Rund drei Jahre ist es mittlerweile her, dass die DS-GVO in Kraft getreten ist und das Team der ascon das Beratungsangebot im Bereich Datenschutz verstärkt ausgebaut hat. Um den 25. Mai 2018 haben insbesondere viele kleine und mittelständische Unternehmen den Datenschutz noch als „vorübergehenden Hype“ abgetan. Mit die größte Sorge war es, einen geeigneten Datenschutzbeauftragten zu finden – soweit überhaupt eine Benennpflicht bestand.

Seitdem hat die Bedeutung des „neuen“ Datenschutzes allerdings nicht wie vermutet wieder abgenommen, sondern Nachlässigkeiten beim Schutz personenbezogener Daten sind durch den Druck von Kunden, Arbeitnehmern und den Medien vielmehr ein wahres Damoklesschwert geworden. Betroffene Personen sind sich in den letzten drei Jahren nicht zuletzt durch die Öffentlichkeitsarbeit der Aufsichtsbehörden und die zahlreichen Medienberichte zu Datenschutzverstößen in großen Weltkonzernen ihrer Rechte nach der DS-GVO immer mehr bewusst geworden und fordern diese auch ein. Hinzu kommt der enorme Dokumentationsaufwand, der mit der Umsetzung der datenschutzrechtlichen Pflichten einhergeht und der von vielen Stellen im Mai 2018 noch unterschätzt wurde. Nach drei Jahren gemeinsamen Datenschutzprojekten mit unseren Kunden wollen wir deshalb zum diesjährigen Jahrestag der DS-GVO darauf zurückblicken, was sich bei der Umsetzung der Datenschutzpflichten sowie bei den Datenschutz-Aufsichtsbehörden getan hat.

Rückblicke der Aufsichtsbehörden

Die deutschen Aufsichtsbehörden des Bundes und der Länder veröffentlichen jedes Jahr einen Tätigkeitsbericht, der unter anderem auch einen Jahresrückblick aus Sicht der jeweiligen Behörde enthält. Was hier bei fast allen Datenschutzbehörden thematisiert wird, ist die starke Auslastung: Sie sind aufgrund der großen Anzahl an Beschwerden von betroffenen Personen und Beratungsanfragen von datenverarbeitenden Stellen überlastet und müssen personell aufstocken. Dadurch fehlte es besonders in den ersten beiden Jahren nach Inkrafttreten der DS-GVO an Kapazitäten, um aktiv und eigeninitiativ die Umsetzung der Datenschutzanforderungen bei den verantwortlichen Stellen zu prüfen. Mittlerweile steht der Datenschutzaufsicht allerdings mehr Personal zur Verfügung, weshalb diese in einigen Bundesländern bereits angekündigt hat, die Kontrollmaßnahmen deutlich zu verstärken.

Beschwerden betroffener Personen

Gleichzeitig wird hierdurch allerdings auch deutlich, dass betroffene Personen in den letzten Jahren stärker für den Datenschutz sensibilisiert wurden und erwarten, dass Unternehmen rechtskonform mit ihren persönlichen Daten umgehen. Bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen gingen im Jahr 2019 beispielsweise rund 8200 Beschwerden ein, beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit waren es rund 5000 und beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg rund 2800. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit erreichten im Jahr 2019 jeden Monat rund 400 Beschwerden betroffener Personen, wobei sich die Zahl im Vergleich zu 2018 verdreifacht hat. Eine Vielzahl dieser Beschwerden betrafen unzulässige Videoüberwachungen, nicht ordnungsgemäß erfüllte Auskunftsersuchen sowie die unzulässige Veröffentlichung oder anderweitige Verarbeitung personenbezogener Daten beispielsweise im Bereich Werbung. Im Jahr 2020 kamen für die Behörden infolge der Coronapandemie und der neuen Hygiene- und Schutzmaßnahmen neben Beratungen bei Gesetzgebungsverfahren auch zahlreiche Anfragen von Unternehmen und Behörden zur datenschutzkonformen Umsetzung der Maßnahmen und der Videokonferenzsysteme sowie eine Vielzahl von Beschwerden bezüglich der Kontaktlisten in Restaurants u. Ä. hinzu. Der Großteil der Ermittlungsverfahren endete dabei nicht mit einem Bußgeld, sondern mit einer Anordnung der Aufsichtsbehörde, den Verstoß abzustellen.

