100 Tage Datenschutz-Grundverordnung – Zeit für eine erste Bilanz

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 30.08.2018

An diesem Samstag gilt die Datenschutz-Grundverordnung (DS-GVO) seit 100 Tagen. Nachdem viel über die neuen Regelungen und die Probleme, die die Anwendenden bei der Anpassung hatten, berichtet wurde, zieht die Berliner Beauftragte für Datenschutz und Informationsfreiheit nun eine erste Bilanz.

Datenschutzbeschwerden
Die Anzahl der Beschwerden, die bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit eingehen, ist seit dem 25. Mai 2018 enorm gestiegen. In den Monaten Mai bis Juli 2018 erreichten unsere Behörde 1380 Datenschutzbeschwerden von Bürgerinnen und Bürgern. Im gleichen Vorjahreszeitraum hatten wir lediglich 344 solcher Eingaben zu bearbeiten.

Hinweise auf offensichtliche und teilweise gravierende Datenschutzverstöße, die nicht von Bürgerinnen und Bürgern, sondern beispielsweise von betrieblichen Datenschutzbeauftragten, Journalistinnen und Journalisten oder Unternehmen gemeldet wurden, sind in dieser Statistik nicht mitgezählt.

Im nicht-öffentlich Bereich betraf ein Großteil der Beschwerden Online-Dienste, die den Auskunfts- und Löschansprüchen von Kundinnen und Kunden nicht oder nicht richtig nachgekommen sind. Nach der DS-GVO hat jeder Mensch das Recht, von einem Unternehmen oder einer Behörde zu erfahren, ob dort Daten zu seiner Person gespeichert werden, für welche Zwecke dies geschieht, woher diese Daten kommen, an wen sie weitergegeben werden und wie lange sie gespeichert werden. Darüber hinaus gewährt die DS-GVO Betroffenen umfangreiche Löschrechte.

Beratungsanfragen
Bereits in den Wochen vor dem 25. Mai 2018 nahmen die Beratungsanfragen, die die Berliner Beauftragte für Datenschutz und Informationsfreiheit per Post, E-Mail und telefonisch erreichten, stark zu. Ab dem 25. Mai 2018 war es den Mitarbeiterinnen und Mitarbeiter der Behörde nicht mehr möglich, der Beschwerdebearbeitung angemessen nachzugehen, weil die Telefone keine Ruhe gaben. Deshalb richtete unsere Behörde für zwei Monate eine zentrale DS-GVO Telefon-Hotline für Ratsuchende ein.

Die Themen der Anfragen von Unternehmen, Vereinen, freiberuflich Beschäftigten aber auch Privatpersonen waren vielfältig. Sie reichten von allgemeinen Anfragen dazu, welche Maßnahmen mit der neuen Verordnung zu treffen sind, bis hin zu spezifischen, die eigene Datenverarbeitung betreffenden, rechtlichen oder technischen Fragestellungen. Ein Thema, das für besonders viel Verunsicherung gesorgt hat, war die DS-GVO-konforme Ausgestaltung von Webseiten und Internetblogs. Viele Unternehmen aber auch Arztpraxen, Apotheken und Kanzleien beschäftigte zudem die Frage, ob sie dazu verpflichtet sind, einen betrieblichen Datenschutzbeauftragten zu bestellen.

Leider lassen sich diese Fragen nicht pauschal beantworten, da es immer darauf ankommt, welche Daten im konkreten Fall tatsächlich verarbeitet werden. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit stellt hierzu auf ihrer Webseite umfangreiches Informationsmaterial zur Verfügung. Zum Beispiel bietet das Hinweispapier für Webseiten- und Blogbetreiberinnen und -betreiber Betroffenen die Möglichkeit, Schritt für Schritt die datenschutzrechtlichen Anforderungen für das eigene Webangebot zu prüfen.

Das Dokument ist unter folgendem Link abrufbar:
https://www.datenschutz-berlin.de/themen-nutzungsdaten-website.html

Meldungen von Datenpannen
Die Zahl der Meldungen von Datenpannen ist seit dem 25. Mai 2018 deutlich gestiegen. In den Monaten Mai bis Juli 2018 wurden uns 111 Vorfälle gemeldet, wohingegen wir im gleichen Vorjahreszeitraum lediglich 12 Meldungen verzeichnet haben.

Meldungen von betrieblichen Datenschutzbeauftragten
Nach der DS-GVO müssen Unternehmen, die zur Bestellung einer oder eines betrieblichen Datenschutzbeauftragten verpflichtet sind, diese Person bei der Aufsichtsbehörde melden. Dieser Pflicht sind bisher mehr als 7.000 Unternehmen nachgekommen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit stellt auf ihrer Webseite ein Online-Formular für die Meldung bereit:
https://www.datenschutz-berlin.de/datenschutzbeauftragte.html

Europäische Zusammenarbeit – Berlin leitet den europaweit ersten grenzüberschreitenden Fall ein
Um das Ziel zu erreichen, europaweit ein einheitliches Datenschutzniveau zu schaffen, sind die europäischen Datenschutzbehörden nach der DS-GVO zur Zusammenarbeit verpflichtet, wenn Beschwerden solche Unternehmen betreffen, die ihre Dienste in mehreren EU-Ländern anbieten. Ist eine Aufsichtsbehörde mit einer solchen Beschwerde befasst, informiert und beteiligt sie seit dem 25. Mai 2018 die europäischen Kolleginnen und Kollegen. Über das Prüfergebnis und etwaige Sanktionsmaßnahmen müssen zum Abschluss des Verfahrens alle beteiligten Aufsichtsbehörden einig sein. Anderenfalls wird der neu eingerichtete Europäische Datenschutzausschuss mit der Sache befasst.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat das europaweit erste dieser grenzüberschreitenden Verfahren eingeleitet.

Sanktionen
Drei Monate nach Wirksamwerden der DS-GVO hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit noch keine Sanktionen nach dem neuen Recht verhängt.

Bei jeder Beschwerde muss zunächst der Sachverhalt unter Mitwirkung des Unternehmens vollständig aufgeklärt werden, bevor eine rechtliche und ggf. auch technische Bewertung erfolgen kann. Sofern dabei sanktionswürdige Verstöße festgestellt werden, übernimmt die Sanktionsstelle der Berliner Beauftragten für Datenschutz und Informationsfreiheit die Angelegenheit. Ein Sanktionsverfahren läuft in formal strengen Verfahrensschritten ab. Der Weg von einer Beschwerde zu einem Bußgeldbescheid nimmt daher naturgemäß einige Zeit in Anspruch.

Maja Smoltczyk
„Das enorm hohe Beschwerdeaufkommen und die Zahl von Datenpannen, die meiner Behörde gemeldet werden, zeigen, dass die öffentliche Debatte um das neue Regelwerk sowohl Bürgerinnen und Bürger als auch Behörden und Unternehmen für Datenschutz sensibilisiert hat. Der Umgang mit personenbezogenen Daten erfolgt in weiten Teilen der Bevölkerung bewusster. Menschen setzen ihr Grundrecht auf informationelle Selbstbestimmung häufiger durch. Das war ein wichtiges Anliegen des europäischen Gesetzgebers. Ich denke, in diesem Punkt kann man die Datenschutz-Grundverordnung bereits jetzt als großen Erfolg werten.“

Die Pressemitteilungen der Berliner Beauftragten für Datenschutz und Informationsfreiheit können hier abgerufen werden.