Die DSGVO ist auch nach einem Jahr Praxistest weiter in der Diskussion. Der Datenschutzbeauftragte Ulrich Kelber warnt vor Bestrebungen, geltende Regelungen zu verwässern. Dabei gebe es noch viel zu tun.

Der Bundesbeauftragte für den Datenschutz Ulrich Kelber hat vor einer Aufweichung der Vorschriften in kleinen und mittleren Unternehmen gewarnt. »Das wäre Kompetenzabbau, nicht Bürokratieabbau«, sagte Kelber am Montag auf dem Datenschutz-Kongress DuD in Berlin. Der bürokratische Aufwand sei immer auch »eine Art Totschlagsargument«. Er würde eher den Vorschlag des Hamburger Datenschutzbeauftragten Johannes Caspar aufgreifen und den Datenschutz ins Grundgesetz aufzunehmen.

Niedersachsen hatte im April einen Antrag zur Änderung datenschutzrechtlicher Bestimmungen in den Bundesrat eingebracht. Auch die FDP hatte sich wiederholt dafür starkgemacht, die Vorgaben zu lockern. Unter anderem sehen die Vorgaben vor, dass Betriebe ab zehn Mitarbeitern einen eigenen Datenschutzbeauftragten bestellen müssen.

Kritiker wenden ein, dass dies kleine Unternehmen sowie Vereine überproportional belaste. »Wir tun dem Datenschutz keinen Gefallen, wenn wir den Kanuverein und den Handwerksbetrieb behandeln wie Facebook oder die Schufa«, sagt etwa der stellvertretende FDP-Fraktionsvorsitzende Stephan Thomae.

Kelber warnt hingegen vor einem Verwässern der Vorschriften. Dies käme einer Schwächung des Datenschutzes gleich, entgegnete Kelber. Er begrüße es deshalb sehr, dass entsprechende Forderungen auch von der Agenda des Bundesrates genommen worden seien.

Nach einem Jahr Datenschutzgrundverordnung (DS-GVO) sei eine abschließende Bilanz noch nicht möglich, betonte Kelber. Die Verordnung sei aber gewissermaßen aus der »Krabbelphase« heraus. Die DS-GVO greift seit dem 25. Mai 2018. Wie viele Unternehmen und Behörden jedoch trotz einer zweijährigen Übergangsphase auf den Start nicht vorbereitet gewesen seien, sei bemerkenswert gewesen.

Nach Einschätzung des Landesbeauftragten in Baden-Württemberg, Stefan Brink, sind die massiven Sanktionsandrohungen das effektivste Mittel der DS-GVO. Damit seien zahlreiche weitere Unternehmen mit ins Boot geholt worden. Mit der europäischen Grundverordnung haben die Behörden erstmals die Möglichkeit, auch empfindliche Bußgelder zu verhängen. Zuvor habe es nur wenige Bußgelder in Millionenhöhe gegeben. Die heutigen Mittel seien nun »wirksam, verhältnismäßig und abschreckend«. Auf europäischer Ebene sei aber nun auch Angleichungen nötig, fordert Brink. Die tägliche Praxis der Datenschutzbehörden sei in den jeweiligen Ländern noch sehr unterschiedlich.

In der Rückschau nach einem Jahr DS-GVO hätten sich viele Befürchtungen wie etwa eine drohende Abmahnwelle nicht bewahrheitet, betonte Kelber. »Es gab viele Warnungen von Menschen, die wenig Ahnung hatten.« Auch heute noch werde von Abmahnwellen gesprochen. »In meiner Behörde sind 17.000 Beschwerden eingegangen, fünf davon betrafen eine Abmahnung.« Auch angeblich existenzbedrohte Lehrer, die Bilder ihrer Schüler gemacht haben, gebe es nicht. Datenschutz sei dagegen zum Exportschlager geworden und habe endgültig die Kleinstaaterei in Europa beendet.

Zugleich gebe es aber auch weiterhin »erkennbare Schwächen«, räumte Kelber ein und warb um Geduld. Auch der »ewige Landfriede« gegen mittelalterliche Fehden sei vor 500 Jahren eine revolutionäre Idee gewesen, die erst ihre Zeit gebraucht habe, um sich effektiv durchzusetzen. So müssten etwa Hersteller noch stärker in Sachen Datenschutz in die Verantwortung genommen werden. Auch Verfahren der Künstlichen Intelligenz gehörten auf den Prüfstand. So ließen sich etwa mit Algorithmen für die Profilbildung von Nutzern nicht nur Anzeigen zielgerichteter platzieren, sondern auch Verhalten vorhersagen. Auch der Staat könne in Versuchung kommen, Ideen davon zu übernehmen.

