Der Europäische Datenschutzausschuss hat am 26. Februar 2019 einen Überblick über die ersten Monate der EU-Datenschutz-Grundverordnung (DSGVO) vorgestellt. Der Bericht beschäftigt sich größtenteils mit Fragen der Zusammenarbeit der verschiedenen europäischen Datenschutzaufsichtsbehörden. Er enthält jedoch auch interessante Fakten über den tatsächlichen Umgang der einzelnen Datenschutzaufsichtsbehörden mit der DSGVO. Das Papier kann Unternehmen helfen, das eigene Risikoprofil besser zu erfassen und die Anforderungen der DSGVO entsprechend umzusetzen. Die wichtigsten Informationen aus dem Überblick stellen wir in diesem Beitrag kurz dar.
Beschwerden Hauptursache für Datenschutzverfahren
Vor den Datenschutzaufsichtsbehörden der EU laufen 206.326 Verfahren zu DSGVO-Verstößen (48 %) oder sind bereits abgeschlossen (52 %). Ganze 94.622 (ca. 46 %) wurden durch Beschwerden bei den Datenschutzaufsichtsbehörden angestoßen. Weitere 64.684 (ca. 31 %) Verfahren begannen durch eine Meldung von Datenschutzverletzungen bei den Aufsichtsbehörden nach Art. 33 DSGVO. Inwiefern in Deutschland Meldungen von Datenschutzverletzungen gerichtsfest Bußgeldverfahren nach sich ziehen können, ist angesichts der in § 43 Abs. 4 BDSG auch für das Bußgeldverfahren festgeschriebenen Selbstbelastungsfreiheit zumindest fraglich.
Nur wenige Verletzungsverfahren landen vor Gericht
Lediglich 1 % der Verfahren vor den Datenschutzaufsichtsbehörden wird laut dem Europäischen Datenschutzausschuss anschließend gerichtlich angefochten. Das zeigt, dass viele betroffene Unternehmen es durch gute Kooperation mit der Datenschutzaufsichtsbehörde schaffen, das Verfahren zu einem für sie akzeptablen Ergebnis zu bringen. Jedoch heißt das auch, dass Datenschutzbehörden aktuell ca. 2.000 laufende DSGVO-Verfahren vor Gerichten in der EU führen. Das macht deutlich, dass Unternehmen ihre Datenschutzorganisation möglichst auch in Hinblick auf mögliche Beweispflichten im Prozess ausgestalten sollten. Dies gilt umso mehr, als von dieser Statistik lediglich die aufsichtsbehördlichen Verfahren erfasst sind. Die ebenfalls steigende Anzahl von Verfahren im Rahmen von datenschutzrechtlichen Abmahnungen und Schadensersatzklagen müssen Unternehmen zusätzlich berücksichtigen.
Bußgeldhöhen noch vergleichsweise niedrig
Mit Ausnahme des 50 Millionen Euro Bußgeldes der französischen Datenschutzaufsichtsbehörde gegen Google haben sich die EU-Datenschutzaufsichtsbehörden in den ersten Monaten nach Geltung der DSGVO bei der Bußgeldhöhe maßvoll gezeigt. Insgesamt verhängten sie Bußgelder in Höhe von 55.955.871 EUR. Nach Abzug des Google-Bußgeldes ist das angesichts der über 100.000 abgeschlossenen Verfahren eine eher niedrige Summe. Das höchste in Deutschland bekanntgewordene Bußgeld belief sich auf 80.000 EUR. Es bleibt abzuwarten, inwiefern die Datenschutzaufsichtsbehörden ihre Ankündigungen wahr machen werden, künftig deutlich höhere Bußgelder zu verhängen.
Aufsichtsbehörden fehlt Budget und Personal
Ein Großteil der EU-Datenschutzbehörden benötigt dringend mehr Budget und Personal. Im Durchschnitt liegen die Budgets der Datenschutzaufsichtsbehörden EU-weit 30 % bis 50 % unter den notwendigen finanziellen Mitteln. Nahezu alle der an der Umfrage des Europäischen Datenschutzausschusses teilnehmenden Aufsichtsbehörden benötigen drastisch mehr Mitarbeiter. Auch wenn die deutschen Datenschutzaufsichtsbehörden in dieser Auflistung nicht berücksichtigt wurden, gehen wir davon aus, dass die finanzielle und personelle Situation der Datenschutzaufsichtsbehörden in Deutschland sich von den Datenschutzaufsichtsbehörden anderer EU-Staaten nicht besonders unterscheidet.
Fazit
Die vom Europäischen Datenschutzausschuss veröffentlichten Zahlen zeigen deutlich, dass die größten Risiken für Unternehmen in Beschwerden der betroffenen Personen liegen. Solche Beschwerden führen regelmäßig zu datenschutzrechtlichen Aufsichtsverfahren. Entsprechend sollten Unternehmen bei der Umsetzung der Anforderungen der DSGVO einen besonderen Schwerpunkt auf Bereiche legen, in denen es wahrscheinlicher zu Beschwerden kommen kann. Das sind erfahrungsgemäß neben dem Beschäftigtendatenschutz alle Datenverarbeitungen, die z.B. verärgerte Kunden betreffen können.
Die prozentual wenigen Gerichtsverfahren zeigen, dass es für Unternehmen zielführend sein kann, sich im Verfahren vor der Aufsichtsbehörde kooperativ zu verhalten. Auf diese Weise können Unternehmen regelmäßig aufsichtsbehördliche Verfahren in einer für sie akzeptablen Weise zum Abschluss bringen.