Datenpannen-Meldungen

Nicht nur bei den Betroffenen, sondern auch bei Unternehmen ist das Bewusstsein für den Datenschutz immer mehr gestiegen. Nach einer Studie der Kanzlei DLA Piper wurden seit Inkrafttreten der DS-GVO bis Ende Januar 2021 in Deutschland insgesamt 77.747 Datenschutzverletzungen von Unternehmen und Behörden an die zuständige Datenschutzaufsicht gemeldet. Damit führt Deutschland im europäischen Vergleich die Tabelle der unter der DS-GVO gemeldeten Datenpannen an, was allerdings nicht zwangsläufig bedeutet, dass es in anderen Ländern weniger Vorfälle gab. Vielmehr spricht diese Zahl dafür, dass verantwortliche Stellen den Datenschutz ernst nehmen, Verletzungen erkennen und ihrer Meldepflicht ordnungsgemäß nachkommen. Allein im Jahr 2020 lag nach Angaben des DSGVO-Portals (Anbieter: Compliance Essentials GmbH) die Zahl der gemeldeten Datenschutzverstöße deutschlandweit bei 26.057. Häufige Ursachen von Datenschutzverletzungen waren der Fehlversand von Daten und Dokumenten per Post oder Mail, Cyberangriffe sowie der Verlust oder Diebstahl von Datenträgern.

Verhängte Bußgelder

Im Vergleich zu der Anzahl an Beschwerden und Meldungen von Datenschutzverletzungen ist die Zahl an verhängten Bußgeldern durch die deutschen Aufsichtsbehörden eher gering. Nach Angaben des DSGVO-Portals wurden von den Behörden insgesamt 283 Bußgelder mit einem Gesamtbetrag von 48,1 Millionen Euro verhängt. Im Vergleich zum Vorjahr stellt dies einen Anstieg von rund 50 Prozent dar, Ende 2019 lag die Zahl noch bei 187. Das höchste Bußgeld wurde mit 35,3 Millionen Euro von der hamburgischen Aufsichtsbehörde verhängt, geahndet wurden umfangreiche Verstöße gegen den Beschäftigtendatenschutz. Die meisten Geldbußen lagen allerdings im drei- bis vierstelligen Bereich. Zu den geahndeten Verstößen zählten unter anderem die Verletzung von Betroffenenrechten (Art. 12 bis 15 DS-GVO), die unrechtmäßige Datenverarbeitung (z. B. unzulässige Videoüberwachung) sowie unzureichende Maßnahmen zum Schutz personenbezogener Daten (z. B. mangelnder Schutz vor Einsichtnahme von unbefugten Dritten).

Erfahrungen aus der Beratungspraxis

Sowohl die Berichte und Veröffentlichungen der Aufsichtsbehörden als auch die Erfahrung aus unserer eigenen Beratungspraxis haben gezeigt, dass die Umsetzung der datenschutzrechtlichen Vorgaben für einige Unternehmen auch drei Jahre nach Inkrafttreten der DS-GVO noch eine Herausforderung darstellt. Die Analyse sämtlicher bestehender Unternehmensprozesse, die Identifikation und Minimierung von Datenschutzrisiken sowie insbesondere auch die Datenschutzdokumentation sind mit einem enormen Aufwand verbunden, der zu Beginn des Datenschutzprojektes unterschätzt wurde und teilweise auch nicht absehbar war. Die neuen Datenschutzregeln haben Unternehmen 2018 dazu gezwungen, sich intensiv mit den Vorgängen in ihrem Betrieb auseinanderzusetzen und diese gegebenenfalls an die Vorgaben der DS-GVO anzupassen – viele Unternehmen befinden sich allerdings noch immer bei der Abarbeitung absoluter Basics.

