe traf, war unachtsam. In zu entsorgenden Unterlagen waren personenbezogene Daten von zwei Kunden enthalten. Die Papiere wurden ohne Schreddern, Schwärzen oder sonstiger Anonymisierung im allgemeinen Altpapier entsorgt. Eine Nachbarin wurde aufmerksam und versendete die Dokumente an die zuständige Datenschutzbehörde. Diesmal wurde eine Strafe in Höhe von 80.000 Euro verhängt, wie dem Tätigkeitsbericht (PDF, Seite 40) des LfDI Baden-Württemberg zu entnehmen ist.

N26 muss 50.000 Euro zahlen

In seinem Tätigkeitsbericht (PDF, Seite 131) erklärt der Berliner LfDI einen Fall, bei dem die Bank N26 einem ehemaligen Kunden die erneute Eröffnung eines Bankkontos verwehrte. Das Geldinstitut erklärte nach Beschwerde des Kunden, man führe eine Art „Blacklist“ – eine Warndatei. Darin gespeichert seien auch die Daten ehemaliger Kundinnen und Kunden, um zu verhindern, diesen erneut ein Konto zu eröffnen. Eine solche schwarze Liste, die ehemalige Kunden listet, ohne konkrete Verdachtsmomente, ist durchweg rechtswidrig. Neben dem Bußgeld in Höhe von 50.000 Euro wurde ein Ordnungswidrigkeitsverfahren eingeleitet.

Delivery Hero verpasst Datenlöschung

Erneut war es die Berliner Datenschutzbeauftragte, die eingreifen musste: Der Lieferdienst Delivery Hero hatte es in zehn Fällen verpasst, die Daten ehemaliger Kunden zu löschen. Die Betroffenen waren seit Jahren nicht mehr auf der Plattform des Lieferdiensts aktiv – ein Kunde zuletzt sogar 2008. Es gab Beschwerden ehemaliger Kunden, die unerwünscht Werbe-E-Mails erhielten. Ein Kunde widersprach der Werbenutzung seiner Daten ausdrücklich, erhielt jedoch weitere Werbe-E-Mails. Verständlich also, dass die Höhe des Bußgelds mit 195.407 Euro einschließlich aller Gebühren weit oben angesiedelt war. Den ganzen Fall können Sie in einer Pressemitteilung (PDF) der Berliner Datenschutzbeauftragten nachlesen.

Rekordbußgeld gegen Deutsche Wohnen SE

In einer weiteren Pressemeldung (PDF) erklärt die Berliner Datenschutzbeauftragte den Fall der Deutsche Wohnen SE: Mehrfach wurden personenbezogene Mieter-Daten verarbeitet, ohne zu prüfen, ob dies notwendig oder zulässig ist. Inklusive waren Daten über persönliche und finanzielle Verhältnisse, etwa Selbstauskünfte, Gehaltsbescheinigungen oder Versicherungsdaten. Auf diese Verhältnisse wies die Datenschutzbeauftragte bereits 2017 hin, bis 2019 vollzog sich jedoch keine Änderung. Verhängt wurde ein Rekordbußgeld in Höhe von 14.500.000 Euro.

Auch 1&1 musste zahlen

Diesmal wurde der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) aktiv: Der Telekommunikationsdienstleister 1&1 Telecom GmbH ergriff nicht hinreichende technisch-organisatorische Maßnahmen zum Schutz von Kundendaten bei der telefonischen Kundenbetreuung. Wie der BfDI das Bußgeld von 9.550.000 Euro begründet, können Sie in einer Pressemeldung nachlesen.

DSGVO: Kritik gibt es nach wie vor

Nach zwei Jahren sind die Kritiker der DSGVO leiser geworden, sie schweigen jedoch nicht. Interessanterweise hat sich nämlich ein konkretes Problem ergeben, welches die Verordnung eigentlich mal beseitigen sollte: Jeder kocht sein eigenes Süppchen. Nach wie vor existieren Unterschiede im Datenschutz in einzelnen EU-Staaten. Es gibt zahlreiche Unternehmen, die ihre Geschäfte grenzüberschreitend ausrichten. Man bedenke: Es gibt 27 EU-Staaten, während die DSGVO 69 Öffnungsklauseln bereithält – jene Klauseln, die jede Nation individuell ausfüllt. Nicht immer ist durchsichtig, wie Datenschutz in Nachbarländern funktioniert – trotz DSGVO.

