Die Presse berichtete im Frühjahr 2018 viel über die seit dem 25. Mai 2018 geltende DSGVO, insbesondere über die enorm hohen Geldbußen, die drohen, und über die fehlende Vorbereitung von Unternehmen, Betrieben, Praxen, Vereinen und eigentlich allen datenschutzrechtlichen Verantwortlichen. Vortragssäle füllten sich mit Interessierten, die wissen wollten, wie die Verordnung aus Brüssel im Betrieb vor Ort umgesetzt werden muss und kann. Nach dem 25. Mai 2018 wurde es etwas ruhig um die gefürchtete DSGVO, so dass es nach den ersten acht Monaten Zeit wird, einen erneuten Blick auf DSGVO zu werfen.
1. Verhängte Geldbußen
Erst jüngst wurden erste Berichte laut, dass die französische Aufsichtsbehörde die nicht ordnungsgemäß erfüllten Informationspflichten von Google mit einer Geldbuße in Höhe von 50 Mio. Euro ahndete.
In Portugal soll ein Krankenhaus 400.000,00 Euro Geldbuße zahlen, unter anderem, weil zu viele Personen Zugriffe auf Daten der Patienten hatten.
Aber auch in Deutschland wurden laut einem Bericht und einer Umfrage des Handelsblatts vom 18. Januar 2019 (Heike Anger; Dietmar Neuerer: „Behörden verhängen erste Bußgelder wegen Verstößen gegen DSGVO“) bislang 41 Bußgeldbescheide auf Grundlage der DSGVO erlassen. Die Zahl klingt niedrig, allerdings beanspruchen die Ermittlungen oft einen längeren Zeitraum. Es sollen derzeit noch sehr viele Bußgeldverfahren laufen.
Die Aufsichtsbehörde in Baden-Württemberg verhängte mit 80.000 Euro die bislang höchste Geldbuße in Deutschland.
Meistens melden Betroffene bei der Aufsichtsbehörde einen datenschutzrechtlichen Verstoß. Die Zahl der Meldungen habe stark zugenommen, in Baden-Württemberg soll sich die Zahl der gemeldeten Datenschutzrechtsverstöße nach Auskunft der Aufsichtsbehörde verzehnfacht haben.
2. Pflichtenprogramm
Die Aufsichtsbehörden sind zwar mit Sanktionen noch zurückhaltend, gleichwohl ist der Einzelne sensibilisiert und aufmerksam. Daher sollte jeder Verantwortliche zunächst seine wesentlichen, aber nicht abschließenden Pflichten nach der DSGVO im Blick haben:
- Einhaltung der in Art. 5 Abs. 1 DSGVO normierten Grundsätze, inkl. Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)
- Wahrnehmung der Adressatenstellung der Rechte betroffener Personen gem. Art. 12 ff. DSGVO
- Wahrnehmung der Informationspflichten (Art. 13 DSGVO)
- evtl. Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO)
- Führung eines Verarbeitungsverzeichnisses (Art. 30 DSGVO)
- Einrichtung von geeigneten technischen und organisatorischen Maßnahmen (Art. 24, 25, 32 DSGVO)
- Meldepflicht von datenschutzrechtlichen Verletzungen, Benachrichtigungspflicht (Art. 33, 34 DSGVO)
- ggf. Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
Die konkrete Umsetzung diese „Pflichtenprogramms“ kann nur im Einzelfall und ggf. mit fachlicher und beratender Unterstützung erfolgen.
3. Fazit
Wer die DSGVO lediglich als „Panikmache“ abtun möchte, kann sich nicht auf der sicheren Seite wähnen. Der Schutz personenbezogener Daten zwingt in einer immer vernetzteren Welt dazu, dass die Umsetzung von nationalen und internationalen Regelungen überwacht und durchgesetzt wird und Verstöße gegebenenfalls sanktioniert werden.
Daher sollte jeder dafür Sorge tragen, dass die Verarbeitung personenbezogener Daten den Anforderungen der DSGVO genügt, um die personenbezogenen Daten anderer, aber letztlich auch sich selbst zu schützen.
Ellen Steinacker