In unserem Beratungsalltag, bei der Zusammenarbeit mit Kooperationspartnern und beim Austausch mit anderen Datenschutzberatern stellen wir immer wieder fest, dass bei einigen Unternehmen teilweise sogar bei den Basis-Anforderungen und Arbeitsgrundlagen zur Umsetzung der DS-GVO noch Handlungsbedarf besteht. Hierzu zählen unter anderem die Dokumentation der Verarbeitungstätigkeiten, der Abschluss datenschutzrelevanter Verträge (z. B. Vertrag über die Auftragsverarbeitung), die Schaffung von Prozessen zur Bearbeitung von Auskunftsersuchen oder anderen Betroffenenrechten sowie die Dokumentation und Prüfung der technischen und organisatorischen Maßnahmen zum Schutz der Daten.

Die Schulung und Verpflichtung der Mitarbeiter als eine der wichtigsten Meilensteine im Datenschutzprojekt ist ebenfalls häufig nicht umgesetzt bzw. organisiert. Dabei sind es die Mitarbeiter, die im Betriebsalltag am häufigsten mit personenbezogenen Daten in Kontakt kommen und arbeiten. Eine der wohl größten alltäglichen Gefahrenquellen für Verletzungen des Datenschutzes ist der Mensch. Umso wichtiger ist es, die Mitarbeiter für den Datenschutz zu sensibilisieren und ihnen klare Regeln zum Umgang mit persönlichen sowie betrieblichen Daten vorzugeben, um Gefahren durch Unwissenheit oder Unachtsamkeit möglichst zu minimieren.

Identifikation und Bewertung von Risiken essenziell

Die DS-GVO verfolgt einen sog. risikobasierten Ansatz, weshalb die erforderlichen Maßnahmen und umzusetzenden Anforderungen stets in Relation zu dem Risiko für betroffene Personen, das mit der konkreten Datenverarbeitung einhergeht, gesehen werden muss. Datenverarbeitende Stellen müssen diese Risiken identifizieren und durch geeignete Maßnahmen möglichst minimieren. Eine solche Risikobewertung ist für die Geschäftsleitung nicht nur aus Datenschutzsicht erforderlich, sondern auch aus unternehmerischer Sicht sinnvoll. Es gibt verschiedene Stellen und Prozesse, bei denen ein höheres Risiko für Betroffene besteht als bei anderen, beispielweise wenn Gesundheitsdaten betroffen sind, wie in der Personalabteilung oder ggf. im Rahmen von Corona-Schutzkonzepten, oder wenn eine große Menge von Daten betroffen ist wie Marketing-Datenbanken o. Ä. Um Datenschutzrisiken und die Gefahr von Datenschutzverstößen möglichst gering zu halten, sollten diese Prozesse als Erstes analysiert werden.

In einigen Bereichen eines Unternehmens besteht – unabhängig von der Risikobewertung nach der DS-GVO – zudem eine höhere Gefahr, dass es zu offensichtlichen Datenschutzverletzungen kommt und Betroffene sich an die Aufsichtsbehörde wenden. Hierzu zählen insbesondere die Homepage und die Bearbeitung von Auskunftsersuchen, Löschanfragen oder Werbewidersprüchen sowie der Umgang mit Mitarbeiterdaten und der Einsatz einer Videoüberwachung. Dies ist auch der Grund, warum wir in unserer Datenschutzberatung bestimmte Themen höher priorisieren als andere und „strengere“ Empfehlungen aussprechen. Hierbei handelt es sich genau um die Bereiche, die hohe Datenschutzrisiken für unsere Kunden bergen, wenn die Prozesse nicht genau den datenschutzrechtlichen Mindestanforderungen entsprechen.