In einem für die Bundestagsfraktion der Grünen erstellten Gutachten (PDF) gehen der frühere Bundesdatenschutzbeauftragte Peter Schaar und der frühere Berliner Landesdatenschutzbeauftragte Alexander Dix hart mit der Bundesregierung und den Landesregierungen ins Gericht. Sie hätten sich »nur sehr begrenzt um eine Klärung offener Rechtsfragen und um die Vermittlung von Kenntnissen über den neuen europäischen Rechtsrahmen zum Datenschutz bemüht«, schreiben sie. Dabei sei das gerade in Deutschland wichtig gewesen, weil die Rechtsunsicherheit hierzulande durch Spezialregelungen besonders ausgeprägt gewesen sei. Stattdessen sei es bei den Gesetzgebungsaktivitäten als auch in der Öffentlichkeitsarbeit darum gegangen, »die Position der datenverarbeitenden öffentlichen Stellen und der Unternehmen zu stärken«. Als Beispiel führen die beiden Datenschützer die für Digitales zuständige Staatsministerin Dorothee Bär an, die für eine »smarte Datenkultur« plädiert und beklagt hatte, in Deutschland existiere ein »ein Datenschutz wie im 18. Jahrhundert«. Es sei der Eindruck erzeugt worden, Datenschutz bedrohe den Wohlstand, verhindere sinnvolle IT-Projekte und erschwere das Leben von Vereinen und kleinen Unternehmen.

Die beiden ehemaligen Datenschutzbeauftragten Peter Schaar und Alexander Dix werfen der Bundesregierung vor, sie habe gegen die DS-GVO gearbeitet, statt sich um die Klärung offener Rechtsfragen und die Wissensvermittlung zu kümmern. Die Umsetzung und Anwendung der Verordnung sei unambitioniert erfolgt.

Unbegründete Behauptungen und zweifelhafte Rechtsauslegungen haben dem Gutachten zufolge dazu geführt, dass die DS-GVO als innovationsbremse und Bürokratiemonster wahrgenommen wurde. So sei zum Beispiel der Eindruck erweckt worden, für jede Datenverarbeitung sei die Einwilligung der Betroffenen erforderlich. Dabei erfolge die Verarbeitung personenbezogener Daten durch Unternehmen zumeist im Zusammenhang von Vertragsverhältnissen und zu deren Erfüllung sei die Verarbeitung natürlich rechtmäßig – auch ohne zusätzliche Einwilligungserklärung.

Zudem habe das Nebeneinander von ePrivacy-Richtlinie und DS-GVO im Zusammenspiel mit der »lang anhaltenden Arbeitsverweigerung der Bundesregierung« zu erheblicher Unsicherheit geführt. Im Telemediengesetz seien die Vorgaben zur Verwendung von Cookies und ähnlichen Tracking-Methoden nicht nachvollzogen worden – das Tracking zu Werbezwecken sei »entgegen der klaren europarechtlichen Vorgabe« auch ohne Einwilligung weiterhin erlaubt. Die einzige Lösung sei eine Neufassung des TMG, doch die Bundesregierung lasse »keinerlei Absicht erkennen, hier tätig zu werden.«

Auch die heraufbeschworene Abmahnwelle im Zusammenhang mit der DS-GVO ist laut den Schaar und Dix ausgeblieben. Dagegen habe sich der Eindruck aufgedrängt, dass in den Medien eine Kampagne gegen Datenschutz gefahren wurde – beispielhaft nennen die beiden Experten hier die Schlagzeilen rund um Probleme mit Namen auf Klingelschildern, der Nutzung von Visitenkarten oder die Anrede von Kunden mit Namen. In all diesen Fällen habe sich durch die DS-GVO die Rechtslage nicht geändert, heißt es in dem Gutachten. Auch die Behauptung, mit der DS-GVO würde für Unternehmen und Vereine die unverhältnismäßige Verpflichtung eingeführt, einen Datenschutzbeauftragten zu bestellen, sei irreführen – die habe es auch vorher schon gegeben.

Die Zwischenbilanz zur Umsetzung und Anwendung der DS-GVO in Deutschland fällt in dem Gutachten »überwiegend negativ« aus. Bund und Länder hätten die Öffnungsklauseln »teilweise überstrapaziert« und teilweise »Bestimmungen unter Verstoß gegen das unionsrechtliche Wiederholungsverbot schlicht in das deutsche Recht übernommen«. Zum Teil seien die Gesetzgebungsaufträge schlicht nicht erfüllt worden.

