1 Jahr DSGVO – Das sind die Handlungsempfehlungen für die Zukunft

Expertenmeinung 1 Jahr DSGVO Nils Bremann

Vor 579 Tagen trat sie in Kraft: Die DSGVO. Das Ziel der Verordnung: Die Harmonisierung des europäischen Datenschutzes.
Zeit zu resümieren: Ist die befürchtete Bußgeldwelle eingetreten? Wen hat es einem Jahr DSGVO  getroffen und auf was gilt es in Zukunft (weiterhin) zu achten?

Internationaler Umgang mit Bußgelder im Rahmen der DSGVO

Bereits sehr zügig nach Inkrafttreten der DSGVO zeichnete sich ab, dass die befürchtete Bußgeldwelle in Deutschland vorerst ausbleiben sollte –  zumindest bis Oktober 2019.
Denn obwohl im internationalen Vergleich bereits in einigen Fällen saftige Bußgelder verhängt wurden, waren die deutschen Datenschutzbehörden bis Oktober dieses Jahres eher vorsichtig und mit vergleichsweise geringen Bußgeldern unterwegs.

In Großbritannien wurde beispielsweise ein Bußgeld von 183 Millionen Pfund gegen British Airways verhängt. Grund dafür war ein Cyberangriff bei dem personenbezogene Daten [kurz: pdD] (unter anderem Kreditkarteninformationen) von 500.000 British Airways Kunden abgegriffen wurden. Das mit Abstand höchste Bußgeld, das seit Wirksamwerden der Datenschutzgrundverordnung verhängt wurde.

Auch die Hotelkette Marriott hatte in diesem Jahr von der britischen Datenschutzaufsicht eine satte Strafe erhalten und wurde mit 100 Millionen Pfund bebußt. Das Bußgeld wurde verhängt, weil Kriminelle bei einem Cyberangriff in 2018 durch Zugriff auf die Reservierungsdatenbank pbD (u.a. Pass- und Kreditkarteninformationen) von 339 Mio. Kunden ausspähten und manipulierten.

Ein weiteres Bußgeld verhängte die französische Datenschutzbehörde. Google wurde zu einem Bußgeld von rund 50 Millionen Euro verurteilt. Ursache? Bereitgestellte Informationen sowie die Verarbeitung pbD waren schwer zugänglich, auf verschiedene Dokumente verteilt und nur durch Anklicken von mehreren Links erreichbar.

Eine Übersicht der in Deutschland verhängten Bußgelder

In Deutschland war ein Bußgeld von 80.000€ das höchste Bußgeld, welches bis Oktober 2019 verhängt wurde. Dies wurde aufgrund von versehentlich im Internet abrufbarer Gesundheitsdaten und unzureichenden internen Kontrollmechanismen verhängt.
Bis zum 01.08.2019 wurden in Deutschland sage und schreibe “nur” 101 Bußgelder verhängt. In 8 Bundesländer wurden bisher sogar noch gar keine Bußgelder verhängt. Daran wird deutlich, dass die Landesdatenschutzbehörden unterschiedlich vorgehen.

Die folgende Grafik zeigt, welche Landesdatenschutzbehörde wie viele Bußgelder in welcher Höhe verhängt hat (Stand 01.08.2019).

1 Jahr DSGVO Bußgelder National 2019
Bußgelder “National” nach einem Jahr DSGVO (Stand 01.08.2019)

Der Blick auf diese Zahlen und über die Landesgrenze hinweg, zeigt, mit wie viel Zurückhaltung man (noch) in Deutschland agiert.
Ulrich Kelber, Bundesdatenschutzbeauftragte, warnte jüngst, dass nach einem Jahr DSGVO und den ersten kleinen Warnschüssen auch deutsche Aufsichtsbehörden bald saftigere Bußgelder bei Verstoß gegen die DSGVO verhängen werden müssen.

