[datensicherheit.de, 22.05.2020] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) geht mit seiner aktuellen Stellungnahme auf ein Jubiläum ein: Im Kontext der nunmehr seit zwei Jahren endgültig in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) sind demnach Bußgelder in Gesamthöhe von rund 155.000 Euro verhängt worden. Die DSGVO war zum 25. Mai 2018 endgültig wirksam geworden, nachdem sie bereits 2016 in Kraft getreten war und die zweijährige Übergangszeit endete.

Kugelmann: Es bleibt noch viel zu tun

Zwei Jahre nach Wirksamwerden der DSGVO sieht der LfDI RLP, Professor Dieter Kugelmann, ein „wachsendes Bewusstsein für den Datenschutz“: Nach der intensiven Debatte vor zwei Jahren erfolge die Umsetzung mittlerweile zunehmend routiniert und in den allermeisten Fällen rechtskonform.

Prof. Kugelmann: „Das Bewusstsein für den Datenschutz durchdringt immer mehr Wirtschaft, Verwaltung und Gesellschaft. Es ist viel passiert, aber es bleibt noch viel zu tun. Unsere Aufgabe ist es, hier Triebfeder und zugleich Kontrollinstanz zu sein.“

Trotz „Corona-Pandemie“ kein Rabatt für den Datenschutz

Auch während der derzeitigen „Corona-Pandemie“ dürfe es für den Datenschutz keinen Rabatt geben, betont der der LfDI RLP: Gerade Gesundheits-Informationen seien sehr sensible Daten. „So lange die Maßnahmen der staatlichen Stellen, der Arbeitgeber und der Unternehmen verhältnismäßig sind, steht der Datenschutz der Infektionsbekämpfung nicht im Wege.“

Auch in dieser ungewöhnlichen Zeit, in der manche Grundrechte beschränkt seien, könne die DS-GVO angewandt werden und gleichzeitig der Gesundheitsschutz der Bürger im Vordergrund stehen, so Prof. Kugelmann.

Bei Verstößen Sanktionen wie Bußgelder und Verwarnungen möglich

Mit der DSGVO habe die unabhängige Datenschutzbehörde weitreichende Befugnisse erhalten: Bei Verstößen seien Sanktionen wie Bußgelder und Verwarnungen möglich. Der LfDI RLP hat nach eigenen Angaben seit Mai 2018 in neun Fällen Bußgelder in einer Gesamthöhe von rund 155.000 Euro verhängt. Die höchste Geldbuße in Höhe von 105.000 Euro sei „gegen die Mainzer Universitätsklinik wegen Defiziten beim Patientenmanagement“ ergangen.

Gegen ein Erotik-Etablissement in Mainz sei „eine Geldbuße in Höhe von 35.000 Euro verfügt“ worden. Gegen ein Unternehmen, das gegen seine Beschäftigten umfassend und rechtswidrig Video-Überwachung eingesetzt habe, „wurden 12.000 Euro verhängt“. Vor dem endgültigen Wirksamwerden der DSGVO seien gerichtliche Verfahren gegen den LfDI RLP sehr selten gewesen. Seit 2018 hätten Unternehmen oder staatliche Stellen gegen dessen Sanktionen in 30 Fällen Rechtsmittel eingelegt.

Seit 2018 hat der Umfang der Prüffälle stark zugenommen

Seit dem endgültigen Wirksamwerden der DSGVO habe die Zahl der Datenpannen-Meldungen zugenommen: 2018 sind beim LfDI nach eigenen Angaben „105 Meldungen von Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO) eingegangen“, 2019 seien es bereits 319 gewesen.

In den ersten Monaten 2020 seien 200 registriert worden. Aufgabe der Datenschutzbehörde sei es unter anderem, den Datenpannen auf den Grund zu gehen und zu prüfen, welche Versäumnisse vorlagen. Für den LfDI habe seit 2018 der Umfang der Prüffälle stark zugenommen.

