Sie sind hier: HomeTelekommunikation

DSGVO: Die Ruhe vor dem Sturm

18 Monate ist die Europäische Datenschutz-Grundverordnung (DSGVO) bereits in Kraft. Die anfängliche Aufregung um die neue Regelung mag Unternehmen im Nachhinein wie ein Sturm im Wasserglas vorkommen. Doch zurücklehnen sollten sie sich jetzt nicht.

europa flagge flaute dsgvo security Bildquelle: © wlad74, 123rf

Vor 18 Monaten kam die DSGVO über die deutschen Unternehmen wie eine Naturgewalt. Plötzlich war Datenschutz das Top-Thema in den Führungsetagen, jetzt sollte alles ganz schnell gehen: Datenschutzbeauftragte mussten her, laufende Geschäftsprozesse wurden in Frage gestellt und die geforderten Informationen und Dokumentationen fehlten weitgehend. Mit diesen teils chaotischen Auswirkungen hatte niemand gerechnet, denn die DSGVO kam ja nicht über Nacht. Bereits 2016 wurde sie verabschiedet, doch in den zwei Jahren bis zum Inkrafttreten haben Unternehmen das Thema weitgehend ignoriert – obwohl viele der Regelungen bereits vorher mit dem Bundesdatenschutzgesetz (BDSG) galten.

Doch so schnell die Aufregung kam, so schnell ebbte sie auch wieder ab. Denn alle Horrorszenarien traten nicht ein: Die gefürchtete Abmahnwelle blieb aus, und auch die Anzahl der verhängten Bußgelder ist in Deutschland eher gering. Doch damit ist es nun vorbei, die Behörden ändern jetzt ihren Kurs.

Landesämter auf dem Kriegspfad
„2019 wird das Jahr der Kontrollen“, verkündete Stefan Brink, der Landesbeauftragte für Datenschutz und Informationsfreiheit von Baden-Württemberg im April. Bisher waren sowohl die Anzahl wie auch die Höhe der verhängten Bußgelder in Deutschland gering. Laut Angaben der Landesdatenschutzämter wurden in den ersten zwölf Monaten knapp 80 Bußgelder in einer Gesamthöhe von etwa 500.000 Euro verhängt. Die höchste Einzelstrafe lag bei 80.000 Euro. In anderen europäischen Ländern waren die Aufsichtsbehörden weit weniger zimperlich. In Frankreich wurde Google zu 50 Millionen Euro wegen mangelhafter Nutzerinformationen verdonnert. Auch die britischen Aufsichtsbehörden machten mit einer Rekordstrafe von sich reden: 200 Millionen Euro soll die Fluggesellschaft British Airways für den Diebstahl von 380 Millionen Kundendaten bezahlen.

Nun steht auch in Deutschland die erste große Strafe an. Die Berliner Aufsichtsbehörden haben ein sechsstelliges Bußgeld angekündigt, nähere Informationen zum Sachverhalt oder der betroffenen Firma gibt es aber noch nicht. Diese sehr hohen Bußgelder gelten in erster Linie multinationalen Großkonzernen. Daher wiegen sich kleine und mittlere Unternehmen in trügerischer Sicherheit, dass ihnen das ohnehin nicht passieren wird. Zwar wird kein Mittelständler eine hohe Millionenstrafe bezahlen müssen. Aber ungeschoren kommen sie auch nicht davon. So verlangt das Bayerische Landesamt für Datenschutzaufsicht derzeit 5.000 Euro für jeden fehlenden oder unzureichenden Vertrag zur Auftragsverarbeitung. Vor allem werden aber die Kontrollen verstärkt. In Bayern sollen demnächst Unternehmen mit SAP-Systemen kontrolliert werden. Ziel ist die Prüfung, ob personenbezogene Daten fristgerecht und DSGVO-konform gelöscht werden. Die Erfahrung von externen Datenschutzbeauftragten zeigt: Hier werden die Behörden fündig werden, denn probate Löschkonzepte sind in den wenigsten Fällen vorhanden.

Entlastung für Unternehmen bringt hohe Haftungsrisiken
Im Hinblick auf die angekündigte Kontrolltätigkeit der Behörden kann sich eine vermeintliche Entlastung von kleinen Unternehmen als teurer Bumerang erweisen. Noch in diesem Herbst soll das zweite Datenschutzanpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) verabschiedet werden. Ein wesentlicher Punkt darin ist die Anhebung der Mitarbeitergrenze, ab der ein Datenschutzbeauftragter benannt werden muss. Sie liegt derzeit bei zehn Mitarbeitern und soll mit dem neuen Gesetz auf 20 erhöht werden. Einige Unternehmen sehen darin das Signal, dass damit auch die übrigen Vorgaben der DSGVO für sie nicht mehr relevant sind. Ein gefährlicher Trugschluss: Denn alle Verpflichtungen durch die DSGVO müssen weiterhin von jedem Unternehmen eingehalten werden – nur eben ohne Datenschutzbeauftragten.

Diese widersprüchlichen Signale durch Politik und Aufsichtsbehörden sind fatal. Die Behörden werden die Kontrolle verschärfen, die Politik will den Druck auf die Unternehmen reduzieren. Am Ende zahlen die Unternehmen die Zeche. Denn dort landen die Bußgelder, wenn gegen die DSGVO verstoßen wird.