Seit dem 25.05.2018 ist nun mehr als ein Jahr vergangen. Auch wir möchten ein Blick auf die Entwicklungen im Datenschutz im vergangenen Jahr werfen und dabei persönliche Erfahrungen und Einschätzungen einbringen. Schlagzeilen gab es zum Datenschutz in diesem Jahr genug, wenn auch nicht selten ohne handfesten Grund.
Data protection goes public
Wir können sagen, dass sich das Bewusstsein für Datenschutz in diesem Jahr stark ausgeweitet hat. Immer häufiger bekommen wir mit, dass während der Betrachtung von unternehmensinternen Prozessen auch an den Datenschutz gedacht wird. Nicht zuletzt sehen wir ebenso in den von uns durchgeführten Schulungen in den Betrieben unserer Mandanten, dass ein Interesse hinsichtlich des Datenschutzes stetig wächst und ein Bewusstsein bei jedermann vorhanden ist.
Auch der Bundesdatenschutzbeauftragte Ulrich Kelber zieht aus dem letzten Jahr ein positives Fazit. „Selbst in Ländern wie den USA und Japan oder Brasilien und Indien entfaltet die DSGVO Wirkung und wird als Vorbild und Anlehnungspunkt für eigene nationale Datenschutzgesetzgebung verwendet“, schwärmt er. Zudem habe sich die Zahl der Beschwerden und Meldungen nur beim Bundesbeauftragten für den Datenschutz und die Informationssicherheit allein im letzten Jahr auf 15.000 verdreifacht. Auch die Landesbeauftragte für Datenschutz und Informationssicherheit in Bremen stellt eine Verdoppelung der Anfragen bzgl. des Datenschutzes fest. Zudem vertritt sie die These, „dass sich das Datenschutzbewusstsein im Land Bremen seit dem ersten Geltungstag der DSGVO verdoppelt hat.“
Laut Herrn Kelber soll die DSGVO im nächsten Jahr auch gegen die „großen IT-Unternehmen wie Facebook oder Google“ durchgesetzt werden. Daher werde das zweite Jahr der DSGVO zu deren „Gradmesser“.
Aber nicht nur den großen Unternehmen soll zukünftig mehr auf die Finger geschaut werden. Wie wir am 2. Juni 2019 berichteten, kündigte der Landesdatenschutzbeauftragte von Baden-Württemberg Stefan Brink einen „Kurswechsel“ an. Seine Behörde werde in Zukunft den Schwerpunkt weniger auf Beratungen, sondern vermehrt auf Kontrollen setzen.
Auch im privaten Bereich wächst das Bewusstsein im Umgang mit Daten. Insbesondere die Veröffentlichungen von Edward Snowden trieben den öffentlichen Diskurs in die Höhe. Dies wirkt sich auch auf das tägliche Handeln der einzelnen Personen aus. Davon profitieren Unternehmen, die datenschutzrechtlich gut aufgestellt sind wie z.B. das niederländische Unternehmen Startpage. Dieses bietet als Alternative zu Google eine diskrete Suchmaschine an, die sich selbst als „diskreteste Suchmaschine der Welt“ betitelt.
Jan-Luca Jorzyk, einer unserer Mitarbeiter von HUBIT, nutzt auch Startpage. „Man surft einfach mit einem besseren Gefühl im Internet und gewöhnt sich mit der Zeit auch an den Wegfall einiger Funktionen, die mit der zurückgewonnenen Privatsphäre einhergehen“, erklärt Herr Jorzyk. Auf die Frage, ob er Startpage ab jetzt immer nutzt antwortet er: „Zunächst nutze ich immer Startpage. Erst, wenn mir die dort vorgeschlagenen Suchergebnisse nicht ausreichen, greife ich auf die bekannten Alternativen zurück. Die Anzahl der Suchergebnisse ist bei den großen Suchmaschinen einfach höher. Daher eignet sich Startpage nicht unbedingt für alle Recherchezwecke. Im alltäglichen Gebrauch stört das aber kaum. Shopping-Plattformen oder Websites von Restaurants sind mit Startpage ohne weiteres zu finden.“
Die anstrengende Seite der DSGVO – oder doch nichts neues?
Viele Pflichten der DSGVO werden allerdings als eher lästig empfunden. Wir ziehen dafür gerne einen Vergleich zum Arbeitsschutz heran. Regelmäßig wurde dieser ebenso wie der Datenschutz als eher lästige Nebensache angesehen. Auf Schutzkleidung wurde verzichtet, gefährliche Abkürzungen wurden genommen oder es wurde auf Stolperfallen nicht hingewiesen. Heute aber ist Arbeitsschutz eine Selbstverständlichkeit.
So wird im Datenschutz die Anti-Virus-Software, ein Backup oder schon die Einrichtung eines sicheren Passworts häufig belächelt und als unwichtig abgestempelt. Aber auch das wird sich ändern. Schließlich kann hier verhindert werden, dass Ihre Konto- oder Adress- oder sogar Gesundheitsdaten in Hände gelangen, in denen Sie Ihre Daten lieber nicht sehen würden.