Informationsbedarf der Bürger bezüglich ihrer Datenschutzrechte weiterhin hoch

Der LfDI habe staatliche Stellen, Behörden und Unternehmen durch Informationsveranstaltungen und durch die Bereitstellung von Informationsmaterial eng bei der Umstellung im Zuge der DSGVO begleitet. Anfangs sei der Beratungsbedarf in Bezug auf den Gesamtdatenschutz gerade bei kleinen und mittleren Unternehmen (KMU) sowie Vereinen sehr groß gewesen.

Mittlerweile konzentrierten sich die Anfragen auf einzelne konkrete Rechtsfragen. Aktuelle Problemfelder seien nach wie vor die Einordnung bestimmter Dienstleistungen als Auftragsverarbeitung und die Abgrenzung zur gemeinsamen Verantwortlichkeit. Der Informationsbedarf der Bürger bezüglich ihrer Datenschutzrechte sei weiterhin hoch.

Neue Vorgaben bezüglich der Weitergabe von Meldedaten

Im Bereich des Beschäftigtendatenschutzes mehrten sich seit 2018 Beschwerden zu Auskunftsansprüchen gegenüber dem ehemaligen Arbeitgeber. Noch wenig in der Bevölkerung bekannt sei, dass mit der DSGVO neue Vorgaben bezüglich der Weitergabe von Meldedaten, etwa an Adressbuchverlage oder öffentlich-rechtliche Religionsgemeinschaften, etabliert seien.

Im Gegensatz zum Bundesmeldegesetz sehe die DSGVO vor, dass eine „eindeutige bestätigende Handlung“ des Bürgers erforderlich sei, damit eine Weitergabe erfolgen darf. Da in vielen Ämtern entsprechende Bestätigungen noch nicht eingeholt würden, beschwerten sich zahlreiche Bürger beim LfDI RLP.

Verantwortliche in den Kommunen agieren in der Regel kooperativ

Bezüglich des Datenschutz-Agierens von Kommunen habe der LfDI RLP 2019 mit einer umfangreichen Prüfphase von Kommunalverwaltungen begonnen. Es seien zwei Verbandsgemeindeverwaltungen untersucht worden, weitere zehn Prüfungen (hierunter auch Kreisverwaltungen) stünden an. Die Verantwortlichen in den Kommunen agierten in der Regel kooperativ.

Allerdings bestehen laut LfDI RLP „noch große Schwierigkeiten in der Umsetzung der DS-GVO in den Bereichen des technisch-organisatorischen Datenschutzes und der Datenschutz-Folgenabschätzung“. Ergebnisse der Prüfungen und daraus gezogene Schlüsse werde der „Datenschutzbericht 2020“ enthalten.

Umfangreiches und praxisnahes „Rund-um-sorglos-Paket“

Den Schulen und Kindertagesstätten im Land sei der Übergang mit gemeinsam mit dem Bildungsministerium erstellten Informationen, Mustertexten und Handreichungen erleichtert worden. In kaum einem anderen Bundesland sei ein so umfangreiches und praxisnahes „Rund-um-sorglos-Paket“ von Seiten einer Datenschutz-Aufsichtsbehörde geschnürt worden. Zudem sei der Beratungsbedarf von Bildungseinrichtungen deutlich angestiegen: Zu nahezu jeder am Markt erhältlichen Software gingen Anfragen ein, ob gegen die Anschaffung Bedenken bestünden.

Einmal habe der LfDI RLP eine Anordnung zur Löschung von Videoaufnahmen treffen müssen: „Eine Kita hatte ohne die erforderliche Einwilligung der Eltern Fotos und Videoaufnahmen für die Bildungs- und Lerndokumentation der Kinder gemacht.“

Initiative „Mit Sicherheit gut behandelt“

Im Rahmen der Initiative „Mit Sicherheit gut behandelt“ habe der LfDI RLP zusammen mit der Kassenärztlichen Vereinigung Rheinland-Pfalz, der Landesärztekammer und der Landespsychotherapeutenkammer die Ärzte und Psychotherapeuten umfassend und in unterschiedlichen Formaten zu den aus der DSGVO resultierenden Vorgaben informiert:

