Datenschutz / Datensicherheit
Berliner Datenschutzbehörde (BlnBDI) erlässt Bußgeld nach DSGVO in Höhe von 14,5 Millionen EUR | Eine Einordnung – auch in Sachen Revisionssicherheit versus DSGVO
NOVEMBER 6, 2019, DATENSCHUTZRECHT, EU-DSGVO
Gestern gab die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczy, per Pressemitteilung bekannt, dass am 30. Oktober gegen die Deutsche Wohnen SE ein Bußgeldbescheid in Höhe von 14,5 Millionen Euro aufgrund von Verstößen gegen die DSGVO erlassen worden sei. Dabei handelt es sich um das fünfthöchste Bußgeld, dass bislang EU-weit und um das höchste Bußgeld, dass bislang in Deutschland erlassen wurde.
Der Sachverhalt
Bereits im Jahr 2017 ergaben Vor-Ort-Prüfungen der Berliner Datenschutzbehörde bei der Deutsche Wohnen SE:
dass Daten von MieterInnen ohne Prüfung, ob diese erforderlich sind, gespeichert wurden
dass ein Archiv-System verwendet wurde, dass nicht über die Möglichkeit zur Löschung von nicht mehr erforderlichen Daten verfügte.
Schon nach dem BDSG-alt lagen hier offensichtliche Datenschutzverstöße vor. Zum einen wohl Datenerhebungen und -speicherungen, die ohne Rechtsgrundlage erfolgten. Zum anderen ein Verstoß gegen den Grundsatz der Datensparsamkeit.
In den von der Behörde begutachteten Einzelfällen wurden jahrelang personenbezogene Daten von MieterInnen verarbeitet, ohne dass noch ein Zweck zur Verarbeitung vorgelegen hätte. In der Pressemitteilung heißt es, es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits-und Ausbildungsverträgen, Steuer-, Sozial-und Krankenversicherungsdaten sowie Kontoauszüge.
Die BlnBDI sprach bereits im Jahr 2017 die dringende Empfehlung aus, das Archivsystem umzustellen. Dies bedeute, die Deutsche Wohnen SE hätte entweder die Software ändern und mit einem Löschkonzept versehen oder aber eine neue Software anschaffen müssen, die die Möglichkeit der Klassifizierung von Daten sowie deren differenzierte Löschung enthielt.
Im März 2019 prüfte die BlnBDI die Deutsche Wohnen SE erneut. Dabei stellte die Behörde fest, dass das Unternehmen 1,5 Jahre nach dem ersten Prüftermin und 9 Monate nach Geltung der DSGVO die angemahnten Zustände nicht beseitigt, sondern nur Vorbereitungen dazu getroffen hatte. Dies führte jedoch nicht zu einer Herstellung eines rechtmäßigen Zustandes der Verarbeitung der personenbezogenen Daten.
Vor diesem Hintergrund sah sich die Behörde verpflichtet, ein Bußgeld wegen des Verstoßes gegen Art. 25 DSGVO (privacy by design & default) sowie wegen eines Verstoßes gegen Art. 5 DSGVO zu erlassen.
Nach Art. 83 Abs. 1 DSGVO müssen Aufsichtsbehörden sicherstellen, dass Geldbußen für Verstöße in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind.
Die Deutsche Wohnen SE machte 2018 einen Jahresumsatz von mehr als 1,1 Milliarde Euro jährlich. Ein Verstoß gegen Art. 25 DSGVO kann nach Art. 83 Abs. 4 a) DSGVO mit einer Geldbuße von bis zu 2% des weltweiten Jahresumsatzes geahndet werden. Ein Verstoß gegen Art. 5 DSGVO kann nach Art. 83 Abs. 5 a) DSGVO mit einer Geldbuße von bis zu 4% des weltweiten Jahresumsatzes geahndet werden.