Und kaum angekündigt, ist es im November 2019 auch schon so weit: Die Berliner Datenschutzbehörde nimmt die Deutsche Wohnen SE ins Visier und verhängt ein Bußgeld in Höhe von 14,5 Millionen Euro, weil ein Archivsystem im Einsatz ist, welches keine Möglichkeit zur Löschung nicht mehr benötigter Daten bietet. Im Dezember wird auch das Telekommunikationsunternehmen 1&1 mit einem hohen Bußgeld vom Bundesdatenschutzbeauftragten belegt. Insgesamt 9,55 Millionen Euro soll 1&1 zahlen, weil pbD nicht ausreichend geschützt waren.

Interessant ist, dass immer mehr Bußgelder gar nicht den bewussten Missbrauch des Datenverarbeiters, sondern eigentlich vielmehr mangelnde IT-Sicherheit abstrafen – und zwar, wenn es um den Schutz der Daten vor unbefugten Dritten geht.

1 Jahr DSGVO – Was lernen wir jetzt daraus?

Da die deutschen Datenschutzbehörden die Sanktionen augenscheinlich erhöhen und hier mit strengerem Maß an die Unternehmen herantreten, sind 4 Handlungsfelder identifizierbar, innerhalb derer Maßnahmen umzusetzen und damit Vorkehrungen zu treffen sind, damit Unternehmen auch weiterhin sauber aufgestellt sind.

1) Handlungsfeld: Schutz von personenbezogenen Daten

Wie wir bereits im Artikel “Ein aktueller Stand zur Datenschutz-Grundverordnung: Was bisher geschah…” 3 Monate nach Inkrafttreten der DSGVO feststellen konnten, wurde das Bewusstsein für den Schutz pbD durch die Einführung der Datenschutzgrundverordnung deutlich gestärkt. Vor allem bei den aktuelle Fällen 1&1 und Deutsche Wohnen SE wird deutlich, dass die Datenschutzbehörden hier sensibilisiert sind.

Als Empfehlung lässt sich ableiten, dass Unternehmen weiterhin daran arbeiten sollten, DSGVO-Konformität herzustellen, sofern dies noch nicht geschehen ist.
Folgende Maßnahmen sind für den Schutz personenbezogener Daten elementar wichtig:

  • Datenschutzerklärung auf Webseiten & für SaaS Lösungen – dabei ist vor allem wichtig, dass die betroffenen Personen frühzeitig darüber informiert werden, welche pbD’s verarbeitet werden und in welcher Form dies geschieht;
  • Verzeichnis von Verarbeitungstätigkeiten anlegen – hier ist die Dokumentation der Verarbeitungsprozesse wichtig (Vgl. Art. 30 DSGVO);
  • Datenschutz durch Technikgestaltung & Voreinstellungen – datenschutzfreundliche Voreinstellungen sind wichtig, dass kann man in Software beispielsweise durch eine Zwei-Faktor-Analyse erreichen;
  • Prozesse zur Information von Betroffenen etablieren – es ist hilfreich, hier automatisierte Prozesse zur Auskunft von gesammelten pbD von Betroffenen einzurichten;
  • Regelmäßige Datenschutzschulungen für Mitarbeiter – wichtig ist, dass diese mit einer Regelmäßigkeit (beispielsweise alle 6 Monate) stattfinden. Vor allem für neue Mitarbeiter ist eine Schulung (bezogen auf die jeweilige Tätigkeit/Abteilung) wichtig.

2) Handlungsfeld: Direktwerbung per E-Mail

Häufig steht die Frage im Raum, ob Direktwerbung per E-Mail ohne ausdrückliche Einwilligung erfolgen darf oder die Berechtigung aus einer Interessensabwägung (Artikel 6 Absatz 1 f DSGVO) resultiert. Bei der Direktwerbung per E-Mail gibt es ein Spannungsfeld zwischen der Datenschutzgrundverordnung und dem Gesetz gegen unlauteren Wettbewerb (UWG), denn die Rechtslage sieht hier wie folgt aus:

  • Nach DSGVO Einwilligung nicht notwendig
  • Nach UWG Einwilligung verpflichtend (Art. 7 UWG)

