Datenschutz-Grundverordnung - 27. Mai 2020

Zwei Jahre und eine Krise später

Datenschutz hat seit 2018 einen ganz neuen Stellenwert in den Unternehmen bekommen – und auch bekommen müssen. Inzwischen sind die neuen Regeln im Alltag angekommen und können nicht mehr ignoriert werden. Daher lohnt sich ein Blick auf die Erfahrungen der Betroffenen, nicht zuletzt auch mit Blick auf die Auswirkungen der Corona-Pandemie.

Seit über zwei Jahren ist die Datenschutz-Grundverordnung (DS-GVO) anzuwenden. Nach anfänglicher Hektik und sogar Panik 2018 ist es wieder ruhiger geworden. Die neuen Datenschutzregeln sind im Praxisbetrieb angekommen. Aufgrund erster Erfahrungen hat der deutsche Gesetzgeber Ende 2019 im Rahmen seiner Möglichkeiten nachjustiert und beispielsweise die Grenze, ab der ein Datenschutzbeauftragter zu benennen ist, von zehn auf zwanzig Personen angehoben [§ 38 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG)]. Dabei wird oft übersehen, dass alle anderen datenschutzrechtlichen Pflichten auch für Unternehmen und Vereine gelten, die wegen ihrer Größe keinen Datenschutzbeauftragten (mehr) benötigen. Es ist also ein gefährlicher Trugschluss, eine fehlende Pflicht für die Benennung eines Datenschutzbeauftragten gleichzusetzen mit einer fehlenden Pflicht, Datenschutzrecht überhaupt zu beachten.

Notare benötigen immer einen Datenschutzbeauftragten

Da Notare öffentliche Stellen sind, gilt für diese weder die alte noch die neue Benennungsgrenze. Notare haben unabhängig von der Zahl der im Notariat mit Datenverarbeitung beschäftigten Personen immer einen Datenschutzbeauftragten zu benennen (Art. 37 Abs. 1 lit. a DS-GVO).

Gestiegene Wahrnehmung und Wichtigkeit

Viele Regelungen der DS-GVO sind gar nicht so neu und waren schon im alten BDSG enthalten. Die DS-GVO hat es aber nicht zuletzt wegen der vielen Diskussionen und Berichte zum Anwendungsbeginn 2018 geschafft, dass Datenschutz viel stärker wahrgenommen wird und einen viel höheren Stellenwert im Vergleich zu Zeiten des alten BDSG, also vor dem 25. Mai 2018, erreicht hat. Auch wenn Datenschutzanfragen im Kanzleialltag, etwa Auskunftsersuchen von Mandanten oder Löschverlangen ausscheidender Mandanten und Mitarbeiter, nicht ständig vorkommen, sind sie doch spürbar häufiger als in der Zeit vor der DS-GVO anzutreffen. Sogar während der Corona-Krise ist und bleibt Datenschutz ein selbstverständliches Ziel staatlichen Handelns. Bei der Novellierung des Infektionsschutzgesetzes (IfSG) Ende März 2020 wurde die vom Bundesministerium für Gesundheit (BMG) vorgeschlagene Regelung zur Erfassung und Verarbeitung von Daten aus Mobilfunkgeräten ersatzlos gestrichen. Bewegungsdaten von Mobilfunkanbietern dürfen nur anonymisiert verwendet werden. Die Nutzung von personenbezogenen Daten, zum Beispiel im Rahmen der „Datenspende-App“ des Robert Koch-Instituts oder der „Tracing-App“, erfordert zwingend eine informierte und vor allem freiwillige Einwilligung der Nutzer.

Datenschutz im Homeoffice

Und die Corona-Krise deckt noch etwas auf: Wer eine funktionierende Datenschutzorganisation hatte, hatte es viel leichter, den Betrieb teils oder gar größtenteils schnell auf Homeoffice umzustellen. Wer bei der Einrichtung seiner IT-Systeme sichere Remote-Anbindung berücksichtigt oder bereits entsprechend eingerichtet und organisatorische Regelungen (Datenschutzhandbuch) für den Umgang der Mitarbeiter mit Laptops, Daten, Akten und Unterlagen außerhalb der Kanzleiräume eingefügt hatte sowie über sensibilisierte Mitarbeiter verfügte, für den bedeutete der Umstieg keinen erheblichen Aufwand. Zumindest waren die unbeabsichtigte Offenlegung vertraulicher Informationen sowie die Gefahr von Verstößen gegen Datenschutzregeln oder gar die berufsrechtliche Verschwiegenheit erheblich geringer als ohne diese Schutzmaßnahmen.