Dem gemäß legte die BlnDI die Grundsumme zur Berechnung des Bußgeldes bei der Deutsche Wohnen SE auf 28 Millionen EUR und damit auf rund 2,5% des Jahresumsatzes fest. Bußgeldmildernd wurde berücksichtigt, dass das Unternehmen bereits erste Maßnahmen zur Beseitigung der rechtswidrigen Zustände ergriffen hatte und formal gut mit der Aufsichtsbehörde zusammenarbeitete. Weiter konnten auch keine missbräuchlichen Zugriffe von Dritten festgestellt werden, so dass nach Auffassung der BlnBDI ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen war.
Und so wurde wegen dieses strukturellen Verstoßes aufgrund des Einsatzes von unzureichender Software ein Bußgeld in Höhe von 14,5 Millionen EUR gegen die Deutsche Wohnen SE verhängt.
Der Bußgeldbescheid ist nicht rechtskräftig. Die Deutsche Wohnen SE möchte wohl dagegen vorgehen.
Die Rechtslage – Revisionssicherheit versus DSGVO (?)
Nachfolgend sollen die vorgeworfenen Verstöße gegen Art. 5 und Art. 25 DSGVO betrachtet werden. Spannend ist der dabei der zwischen dem Wunsch nach Revisionssicherheit und den Anforderungen der DSGVO (scheinbar) auftretende Konflikt.
Verstoß gegen Artikel 5 DSGVO
Die BlnBDI beanstandete zum einen, dass Daten ohne Prüfung der Erforderlichkeit verarbeitet wurden. Wenn dies nicht im Ergebnis zu Verstößen gegen Artikel 6 DSGVO führt, wonach jede Verarbeitung einer Rechtsgrundlage bedarf, so doch jedenfalls zu einem Verstoß gegen Artikel 5 DSGVO. Art. 5 DSGVO regelt die Grundsätze der Datenverarbeitung, wonach diese unter anderem
nur rechtmäßig, nur für festgelegte, legitime Zwecke nur dem Zweck angemessen sowie auf das notwendige Maß beschränkt („Datenminimierung“) erfolgen darf.
Wenn eine Datenverarbeitung erfolgt, ohne dass diese Grundsätze eingehalten werden, ist sie rechtswidrig. Dies Grundsätze können nicht eingehalten werden, wenn eben hinsichtlich verarbeiteter Daten nicht zuvor geprüft wird, ob die Verarbeitung diesen Grundsätzen entspricht. Die BlnBDI drückt wohl dies sehr verkürzt mit „Prüfung der Erforderlichkeit“ in ihrer Pressemitteilung aus.
Soweit so wenig wurde dies bislang kritisiert.
Verstoß gegen Artikel 25 DSGVO und Art. 5 DSGVO
Das BlnBDI beanstandete jedoch zum anderen, dass ein weiterer struktureller Verstoß vorlag (bzw. nicht abgestellt wurde). Nämlich der, dass eine Software zur Archivierung eingesetzt wurde, die keine Löschmöglichkeiten vorsah. Eine solche Software verstößt gegen den Grundsatz von Art. 25 DSGVO, der eben verlangt, dass Datenschutz auch durch Technikgestaltung und datenschutzfreundliche Voreinstellungen zu erfolgen hat (privacy by design & default). Weiter verstößt eine solche Software gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 c) DSGVO.
Mein Kommentar dazu lautet: Veto! Diese Argumentation ist mindestens so alt wie revisionssichere Systeme angeboten werden. Aber sie ist genauso lange genauso inkonsistent, da sie die verschiedenen Anforderungen aus gesetzlichen Aufbewahrungspflichten, Anforderungen an revisionssichere Speicherungen, Beweissicherungszwecken sowie den datenschutzrechtlichen Pflichten nicht hinreichend differenziert betrachtet.
Revisionssicherheit und DSGVO – geht das wirklich nicht zusammen?
Zunächst einmal muss geklärt werden, was Aufbewahrungspflichten und was Revionssicherheit eigentlich konkret ist und wie das jeweils rechtlich zu bewerten ist.