Hervorzuheben seien dabei neben vier Fortbildungsveranstaltungen in Trier, Neustadt/W., Mainz und Koblenz insbesondere die auf der Website der Initiative bereitgestellten Informationen einschließlich konkreter Muster für den Einsatz im Praxisbetrieb.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Der Landesbeauftragte

Mit Sicherheit gut behandelt.
Wir sorgen für die Sicherheit der Gesundheitsdaten / Whitepaper „Datenschutz und Informationssicherheit in der Telematikinfrastruktur“

datensicherheit.de, 22.05.2020
Zwei Jahre EU-DSGVO

datensicherheit.de, 20.04.2020
DSGVO: Zunehmende Geldbußen rücken „Privacy by Design“ ins Interesse

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld

datensicherheit.de, 21.08.2019
Datenschutzbeauftragter: Pflicht für Kleinbetriebe umstritten

datensicherheit.de, 24.05.2019
Ein Jahr DSGVO: BfDI sieht Erfolg mit Steigerungspotenzial

Von unserem Gastautor Thorsten Kurpjuhn, European Market Development Manager bei Zyxel

[datensicherheit.de, 25.07.2019] Nach der Flut an Einverständnis- und Widerspruchs-Mails, die im Frühjahr vergangenen Jahres vor der Einführung der allgemeinen Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 in den Postfächern eingegangen sind, ist es still um das Thema geworden. Bis zu einem gewissen Grad herrscht immer noch die Unsicherheit über die rechtlichen Auswirkungen der Gesetzgebung. Für einige Unternehmen scheint das Thema auch nicht von Bedeutung zu sein – in der Annahme, es würde keine Auswirkungen auf sie haben.

Bußgelder gegen die DSGVO in Höhe von insgesamt 56 Millionen Euro verhängt

Die Folge dieser Haltung gegenüber der DSGVO: Bis heute wurden im ersten Jahr mit mehr als 200.000 Ermittlungen, von denen 64.000 bestätigt wurden, Bußgelder in Höhe von insgesamt 56 Millionen Euro verhängt; 50 Millionen Euro, die die französische Datenschutzkommission CNIL ausgestellt hat, entfallen davon auf Google [1].

Bild: Zyxel

Thorsten Kurpjuhn, European Market Development Manager bei Zyxel

Die Herangehensweise und Reaktionen auf die DSGVO sind innerhalb Europas unterschiedlich. Länder wie die Slowakei und Schweden müssen nur noch eine einzige Geldbuße verhängen, während Länder wie Polen, Portugal oder Spanien Unternehmen mit Sanktionen von mehreren hunderttausend Euro belegt haben. Einige der höchsten Strafzahlungen wurden in Deutschland verhängt: mit 42 Bußgeldern – im Durchschnitt 16.100 Euro – und 58 Verwarnungen [2]. Zum Vergleich: Während die Niederlande mehr als 1.000 Verwarnungen ausgesprochen haben, gab es mit 600.000 Euro auch eine der höchsten Sanktionen in Europa. Ob die Höhe der verhängten DSGVO-Bußgelder in einigen Ländern auf mangelnde Einhaltung oder in anderen auf weniger sorgfältige Datenschutzbehörden zurückzuführen ist, bleibt dabei unklar.

Was machen Unternehmen in Sachen DSGVO-Konformität also falsch?

Achillesferse Unternehmensnetzwerk

Unternehmensnetzwerke sind im Grunde Datenautobahnen und als Ziel für Cyberangriffe äußerst attraktiv. Selbst wenn Datenverarbeitungsprotokolle und -verfahren DSGVO-konform sind, können diese Bemühungen vergebens sein, wenn die Netzwerksicherheit verletzt wird. Die Absicherung des Netzwerks zum Schutz der Daten muss für Unternehmen oberste Priorität haben. So kann vermieden werden, dass Daten abfließen und damit die DSGVO missachtet und möglicherweise mit erheblichen finanziellen Sanktionen geahndet würde.

