Am 25.05.2018 startete das große Projekt DSGVO und insbesondere dessen praktische Umsetzung. Auch wenn die erwartete Abmahnwelle sowie drakonische Bußgeldbescheide ausgeblieben sind, sorgten die fünf Großbuchstaben im vergangenen Jahr für einen enormen (internen) Verwaltungsaufwand.
Zahlreiche Anweisungen und Schritt-für-Schritt-Anleitungen geben den Unternehmen auf, wie nunmehr die europäischen Regularien – zumindest theoretisch – umgesetzt werden müssen, damit Datenverstöße vermieden werden. Auch sind die Bestellung eines Datenschutzbeauftragten, das Erstellen von Verarbeitungsverzeichnissen oder aber auch der Abschluss von Auftragsverarbeitungsverträgen – exemplarisch – nunmehr Pflicht, damit Aufsichtsbehörden kein Verfahren einleiten. Welche Konsequenzen treffen Unternehmen, wenn die Aufsichtsbehörde Kenntnis von einem Verstoß erhält, und was ist aus Sicht der Aufsichtsbehörden im vergangenen Jahr passiert?
Diese und weitere Fragen haben wir im Rahmen unseres Datenschutz-Kaffees am 24.06.2019 in lockerer Runde gestellt. Sehr kompetente und praxisnahe Antworten gaben Dr. Jens Ambrock, Referatsleiter Wirtschaft, Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, sowie Christian Huth und Karsten Merget von CFC – Compliance Factory Consulting GmbH.
Die DSGVO hat auch aus Behördensicht für einen erheblichen Anstieg von Anfragen sowie Beschwerden geführt. So verzeichnete die Aufsichtsbehörde eine Verdopplung in diesem Bereich. Auch wenn Massenverfahren ausgeblieben sind, sind die Bußgelder in diesem Zusammenhang rege diskutiert worden.
Dr. Jens Ambrock wies darauf hin, dass trotz der normierten Bußgelder die Aufsichtsbehörden sehr zurückhaltend waren. Die Bußgeldgesamtsumme des vergangenen Jahres belief sich insgesamt auf rund EUR 500.000,00 verteilt auf insgesamt rund 100 Bußgeldbescheide.
Im unmittelbaren Vergleich sind im europäischen Ausland weitaus höhere Bußgelder verhängt worden. So verhängte die Aufsichtsbehörde in Frankreich gegen einen großen amerikanischen Internet-Konzern einen Bußgeldbescheid in Höhe von EUR 50 Mio. aufgrund unwirksamer Einwilligung und mangelhafter Transparenz der Datenschutzhinweise. Die Behörde in Portugal verhängte einen Bußgeldbescheid in Höhe von EUR 400.000,00 gegen ein Krankenhaus wegen fehlerhafter Zugriffsrechte zu Datenbanken mit besonders sensiblen personenbezogenen Daten.
Dr. Jens Ambrock erläuterte weiter, dass die geringe Rate an Bußgeldbescheiden Resultat der noch fehlenden Umsetzungspraxis sei. Die Bemessung eines Bußgeldes und die Ahndung eines bestimmten Verstoßes seien derzeit noch sehr schwierig. Daher seien die Behörden bestrebt, einen einheitlichen Bußgeldkatalog – vergleichbar mit Verstößen im Straßenverkehr – zu entwickeln.
Auch wenn die Aufsichtsbehörde mit einem erheblichen Mehraufwand zu kämpfen hat, gab Dr. Ambrock zu verstehen, dass sich die Aufsichtsbehörden in den kommenden Jahren derart gut aufgestellt sehen, dass – auch bundesweit – die Bearbeitung von Anfragen, Beschwerden sowie die Ahndung datenschutzrechtlicher Verstöße effektiv erfolgen wird.
Fazit: Es war ein spannendes, aber auch anstrengendes erstes Jahr mit der DSGVO. Wie für ein Kleinkind üblich, gibt es noch vieles zu lernen, die ersten erfolgreichen Schritte sind gemacht.