Am 25.05.2018 begann eine neue Datenschutz-\u00c4ra: Die Datenschutz-Grundverordnung (DSGVO) galt europaweit verbindlich f\u00fcr alle Unternehmen. Zwei Jahre sp\u00e4ter gibt es immer noch Unternehmen, die die DSGVO nicht umgesetzt haben. Das Gesetz erfuhr diverse Anpassungen, und auch vor horrenden Strafen machten die Aufsichtsbeh\u00f6rden nicht halt. Wir fassen f\u00fcr Sie zusammen, wie die DSGVO die Datenschutz-Welt ver\u00e4ndert hat.<\/p>\n
Eigentlich hatten Unternehmen zwei Jahre Zeit zur Umsetzung, denn bereits im Jahre 2016 hielt die DSGVO Einzug in unser Rechtssystem. Das bekam nur kaum jemand mit: Medien und die Politik schwiegen sich aus, sodass es wenig verwunderte, als kurz vor knapp Panik entstand. F\u00fcr viele Unternehmen kam sie sehr pl\u00f6tzlich, die Datenschutz-Grundverordnung \u2013 und so vieles blieb, bei vielen Unternehmen leider bis heute, unerledigt.<\/p>\n
Wirtschaftsverb\u00e4nde waren sich gr\u00f6\u00dftenteils einig: Da k\u00e4me ein B\u00fcrokratiemonster auf uns zu und eine Abmahnwelle w\u00e4re zu bef\u00fcrchten. Diese Abmahnwelle blieb aus, mit B\u00fcrokratie musste man sich jedoch in der Tat auseinandersetzen. Wohl dem, der schon rechtzeitig dran war: Verfahrensverzeichnisse bzw. Verarbeitungsverzeichnisse, Dokumentationen, technische und organisatorische Ma\u00dfnahmen \u2013 all das gab es hier und da schon in Unternehmen. Diese gut vorbereiteten Firmen hatten keinen Grund zur Panik.<\/p>\n
Nachdem die Abmahnwelle ausblieb und die Aufsichtsbeh\u00f6rden zu Beginn auch vorsichtig mit Bu\u00dfgeldern waren, trieben Ger\u00fcchte um die DSGVO seltsame Bl\u00fcten: Man munkelte, beim Arzt werde man nun nicht mehr mit dem Namen aufgerufen, Klassenfotos k\u00f6nnten nicht mehr aufgenommen werden und wahrscheinlich wird die DSGVO daf\u00fcr sorgen, dass Klingelschilder mit Namen gegen welche mit Nummern ausgetauscht werden m\u00fcssten; wir berichteten<\/a>.<\/p>\n Als auch diese Ger\u00fcchte langsam aber sicher der Vergangenheit angeh\u00f6rten, war die DSGVO immerhin schon ein halbes Jahr alt. Viele Unternehmen, ob gro\u00df, ob klein, hatten sich langsam mit der DSGVO arrangiert. Eine Abmahnwelle gab es nie, es fielen diverse Einzelf\u00e4lle auf, die manchmal auch durch Wettbewerber angeregt wurden.<\/p>\n Doch nicht nur f\u00fcr die Unternehmen selbst hat sich einiges ge\u00e4ndert \u2013 auch f\u00fcr Verbraucherinnen und Verbraucher ist die Datenschutz-Grundverordnung Anlass, sich mit Datenschutz und Privatsph\u00e4re auseinanderzusetzen. Denn die DSGVO fordert aktives Handeln vom Verbraucher: er muss in einigen Bereichen einwilligen, wenn seine Daten verarbeitet werden, er hat Auskunfts- und L\u00f6schrechte sowie Mittel, diese Rechte durchzusetzen. Somit sorgt die DSGVO zweifelsfrei f\u00fcr mehr Transparenz und daf\u00fcr, sich mit dem Thema Datenschutz n\u00e4her auseinanderzusetzen.