Sie waren vielmehr ihrerseits mit der Klärung vieler offener Fragen beschäftigt. Auch ist die befürchtete großflächige Abmahnwelle durch Wettbewerber oder Verbraucherschutzorganisationen ausgeblieben. Dennoch hat die DSGVO einen Nerv getroffen, wie die erheblich gestiegenen Anfragen und Beschwerden von Betroffenen bei Unternehmen und Aufsichtsbehörden zeigen.
© UnsplashDies führt dazu, dass in vielen Unternehmen weiterhin eine gewisse Verunsicherung besteht. Insbesondere kleinere Betriebe kämpfen noch immer mit einer Flut an Anforderungen und Dokumentationsarbeit. Hier leisten mitunter die Behörden Unterstützung, klären auf und geben Tipps, wie nach bestmöglicher Praxis mit personenbezogenen Daten umzugehen ist und welche Maßnahmen umzusetzen sind.
Unternehmen sind insoweit auch gut beraten, die Umsetzung der DSGVO voranzutreiben, denn die DSGVO ist kein Papiertiger: Inzwischen werden auch von den deutschen Aufsichtsbehörden Sanktionen verhängt, wenn auch noch in überschaubarer Höhe. So wurde gegen ein Chatportal ein Bußgeld von 20.000 Euro festgesetzt. Es ging um eine Datenpanne, bei der zwei Millionen Anmeldedaten öffentlich bekannt wurden, in denen Passwörter im Klartext zu lesen waren. Nur weil das Unternehmen sich sehr kooperativ zeigte und Anforderungen der Behörden schnell umsetzte, wurde kein höheres Bußgeld auferlegt. Für ein Datenleck im Gesundheitsbereich setzte der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg ein Bußgeld in Höhe von 80.000 Euro fest. Hier waren versehentlich besonders sensible Informationen im Internet frei zugänglich.
Von Seiten der EU-Kommission wird allerdings eine stringente Umsetzung sowie ein Ausschöpfen der Bußgeldkataloge von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes erwartet – je nachdem, welcher Wert der höhere ist. Selbst „formale“ Fehler können recht hoch sanktioniert werden. So wurden in anderen EU-Mitgliedstaaten bereits deutlich höhere Bußgelder verhängt. So hat die französische Datenschutzbehörde CNIL dem Internetkonzern Google eine Strafzahlung in Höhe von 50 Mio. Euro auferlegt, weil die Nutzer in den Datenschutzerklärungen nicht transparent und ausreichend informiert werden, was genau mit ihren Daten passiert. Außerdem habe Google teilweise Daten trotz unwirksamer Einwilligungen seiner Nutzer verwendet. Ein Krankenhaus bei Lissabon erhielt ein Bußgeld von 400.000 Euro von der portugiesischen Aufsichtsbehörde CNPD auferlegt: Unter anderem, weil zu viele Personen Zugriff auf Patientendaten hatten. So waren alle 985 User mit dem Profil „Arzt“ im Krankenhausinformationssystem hinterlegt, obwohl dort nur 296 Ärzte beschäftigt sind. All diese Fälle zeigen, der Schutz personenbezogener Daten spielt eine zentrale Rolle bei der Umsetzung der DSGVO in einem digitalen Zeitalter.
Insgesamt zeigt sich allerdings ein gewandeltes Bewusstsein der Unternehmen für den Schutz personenbezogener Daten. Viele sehen das Potenzial für Prozessverbesserungen. Dieses liegt in der Überschneidung von Anforderungen des Datenschutzes und der IT-Sicherheit. Daraus ergeben sich auch Synergieeffekte. Einige Aspekte des neuen Rechts lassen sich mit überschaubarem Aufwand in die Praxis umsetzen, etwa Vereinbarungen mit Auftragsverarbeitern oder die Information von Kunden, Beschäftigten oder Dienstleistern durch Datenschutzerklärungen. Vor allem Softwareanbieter oder Betreiber von Rechenzentren erkennen einen Wettbewerbsvorteil darin, wenn sie sich zukünftig im Hinblick auf die Datensicherheit zertifizieren lassen und so das Vertrauen Ihrer Kunden im Vergleich zur internationaler Konkurrenz gewinnen.
Hinweis
Die DSGVO ist bei Unternehmen, Betroffenen und Aufsichtsbehörden angekommen. Unternehmen sollten deshalb mit der Umsetzung nicht warten, bis noch bestehende Zweifelsfragen im Umgang mit der DSGVO abschließend geklärt sind. Derzeit legen die Landesdatenschutzbeauftragten ein besonderes Augenmerk auf Online-Tracking, digitale Werbung sowie die Erfüllung der Informations- und Meldepflichten. Kritisch geprüft wird auch der Umgang mit sensiblen Informationen, etwa wenn Gesundheitsdaten für die Online-Terminvereinbarung bei Ärzten eingegeben werden. Gerade in diesen Bereichen sollten Unternehmen ihre Hausaufgaben gemacht haben oder zügig nachholen.