Das Thema Aufbewahrungspflicht ist an sich recht einfach. Der Gesetzgeber macht Beispielsweise in § 257 HGB oder 147 AO konkrete Vorschriften wie lange bestimmte Dokumente und sonstige Unterlagen aufzubewahren sind. In der Regel lauten die Fristen sechs Jahre, wie etwa Handels- und Geschäftsbrief, bzw. 10 Jahre, wie etwa Buchungsbelege oder Jahresabschlüsse. Demnach besteht eine gesetzliche Pflicht, diese Unterlagen über die genannten Zeiträume aufzubewahren. Ergo, eine Aufbewahrungspflicht. Ergo, eine gesetzliche Grundlage zur Verarbeitung von Daten im Sinne von Art. 6 I c) DSGVO.
Die Revisionssicherheit. Tja. Bösartig gesagt, ist das ein gesetzlich verankertes Konzept, mit dem die Hersteller von digitalen Archivierungssystemen durch das Umsetzen der Anforderungen an revisionssicheres Archivieren bei zeitgleichem Negieren von schon lange bestehenden datenschutzrechtlichen Anforderungen sehr viel Geld verdient haben. Warum verdient man mit dem Negieren von datenschutzrechtlichen Anforderungen viel Geld? Nun es ist natürlich wesentlichen einfacher, Systeme zu programmieren, die eine Klassifizierung von Daten sowie das entsprechende Anlegen von Löschkonzepten nicht vorsehen. Dazu macht es die Anwendung leichter, wenn der Kunde einfach „alles“ aus „Gründen der Revisionssicherheit“ (vermeintlich) speichern muss.
Nun lassen wir aber einmal die Polemik weg und betrachten die Themen Aufbewahrungspflicht, Revisionssicherheit und Pflicht zur Datenminimierung mit der soeben selbst eingeforderten Differenzierung.
Weder der Begriff „Revisionssicherheit“ noch „revisionssichere Archivierung“ taucht an irgendeiner Stelle im Gesetz auf. Jedoch regeln insbesondere §§ 146a, 146b der Abgabenordnung (AO) sowie die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD, vormals: GoBS) recht genau auf welche Art und Weise elektronische Buchführungsdaten aufzubewahren sind. Unter Revisonssicherheit oder aber eben der „revisionssicheren Archivierung“ wird damit im Ergebnis verstanden, dass digitale Daten so aufbewahrt werden (müssen), dass dies den rechtlichen Anforderungen in Bezug auf Ordnungsmäßigkeit, Vollständigkeit, Sicherheit, Verfügbarkeit, Nachvollziehbarkeit, Unveränderlichkeit und Zugriffsschutz genügt.
Dabei geht es vor allem darum, dass die Buchführungsdaten nicht nachträglich veränderbar sein dürfen. Das ist natürlich sinnvoll, um Manipulationen zu verhindern. Daneben bieten derart „revisionssichere“ Systeme den Vorteil, dass der Kunde bei Verwendung eines solchen geprüften Systems unmittelbar die soweit ordnungsgemäße Aufbewahrung seiner Buchhaltungsunterlagen nachweisen kann (Beweissicherungszweck).
Aber so sehr man auch sucht, eines erfordern alle diese Vorschriften nicht, die Pflicht zur ewigen Aufbewahrung. Im Gegenteil.
In den §§ 146a, 146b AO finden sich gar keine Regelungen zu Aufbewahrungsfristen. Das ist auch unnötig, schließlich sind diese insbesondere in § 147 AO bereits geregelt. In der GoBD finden sich gleich mehrer Regelungen dazu, hier heißt es:
GoBD Ziffer 3 Rz. 27:
Diese Grundsätze müssen während der Dauer der Aufbewahrungsfrist nachweisbar erfüllt werden und erhalten bleiben.
GoBD Ziffer 3 Rz 33
Die progressive und retrograde Prüfung muss für die gesamte Dauer der Aufbewahrungsfrist und in jedem Verfahrensschritt möglich sein.