<\/p>\n Ist nun alles gut nach zwei Jahren DSGVO? Leider nein \u2013 vielmehr werden durch die DSGVO viele Probleme \u00fcberhaupt erst einmal sichtbar. So m\u00fcssen Firmen beispielsweise Datenschutzverletzungen („Datenpannen“) melden. \u00dcber 21.000 Meldungen dieser Art wurden seit Mai 2018 ausschlie\u00dflich in Deutschland gemacht. Bedenkt man, dass vermutlich nicht jeder dieser Meldepflicht nachkommt, mag die Dunkelziffer noch h\u00f6her liegen. Die gigantische Anzahl an Meldungen offenbart, dass zahlreiche Firmen beim Datenmanagement komplett \u00fcberfordert sind \u2013 es ist ihnen nicht m\u00f6glich, den Zugriff auf pers\u00f6nliche Daten effizient zu kontrollieren, sie zu sichern. L\u00fcckenhafte interne Prozesse und fehlendes Wissen bei Verantwortlichen sind Quellen dieser Entwicklung.<\/p>\n Strafen in Form von Bu\u00dfgeldern gab es in der Zwischenzeit ebenfalls \u2013 und zwar nicht wenige.<\/p>\n Hielten sich die Aufsichtsbeh\u00f6rden in den ersten Monaten nach offiziellem Start der DSGVO noch zur\u00fcck, um Unternehmen Zeit einzur\u00e4umen, ging es Ende 2018 mit den Bu\u00dfgeldern los. Sie k\u00f6nnen die Website enforcementtracker.com<\/a> nutzen, um sich alle DSGVO-Bu\u00dfgelder anzusehen, die bislang in der EU verh\u00e4ngt wurden.<\/p>\n Das erste DSGVO-Bu\u00dfgeld in Deutschland wurde vom LfDI Baden-W\u00fcrttemberg gegen den baden-w\u00fcrttembergischen Social Media-Anbieter knuddels.de verh\u00e4ngt: 20.000 Euro musste der Konzern zahlen. In der Datenpannenmeldung des Unternehmens hie\u00df es, dass durch einen Hackerangriff Daten von 330.000 Nutzern \u2013 einschlie\u00dflich Login-Daten \u2013 entwendet wurden. Das Unternehmen speicherte Nutzerpassw\u00f6rter im Klartext und ohne weitere Sicherheitsvorkehrungen. Optimierungen der internen Strukturen waren notwendig, um derartiges nicht noch einmal passieren zu lassen. Den ganzen Fall lesen Sie auf der Website des LfDI Baden-W\u00fcrttemberg<\/a>.<\/p>\n Das Hamburger Unternehmen Kolibri Image Regina und Dirk Maass GbR wurde zu einem Bu\u00dfgeld in H\u00f6he von 5.000 Euro verurteilt \u2013 vorerst. Ein spannender Fall: Das kleine Unternehmen hatte es vers\u00e4umt, einen Auftragsverarbeitungsvertrag zu erstellen. Nur durch eine Anfrage bei der Datenschutzbeh\u00f6rde fiel das Fehlen dieses Vertrags auf \u2013 auf dem Fu\u00dfe sollte das Bu\u00dfgeld folgen. Das Unternehmerpaar mit dem 2-Mann-Unternehmen hatte 14 Tage Zeit, das Geld aufzubringen. Man setzte sich zur Wehr, ging den Widerspruchsweg \u2013 erfolgreich: Anfang April nahm der Hamburger Datensch\u00fctzer den Bu\u00dfgeldbescheid zur\u00fcck, das Verfahren wurde eingestellt. Die ganze Geschichte aus Sicht der Unternehmer k\u00f6nnen Sie auf der Website von Kolibri Image<\/a> nachlesen.