Warum Datenschutz?
 
Nachdem die Datenschutzgrundverordnung (DSGVO) nun seit fast drei Jahren
existiert - bzw. schon zwei Jahre länger, nur trat sie erst zum 23.05.2018 in Kraft -
haben sich die Aufsichtsbehörden so langsam "eingeschossen".
 
Es werden zwar immer noch relativ moderate Bußgelder verhängt, wenn es sich um
kleinere Datenschutz-Verstöße handelt, allerdings geht die Tendenz klar nach oben.
 
Der Wille des Gesetzgebers war es nie, hier durch möglichst drakonische Strafen
hohe Bußgelder einzunehmen - auch wenn dies immer wieder vermutet wird.
 
Wie sich unter anderem aus den Begründungen zum DSGVO-Gesetzentwurf ergibt,
war und ist die Intention eine Verhaltensänderung, die Schaffung eines - echten –
Datenschutz-Bewusstseins.
 
Auch wenn das Gesetz sowohl von Klarheit und Eindeutigkeit wie auch von der
Sprache her sicher nicht als großer Wurf bezeichnet werden kann, so handelt es sich
dennoch um eine zwingende Norm, deren Umsetzung vom Gesetzgeber erwartet
wird.  
 
Dies kann aber nur erreicht werden, wenn die Drohkulisse so gestaltet ist, dass sie
auch ernstgenommen wird.
Dies war bei früheren Datenschutz-Gesetzen nicht der Fall, was auch zur Folge
hatte, dass sich kaum jemand wirklich für das Thema interessierte.
 
Von der DSGVO dagegen ist seit knapp drei Jahren ständig die Rede, sowohl in
Publikums- wie in Fachmedien.
 
Beim Verhalten ist allerdings, wie man angesichts der jüngsten Entscheidungen
sehen kann, immer noch einiges im Argen:
 
- Gegen den Reisevermittler booking.com wurde von der niederländischen
Datenschutzaufsichtsbehörde ein Bußgeld von € 475.000,00 verhängt, weil es
eine Datenpanne, bei der Daten von etwa 4.000 Kunden betroffen waren, erst
verspätet gemeldet hatte.  
 
- Ein Bußgeld von € 1,24 Millionen wurde gegen die AOK Baden-Württemberg
wegen nicht sicherer Datenverwahrung verhängt durch die
Landesdatenschutzbehörde Baden-Württemberg. Die Strafe wurde wegen
fahrlässiger Verwendung von Daten Versicherter im Rahmen einer
Werbemaßnahme fällig, obwohl die AOK den Vorfall unmittelbar nach dessen
Entdeckung gemeldet und alle notwendigen Maßnahmen ergriffen hatte.  
 
In erster Linie liegt das daran, dass das Gesetz auf der einen Seite immer noch als
lästiges Übel verstanden wird, andererseits die Umsetzung bei vielen privaten wie
gewerblichen Datennutzern so aussieht, dass mit Kanonen auf Spatzen geschossen
wird.
 
Selbstverständlich war es nie Sinn der neuen Norm, einem Verein oder einem
kleineren Unternehmen Datenschutz-Anstrengungen aufzunötigen, die dessen
finanzielle Ressourcen sprengen würden.
 
Anders sieht es aber vor allem bei den vier "AGFA" - Firmen aus Kalifornien aus
(Apple, Google, Facebook, Amazon) bei denen seit langem klar ist, wie wichtig
Daten für sie sind und die – über die Werbeeinnahmen – mit den Daten sehr viel
Geld generieren.
 
Entscheidend für die Frage, ob ein Vorfall meldepflichtig ist oder nicht, bleibt in erster
Linie die Sensibilität oder "Wichtigkeit" der Daten, ob diese in verschlüsselter oder
unverschlüsselter Form (etwa auf einem USB-Stick) vorlagen und wie viele
Datensätze insgesamt betroffen sind.
 
Wenn hier Zweifel bestehen, sollte in jedem Fall ein Datenschutz-Experte zu Rate
gezogen werden.
 
 
Warum unsere Kanzlei?
 
Wir bieten Ihnen im Gegensatz zu vielen anderen Anbietern eine
"maßgeschneiderte" Lösung für Ihre Datenschutz-Bedürfnisse an.  
Wir sagen Ihnen welche Maßnahmen tatsächlich notwendig und welche eher ein
"nice to have" sind.
 
Dadurch erhalten Sie nicht nur eine auf Ihr Unternehmen zugeschnittene Lösung, Sie
können auch von Anfang an abschätzen, mit welchen Kosten zu rechnen ist und
welche technisch- organisatorischen Maßnahmen anstehen, also etwa Schulung der
Mitarbeiter, Erarbeiten eines professionellen Verarbeitungsverzeichnisses etc. pp.
 
Bei all dem stehen wir Ihnen – ob als Berater oder als externer
Datenschutzbeauftragter jederzeit bei Fragen und Problemen zur Verfügung.  
 
 
 
Andreas Pflieger
Fachanwalt für IT- und Datenschutzrecht
Externer Datenschutzbeauftragter