Seit dem 25.05.2018 gilt die Datenschutzgrundverordnung uneingeschränkt in sämtlichen Staaten der Europäischen Union.

Aus unserer anwaltlichen Beratungspraxis möchten wir nunmehr einen ersten Rückblick wagen, welche Auswirkungen die Datenschutzgrundverordnung auf unsere Mandanten, seien es Industrieunternehmen, seien es Freiberuflerpraxen, seien es andere Organisationen  festzustellen sind. Dabei möchten wir der Handhabung von Aufsichtsbehörden bei Verstößen gegen die Datenschutzgrundverordnung  ein besonderes Augenmerk schenken.

Vor unmittelbarer Geltung der Datenschutzgrundverordnung, also vor dem 25.05.2018, gab es  zahlreiche Warnungen, welche Gefahren bei Nichtbeachtung der Datenschutzgrundverordnung für Unternehmen drohen können. Vielfach wurde berichtet, dass eine Abmahnwelle drohe, sollten die notwendigen Maßnahmen nicht ergriffen werden, um die Datenschutzgrundverordnung zu implementieren. Ein weiterer Aspekt, der medial besondere Aufmerksamkeit erfahren hatte, war die Frage, wie sich die Aufsichtsbehörden der jeweiligen Bundesländer bei Verstößen gegen die Datenschutzgrundverordnung verhalten werden. Eine wesentliche Änderung der Rechtslage besteht ja auch und gerade darin, dass die Bußgelder bei bestimmten Datenschutzverstößen gravierend sein können. Die Dateschutzgrundverordnung sieht Bußgelder  bis zu 20 Millionen Euro, bzw. bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bei den betroffenen Unternehmen und Organisationen vor.

Aus unserer bisherigen Beratungspraxis können wir bestätigen, dass die befürchtete große Abmahnwelle bislang ausgeblieben ist.

Auch konnten wir nicht feststellen, dass die Aufsichtsbehörden bei Verstößen gegen die Datenschutzgrundverordnung sofort Bußgelder verhängt haben. Vielmehr verstanden sich die Aufsichtsbehörden bisher eher als Partner der Unternehmen, Vereine und sonstigen Organisationen, die seit Ende Mai diesen Jahres die Datenschutzgrundverordnung zu berücksichtigen haben.

Nach ungefähr einem halben Jahr verdichten sich jedoch die Anzeichen, dass die Handhabung bei den Aufsichtsbehörden strenger wird und eine offensichtlich eingeräumte „Schonfrist“ zu Ende zu gehen scheint.

In einer aktuellen Pressemitteilung vom 07.11.2018, abrufbar unter www.lda.bayern.de/media/pm2018_17_de.pdf, hat das Bayerische Landesamt für Datenschutzaufsicht angekündigt, seine Prüfaktivitäten verstärkt aufzunehmen und neue flächendeckende Datenschutzkontrollen in Bayern anzustoßen. Im Fokus der aktuellen Prüfung stehen dabei der sichere Betrieb von Onlineshops, der Schutz vor Verschlüsselungstrojanern in Arztpraxen, die Erfüllung der Rechenschaftspflichten bei Großkonzernen und mittelständischen Unternehmen sowie die Umsetzung der Informationspflichten im Bewerbungsverfahren. Dies gibt allen Anlass dazu, die Implementierung der Datenschutzgrundverordnung nicht aus den Augen zu verlieren.

Aus unserer Sicht wäre es allzu nachlässig, dem Trugschluss zu unterliegen, dass die Nichtumsetzung der Datenschutzgrundverordnung für  die betroffenen Unternehmen und Organisatonen nicht von Nöten sei, da bislang ein Kontakt mit der Aufsichtsbehörde ausgeblieben sei.

Aber nicht nur in Bayern scheinen die Aufsichtsbehörden verstärkte Aktivität zu entfalten. Wie einer aktuellen Pressemitteilung entnommen werden kann, hat nunmehr auch der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg ein erstes Bußgeld in Höhe von 20.000,00 EUR gegen das Chat-Portal „Knuddels“ verhängt. In diesem Fall handelt es sich um ein virtuelles „Flirtcafe“, welches Opfer eines Hackerangriffs geworden ist. Laut Pressemitteilung des LfDI Baden-Württemberg vom 22.11.2018, abrufbar unter https://www.baden-wuerttemberg.datenschutz.de, handelt es sich um einen Angriff auf die personenbezogenen Daten von ca. 330.000 Nutzern. Dabei wurden Passwörter und E-Mail-Adressen entwendet und Anfang September 2018 veröffentlicht. Wie aus den weiteren Ausführungen der Pressemitteilung ersichtlich, hat das betroffene Unternehmen umgehend gehandelt, die betroffenen Personen informiert und gegenüber der Aufsichtsbehörde in

„vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse“

offengelegt. Dadurch angestoßen, hat das betroffene Unternehmen innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung seiner IT-Sicherheitsarchitektur umgesetzt und die Sicherung seiner Nutzerdaten auf den aktuellen Stand der Technik gebracht.

Bei der Verhängung des Bußgeldes, welches sich aus unserer Sicht eher am unteren Rand dessen ansiedelt, was die Aufsichtsbehörde hätte verhängen können, war unter anderem das vorbildliche Verhalten des Unternehmens nach Eintritt der Datenpanne ein Gesichtspunkt, der wesentlich dazu beigetragen hat, dass das Bußgeld nicht höher ausgefallen ist.

Dem entspricht Art. 83 Abs. 4 DSGVO: Diese Norm sieht ausdrücklich vor, dass die Frage des Umgangs des betroffenen Unternehmens bei Datenpannen ein wesentlicher Aspekt bei der Bemessung der Höhe eines etwaigen Bußgeldes ist. Überdies ist in der Datenschutzgrundverordnung explizit erwähnt, dass die Art und Weise, durch welche die Aufsichtsbehörde von einer Datenpanne erfährt, einen wesentlichen Gesichtspunkt für die Bemessung der Höhe des Bußgeldes darstellt.

Mit anderen Worten: Verschweigen und Verheimlichen von Datenpannen machen die Situation im Ergebnis nicht besser. Sollten Sie also in Ihrem Unternehmen eine Datenpanne feststellen, so raten wir Ihnen dringend an, schnellstmöglich zu handeln und einen Experten im Datenschutz zu befragen, um weiteren Schaden von den betroffenen Personen, aber auch von Ihrem Unternehmen fernzuhalten.

In der Regel haben Sie hierfür nur 72 Stunden Zeit.

Sollten Sie Fragen haben und Hilfe benötigen, wie Sie die Datenschutzgrundverordnung in Ihrem Unternehmen implementieren, beraten wir Sie hierzu gerne. An unserem Karlsruher Standort steht Ihnen ein hochspezialisiertes Team zur Verfügung, welches sich ständig mit aktuellen Fragen des Datenschutzes auseinandersetzt. Wir begleiten Sie gerne.