Am 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Die praktische Umsetzung hat bei Unternehmen für viel Wirbel gesorgt. Doch wie ist nun der Stand nach gut einem Jahr? Wie geht die Aufsicht in Baden-Württemberg mit dem Thema um?
Darüber informierte die IHK Südlicher Oberrhein knapp 100 Interessierte am 19. September in einer gemeinsamen Veranstaltung mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Stefan Brink, in Freiburg.

Ein Jahr DSGVO – ein Grund zum Feiern? Wie schätzen Sie den Erfolg der Verordnung ein?
Die Verbraucher sind ganz klar die Gewinner der Datenschutzgrundverordnung: Ihre Daten dürfen nur gespeichert und verwendet werden, wenn sie zuvor ausdrücklich zugestimmt haben oder eine andere Rechtsgrundlage greift. Die Verbraucher dürfen einer Nutzung widersprechen und verlangen, dass ihre Daten gelöscht werden – das sogenannte Recht auf Vergessenwerden. Auch haben sie den Anspruch darauf, bei einem Wechsel zu einem anderen Anbieter die persönlichen Daten wie Fotos oder Kontakte mitzunehmen. Und bei den sogenannten Datenpannen müssen sie umgehend informiert werden, wenn ihre persönlichen Daten in Gefahr sind. Die Bürger kennen durch die DSGVO ihre Rechte heute besser und sind selbstbewusster geworden. Oftmals gibt es Beschwerden im Bereich Beschäftigtendatenschutz. Da geht es um das Mitlesen der E-Mails der Mitarbeiter durch den Chef oder die Ortung des Firmenfahrzeugs. Die Beschäftigten nehmen das nicht mehr so einfach hin, so geht es auch vielen Bürgerinnen und Bürgern bei unerlaubter Werbung oder Videoüberwachung. Alle sind sensibler geworden.
Wie viele Datenschutzverstöße wurden seit vergangenem Jahr bei Ihnen gemeldet?
Im Zeitraum zwischen dem 25. Mai 2018 und dem 31. Juli 2019 hat unsere Dienststelle 5.047 Beschwerden erhalten. Damit stabilisiert sich die Anzahl der eingegangen Beschwerden auf einem hohen Niveau.
Wie gehen Sie mit den Meldungen um?
Diese werden nach und nach bearbeitet. Die Bearbeitungsdauer lag vor Inkrafttreten der DSGVO bei vier bis sechs Wochen. Je nach Bereich treten leider Rückstände auf, die im Einzelfall zu erheblichen Wartezeiten führen können. Wir sind momentan bei der Bearbeitung zwischen vier und acht Wochen hinterher.
Zur Person
Stefan Brink (Jahrgang 1966) ist seit 2017 Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg. Der Jurist, der bei Hans Herbert von Arnim an der Verwaltungshochschule in Speyer promoviert hat, arbeitete zuvor als Richter am Verwaltungsgericht Koblenz und als Leiter „Privater Datenschutz“ beim rheinland-pfälzischen Landesbeauftragten für Datenschutz. Brink, der auch an der Verwaltungshochschule Speyer sowie der Europauniversität Viadrina lehrt, hat zahlreiche Bücher zum Datenschutzrecht sowie zum Parlaments-, Verfassungs- und Verwaltungsrecht veröffentlicht.
Bild: LfDI BW, Kristina Schäfer
Auf was müssen sich die Unternehmen einstellen, wenn sie eine Meldung abgegeben haben?
Alle Meldungen von Verstößen gegen die Datensicherheit nach Artikel 33 DSGVO werden umgehend geprüft und einer pauschalen Risikobewertung unterzogen. Wird festgestellt, dass kein Risiko für die Rechte und Freiheiten der betroffenen Personen im Sinne dieses Artikels vorliegt, wird der Fall zu den Akten geschrieben und geht in die hausinterne Statistik der Aufsichtsbehörde ein. Gibt es Anlass für weitere Recherchen beziehungsweise zum Ergreifen von Maßnahmen, erfolgt eine entsprechende Sachbearbeitung und Information des Verantwortlichen, gegebenenfalls auch der Betroffenen. Solche Meldungen können Anlass für weitere Aufklärungsarbeit der Aufsichtsbehörde sein, denkbar ist auch eine Sanktionierung des Unternehmens.
Der IT-Sicherheits-Dienstleister Varonis hat am 24. Mai eine Studie veröffentlicht. Weltweit wurden insgesamt 700 Unternehmen aus rund 30 Branchen und mehr als 30 Ländern untersucht. Laut der Studie sind die Datenrisiken in Deutschland – trotz DSGVO – seit vergangenem Jahr tendenziell noch gestiegen. Wie erklären Sie sich das?
Das liegt natürlich in erster Linie daran, dass immer mehr Dienstleistungen digital abgewickelt werden. Ein weiterer Punkt, der sicherlich auch nicht unterschätzt werden darf, ist die seit dem 25. Mai 2018 bestehende Meldepflicht von Verletzungen des Schutzes personenbezogener Daten. Und zum ersten Mal sieht das Regelwerk der DSGVO auch mögliche Bußgelder bei Verstößen vor – bis zu 20 Millionen Euro oder bei Unternehmen bis zu vier Prozent des Weltjahresumsatzes. Unternehmen sehen sich also mehr als früher gezwungen, Datenpannen zu melden. Insgesamt ist mein Eindruck allerdings, dass das Niveau der Datensicherheit ansteigt – das gilt aber auch für das Ausmaß der Bedrohungen der Datensicherheit.
Welche aktuellen Entwicklungen gibt es, und wie wirken sich diese auf die Meldepflichten der Unternehmen an die Aufsichtsbehörden aus?
Seit dem Wirksamwerden der DSGVO werden meiner Dienststelle wesentlich häufiger Fehler beim Umgang mit Daten gemeldet. Das ist einerseits erfreulich, denn diese Meldepflicht gehört zu den zentralen Vorgaben der DSGVO. Andererseits steht hinter einer solchen Meldung zumeist eine Nachlässigkeit oder ein Organisationsverschulden. Die Anzahl der Meldungen von solchen Verletzungen des Schutzes personenbezogener Daten, umgangssprachlich Datenpanne genannt, haben sich seit Mai 2018 verzehnfacht.
Der Branchenverband Bitkom hat zum Grundproblem erklärt, dass in der Verordnung zu wenig zwischen Konzernen und dem Mittelstand unterschieden wird. Wie sehen Sie das?
Die Datenschutzgrundverordnung sieht tatsächlich praktisch keine Sonderregelungen für kleine und mittlere Unternehmen vor. Das ist ein Mangel an Differenzierung, den wir auch als Aufsichtsbehörde kritisieren.
Interview: Olga Heiland
Bild: ukw_Freiburg
Wichtige Erleichterung:
Der Bundesrat hat am 20. September den Weg frei gemacht – Unternehmen brauchen künftig in der Regel erst ab 20 Mitarbeitern in der Datenverarbeitung einen Datenschutzbeauftragten. Hierfür hatte sich auch die IHK eingesetzt.