Unternehmen riskieren Bußgelder in Höhe von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Wert höher ist –, wenn Verstöße festgestellt werden. Compliance ist und bleibt eine Herausforderung. Dies liegt wohl daran, dass die Durchführung einer E-Mail-Marketingkampagne und die Aktualisierung interner Dokumente viel einfacher sind als konkrete Maßnahmen zum Schutz des Netzwerks und der vertraulichen Informationen.

Cyberkriminelle entwickeln ihre Methoden und Taktiken stets weiter und richten damit katastrophalen Schaden an. Bedrohungsakteure nutzen immer komplexere, neue Wege, um in die IT-Infrastruktur einzudringen; Unternehmen tun sich mit der Verteidigung ihrer Netzwerke und Datensicherheit daher zunehmend schwer.

Die Gesetzgebung schreibt vor, dass Unternehmen alles in ihrer Macht Stehende tun müssen, um die Datensicherheit zu gewährleisten. Dies bedeutet, dass sie eine robuste und zuverlässige Lösung benötigen. So zeigen sie zum einen Entschlossenheit zur Einhaltung der Regularien; zum anderen können sie den Zugriff auf ihre digitalen Assets und deren Schutz kontrollieren. Momentan tun Unternehmen allerdings hierfür nicht genug.

Es ist an der Zeit für starken Schutz

Eine Gesetzgebung, einschließlich der DSGVO, ist nur so mächtig, wie es deren Durchsetzung zulässt. Ernst and Young gehen davon aus, dass die Datenschutzbehörden strenger werden: „Wir erwarten, dass die europäischen Regulierungsbehörden ihre Ankündigungen für 2019 umsetzen und ihre Geldbußen erhöhen“, sagt Ernst-and-Young-Partner Peter Katko [3]. In den nächsten Monaten sollten sich Unternehmen in puncto DSGVO-Konformität ranhalten.

Während große Unternehmen in der Lage sind, Sicherheitsmaßnahmen auszulagern und sie an Managed Service Provider (MSPs) weiterzugeben, fehlt es kleinen und mittleren Unternehmen (KMUs) häufig an den erforderlichen Fähigkeiten und Ressourcen. Für KMUs können die hohen Bußgelder jedoch das Aus bedeuten.

Datenschutzbehörden können und dürfen nicht nur eine Geldbuße verhängen, sondern auch die Verarbeitung von Daten vorübergehend oder auf unbestimmte Zeit aussetzen. Ziel ist es, sicherzustellen, dass während der Ermittlungen keine Daten mehr kompromittiert werden können. Diese Entscheidung allein könnte jedoch die Zukunft eines Unternehmens bedrohen, insbesondere wenn man den Reputationsschaden in Betracht zieht, der sich daraus ergeben würde.

Zur Risikominimierung können KMUs praktische Maßnahmen ergreifen, um zu gewährleisten, dass das Netzwerk den Anforderungen der DSGVO entspricht. Es ist vor allem wichtig, dass sie ihre Netzwerke mit den neuesten Cybersicherheitsstandards und Infrastrukturen aufbauen, statt sich auf einen Standard-Heimrouter mit vorkonfigurierter Antivirensoftware zu verlassen.

Beispielsweise rücken Spezialtechnologien wie Advanced Threat Protection (ATP) in den Vordergrund und ermöglichen es Unternehmen, ihr Netzwerk in Echtzeit zu überwachen und vor Cyberbedrohungen zu schützen, um auch vor komplexen Angriffen geschützt zu sein.

Unternehmen können es sich nicht leisten, länger zu warten. Sie müssen sich nicht nur über die Richtlinien der Aufsichtsbehörden und die Durchsetzungsentscheidungen auf dem Laufenden halten, sondern auch die vorhandenen Netzwerkinfrastrukturen überprüfen, um das Risiko von Cyberangriffen zu verringern. Unternehmen sollten zudem internes Bewusstsein für Cybersicherheit und Aufklärung in den Vordergrund rücken, um sicherzustellen, dass jeder in der Organisation verantwortungsvoll mit Daten umgehen kann und weiß, worauf in Sachen Netzwerkbedrohungen zu achten ist.

