Die Sache mit dem Datenschutz – Wo stehen Sie 2023?

Ein Jahreswechsel ist sowohl ein Zeitpunkt für Resümees, wie auch für gute Vorsätze – vielleicht aufgrund der Resümees…

Wir als externe Datenschutzbeauftragte erleben es Woche für Woche bei der Neukundenakquise: „Nein danke, kein Bedarf. Wir sind zu klein und brauchen das nicht!” oder noch schlimmer „Es passiert doch nichts, wozu soll ich das Geld ausgeben…”.

Ist ja so ein wenig, wie nach der Silvesterparty Autofahren. Den einen oder anderen erwischt es halt, aber nur wenige. Dumm nur, wenn man dann einer der wenigen ist…

Sprechen wir also nicht über den mahnenden Zeigefinger, sondern kramen wir lieber in der Archivkiste. Im Folgenden können Sie einen Artikel der IHK Hannover aus dem Dezember 2019 noch einmal nachlesen. Drei Jahre später wurden allein in Niedersachsen mehrere tausend Sanktionen verhängt. Kleine wie große. Sie waren nicht dabei? Seien Sie wachsam, dass es so bleibt:

Besorgniserregend

Anfang November 2019 wurden die Ergebnisse einer Querschnittsprüfung vorgestellt, mit der die Umsetzung der Datenschutzgrundverordnung in niedersächsischen Unternehmen eingeschätzt werden sollte. Auch wurden die ersten Bußgeldbescheide verschickt.
Nachdem die erste Zeit nach Inkrafttreten der DSGVO noch von Zurückhaltung geprägt war, zieht die Landesdatenschutzbeauftragte jetzt spürbar die Zügel an. In den letzten Monaten wurden in Niedersachsen zwölf Geldbußen zwischen 40.000 und 290.000 Euro verhängt, auch gegen Unternehmen. Die Entscheidungen sind zwar noch nicht rechtskräftig, würden aber in der Spitze sogar noch über den lange als höchstes DSGVO-Bußgeld gehandelten mehr als 195.000 Euro liegen, die in Berlin – rechtskräftig – gegen einen Lieferdienst verhängt wurden.
Die Datenschutzbehörde der Bundeshauptstadt hat aber inzwischen mit einer Forderung von über 14 Mio. Euro aufhorchen lassen. Darüber wird allerdings noch gestritten. Betroffen ist ein Immobilienunternehmen. Grundlage für die Berechnung von DSGVO-Bußgeldern gegen Unternehmen ist inzwischen ein Konzept der Datenschutzbehörden des Bundes und der Länder, das im Oktober 2019, das im Oktober 2019 vorgelegt wurde. Danach erfolgt die Festlegung eines Bußgeldes in fünf Schritten, wobei Ausgangspunkt die Größe des betroffenen Unternehmens ist.
Seit Anfang November liegen auch die Ergebnisse einer Querschnittsprüfung in Niedersachsen vor. Branchenübergreifend waren kurz nach Inkrafttreten der DSGVO im Mai 2018 20 große und 30 mittelgroße Unternehmen ausgewählt und zur Umsetzung der DSGVO befragt worden. Aus Sicht von Barbara Thiel, Landesbeauftragte für den Datenschutz, zeigt diese bislang größte anlasslose Kontrolle ihrer Behörde, dass den niedersächsischen Unternehmen die Umsetzung der DSGVO nur teilweise gelinge.
Bewertet wurden die Unternehmen mit Ampelfarben: Grün bedeutet für 9 Unternehmen, dass sie überwiegend zufriedenstellend abgeschnitten haben. Gelb erhielten 32 Unternehmen mit noch vereinzeltem Handlungsbedarf. Rot sahen wiederum 9 Unternehmen, bei denen die Landesdatenschutzbeauftragte erhebliche Defizite ausmachte. Von ihnen müssen sich 5 auf weitere Kontrollen einstellen, die noch über die abgefragten Kriterien hinausgehen können, so ein Sprecher der Behörde. Werden dabei schwerwiegende Verstöße gegen die Datenschutzregeln festgestellt, sind auch Bußgelder möglich.
Die Prüfung lief in zwei Schritten ab. Es gab also die Möglichkeit nachzubessern. Tatsächlich sahen nach der ersten Runde noch 30 Unternehmen rot, das heißt: von zehn abgefragten Fragenkomplexen wurde bei zwei oder mehr von den Landesdatenschützern erheblicher Handlungsbedarf festgestellt. Dabei zeichneten sich bereits mit dem technisch-organisatorischen Datenschutz und der Datenschutz-Folgenabschätzung (DSFA) zwei besonders brisante Bereiche ab. Hier sieht Barbara Thiel besonders großen Nachholbedarf der Unternehmen. Die geringsten Schwierigkeiten bereiteten dagegen die Bereiche Auftragsdatenverarbeitung, Datenschutzbeauftragte, Meldepflichten von Datenschutzverletzungen und Dokumentation. Hier seien nur gelegentlich Defizite festgestellt worden.
Die Bilanz der Querschnittsprüfung bezeichnete Barbara Thiel als durchwachsen: „Wir haben Bereiche identifiziert, in denen die Regelungen der DSGVO bereits zufriedenstellend umgesetzt werden”, sagte sie. „Zugleich mussten wir aber auch erhebliche Defizite feststellen, die sehr besorgniserregend sind”.