Auch der Digitalverband Bitkom zeigt sich kritisch diesen teils sehr unterschiedlichen Regelungen gegenüber. Schon in Deutschland sei dies laut Bitkom zu kritisieren: Datenschutz ist Ländersache, und wird dementsprechend mal so, mal so ausgelegt. Man betrachte folgenden Fakt: In Deutschland existieren 18 Datenschutzbehörden. Davon fällt eine auf den Bund und 17 auf die Bundesländer. Sie wundern sich? Zurecht – wir haben ja nur 16 Bundesländer. Tatsächlich hat Bayern zwei Datenschutzbehörden: Eine kümmert sich um die Einhaltung des Datenschutzes in der Wirtschaft, die andere um staatlich erhobene Daten.

Bundesdatenschutzbeauftragter möchte Datenschutz auf EU-Ebene

Ulrich Kelber, seines Zeichens Bundesdatenschutzbeauftragter, spricht sich für Datenschutzverfahren auf EU-Ebene aus. Gegenüber dem Handelsblatt sagte Kelber: „Auf Dauer wäre es sinnvoll, wenn der Europäische Datenschutzausschuss wichtige, grenzüberschreitende und ressourcenfressende Fälle an eine europäische Serviceeinheit übertragen könnte, die ihm zugeordnet ist […] Das würde eine deutliche Beschleunigung bringen“.

Bei den irischen Datenschützern liegen bereits seit Mai 2018 elf Untersuchungen gegen Facebook auf dem Tisch – keines konnte bisher abgeschlossen werden. Tatsächlich ist man in Irland schwer beschäftigt: Twitter und WhatsApp wollen sich die irischen Datenschützer ebenfalls vorknöpfen.

Ein einheitlicher Datenschutz auf EU-Ebene: Das war die Zielstellung der DSGVO. In Hinblick auf diese Verordnung zeigt sich Kelber jedoch zufrieden: „Es gab teilweise absurde Panikmache – aus Sensationsgier, wegen Clickbaiting, aus Unkenntnis, aber auch durch Versuche, Geschäftsmodelle damit zu verbinden […] Trotzdem haben wir die wesentlichen Ziele erreicht. Wir haben eine Harmonisierung in der EU, wir haben ein gesteigertes Bewusstsein für Datenschutz und wir haben bessere Durchsetzungsmöglichkeiten.“ Dennoch gibt es Optimierungsbedarf: „Wir sind zum Beispiel der Meinung, dass der Grundsatz „Privacy by Design“ auf die Hersteller von Produkten ausgeweitet werden sollte.“

2 Jahre DSGVO: Fazit

Von blanker Panik zum recht entspannten Miteinander: So ließe sich die DSGVO-Ära bisher wohl beschreiben. Abmahnwellen blieben aus, Bußgelder nicht. Die Entwicklung ist zweifelsfrei positiv: Verbraucherinnen und Verbraucher sind sich ihrer Rechte bewusster, Unternehmen kennen ihre Pflichten und halten sich vielfach auch daran. Dennoch gibt es sie noch: Die Unternehmen, denen man noch nicht beikommen konnte, die Datenkraken, die wir als Google, Twitter, Facebook oder WhatsApp kennen. Irland muss hier ran, jedoch zeigt sich die zuständige Datenschutzbehörde überfordert. Ein wenig mehr Einheitlichkeit wäre – blickt man aufs ganze Europa – zudem wünschenswert. Dennoch: Die Richtung scheint zu stimmen.

Wie sehen Sie das? Ächzen Sie in Ihrer Organisation noch unter dem „Bürokratiemonster DSGVO“ oder erfüllen Sie die Vorgaben? Sehen Sie klare Vor- oder Nachteile in der DSGVO? Kommen Sie mit uns ins Gespräch – wir freuen uns über Ihre Kommentare!