Sanktionen

Verstöße gegen die Regelungen der DS-GVO werden selbstverständlich sanktioniert. Die Schonzeit im ersten Jahr nach Anwendungsbeginn ist längst vorbei. Oft mag der Eindruck entstehen, dass insbesondere die deutschen Datenschutzaufsichtsbehörden Geldbußen verhängen und der Rest Europas hinterherhinkt. Ein Blick auf die Webseite www.enforcementtracker.com zeigt allerdings, dass Geldbußen in allen europäischen Ländern verhängt wurden und Deutschland weder in der Summe, noch in der Anzahl der verhängten Bußgelder, auch nicht in deren Höhe, die Statistiken anführt. Ein Blick auf die Gründe, für die beiden bislang höchsten Bußgelder in Deutschland zeigt, dass eine löchrige Datenschutzorganisation teuer werden kann.

Bußgelder

Das zweithöchste Bußgeld von 9,55 Millionen Euro wurde gegen die 1&1 Telecommunication SE verhängt, weil unzureichende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten getroffen waren. Anrufer erhielten alle bei 1&1 zu einer Person vorhandenen Daten, sofern sie nur den Namen und das Geburtsdatum der Person nennen konnten. Weitergehende Vorgaben zur Überprüfung der Identität oder der Auskunftsberechtigung der Anrufer gab es laut sanktionierender Aufsichtsbehörde nicht. Mit 14,5 Millionen Euro traf es die Deutsche Wohnen SE, weil dort Daten ehemaliger Mieter aufbewahrt und nicht gelöscht wurden, ohne jemals zu prüfen, ob diese Daten noch aufbewahrt werden dürfen oder gelöscht werden müssen. Es gab kein Löschkonzept. Sensible Daten, unter anderem Verdienstbescheinigungen, Selbstauskünfte, Arbeitsverträge, Steuer- und Sozialversicherungsbescheinigungen der ehemaligen Mieter, befanden sich über Jahre und Jahrzehnte weiterhin im Zugriff. Beide Fälle befinden sich derzeit im Rechtsmittelverfahren, die Bußgeldbescheide sind also noch nicht rechtskräftig. Daneben traf es natürlich auch kleinere Unternehmen beziehungsweise Privatpersonen bei kleineren Verstöße, etwa

  • 200 Euro gegen eine Privatperson wegen Verwendung einer Dashcam und Veröffentlichung der Videos im Internet,
  • 1.400 Euro gegen einen Polizeibeamten wegen Missbrauchs der dienstlich verfügbaren Kontaktdaten einer Person zu nicht dienstlichen Zwecken,
  • 2.000 Euro gegen einen Restaurantbetreiber wegen einer nicht korrekt eingerichteter Videoüberwachung.

Das eigentliche Hauptrisiko

Natürlich sind Bußgelder ein Risiko, das jeder verantwortungsvolle Unternehmer vermeiden will und muss. Gerade in Kanzleien bergen Datenschutzverstöße aber ein noch viel größeres Risiko: den Imageverlust. Jede Datenpanne, die auf unzureichenden Schutzmaßnahmen beruht, birgt die Gefahr, dass der betroffene Mandant das Vertrauen in die Kanzlei verliert. Wird über Datenpannen erst in der Presse – und sei es auch nur in lokalen Medien – berichtet, potenziert sich dieser Vertrauensverlust. Was das für die weitere Entwicklung einer Kanzlei bedeuten kann, muss nicht näher erläutert werden.

Weitere Informationen

Datenschutz muss immer berücksichtigt werden, bei allen Unternehmensentscheidungen und -tätigkeiten. Eine funktionierende Datenschutzorganisation ist unerlässlich für den Erfolg des Unternehmens. Das kann nur durch professionelle Unterstützung sichergestellt werden. Datenschutz im Vorbeigehen oder Datenschutz durch Laien führt zu den oben geschilderten Datenschutzlücken. DATEV unterstützt Sie durch professionelle Berater als externe Datenschutzbeauftragte für Kanzleien und Mandanten, aber auch im Rahmen einer Datenschutzbetreuung für kleinere Kanzleien und Unternehmen. Oder punktuell zur Erstellung eines Löschkonzeptes beziehungsweise zur Umsetzung von Datenschutz im Homeoffice. Besuchen Sie uns auf www.datev.de/datenschutz-beratungen.

Weitere Beiträge zur Corona-Krise

Zum Autor

Bernd Bosch

Mitarbeiter im Bereich IT-Strategie, Datenschutz & Unternehmensmarkt bei DATEV

Weitere Artikel des Autors