Diejenigen Unternehmen, die jetzt handeln und entsprechende Maßnahmen ergreifen, können Sanktionen und Reputationsschäden, die mit Datenverletzungen einhergehen, vermeiden. Das Thema DSGVO muss wieder in den Fokus gerückt werden – und zwar für und bei jedem.

[1] https://9to5mac.com/2019/05/28/gdpr-fines/

[2] https://www.lexology.com/library/detail.aspx?g=c04317e4-4fc9-43b4-ab6d-bb19210c812d

[3] https://www.channelpartner.de/a/2018-nur-42-bussgelder-wegen-dsgvo-verhaengt,3601258

Weitere Informationen zum Thema:

datensicherheit.de, 26.06.2019
Ein Jahr DSGVO – Datenschutz und Durchsetzung

datensicherheit.de, 09.06.2019
Radware: Angriffe auf Managed Service Provider nehmen zu

datensicherheit.de, 03.06.2019
Unternehmen und DSGVO: Mangelndes Wissen und viel zusätzliche Arbeit

datensicherheit.de, 27.05.2019
DSGVO-Jahrestag: Viele Unternehmen tun sich immer noch schwer

datensicherheit.de, 25.05.2019
IT: Risiko trotz DSGVO in Deutschland weiterhin hoch

datensicherheit.de, 22.05.2019
Managed Service Provider: Fokus auf Rolle als strategische Berater

[datensicherheit.de, 03.04.2017] Der eco – Verband der Internetwirtschaft e.V. weist darauf hin, dass mit der EU-Datenschutz-Grundverordnung das Haftungsrisiko für Datenschutzverletzungen nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte steigen wird.

EU-Datenschutz-Grundverordnung: Bußgelder drastisch erhöht

Die Bundesregierung arbeite „mit Hochdruck“ daran, das nationale Datenschutzrecht neu zu strukturieren und an die EU-Datenschutz-Grundverordnung (EU-DSGVO) anzupassen. Was sich laut eco dabei abzeichnet, ist, dass durch die Neuregelung Bußgeldhöhen für Unternehmen stark angehoben werden. Bislang habe laut Bundesdatenschutzgesetz (BDSG) eine Haftungshöchstgrenze von maximal 300.000 Euro bestanden. Jetzt biete unter anderem Art. 83 Abs. 5 der DSGVO den Aufsichtsbehörden die Möglichkeit, Bußgelder bis zu 20 Millionen Euro beziehungsweise bei Konzernen bis zu vier Prozent des weltweiten Umsatzes des Vorjahres zu verhängen. Diese hohen Bußgelder sollten abschrecken und laut DSGVO vor allem für Unternehmen anfallen, Mitgliedsstaaten könnten „andere Sanktionen“ bei Verstößen festlegen.

Auch natürlichen Personen droht Haftungsverschärfung*

Nach dem nunmehr eingebrachten Entwurf zum Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG) sehe es so aus, als würde der deutsche Gesetzgeber von dieser Möglichkeit Gebrauch machen. Demnach sehen die §§ 41–43 DSAnpUG Sanktionsmöglichkeiten bei Datenschutzverletzungen auch gegenüber natürlichen Personen vor.
„Somit steigt das Haftungsrisiko für Datenschutzverletzungen mit der DSGVO nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte. Sie müssen bei Verstößen gegen die Datenschutzvorschriften oder ihre Aufsichtspflichten mit weitaus höheren Strafen rechnen als bisher“, erklärt RAin Dr. Katharina Küchler, „Legal Department“ beim eco–Verband. „Und nicht nur das: Bei Verstößen im Umgang mit personenbezogenen Daten drohen ihnen laut § 42 DSAnpUG über die Geldbußen hinaus strafrechtliche Sanktionen wie eine Freiheitsstrafe von bis zu drei Jahren.“