<\/p>\n Wieder war es der LfDI Baden-W\u00fcrttembergs, der mit Bu\u00dfgeldern nicht geizte: in diesem zweiten Fall aus Baden-W\u00fcrttemberg ging es um die Entsorgung von Papierm\u00fcll. Der mittelst\u00e4ndische Finanzdienstleister, den die Strafe traf, war unachtsam. In zu entsorgenden Unterlagen waren personenbezogene Daten von zwei Kunden enthalten. Die Papiere wurden ohne Schreddern, Schw\u00e4rzen oder sonstiger Anonymisierung im allgemeinen Altpapier entsorgt. Eine Nachbarin wurde aufmerksam und versendete die Dokumente an die zust\u00e4ndige Datenschutzbeh\u00f6rde. Diesmal wurde eine Strafe in H\u00f6he von 80.000 Euro verh\u00e4ngt, wie dem T\u00e4tigkeitsbericht<\/a> (PDF, Seite 40) des LfDI Baden-W\u00fcrttemberg zu entnehmen ist.<\/p>\n In seinem T\u00e4tigkeitsbericht<\/a> (PDF, Seite 131) erkl\u00e4rt der Berliner LfDI einen Fall, bei dem die Bank N26 einem ehemaligen Kunden die erneute Er\u00f6ffnung eines Bankkontos verwehrte. Das Geldinstitut erkl\u00e4rte nach Beschwerde des Kunden, man f\u00fchre eine Art \u201eBlacklist\u201c \u2013 eine Warndatei. Darin gespeichert seien auch die Daten ehemaliger Kundinnen und Kunden, um zu verhindern, diesen erneut ein Konto zu er\u00f6ffnen. Eine solche schwarze Liste, die ehemalige Kunden listet, ohne konkrete Verdachtsmomente, ist durchweg rechtswidrig. Neben dem Bu\u00dfgeld in H\u00f6he von 50.000 Euro wurde ein Ordnungswidrigkeitsverfahren eingeleitet.<\/p>\n Erneut war es die Berliner Datenschutzbeauftragte, die eingreifen musste: Der Lieferdienst Delivery Hero hatte es in zehn F\u00e4llen verpasst, die Daten ehemaliger Kunden zu l\u00f6schen. Die Betroffenen waren seit Jahren nicht mehr auf der Plattform des Lieferdiensts aktiv \u2013 ein Kunde zuletzt sogar 2008. Es gab Beschwerden ehemaliger Kunden, die unerw\u00fcnscht Werbe-E-Mails erhielten. Ein Kunde widersprach der Werbenutzung seiner Daten ausdr\u00fccklich, erhielt jedoch weitere Werbe-E-Mails. Verst\u00e4ndlich also, dass die H\u00f6he des Bu\u00dfgelds mit 195.407 Euro einschlie\u00dflich aller Geb\u00fchren weit oben angesiedelt war. Den ganzen Fall k\u00f6nnen Sie in einer Pressemitteilung<\/a> (PDF) der Berliner Datenschutzbeauftragten nachlesen.<\/p>\n In einer weiteren Pressemeldung<\/a> (PDF) erkl\u00e4rt die Berliner Datenschutzbeauftragte den Fall der Deutsche Wohnen SE: Mehrfach wurden personenbezogene Mieter-Daten verarbeitet, ohne zu pr\u00fcfen, ob dies notwendig oder zul\u00e4ssig ist. Inklusive waren Daten \u00fcber pers\u00f6nliche und finanzielle Verh\u00e4ltnisse, etwa Selbstausk\u00fcnfte, Gehaltsbescheinigungen oder Versicherungsdaten. Auf diese Verh\u00e4ltnisse wies die Datenschutzbeauftragte bereits 2017 hin, bis 2019 vollzog sich jedoch keine \u00c4nderung. Verh\u00e4ngt wurde ein Rekordbu\u00dfgeld in H\u00f6he von 14.500.000 Euro.