Konkret benannte die Behörde die Schwierigkeiten insbesondere beim technisch-organisatorischen Datenschutz. Hier geht es unter anderem um den Schutz eines IT-Netzwerkes gegen Cyber-Angriffe. Die Datenschutzbeauftragte monierte, dass hier „Begrifflichkeiten ganz überwiegend nicht richtig verstanden” worden seien, wie es im Abschlussbericht heißt. Zum Beispiel sei die Definition des Begriffs „Stand der Technik” regelmäßig nicht bekannt gewesen und Konzepte wie PRIVACY BY DESIGN oder PRIVACY BY DEFAULT waren den Unternehmen nicht vertraut. In einigen Unternehmen hätte der Fokus bei der Risikoeinschätzung auf den eigenen, insbesondere finanziellen Folgen gelegen und nicht bei den Folgen für die Betroffenen.
Die zehn Fragenkomplexe der Querschnittsprüfung wurden mit einem Kriterienkatalog bewertet, der knapp 200 Einzelpunkte umfasst. Dieser Katalog wurde mit dem Abschlussbericht veröffentlicht und sei eine Möglichkeit, den Stand der DSGVO-Umsetzung im Unternehmen mit den Anforderungen zu vergleichen, heißt es aus der Datenschutzbehörde.
Die Landesdatenschutzbeauftragte kündigte an, Unternehmen auch weiterhin dabei zu unterstützen, die DSGVO richtig umzusetzen. Zu diesem Zweck wird sie in nächster Zeit Informationen zu den besonders problematischen Themenfeldern veröffentlichen, etwa zu den Begriffen und Definitionen, die im Bereich des technisch-organisatorischen Datenschutzes für Probleme sorgten. Thiel machte allerdings auch erneut deutlich, dass man Unternehmen prüfen werde, auch anlasslos. Nach den Worten eines Sprechers wurde zum Jahreswechsel noch an den entsprechenden Plänen für 2020 gearbeitet. Während bisher große und mittelgroße Unternehmen im Fokus standen, kommen nun mittelfristig auch KMU in das Blickfeld, so der Sprecher.
(Der Abschlussbericht der DSGVO-Querschnittsprüfung mit dem Kriterienkatalog zur Bewertung der Fragenkomplexe ist erhältlich unter www.lfd.niedersachsen.de)

Quelle: Niedersächsische Wirtschaft – Heft 12/2019, Autor Klaus Pohlmann