Daher die Empfehlung: Einwilligung der Interessenten/Kunden einholen, da das UWG weiterhin gilt (so hat es beispielsweise das Oberlandesgericht München kürzlich entschieden). Allerdings gibt es eine Ausnahme, welche das UWG selbst statuiert.
Es ist keine Einwilligung notwendig, wenn die folgenden vier Voraussetzungen gleichzeitig zutreffen:

  • E-Mail-Adresse im Zusammenhang mit Verkauf einer Ware/DL erhalten
  • E-Mail-Adresse für Direktwerbung für ähnliche Waren/DL genutzt
  • Kunde hat dieser Verwendung seiner E-Mail-Adresse nicht widersprochen
  • Kunde wird klar darauf hingewiesen, dass er jederzeit widersprechen kann

Man merke sich also: Sofern diese Voraussetzungen erfüllt sind, darf der Interessent/Kunde Direktwerbung per E-Mail erhalten.

3) Handlungsfeld: Datenschutzbeauftragter – Wann ist er zu (be)nennen?

Die Benennung eines Datenschutzbeauftragten ist ein weiteres Problemfeld. Vor allem die Frage, ab wann und ab welcher Personenanzahl ein Datenschutzbeauftragter zu benennen ist, wird nicht selten gestellt.

Die Gesetzeslage sieht dazu wie folgt aus:

DSGVO: Art. 37 DSGVO keine konkrete Angabe, ab welcher Personenanzahl zu benennen

BDSG: § 38 BDSG ab mindestens 10 Personen, welche ständig mit der automatisierten Verarbeitung pbD beschäftigt sind

Im Juni 2019 gab es einen Beschluss des Bundestages, um die Gesetzeslage für kleine und mittelständische Unternehmen zu erleichtern. Ein Datenschutzbeauftragter ist erst zu benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung pbD beschäftigt sind.

4) Handlungsfeld: Tracking auf Webseiten

Das letzte identifizierte Handlungsfeld beschäftigt sich mit dem Tracking auf Webseiten. Die Frage die hier häufig aufkommt ist, ist für das Tracking des Nutzerverhaltens auf Webseiten eine Einwilligung notwendig oder reicht hier eine Interessenabwägung? Hier hat der EuGH bereits entschieden. Das Urteil sieht dabei wie folgt aus:

  • Bei Einsatz rein funktionaler Cookies = Interessenabwägung ausreichend und Opt-Out reicht;
  • Bei Einsatz von Cookies, die das Tracking ermöglichen, also die Verarbeitung von Daten über Nutzerverhalten auf der Webseite und diese Daten an Dritte (z.B. Google, Facebook) übermitteln = Einwilligung verpflichtend

Die Checkliste zum Mitnehmen 

Folgende Kriterien sind hilfreich, um zu überprüfen, ob eine Erlaubnis über Interessenabwägung ausreichend ist oder ob man eine Einwilligung für Webseiten-Nutzung oder Softwarenutzung benötigt:

  • Geht die betroffene Person von dieser Verarbeitungsmaßnahme aus (Transparenz)?
  • Hat die betroffene Person Interventionsmöglichkeiten?
  • Werden die erhobenen Daten mit anderen Daten verknüpft?
  • Wie viele Akteure sind beteiligt?
  • Welche Dauer hat das Tracking?
  • Welche Datenkategorien sind betroffen?
  • Welchen Umfang nimmt die Verarbeitung ein?

1 Jahr DSGVO: Das Fazit

Langsam beginnen auch die deutschen Datenschutzbehörden höhere Sanktionen zu verhängen. Überprüfen Sie daher, welche Herausforderungen Ihr Unternehmen noch zu meistern hat. Setzen Sie sich mit der Datenschutzgrundverordnung auseinander und schaffen Sie so die optimale Basis für DSGVO-Konformität in Ihrem Unternehmen.
Weitere Informationen und Ausführungen der Thematik erhalten Sie im Webinar “1 Jahr DSGVO” mit dem Experten, Nils Bremann. Einfach ansehen.

Neuer Call-to-Action