Seit 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft – nun führt die erste Datenschutzbehörde in Deutschland auch konkrete Kontrollen durch. Das Beispiel zeigt: Unternehmen sollten das Thema Datenschutz nicht auf die leichte Schulter nehmen.
Der 25. Mai 2018 ist ein Datum, das vielen Unternehmern noch lange im Gedächtnis bleiben wird. An diesem Tag trat die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Sorge herrschte vielerorts vor allem mit Blick auf Wettbewerber, die möglicherweise Abmahnungen in Gang setzen könnten, wenn die DSGVO zum Beispiel auf der Website nicht richtig umgesetzt wurde. Die Frage, wie streng die Aufsichtsbehörden in den folgenden Wochen über die Einhaltung der neuen Regeln wachen würden, rückte dabei etwas in den Hintergrund.
Nun geht jedoch eine erste Aufsichtsbehörde in Deutschland voran und macht deutlich, dass das Thema nicht auf die leichte Schulter genommen werden sollte. Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD), Barbara Thiel, hat eine branchenübergreifende Querschnittsprüfung gestartet. 50 Unternehmen unterschiedlicher Größe bekamen Post von ihrer Behörde und wurden darin aufgefordert, Fragen zu zehn Bereichen des Datenschutzes zu beantworten. Der genaue Fragebogen kann hier eingesehen werden.
„Es kann zu Verfahren kommen“
„Ich möchte mir zunächst einen Überblick darüber verschaffen, wie die Firmen die zweijährige Übergangszeit bis zur Geltung der DS-GVO genutzt haben“, sagt Barbara Thiel und weist damit freundlich darauf hin, dass das Thema nicht erst seit Mai 2018 bekannt ist und Unternehmen somit auch nicht mit längeren Schonfristen rechnen dürfen. Ihr Hauptanliegen sei es, herauszufinden, ob die verantwortlichen Stellen noch Nachholbedarf hätten. „Es geht zum jetzigen Zeitpunkt also nicht vorrangig darum, möglichst viele Fehler zu finden und Bußgelder zu verhängen“, so die Datenschutzbeauftragte von Niedersachsen. Stattdessen wolle man aufklären, sensibilisieren und wertvolle Hinweise geben. Gleichzeitig stellt Barbara Thiel aber unmissverständlich klar: „Trotzdem kann es natürlich zu einem entsprechenden Verfahren kommen, wenn wir während der Prüfung Verstöße gegen die DS-GVO feststellen.“
Angeschriebene Unternehmen sind zur Mitwirkung verpflichtet
Wie die Unternehmen ausgewählt wurden, erklärt Behördensprecher Johannes Pepping auf Anfrage: „Kriterien waren unter anderem, dass bei den ausgewählten Unternehmen möglichst die Daten von Endkunden vorhanden sein sollten (also nicht nur Belange des Beschäftigtendatenschutzes betroffen sind), dass die Unternehmen nicht erst kürzlich anlasslos geprüft worden waren und dass sich aus der Auswahl ein Branchenmix ergibt.“ In diesem Zusammenhang stellt er auch klar, dass die Teilnahme an der Fragebogenaktion nicht freiwillig ist. „Der für die Datenverarbeitung Verantwortliche ist gem. Art. 31 DS-GVO zur Zusammenarbeit mit der Behörde verpflichtet. Der LfD sind die für die Erfüllung ihrer Aufgaben notwendigen Auskünfte gem. § 40 Abs. 4 Satz 1 BDSG zu erteilen. Kommen die Unternehmen diesen Pflichten nicht nach, handeln sie ordnungswidrig, sofern kein Auskunftsverweigerungsrecht gem. § 383 Abs. 1 Nr. 1-3 ZPO besteht.“
Die Aufsichtsbehörde prüft auch vor Ort
Es kommt aber noch dicker: Mit der Fragebogenaktion allein ist es noch nicht getan. Die Behörde kündigte in einer Pressemitteilung bereits an, dass nach Auswertung der Antworten ab November auch Hausbesuche anstehen. Bei „ausgewählten Unternehmen“ werde man „Vor-Ort-Termine wahrnehmen“. Insgesamt ist von der „bisher größten Prüfung seit Bestehen der Aufsichtsbehörde“ die Rede. Der Abschlussbericht soll im Mai 2019 vorliegen.
Ziehen weitere Bundesländer nach?
Noch steht Niedersachsen mit der Aktion allein auf weiter Flur. „Ähnliche Prüfungen anderer Aufsichtsbehörden sind uns nicht bekannt“, so Behördensprecher Johannes Pepping. Man muss aber kein Prophet sein, um vorauszusagen, dass diese Querschnittsprüfung wohl Vorbildcharakter haben wird und andere Bundesländer mit solchen oder ähnlichen Kontrollen nachziehen werden. In Schleswig-Holstein hat die Landesdatenschutzbeauftragte Marit Hansen immerhin darauf hingewiesen, dass die Verhältnismäßigkeit immer gewahrt bleiben muss: „Die Aufsichtsbehörden müssen natürlich konsequent das Recht anwenden“, sagt sie. „Aber dies muss ebenso selbstverständlich im Rahmen der Verhältnismäßigkeit geschehen. Das betrifft die Auswahl der Sanktionsinstrumente, z. B. ob die Aufsichtsbehörde warnt, verwarnt, Anordnungen zur Datenverarbeitung trifft oder Bußgelder verhängt, und auch die Höhe etwaiger Bußgelder, die gerade in der öffentlichen Diskussion herumgeistern. Die Grundverordnung ist auf Skalierbarkeit ausgerichtet und damit ebenso für große Datenverarbeiter, umfangreiche Rechtsverstöße und kriminellen Vorsatz geeignet wie für die kleinen Datenpannen, die möglicherweise trotz überzeugender Bemühungen nicht vermieden werden konnten.“
Unternehmen ist dringend zu raten, die Einhaltung des neuen Datenschutzrechts bis ins Detail sicherzustellen, damit Risiken minimiert werden können. Die wichtigsten Handlungsempfehlungen haben wir kompakt hier im EEP-Blog zusammengestellt. Zudem sind wir in einem weiteren Blogartikel unter der Überschrift „Kommt die große Abmahnwelle?“ unter anderem der Frage nachgegangen, wie groß das Risiko ist, dass Wettbewerber eine am Ende wirksame Abmahnung initiieren. Unsere EEP-Experten in Sachen Datenschutzrecht stehen Ihnen bei Bedarf gern persönlich mit Rat und Tat zur Seite.
Bildquelle: mixmagic – shutterstock.com