GoBD Ziffer 3 Rz. 34
Die Nachprüfbarkeit der Bücher und sonst erforderlichen Aufzeichnungen erfordert eine aussagekräftige und vollständige Verfahrensdokumentation (siehe unter 10.1), die sowohl die aktuellen als auch die historischen Verfahrensinhalte für die Dauer der Aufbewahrungsfrist nachweist und den in der Praxis eingesetzten Versionen des DV-Systems entspricht.
GoB Ziffer 3 Rz. 35
Die Nachvollziehbarkeit und Nachprüfbarkeit muss für die Dauer der Aufbewahrungsfrist gegeben sein.
GoBD Ziffer 9 Rz. 119
Sind aufzeichnungs- und aufbewahrungspflichtige Daten, Datensätze, elektronische Dokumente und elektronische Unterlagen im Unternehmen entstanden oder dort ein-gegangen, sind sie auch in dieser Form aufzubewahren und dürfen vor Ablauf der Aufbewahrungsfrist nicht gelöscht werden.
GoBD Ziffer 9.2 Rz. 130
Werden Handels- oder Geschäftsbriefe und Buchungsbelege in Papierform empfangen und danach elektronisch erfasst (scannen), ist das Scanergebnis so aufzubewahren, dass die Wiedergabe mit dem Original bildlich übereinstimmt, wenn es lesbar gemacht wird. Werden gescannte Dokumente per Optical-Character-Recognition-Verfahren (OCR-Verfahren) um Volltextinformationen angereichert (zum Beispiel Volltext recherchierbare PDFs), so ist dieser Volltext nach Verifikation und Korrektur über die Dauer der Aufbewahrungsfrist aufzubewahren und auch für Prüfzwecke verfügbar zu machen.
Anmerkung zu Ziffer 9.2. : Ich hatte mich über diese Formulierung zunächst stark gewundert und zunächst geschrieben, warum hier eine Ausnahme statuiert wurde, bei der denn eine Speicherung über die Aufbewahrungsfrist hinaus erfolgen können sollte. Dank @FranzOnBrands wurde dieses Missverständnis meinerseits ganz schnell aufgeklärt. Denn zu lesen ist hier in der GoBD „über die Dauer der Aufbewahrungsfrist“ im Sinne von „für die Dauer der Aufbewahrungsfrist“ und nicht im Sinne von „darüber hinaus“. So macht das auch gleich viel mehr Sinn. Aber vielleicht sind Sie darüber auch gestolpert…
GoBD Ziffer 10.1 Rz. 154
Für den Zeitraum der Aufbewahrungsfrist muss gewährleistet und nachgewiesen sein, dass das in der Dokumentation beschriebene Verfahren dem in der Praxis eingesetzten Verfahren voll entspricht. […] Die Aufbewahrungsfrist für die Verfahrensdokumentation läuft nicht ab, soweit und solange die Aufbewahrungsfrist für die Unterlagen noch nicht abgelaufen ist, zu deren Verständnis sie erforderlich ist.
In der GoBS, die noch weiterhin für alle Daten gilt, die vor 2015 angelegt wurden, gibt es entsprechende Passus und einen ganz eindeutigen zu Aufbewahrungsfristen, welche auf die Regelungen des HGB und der AO verweist:
Aufbewahrungsfristen
Daten mit Belegfunktion sind grundsätzlich sechs Jahre, Daten und sonst erforderliche Aufzeichnungen mit Grundbuch- oder Kontenfunktion sind grundsätzlich zehn Jahre aufzubewahren. Die Verfahrensdokumentation zur DV-Buchführung gehört zu den Arbeitsanweisungen und sonstigen Organisationsunterlagen im Sinne des § 257 Abs. 1 HGB bzw. § 147 Abs. 1 AO und ist grundsätzlich zehn Jahre aufzubewahren. Teile der Verfahrensdokumentation, denen ausschließlich Belegfunktion zukommt (z. B. die Dokumentation zur DV-Verkaufsabrechnung, aus der sich die Buchungen zu den Forderungen ergeben), sind grundsätzlich sechs Jahre aufzubewahren. […].