»Das Hauptanliegen des Bundesgesetzgebers war und ist es offenbar, den rechtlichen Status quo in Sachen Datenschutz in Deutschland auch nach dem Inkrafttreten der Grundverordnung soweit wie möglich unverändert zu lassen. Diesem unambitionierten Beispiel sind die Landesgesetzgeber weitgehend gefolgt«, schreiben Schaar und Dix, die allerdings auch Kritik an der DS-GVO selbst üben. Dort seien beispielsweise die automatisierte Entscheidungsfindung und das Profiling nur unzureichend regelt. Sie fordern etwa eine »Pflicht zur Aufklärung über die involvierte Logik bei Systemen der künstlichen Intelligenz und des maschinellen Lernens« und dass »derartige Systeme nicht eingesetzt werden dürfen, wenn der Verantwortliche die involvierte Logik selbst nicht versteht und sie deshalb der betroffenen Person nicht erklären kann«. Zudem mache auch der zunehmende Einsatz von Sensorik etwa im Internet der Dinge und die wachsende Bedeutung von Big-Data-Anwendungen eine Überarbeitung der DS-GVO notwendig, weil sie die garantierten Grundsätze des Datenschutzes auszuhöhlen drohten.

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 22.03.2019

Der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), Thomas Kranig, stellte am Freitag, dem 22. März 2019 in den neuen Räumen des BayLDA den Tätigkeitsbericht für die Jahre 2017 und 2018 vor.

Präsident Kranig stellte den 150-seitigen Tätigkeitsbericht für die vergangenen beiden Jahre vor und wies zunächst darauf hin, dass man konkrete Fälle aus dem Zeitraum vor Anwendbarkeit der Datenschutz-Grundverordnung (DS-GVO), d.h. vor dem 25. Mai 2018 nur dann in dem Bericht dargestellt habe, wenn sie auch noch für den neuen Rechtsrahmen Bedeutung haben.

Tätigkeitsbericht nur noch digital und in Zukunft jährlich
Er wies ferner darauf hin, dass das BayLDA erstmals darauf verzichtet habe, den Tätigkeitsbericht als Buch herauszugeben. Rückfragen bei den Adressaten der verschickten Tätigkeitsberichte hätten ergeben, dass diese nach Erhalt des Buches eigentlich nur noch mit der digitalen Version gearbeitet hätten. Der vorgelegte Tätigkeitsbericht ist der letzte mit einem zweijährigen Berichtszeitraum, da die Datenschutz-Grundverordnung die Aufsichtsbehörden verpflichtet, in Zukunft jährlich ihren Bericht vorzulegen.

Beratung, Beratung, Beratung
Wie nicht anders zu erwarten, ist das BayLDA – wie andere Aufsichtsbehörden auch – mit Anfragen überhäuft worden, wie die Vorschriften der DS-GVO im Einzelfall auszulegen sind. Große Unternehmen hatten in aller Regel die zweijährige Übergangsfrist vom Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2016 bis zur Anwendbarkeit am 25. Mai 2018 genutzt, um sich darauf vorzubereiten und ihre Verarbeitungsprozesse anzupassen. Viele kleine und mittlere Unternehmen, insbesondere aber auch Vereine, wurden von dem neuen Recht überrascht und durch irreführende Presseberichte (Klingelschilder, Verbietung von Kinderbildern) zusätzlich verunsichert. Die Anstrengungen, die gerade in diesem Bereich, für den die DS-GVO relativ wenig neue Anforderung gebracht hat, erforderlich waren, um die bestehende Verunsicherung zu beseitigen, waren unvorstellbar. Tatsache ist jedoch, dass auch heute knapp ein Jahr nach Anwendbarkeit der DS-GVO das Bedürfnis nach Beratung und Rechtssicherheit noch lange nicht befriedigt ist.

Zahlen und Fakten
Eine größere Anzahl von Aufsichtsbehörden hat sich darauf verständigt, in einem Kapitel „Zahlen und Fakten“ statistische Angaben in einem einheitlichen Format darzustellen. Wir haben uns bemüht, dies erstmals umzusetzen. Besser geworden sind die Zahlen dadurch jedoch nicht.

Um die gestiegene Belastung für jede einzelne Mitarbeiterin oder Mitarbeiter transparent zu machen, wurde ermittelt, wie viele Beratungsanfragen, Beschwerden und Bearbeitung von Datenmitteilung über Datenschutzverletzungen auf jeweils eine Person fallen. Fielen auf eine Person im Jahr 2014 noch 176 Beratungsanfragen, waren dies im Jahr 2018 schon 384. Die Zahl der Beschwerden stieg von 60 auf 152 und die Zahl der Bearbeitung von Datenschutzverletzungen von einem Fall auf 103 Fälle. Wichtig ist in diesem Zusammenhang aber darauf hinzuweisen, dass es darüber hinaus noch eine ganze Menge anderer Arbeiten wie die Teilnahme an Sitzungen der Aufsichtsbehörden, Vortragsveranstaltungen, Erarbeitung von Inhalten für die Homepage, von Papieren für die Datenschutzkonferenz oder den europäischen Datenschutzausschuss usw. gibt.