Entwicklung der Rechtsprechung

Die Umsetzung der DS-GVO ist mit einem enormen Aufwand verbunden und erfordert einen Austausch sowie die Zusammenarbeit von Datenschutzverantwortlichen im Unternehmen, dem Datenschutzbeauftragten und den Zuständigen für die IT-Sicherheit. Die Erfahrung hat gezeigt, dass die Abarbeitung aller Aufgaben effektiv nur durch eine stetige, regelmäßige Auseinandersetzung mit dem Datenschutzprojekt möglich ist. Dabei stellen bestehende Unklarheiten zur konkreten Auslegung und Umsetzung von Datenschutzpflichten – die durch Beschlüsse der Aufsichtsbehörden, Gerichte usw. noch eindeutig geklärt werden müssen – eine zusätzliche Herausforderung dar. Einige dieser Fragestellungen wurden in den vergangenen Jahren allerdings bereits gerichtlich geklärt, was die Datenschutzarbeit in bestimmten Bereichen insoweit erleichtert hat, dass die Anforderungen dadurch klar festgelegt wurden. Das Urteil des Verwaltungsgerichts Mainz vom 24.09.2020 (Az.: 1 K 548/19.MZ) hat beispielsweise verdeutlicht, welche hohen Anforderungen an eine datenschutzkonforme Videoüberwachung gestellt werden. Ein weiteres Beispiel ist die Entscheidung des Landgerichts Bonn vom 11.11.2020 (Az.: 29 OWi 1/20 LG), die bestätigte, dass eine unzureichende Identifikation von Betroffenen einen Verstoß gegen Art. 32 DS-GVO darstellt. Ebenfalls wichtig für eine Vielzahl von datenverarbeitenden Stellen waren die verschiedenen Urteile zur Reichweite und zum Inhalt des Auskunftsanspruchs nach Art. 15 DS-GVO.

Fazit und Ausblick

Der Datenschutz an sich wird auch künftig ein wichtiges und gleichzeitig unliebsames Thema für Unternehmen und andere datenverarbeitende Stellen bleiben. Insbesondere deshalb, weil die Coronapandemie einen schnellen Aufschwung der Digitalisierung zur Folge hatte, die unabhängig von der Pandemielage voraussichtlich nicht wieder umgekehrt wird. Videokonferenzen, Homeoffice & Co. werden Bestandteile des Arbeitsalltages bleiben und neue Datenschutzherausforderungen mit sich bringen.

Das Gleiche gilt für noch ausstehende Gerichtsentscheidungen zu datenschutzrelevanten Themen, die gegebenenfalls eine weitere Anpassung von Unternehmensprozessen nach sich ziehen werden. Nach 3 Jahren DS-GVO wird daher immer deutlicher, dass der Datenschutz mit der europäischen Verordnung zu einer Daueraufgabe für Unternehmen geworden ist. Jedes Unternehmen muss deshalb eine Datenschutzorganisation aufbauen und entwickeln, die die Risiken der betrieblichen Datenverarbeitung angemessen berücksichtigt und Standardprozesse zur Erfüllung der zentralen Betroffenenrechte sowie für die regelmäßige Sensibilisierung der Mitarbeiter enthält. Aus diesem Grund hat sich die ascon-Datenschutz GmbH & Co. KG den Maximen „Vertraulichkeit wahren“, „Image schützen“ und „Datenschutzrisiken minimieren“ verschrieben. Ob als externer Datenschutzbeauftragter oder als fachkundiger Berater – wir bieten kompetente ganzheitliche Unterstützung mit individuell zugeschnittenen Beratungspaketen für jedes Unternehmen. Unsere Stärken liegen dabei neben der mittlerweile langjähren Erfahrung im Datenschutz in einer engen Vernetzung in die IT-Branche und in einer einzigartigen Kombination aus fachlicher Kompetenz, die auf einem interdisziplinären Team aus IT-Profis sowie juristischen und betriebswirtschaftlichen Experten beruht.