Das gleiche gilt aus unserer Sicht auch für die Verträge zur Auftragsverarbeitung. Auf den ersten Blick als unwichtig bewertet, sind diese Verträge die einzigen Versprechungen des Auftragnehmers dahingehend, dass dieser mit den Daten des Auftraggebers nicht nach seinen Sicherheitsstandards, sondern nach den Sicherheitsstandards des Auftraggebers agiert. Daher erscheint uns der korrekte Abschluss dieser Verträge als unabdingbar, um die eigenen ausgelagerten Daten hinreichend zu schützen. Zudem ist es eine gesetzliche Pflicht. Und die Nicht-Beachtung bußgeldbewährt.
Weiterhin gab es bereits vor der Einführung der EU DSGVO das Bundesdatenschutzgesetz (BDSG). Auch im BDSG gab es bereits vielfältige Anforderungen an die Unternehmen und Verein. Jedoch wurden diese meist nicht beachtet. Mit der Einführung der DSGVO wurde eine neue Aufmerksamkeit in der Öffentlichkeit geschaffen, wodurch die Pflicht viel bewusster wurden.
Zeitungsenten
Auch im Datenschutz war man nicht vor „Zeitungsenten“ sicher. So schrieb beispielsweise der Immobilien-Eigentümerverband Haus & Grund in einer Pressemitteilung vom 18.10.2018, dass „Namen an Klingelschildern und Briefkästen möglicherweise unzulässig“ seien, wenn vorher keine Einwilligung eingeholt worden sei. Daraufhin stellte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit klar, dass „das Ausstatten der Klingelschilder mit Namen für sich genommen […] weder eine automatisierte Verarbeitung noch eine tatsächliche oder beabsichtigte Speicherung in Dateisystemen“ darstellt und daher die DSGVO keine Anwendung findet. Selbst wenn man dies bejahen wollen würde, gäbe es neben der Einwilligung als Rechtsgrundlage auch die Interessensabwägung. In diesem Fall hätten die Mieter „in besonderen Fällen ein Widerspruchsrecht gegen die Verarbeitung“. So wie diese Information haben auch andere Mitteilungen für Aufsehen und Unverständnis gesorgt.
Bußgelder
Ganz ohne dieses Thema lässt sich der Blick auf das vergangene Jahr nicht werfen. Das höchste Bußgeld wurde gegen Google verhängt. In Frankreich sieht sich der Konzern einer 50 Mio. Euro Forderung entgegen. In Deutschland hat das Soziale Netzwerk Knuddels damit Aufsehen erregt, dass durch einen Hackerangriff fast 2 Mio. Pseudonyme und Passwörter erbeutet und veröffentlicht wurden. Der gute Kooperationswille hatte sich damals mildernd auf das verhängte Bußgeld ausgewirkt, weswegen nur 20.000€ Bußgeld verhängt wurden. Die Welt hatte in einer Zusammenfassung der DSGVO-Bußgelder festgestellt, dass mindestens 75 Bußgelder aufgrund der DSGVO ergangen sind und deren Durchschnittshöhe bei ca. 6.000€ lag. Dafür, dass es den Datenschutzbehörden in Deutschland ebenso möglich ist Bußgelder in Höhe von bis zu 20 Mio. Euro oder 4% des Jahresumsatzes des vorangegangenen Geschäftsjahrs zu verhängen, erscheint diese Höhe doch in einem angemessenen Rahmen zwischen Sanktionierung und Abschreckung.
Ausblick
Abschließend kann festgehalten werden, dass sich das Thema Datenschutz im Bewusstsein der Menschen ausgeweitet hat. Vermutlich wird dies auch in Zukunft so weitergehen. So hat Facebook-CEO Mark Zuckerberg Anfang März angekündigt, seine Social-Media Plattform in der Zukunft mehr auf Privatsphäre und Vertraulichkeit auszurichten. Dies soll zunächst durch die Verschlüsselung von Nachrichten erfolgen. Indes rief der neue Vorstoß Zuckerbergs, eine Facebook-Währung mit dem Namen „Libra“ einzuführen bei vielen Datenschützern Bedenken hervor. Wie Intersoft Consulting berichtet seien die Zahlungsgewohnheiten, der letzte große Teil der Privatsphäre, auf den Facebook noch keinen Einblick hat. Dies soll sich mit den neusten Plänen nun ändern.
Abgesehen davon gehen wir davon aus, dass sich auch im Unternehmen selbst der Datenschutzgedanke immer mehr verselbstständigt und weniger als belastend, sondern mehr als notwendig und sinnvoll angesehen wird. Dies wird jedenfalls dann der Fall sein, wenn sich Phishing-Mails und Hackerangriffe weiter häufen.
Zuletzt ist zu vermuten, dass es in Zukunft zwar häufiger zu Bußgeldern kommt, da die Datenschutzbehörden mehr Kontrollen angekündigt haben, jedoch werden sich die Bußgelder wohl weiter in den oben genannten Bereichen einpendeln. Abzuwarten bleibt, wie das Vorgehen gegen die großen IT-Konzerne enden wird. Sicher ist allerdings, dass das jetzige Verfahren gegen Google, in dem ein Bußgeld von 50 Mio. Euro im Raum steht, aus der Sicht der Datenschützer erst der Anfang sein soll.