Geschrieben am 18.11.2019 von:
Jeder kennt die Stellungnahmen, Kurzpapiere und Anwendungshinweise der deutschen Datenschutzaufsichtsbehörden. Für Unternehmensführung und Datenschutzbeauftragte sind diese Ausarbeitungen sehr wertvoll, da sie die Auslegung der DS-GVO erleichtern und wichtige Hinweise für die Praxis liefern. Doch was sind eigentlich die weiteren Kernaufgaben der Datenschutzbeauftragten der Länder? Wo liegen die Schwerpunkte und welche Auswirkungen haben diese auf Unternehmen? Heute geht es um 5 Punkte aus der täglichen Praxis der Datenschutzaufsichtsbehörden. GIB MIR 5!
1. Beratung
Auch über ein Jahr nach Wirksamwerden der DS-GVO bildet die Beratung von Unternehmen einen Tätigkeitsschwerpunkt bei den Aufsichtsbehörden. Viele Unternehmen nutzen die Informationen auf den Webseiten der Behörden nicht und rufen einfach an mit der Frage, was eigentlich insgesamt zu tun sei. Die Behörden können dabei keine kostenlose Rechtsberatung anbieten, sondern verweisen in der Regel auf die Webseite. Tauchen Fragen häufig auf, werden weitere Hinweise erarbeitet und auf der Webseite veröffentlicht.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat allerdings verlauten lassen, dass diese Beratung immer weiter in den Hintergrund rücken soll. Nach fast 1,5 Jahren DS-GVO (und davor einer Umsetzungsfrist von 2 Jahren) sollte das Thema Datenschutz eigentlich bei allen angekommen sein. Telefonische Spontanberatungen und Stellungnahmen stehen zwar weiterhin auf der Tagesordnung der Aufsichtsbehörde, werden jedoch langsam aber sicher eingestellt.
2. Beschwerden
Die DS-GVO hat nicht nur Unternehmen aufgeschreckt, sondern auch Betroffene sensibilisiert. Aus den bisher veröffentlichten Jahresberichten der Aufsichtsbehörden geht hervor, dass sich Beschwerden mehr als verdoppelt haben (Beispiel Jahresbericht Bayern). Der Grund hierfür ist wohl die mediale Aufmerksamkeit, welche zum Teil leider zu Fehlvorstellungen geführt hat. Viele Betroffene glauben z.B., dass sämtliche Datenverarbeitungen seit der DS-GVO nur noch mit einer Einwilligung erlaubt sind (was natürlich nicht stimmt). Betroffene müssen außerdem bei der Erhebung ihrer Daten und im Rahmen von Auskunftsersuchen auf ihr Recht zur Beschwerde hingewiesen werden. Das könnte ebenfalls ein Grund für den Anstieg sein.
Berechtigte Beschwerden werden häufig zum Anlass genommen, eine Kontrolle bei dem betroffenen Unternehmen durchzuführen. So wurden etwa nach den Angaben der Aufsichtsbehörde in Bayern die zu kontrollierenden Unternehmen danach ausgesucht, ob sich gegen diese Beschwerden gehäuft haben. Eine Vorauswahl war durch die Versendung von Fragebögen getroffen worden.
3. Datenpannen
Auch die Bearbeitung von gemeldeten Datenpannen gehört zur täglichen Praxis der Aufsichtsbehörden. Ähnlich wie Betroffenenbeschwerden haben die Meldungen nach Art. 33 DS-GVO stark zugenommen und zu einem erhöhten Arbeitsaufkommen bei den Behörden geführt. Den meisten Unternehmen ist wahrscheinlich nicht bekannt, dass eine Meldung nur bei einem Risiko für die Rechte und Freiheiten natürlicher Personen erfolgen muss. Je mehr (nicht meldepflichtige) Datenpannen angezeigt werden, desto eher gerät man als Unternehmen ins Visier der Aufsichtsbehörde.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat außerdem vor kurzem empfohlen, dass – wie in der DS-GVO eigentlich vorgesehen – der Verantwortliche selbst und nicht der Datenschutzbeauftragte der Meldepflicht nachkommt. Meldet letzterer „unnötig“ zu viele Datenpannen, könnte man nach Ansicht der Behörde an der Fachkunde des Datenschutzbeauftragten zweifeln.
4. Kontrollen und Bußgelder
Aufsichtsbehördliche Kontrollen sind bisher hauptsächlich durch den Versand von Fragenkatalogen erfolgt. Bußgelder wurden bisher eher selten verhängt (Anfang 2019 gerade einmal 41, davon noch viele BDSG-Altlasten).
Im Oktober 2019 haben sich die Aufsichtsbehörden auf ein neues Modell für die Berechnung geeinigt. Erste Bußgelder in Millionenhöhe vermeldet die Berliner Aufsichtsbehörde, die auch maßgeblich an dem neuen Bußgeldmodell beteiligt war. Die Behörde hat stolze 14,5 Mio. EUR gegen den Verein „Deutsche Wohnen“ wegen nicht abgestellter Mängel im Archivsystem verhängt. Der Verein hat hiergegen Widerspruch erhoben.
5. Informationsrecht
Apropos Bußgelder: Aufsichtsbehörden können im Verfahren Auskunft nach § 40 Abs. 4 S. 1 BDSG verlangen und Informationen beim Verantwortlichen anfordern. Dieser befindet sich in der Regel in einem Dilemma: entweder verweigert er die Aussage (und verhindert das Zutage treten belastender Umstände) oder er kooperiert und hofft auf eine Abmilderung des Bußgelds durch die gute Zusammenarbeit mit der Behörde.
Meldepflichtige Datenpannen müssen immer angezeigt werden. Die Meldung selbst kann aber weder in einem Straf- noch in einem Ordnungswidrigkeitsverfahren verwertet werden.