Die Anforderungen der Revisionssicherheit schließt den Grundsatz der Datenminimierung nicht aus
Aus der Zusammenschau der vorstehenden Regelungen ergibt sich grundsätzlich das nachfolgende Ergebnis:
Revisionssicherheit im Sinne der §§ 146a, 146b AO und der GoBD verlangt nicht, dass Daten ewig aufzubewahren sind. Im Gegenteil. Es wird durch die GoBD klargestellt, dass die Anforderungen zur Revisionssicherheit nur im Rahmen der gesetzlichen Aufbewahrungsfristen zu erfüllen sind. Die Anforderungen an die Revisionssicherheit erweitern also nicht die gesetzlichen Aufbewahrungsfristen, sie stellen damit keine gesetzliche Aufbewahrungspflicht im Sinne des Art. 6 I c) DSGVO dar. Und folglich stehen damit nicht dem Grundsatz der Datenminimierung nach Art. 5 I b) DSGVO und damit auch nicht den Anforderungen von Art. 25 DSGVO entgegen.
Es bedarf hier keines grundsätzlichen „Vorrangs“ des Datenschutzrechts wie Haerting proklamiert. Das Datenschutzrecht ist – soweit personenbezogene Daten verarbeitet werden – den Anforderungen an die Revisionssicherheit inhärent. Dies ergibt sich schon aus den steten Verweise auf die Aufbewahrungsfristen.
In Folge dessen wird auch deutlich, dass es einer Prüfung des Art. 6 I c) DSGVO durch die Behörden nicht bedurfte, jedenfalls bedurfte es keines Hinweises darauf in der Pressemitteilung, die wir alle bis zum jetztigen Zeitpunkt ausschließlich kennen.
Und in diesem Zusammenhang ist auch die – wahrscheinlich verkürzt wiedergegebene – die nachfolgende Äußerung Smoltczyks im Tagesspiegel zu verstehen
Die Deutsche Wohnen wollte bei der Speicherung der Mieter-Daten auf Nummer sicher gehen, sie wollten gesetzlichen Vorgaben entsprechen – Wohnungsunternehmen haben bestimmte Vorhaltepflichten. Diese Vorhaltepflichten gelten aber nicht für die beanstandeten Kategorien von personenbezogenen Daten; hier existieren je nach Kategorie unterschiedliche Löschfristen.
Dieser Satz Smoltzkys wurde zuweilen so ausgelegt, als würfe sie dem Unternehmen vor, sich an gesetzliche Regelungen gehalten zu haben. Die vorstehenden Sätze sind wohl vielmehr dahingehend zu verstehen, dass die Behörde das Unternehmen dafür mit einem Bußgeld belegt, dass es ein System verwendet, dass keine Differenzierung von Daten und kein Löschkonzept vorsieht, um den gesetzlich geltenden Aufbewahrungs- und den damit inhärenten anschließenden Löschpflichten nachzukommen.
Wenn das so ist, warum sind dann bei den wenigsten „revisionssicheren“ System Datenklassifizierungen und Löschkonzepte vorgesehen!?
Tja. Ehrliche Antwort: Ich weiß es auch nicht. Es bleibt hier nur bei meiner Vermutung, die ich oben bereits äußerste. Nämlich, dass eine Programmierung ohne Möglichkeit der Klassifizierung und der Anlage von Löschkonzepten weit weniger komplex und damit kostengünstiger ist sowie die Anwendung für den Kunden einfacher ist.
Das ändern bloß nichts daran, dass ein solches System weder den Anforderungen an § 146a, 146b AO und der GoBD noch an die DSGVO entspricht. Es ist eben nur ein Teil der gesetzlichen Anforderungen mitgedacht.
Anforderung „Datenklassifizierung“ und „Löschkonzepte“ ist nicht neu
Dabei ist die Anforderung, Möglichkeiten für Datenklassifizierung und Löschkonzepte vorzusehen, alles andere als neu. Die Löschfristen aus dem HGB und der AO sind wahrlich nichts Neues. Und auch das BDSG-alt kannte den Grundsatz der Datensparsamkeit.