Personalentwicklung
Aus heutiger Sicht besteht die begründete Erwartung, dass nach Abschluss des derzeit laufenden Verfahrens zur Verabschiedung des Doppelhaushalts für die Jahre 2019 und 2020 wir nicht die beantragte Personalaufstockung um 10 Stellen, aber dennoch eine gewisse Personalverstärkung bekommen werden.

Relevante Einzelthemen
Das neue europäische Datenschutzrecht in Form einer Verordnung, d. h. einer Rechtsnorm die unmittelbar in allen Mitgliedstaaten der Europäischen Union anwendbar ist, stellt uns vor besondere Herausforderungen bei der Interpretation. Einerseits wünschen viele Verantwortliche, wie in der Datenschutz-Grundverordnung diejenigen genannt werden, die mit personenbezogenen Daten von anderen umgehen, Informationen darüber, wie bestimmte Vorschriften zu verstehen sind. Andererseits könnte eine rechtssichere Auskunft nur dann erteilt werden, wenn die europäischen Aufsichtsbehörden darüber ein einheitliches Verständnis erzielt haben. Dies ist aber ein schwieriger und zäher Prozess.

Wir haben uns deshalb entschieden, sehr früh unsere Standpunkte transparent zu machen, in Kurzpapieren zu veröffentlichen und auch bei Beratungen oder Veranstaltungen zu vertreten. Wir haben dabei immer versucht, darauf hinzuweisen, dass dies eine erste vorläufige Einschätzung ist, die dann keinen Bestand mehr hat, wenn sich entweder die Gesamtheit der deutschen und/oder europäischen Aufsichtsbehörden auf ein anderes Verständnis geeinigt hat oder wenn der Europäische Gerichtshof eine verbindliche Auslegung getroffen hat.

Die größten Unsicherheiten und häufigsten Anfragen und auch Aussagen von uns, bezogen sich auf die Informationspflichten, d. h. darauf, in welcher Art und Weise und in welchem Umfang Betroffene Personen darüber informiert werden müssen, wie mit ihren Daten umgegangen wird. Etwa ebenso häufig waren Fragen nach den Rechtsvoraussetzungen für die Veröffentlichung von Bildern von Vereinsfesten, Mitarbeiterzeitungen, Berichte über Veranstaltungen, Erstellen von Chroniken usw.

In 19 von 24 Kapiteln des Tätigkeitsberichts haben wir aus allen Bereichen, vom Datenschutz im Internet, über Werbung, Versicherungswirtschaft, Gesundheit, Videoüberwachung bis zum technischen Datenschutz und der Informationssicherheit Einzelfälle dargestellt und unsere Bewertung transparent gemacht.

Sinn und Zweck des Tätigkeitsberichts
Die Aufsichtsbehörden sind verpflichtet, einen Tätigkeitsbericht zu erstellen. Unser Ansatz dabei war, zum einen durch eine möglichst detaillierte statistische Aufbereitung Transparenz in unsere Arbeit zu bringen. Erfahrungsgemäß wird er am meisten von Datenschutzbeauftragten gelesen, die sich darüber orientieren wollen, welche Rechtsauffassung ihre Aufsichtsbehörde zu bestimmten Themen hat. Wir wünschen uns auch, dass Bürger, die keine Sachverständigen für Datenschutz sind, mit dem Tätigkeitsbericht etwas anfangen können. Wir haben uns deshalb bemüht, die Texte so zu formulieren, dass sie auch für Nichtsachverständige verständlich sind, andererseits aber auch durch Angabe der entsprechenden Rechtsgrundlagen Datenschutzfachleuten eine Orientierung geben.

Fundstelle des Tätigkeitsberichts
Der Tätigkeitsbericht für die Jahre 2017 und 2018 ist unter folgendem Link erreichbar: https://www.lda.bayern.de/de/taetigkeitsberichte.html

Die Pressemitteilungen des Bayerischen Landesamts für Datenschutzaufsicht können hier abgerufen werden.

Einem Bericht zufolge konnten Journalisten Daten von 460.000 Nutzern eines schwedischen Kickscooterverleihers einsehen: Namen, Mailadressen und Mobilfunknummern. Von einem „gravierenden Vorfall“ spricht Stefan Brink, der Landesbeauftragte für Datenschutz in Baden-Württemberg: „Da würde ich grundsätzlich schon von einem hohen Risiko ausgehen, weil man mit solchen Daten zum Beispiel so etwas wie einen Identitätsdiebstahl begehen kann.“

https://www.br.de/nachrichten/netzwelt/datenpanne-bei-start-up-voi,RL5Hb5R