Was Unternehmen jetzt tun sollten

Um sich vor den harten Strafen zu schützen, sollten Unternehmen spätestens jetzt eine Compliance-Struktur aufbauen, also konkrete Grundsätze und Maßnahmen zur Einhaltung der Datenschutzregeln festlegen.
Dabei sollten sie beispielsweise genau prüfen, welche Daten es in ihrem Unternehmen gibt, ob diese rechtssicher verarbeitet und gesetzeskonform mit Subunternehmen oder Filialen in anderen Ländern geteilt werden. Wichtig seien hierbei regelmäßige Audits, um zu prüfen, inwieweit das Unternehmen den gesetzlichen, datenschutzrechtlichen Anforderungen entspricht. Entscheidend sei auch, Management und Mitarbeiter in Bezug auf Datenschutz und -sicherheit zu schulen und sie für den Umgang mit personenbezogenen Daten zu sensibilisieren. Zudem könnten technische Lösungen unterstützen, etwa die Implementierung eines Datenmanagementsystems, um Daten sicher zu erfassen, zu speichern, zu verarbeiten und zu analysieren.

Externer Datenschutzbeauftragter: verlagertes Haftungsrisiko

Verarbeitet ein Unternehmen besonders sensible Daten, erhebt/übermittelt es personenbezogene Daten geschäftsmäßig oder beschäftigt es mindestens zehn Mitarbeiter, die personenbezogene Daten automatisiert verarbeiten – dann müsse es einen Datenschutzbeauftragten bestellen. Dieser helfe dem Unternehmen, datenschutzkonform zu agieren.
Gerade für kleine und mittelständische Unternehmen (KMU) sei es oftmals schwierig, eigene Mitarbeiter mit dieser Aufgabe zu betrauen. Interne Datenschutzbeauftragte müssten ihre Arbeit zwischen ihrem eigentlichen Beruf und der neuen Herausforderung aufteilen, aufwändige Schulungs- und Weiterbildungsmaßnahmen absolvieren und vor allem bestehe das Risiko der hohen Bußgelder.
„Die Bestellung eines externen Datenschutzbeauftragten kann eine gute Alternative sein, da diese Herausforderungen dadurch obsolet sind und vor allem das Haftungsrisiko nach außen getragen wird“, betont Küchler. Der größte europäische Verband der Internetwirtschaft, der eco, stelle seinen Mitgliedsunternehmen auf Wunsch diesen externen betrieblichen Datenschutzbeauftragten. Dieser berate unter anderem fachkundig bei der Erfüllung der datenschutzrechtlichen Anforderungen, schule die Mitarbeiter und führe auch Datenschutzaudits durch. Damit erfüllten Unternehmen ihre gesetzlichen Verpflichtungen.

Datenschutzänderungen zeitnah erforderlich!

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) sei schon seit 2016 in Kraft und am 25. Mai 2018 ende die Umsetzungsfrist. Die EU-DSGVO gelte dann in allen EU-Mitgliedstaaten und Bundesdatenschutzgesetz, Landesdatenschutzgesetze sowie die EU-Datenschutzrichtlinie 95/46 seien nicht mehr anwendbar beziehungsweise aufgehoben.
Nachdem die ersten Referentenentwürfe aufgrund der sehr scharfen Kritiken zurückgezogen worden seien, habe das Bundeskabinett am 1. Februar 2017 den Entwurf zum Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen. Bei der 1. Lesung im Bundestag sei es am 9. März 2017 zu heftigen Debatten gekommen – und am Tag darauf habe der Bundesrat bei seiner 1. Beratung zu dem Thema umfassende Änderungen, beispielsweise im Hinblick auf Auskunfts- und Löschrechte, gefordert. Angestrebt werde aber, bereits im Mai 2017 das deutsche Umsetzungsgesetz zur DSGVO im Bundesgesetzblatt zu veröffentlichen, um allen Beteiligten genug Zeit zu geben, sich auf die neue Rechtslage vorzubereiten.

Foto: eco – Verband der Internetwirtschaft e.V.

Dr. Katharina Küchler: Bestellung eines externen Datenschutzbeauftragten als „gute Alternative“

Weitere Informationen zum Thema:

eco – Verband der Internetwirtschaft e.V.
eco externer Datenschutzbeauftragter

datensicherheit.de, 19.10.2016
EU-DSGVO: Neue EU-Datenschutzregeln ab 2018