In Folge dessen ist auch die Diskussion dem Grunde nach keine neue. In zahlreichen Mandaten tauchte diese Frage immer wieder auf. Immer wieder betonte ich dabei gegenüber meinen Mandanten, dass die Anforderungen an die Revisionssicherheit keinen Rechtsgrund darstellen, um personenbezogene Daten nicht zu löschen. Die Mandanten sahen sich jedoch stets in einem Dilemma gegenüber ihren System-Anbietern, die schlicht keine Löschungsmöglichkeiten unter Verweis auf die Revisionssicherheit vorsahen und Anmerkungen im Hinblick auf das BDSG-alt bzw. nun mehr die DSGVO eher jovial beiseite wischten und im Zweifel auf ihre „zertifizierte“ Revisionssicherheit verwiesen.
Nahezu niedlich (‚Tschuldigung) muten dabei Hinweise von System-Anbietern an, die als wichtigen Punkt „Einhaltung der Aufbewahrungspflichten“ bei „Merkmalen der Revisionssicherheit nach der GoBD“ anmerken, aber dabei scheinbar vergessen, dass nach der Einhaltung jedenfalls in Verbindung mit den datenschutzrechtlichen Vorschriften die Löschung von Datensätzen kommt.
Wieder etwas polemisch könnte man sagen: Tja. Es hat schon seinen Grund, weswegen Datenschützer seit Jahren immer wieder anmerken, dass es vielleicht ganz sinnvoll sei, sie bei IT-Projekten von Beginn an mit einzubinden.
Zurück zum Fall: BlnBDI ./. Deutsche Wohnen SE
Die Berliner Datenschutzbehörde hat mit dem Bußgeldbescheid gegen die Deutsche Wohnen SE nun den Finger in die eben hier aufgerissene Wunde gelegt. Mit ihrem Bußgeldbescheid hat die Behörde mittelbar die Rechtsauffassung (die auch die meine ist) bestätigt, dass sich aus den § 146a, 146b AO und der GoBD ergebenden Anforderungen an revisionssichere Systeme keine Pflicht zur (ewigen) Aufbewahrung und damit auch keine Rechtfertigung der Datenverarbeitung im Sinne von Art. 6 I c) DSGVO ergibt.
Folgerichtig ist damit, dass eine Archivierungssoftware, die keine Klassifizierung von Daten und damit keine Aufstellung von Löschkonzepten vorsieht, gegen die Grundsätze des Art. 25 DSGVO und Art. 5 Abs. 1 DSGVO verstößt.
Heißt das, der Bußgeldbescheid ist in Stein gemeißelt?
Fest steht nur, dass es sich um den Bescheid einer Behörde handelt. Dieser ist natürlich gerichtlich überprüfbar. Insoweit ist zunächst einmal gar nichts „in Stein gemeißelt“. Aufgrund der hier gemachten Ausführungen bin ich jedoch der Auffassung, dass ein einfacher Verweis auf die „zwingende Revisionssicherheit“ und damit auf eine gesetzliche Erlaubnis nach Art. 6 I c) DSGVO den Bescheid nicht dem Grunde nach zu Fall bringen wird.
Ob der Bescheid im Übrigen sinnvollerweise anzugreifen ist, kann ich überhaupt nicht beurteilen. Mir liegt nur die Pressemitteilung vor. Ich kenne weder den Bescheid selbst noch den exakten Sachverhalt. Insoweit möchte ich mir mögliche konkrete Angriffsvektoren nicht anmaßen.
Fazit: Es bleiben viele spannende Fragen
Gerade wenn der Bescheid gerichtlich überprüft und die Frage der Revsionssicherheit versus Grundsatz der Datenminimierung im Ergebnis wie hier beantwortet würde, verbleiben spannende Fragen. So etwa, ob Unternehmen die „rechtssichere“ Software für die „revisionssichere“ Archivierung erworben haben und nun feststellen müssen, dass sie in einem DSGVO-Compliance Problem stecken, Schadensersatzansprüche gegen den Hersteller haben könnten. Dieser hätte schließlich die gesetzliche Lage kennen müssen.
