„Die Verbraucher sind ganz klar die Gewinner“ - IHK Südlicher Oberrhein informierte über "Ein Jahr Datenschutzgrundverordnung" in Freiburg

Am 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Die praktische Umsetzung hat bei Unternehmen für viel Wirbel gesorgt. Doch wie ist der aktuelle Stand nach einem Jahr? Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Stefan Brink, im Interview.

Bereits ein Jahr ist die Datenschutzgrundverordnung in Kraft. Doch wie geht die Aufsicht in Baden-Württemberg mit dem Thema um? Und wie sieht der aktuelle Stand aus? Darüber informierte die IHK Südlicher Oberrhein knapp 100 Interessierte gestern in einer gemeinsamen Veranstaltung mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Stefan Brink, in Freiburg. Die wichtigsten Fragen beantwortet Brink im IHK-Interview.

Ein Jahr DSGVO – ein Grund zum Feiern? Wie schätzen Sie den Erfolg der Verordnung ein?:
Die Verbraucher sind ganz klar die Gewinner der Datenschutzgrundverordnung: Ihre Daten dürfen nur gespeichert und verwendet werden, wenn sie zuvor ausdrücklich zugestimmt haben oder eine andere Rechtsgrundlage greift. Die Verbraucher dürfen einer Nutzung widersprechen und verlangen, dass ihre Daten gelöscht werden – das so genannte „Recht auf Vergessenwerden“. Auch haben sie den Anspruch darauf, bei einem Wechsel zu einem anderen Anbieter die persönlichen Daten wie Fotos oder Kontakte mitzunehmen. Und bei den sogenannten Datenpannen müssen sie umgehend informiert werden, wenn ihre persönlichen Daten in Gefahr sind.
Die Bürger kennen durch die DSGVO ihre Rechte heute besser und sind selbstbewusster geworden. Oftmals gibt es Beschwerden im Bereich Beschäftigtendatenschutz. Da geht es um das Mitlesen der E-Mails der Mitarbeiter durch den Chef oder die Ortung des Firmenfahrzeugs. Die Beschäftigten nehmen das nicht mehr so einfach hin, so geht es auch vielen Bürgerinnen und Bürgern bei unerlaubter Werbung oder Videoüberwachung. Alle sind sensibler geworden.

Wie viele Datenschutzverstöße wurden seit letztem Jahr bei Ihnen gemeldet?:
Im Zeitraum zwischen dem 25. Mai 2018 und dem 31. Juli 2019 hat unsere Dienststelle 5.047 Beschwerden erhalten. Damit stabilisiert sich die Anzahl der eingegangenen Beschwerden auf einem hohen Niveau.

Wie gehen Sie mit den Meldungen um? Und wie lange dauert die Reaktion durch den Landesdatenschutzbeauftragten?:
Diese werden nach und nach bearbeitet. Die Bearbeitungsdauer lag vor Inkrafttreten der DSGVO bei vier bis sechs Wochen. Je nach Bereich treten leider Rückstände auf, die im Einzelfall zu erheblichen Wartezeiten führen können. Wir sind momentan bei der Bearbeitung zwischen vier und acht Wochen hinterher.

Auf was müssen sich die Unternehmen einstellen, wenn sie eine Meldung abgegeben haben?:
Alle Meldungen von Verstößen gegen die Datensicherheit nach Art. 33 DSGVO werden umgehend geprüft und einer pauschalen Risikobewertung unterzogen. Wird festgestellt, dass kein Risiko für die Rechte und Freiheiten der betroffenen Personen i. S. des Art. 33 Abs. 1 EU-DSGVO vorliegt, wird der Fall „zu den Akten“ geschrieben und geht in die hausinterne Statistik der Aufsichtsbehörde ein. Gibt es Anlass für weitere Recherchen bzw. zum Ergreifen von Maßnahmen, erfolgt eine entsprechende Sachbearbeitung und Information des Verantwortlichen, gegebenenfalls auch der Betroffenen. Solche Meldungen können Anlass für weitere Aufklärungsarbeit der Aufsichtsbehörde sein, denkbar ist auch eine Sanktionierung des Unternehmens.

Der IT-Sicherheits-Dienstleister Varonis hat am 24. Mai eine Studie veröffentlicht. Weltweit wurden insgesamt 700 Unternehmen aus rund 30 Branchen und mehr als 30 Ländern untersucht. Laut der Studie sind die Datenrisiken in Deutschland – trotz DSGVO – seit vergangenem Jahr „tendenziell noch gestiegen“ – wie erklären Sie sich das?:
Das liegt natürlich in erster Linie daran, dass immer mehr Dienstleistungen digital abgewickelt werden. Ein weiterer Punkt, der sicherlich auch nicht unterschätzt werden darf, ist die seit dem 25. Mai 2018 bestehende Meldepflicht von Verletzungen des Schutzes personenbezogener Daten. Und zum ersten Mal sieht das Regelwerk der DSGVO auch mögliche Bußgelder bei Verstößen vor – bis zu 20 Millionen Euro oder bei Unternehmen bis zu vier Prozent des Weltjahresumsatzes.
Unternehmen sehen sich also mehr als früher gezwungen Datenpannen zu melden. Insgesamt ist mein Eindruck allerdings, dass das Niveau der Datensicherheit insgesamt ansteigt - das gilt allerdings auch für das Ausmaß der Bedrohungen der Datensicherheit.

Welche aktuellen Entwicklungen gibt es und wie wirken sich diese auf die Meldepflichten der Unternehmen an die Aufsichtsbehörden aus?:
Seit dem Wirksamwerden der DSGVO werden meiner Dienststelle wesentlich häufiger Fehler beim Umgang mit Daten gemeldet. Das ist einerseits erfreulich, denn diese Meldepflicht gehört zu den zentralen Vorgaben der DSGVO. Andererseits steht hinter einer solchen Meldung zumeist eine Nachlässigkeit oder ein Organisationsverschulden. Die Anzahl der Meldungen von solchen Verletzungen des Schutzes personenbezogener Daten nach Art. 33 DSGVO, umgangssprachlich „Datenpanne“ genannt, haben sich seit Mai 2018 verzehnfacht!

Der Branchenverband Bitkom hat zum Grundproblem erklärt, dass in der Verordnung zu wenig zwischen Konzernen und dem Mittelstand unterschieden wird. Wie sehen Sie das?:
Die Datenschutzgrundverordnung DSGVO sieht tatsächlich praktisch keine Sonderregelungen für kleine und mittlere Unternehmen vor. Das ist ein Mangel an Differenzierung, den wir auch als Aufsichtsbehörde kritisieren.

(Presseinfo: IHK Südlicher Oberrhein, 20.09.2019)