DS-GVO – die trügerische Ruhe vor dem Sturm
Seit dem 25. Mai entfaltet die DS-GVO nun ihre volle Rechtskraft. Unternehmen müssen bei Verstößen gegen das neue Datenschutzgesetz daher mit hohen Bußgeldern rechnen. Nachdem die Medien über eine Verhängung von Bußgeldern noch nichts berichtet haben, glauben manche Verantwortliche, dies bleibe so und die Umsetzung der DS-GVO im eigenen Betrieb sei unnötig. Ein Blick auf die aktuelle Situation bei den Datenschutz-Behörden zeigt, dass dies ein äußerst gefährlicher Trugschluss ist.
Die Datenschutz-Behörden ertrinken gegenwärtig in einer Flut von Anzeigen und Beschwerden, welche Betroffene bei ihnen einreichen. Die Bundesdatenschutzbeauftragte Andrea Voßhoff spricht gegenüber der Frankfurter Allgemeinen Zeitung in diesem Zusammenhang sogar von einer „administrativen Herausforderung“ der Behörden.
Allein bei der Datenschutz-Aufsicht in Nordrhein-Westfalen gingen nach einem Bericht von spiegel online seit Ende Mai mehr als 4.700 schriftliche Beschwerden ein. In Bayern hat die Datenschutzbehörde ihren telefonischen Auskunftsdienst wegen massenhafter Anfragen bereits erheblich eingeschränkt. Auch aus Hessen wird berichtet, dass die Zahl der Anfragen „extrem hoch“ sei.
Wie die Stuttgarter Zeitung schreibt, hat sich die Zahl der Eingaben von Bürgern in Baden-Württemberg seit dem Stichtag 25. Mai bereits verdreifacht. Laut dem Bericht erreichten die Behörde zusätzlich zu den Beschwerden allein 15.000 Mitteilungen über Kontaktdaten der Datenschutzbeauftragten und 83 Selbstanzeigen von Unternehmen wegen Datenpannen. Der baden-württembergische Datenschutzbeauftragte Stefan Brink nennt den Anstieg beim Arbeitsanfall in seiner Behörde „wirklich massiv„, macht dabei aber deutlich „Wir werden alle diese Beschwerden abarbeiten, das ist sicher“.
„Wenn wir nachgucken, finden wir immer irgendetwas“
Wie die Zeitung weiter berichtet, hält der Landesbeauftragte für den Datenschutz und die Informationsfreiheit die Beschwerden vom Inhalt her nicht für übertrieben, denn schließlich sei der Datenschutz komplex geworden. Zitat Dr. Brink „Wenn wir nachgucken, finden wir immer irgendetwas … Es gibt wohl kein Unternehmen, das hundertprozentig datenschutzkonform arbeitet.“
Das Personal der Behörde wurde bereits um 20 zusätzliche Stellen aufgestockt. Für die Bußgeldabteilung sind eigens zwei zusätzliche Juristen eingestellt worden. Im Moment sind sie noch damit beschäftigt, Altfälle aufzuarbeiten. Der Behördenleiter „Im Moment sind wir vier Wochen hinterher“, er geht aber davon aus, dass seine Behörde den Bearbeitungsrückstand über die Sommermonate aufholen wird.
Ab Herbst werden wirksame und abschreckende Bußgeldbescheide erteilt
Ab Herbst werden sich die Juristen der Bußgeldabteilung dann ausschließlich der Erteilung von Bußgeldbescheiden für neue Fälle widmen. Artikel 83 der DS-GVO verpflichtet die Behörden zwingend dazu, Bußgelder in einer Höhe zu verhängen, die in jedem Einzelfall wirksam und abschreckend ist. Der Betrag kann – je nachdem, welcher Wert höher ist – bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahres-Umsatzes erreichen.
Ein einziger Mitarbeiter, der im Streit geht, kann – da er die Innenansicht seines Unternehmens kennt – durch eine einfache Online-Meldung die Datenschutz-Behörde einschalten und damit den Stein ins Rollen bringen. Ist die Anzeige erst einmal erstattet, so muss die Behörde tätig werden. „Wenn wir nachgucken, finden wir immer irgendetwas“ sagt Dr. Brink, der Leiter der Datenschutzbehörde in Baden-Württemberg.
Erzielt ein Unternehmen zum Beispiel einen Gesamtumsatz von 20 Millionen Euro, so können alleine die nicht vorgenommene Bestellung eines Datenschutzbeauftragten, ein fehlendes oder unzureichendes Verzeichnis von Verarbeitungstätigkeiten, fehlende/nicht ausreichende technische und organisatorische Maßnahmen (TOM) oder eine nicht durchgeführte Datenschutz-Folgenabschätzung bei Anwendung der Prozent-Regel mit 400.000,– € pro Einzelfall geahndet werden. Die Behörde kann aber auch ein Millionenbußgeld verhängen. Verantwortliche sollten die trügerische Ruhe vor dem Sturm daher richtig deuten und die Umsetzung der DS-GVO im eigenen Betrieb entschieden und mit vollem Engagement vorantreiben.