<\/p>\n Diesmal wurde der Bundesbeauftragte f\u00fcr den Datenschutz und die Informationsfreiheit (BfDI) aktiv: Der Telekommunikationsdienstleister 1&1 Telecom GmbH ergriff nicht hinreichende technisch-organisatorische Ma\u00dfnahmen zum Schutz von Kundendaten bei der telefonischen Kundenbetreuung. Wie der BfDI das Bu\u00dfgeld von 9.550.000 Euro begr\u00fcndet, k\u00f6nnen Sie in einer Pressemeldung<\/a> nachlesen.<\/p>\n Nach zwei Jahren sind die Kritiker der DSGVO leiser geworden, sie schweigen jedoch nicht. Interessanterweise hat sich n\u00e4mlich ein konkretes Problem ergeben, welches die Verordnung eigentlich mal beseitigen sollte: Jeder kocht sein eigenes S\u00fcppchen. Nach wie vor existieren Unterschiede im Datenschutz in einzelnen EU-Staaten. Es gibt zahlreiche Unternehmen, die ihre Gesch\u00e4fte grenz\u00fcberschreitend ausrichten. Man bedenke: Es gibt 27 EU-Staaten, w\u00e4hrend die DSGVO 69 \u00d6ffnungsklauseln bereith\u00e4lt \u2013 jene Klauseln, die jede Nation individuell ausf\u00fcllt. Nicht immer ist durchsichtig, wie Datenschutz in Nachbarl\u00e4ndern funktioniert \u2013 trotz DSGVO.<\/p>\n Auch der Digitalverband Bitkom zeigt sich kritisch diesen teils sehr unterschiedlichen Regelungen gegen\u00fcber. Schon in Deutschland sei dies laut Bitkom zu kritisieren: Datenschutz ist L\u00e4ndersache, und wird dementsprechend mal so, mal so ausgelegt. Man betrachte folgenden Fakt: In Deutschland existieren 18 Datenschutzbeh\u00f6rden. Davon f\u00e4llt eine auf den Bund und 17 auf die Bundesl\u00e4nder. Sie wundern sich? Zurecht \u2013 wir haben ja nur 16 Bundesl\u00e4nder. Tats\u00e4chlich hat Bayern zwei Datenschutzbeh\u00f6rden: Eine k\u00fcmmert sich um die Einhaltung des Datenschutzes in der Wirtschaft, die andere um staatlich erhobene Daten.<\/p>\n Ulrich Kelber, seines Zeichens Bundesdatenschutzbeauftragter, spricht sich f\u00fcr Datenschutzverfahren auf EU-Ebene aus. Gegen\u00fcber dem Handelsblatt<\/a> sagte Kelber: \u201eAuf Dauer w\u00e4re es sinnvoll, wenn der Europ\u00e4ische Datenschutzausschuss wichtige, grenz\u00fcberschreitende und ressourcenfressende F\u00e4lle an eine europ\u00e4ische Serviceeinheit \u00fcbertragen k\u00f6nnte, die ihm zugeordnet ist [\u2026] Das w\u00fcrde eine deutliche Beschleunigung bringen\u201c.<\/p>\nDatenschutz aktiver wahrnehmen<\/h2>\n
Verh\u00e4ngte DSGVO-Bu\u00dfgelder<\/h2>\n
Knuddels.de wird zur Kasse gebeten<\/h3>\n
Hamburger Unternehmen mit DSGVO-Bu\u00dfgeld<\/h3>\n
80.000 Euro f\u00fcr Gesundheitsdaten im M\u00fcll<\/h3>\n
N26 muss 50.000 Euro zahlen<\/h3>\n
Delivery Hero verpasst Datenl\u00f6schung<\/h3>\n
Rekordbu\u00dfgeld gegen Deutsche Wohnen SE<\/h3>\n
Auch 1&1 musste zahlen<\/h3>\n
DSGVO: Kritik gibt es nach wie vor<\/h2>\n
Bundesdatenschutzbeauftragter m\u00f6chte Datenschutz auf EU-Ebene<\/h3>\n