=====================================================================================================================
Datenschutz-Grundverordnung
Landesdatenschützer kündigen verstärkte Kontrollen an
04. Februar 2019
Die seit Mai vergangenen Jahres geltenden neuen EU-Datenschutzregeln entfalten ihre Wirkung, auch in Deutschland. Die obersten Datenschützer machen nun Ernst - und suchen gezielt nach Verstößen.
Stuttgart - Landesdatenschützer Stefan Brink will verstärkt nach möglichen Datenschutzverstößen im Südwesten fahnden. „2019 wird das Jahr der Kontrolle“, sagte er am Montag in Stuttgart. Ende Mai 2018 war die Datenschutz-Grundverordnung der EU in Kraft getreten. Damit wird im Kern die Verarbeitung personenbezogener Daten durch Firmen, Vereine und Behörden geregelt. 2018 hatten Brink und seine Mitarbeiter den Schwerpunkt auf Beratungen gelegt, um die Regeln zu umfangreich erklären - das soll im laufenden Jahr anders werden.
Seine Behörde werde jetzt angekündigte und unangekündigte Kontrollen vornehmen - vor allem in Unternehmen, die mit der Verarbeitung großer Datenmengen befasst sind. „Wir haben staatsanwaltschaftliche Befugnisse“, sagte Brink. Seine Mitarbeiter könnten auch ohne Zustimmung eines Unternehmens die Situation vor Ort betrachten und Unterlagen beschlagnahmen. Die Kontrollen könne es auch geben, ohne dass seiner Behörde konkrete Beschwerden vorlägen. Vereine werden bei den Kontrollen laut Brink aber zunächst nicht im Fokus stehen.
Anzahl Beschwerden gestiegen
Sprunghaft angestiegen ist auch die Zahl der Beschwerden, die die Behörden erreichten und die den nicht-öffentlichen Bereich, also beispielsweise Unternehmen, betrafen. Hier gab es einen Anstieg von 1872 (2017) auf 2714 (2018). Dabei ging es unter anderem um unerlaubte Werbungen, Spammails, Videoüberwachungen und speziell den Datenschutz, den Firmen gegenüber ihren Mitarbeitern einhalten müssen. Im vergangenen Jahr verhängte die Landesdatenschutzbehörde Bußgelder in Höhe von insgesamt rund 100 000 Euro.
Bislang habe Deutschland bei Datenschutzverstößen eher wirtschaftsfreundlich agiert, sagte Brink mit Blick auf die Zeit vor dem Inkrafttreten der EU-Datenschutz-Grundverordnung. Seit Mai 2018 werde in Sachen Bußgelder „scharf geschossen“. Strafen von bis zu 20 Millionen Euro sind möglich - nach der alten Rechtslage waren es hingegen maximal nur rund 300 000 Euro. Die Folge: Zwei Drittel der Unternehmen nähmen den Datenschutz mittlerweile ernst. Größere Unternehmen hätten kaum Probleme mit den Dokumentationspflichten, die sie im Umgang mit Daten nachweisen müssten. Kleine und mittlere Firmen und Vereine täten sich hingegen oft sehr schwer damit.
„Pflichten gelten für alle“
Darin liegt nach Brinks Einschätzung auch die größte Schwäche der neuen Regeln: Die neuen Datenschutzvorschriften unterscheiden nicht zwischen Großunternehmen und Vereinen, die oftmals rein ehrenamtlich getragen werden. „Die Pflichten gelten für alle. Das erweist sich in der Umsetzung als schwierig.“ Datenpannen müssen Brinks Behörde umgehend gemeldet werden - zudem müssen auch die informiert werden, deren Daten von der Panne betroffen sind, etwa nach einem Hackerangriff. Es kann aber auch um einen Laptop gehen, den ein Personalchef einer Firma versehentlich in der Bahn liegen lässt - und auf dem sich unverschlüsselte, personenbezogenen Daten befinden.