Die DSGVO wird erst 2020 richtig scharfgestellt

Gerade schien sich die Lage beruhigt und ein wenig eingependelt zu haben: Nach dem Start der europäischen Datenschutz-Grundverordnung (DSGVO) im Mai 2018 herrschte zunächst Hysterie, dann Erleichterung vor. Verantwortliche in den Unternehmen und Behörden hatten sich mühsam durch Verarbeitungsverzeichnisse gekämpft, mit Datenschutzerklärungen gerungen und schließlich sogar teilweise das Cookie-Problem gebändigt.

Zudem mussten und müssen viele der Betroffenen den Umgang mit einer ganzen Reihe neuer Methoden lernen, mit denen sie sich bislang eher am Rand beschäftigt hatten – etwa die Folgenabschätzung, die Einschätzung des Stands der Technik oder Löschkonzepte. Gerade dieser sehr technische Bereich des Datenschutzes wurde bis dato gerne ignoriert. Aber das Nachsitzen war scheinbar von Erfolg gekrönt, hohe Strafen blieben zunächst aus.

Während die Kollegen in den umliegenden europäischen Staaten bereits sechsstellige Bußgelder verhängten, hielten sich die Aufseher in den deutschen Bundesländern zunächst an ihre Ansage, erst einmal zu beobachten und zu beraten. Dass sie diese Zurückhaltung 2020 ablegen werden, deuteten sie in der zweiten Jahreshälfte 2019 bereits an. Nach den jüngsten Entscheidungen der Aufsichtsbehörden ist es um die trügerische Ruhe geschehen.

Wie teuer es sein kann, wenn man unberechtigt Kundendaten sammelt, musste beispielsweise im November die Deutsche Wohnen SE erleben. Dem Immobilienunternehmen wird von der Berliner Datenschutzbeauftragten vorgeworfen, ein Archivsystem zu verwenden, das keine Möglichkeit vorsieht, nicht mehr erforderliche Daten zu entfernen. In einer Datenbank seien „teilweise Jahre alte private Angaben betroffener Mieter“ gespeichert gewesen. Dabei handelte es sich etwa um Gehaltsbescheinigungen oder Kontoauszüge. Das Unternehmen sei zudem bereits 2017 auf diesen Missstand aufmerksam gemacht worden, habe darauf aber keine substanziellen Verbesserungen vorgenommen.

Abschreckende Summen

Bei der Berechnung des Bußgelds hat die Berliner Datenschutzaufsicht erstmals ein neues Berechnungssystem angewandt, auf das sich zuvor die deutschen Datenschutzbehörden geeinigt hatten. Es geht vom Jahresumsatz des Verantwortlichen aus und berücksichtigt weitere Faktoren wie den Schweregrad des Verstoßes, das Verschulden und mögliche Wiederholungen. Das Ergebnis soll ein Bußgeld sein, das „in jedem Einzelfall nicht nur wirksam und verhältnismäßig, sondern auch abschreckend“ ist. Im Fall der Deutschen Wohnen SE mit einem Jahresumsatz von einer Milliarde Euro errechnete die Datenschutzbeauftragte auf dieser Basis eine saftige und sicher auch abschreckende Geldbuße von 14,5 Millionen Euro.

Dass Bußgelder in vergleichbarer Höhe schon für weitaus weniger gravierende Verstöße anstehen könnten, zeigte dann zum Jahresende der Fall von 1&1. Die Mobilfunksparte des Konzerns soll nach Ansicht des für den Bereich der Kommunikation zuständigen Bundesdatenschutzbeauftragten eine Strafe in Höhe von 9,5 Millionen Euro zahlen. Laut 1&1 geht es in dem nicht veröffentlichen Bußgeldbescheid um eine mangelhafte Authentifizierung zur telefonischen Abfrage der Handynummer eines ehemaligen Lebenspartners in einem einzigen Fall.

Nach Ansicht des Bundesdatenschutzbeauftragten Ulrich Kelber habe das Auskunftsverfahren in der bisherigen Form ein „Risiko für den gesamten Kundenbestand“ dargestellt. Und obwohl 1&1 sich „einsichtig und kooperativ“ gezeigt habe und ein neues, deutlich verbessertes Authentifizierungsverfahren einführen wolle, sei das Bußgeld auch in dieser Höhe geboten. 1&1 hat bereits angekündigt, sich gegen den erteilten Bescheid zu wehren.

Konfliktlinien

Beide Verfahren zeigen exemplarisch, in welchem Bereich der DSGVO 2020 massive Streitigkeiten – und hohe Bußgelder – zu erwarten sind. Das gilt unter anderem für den Betrieb von CRM-Systemen und die dort gesammelten Kundendaten. Es stellt sich insbesondere die Frage, welche Daten dort vorgehalten werden dürfen, wer darauf zugreifen darf, wie sie ergänzt (Fachsprache: „angereichert“) werden dürfen und was wann gelöscht werden muss.

Eine weitere Konfliktlinie wird sich entlang der technischen Anforderungen auftun, welche die DSGVO für die Speicherung personenbezogener Daten stellt. Maßgeblich bestimmend für diese Strukturen sind die zentralen Vorgaben zur IT-Sicherheit in Art. 32 DSGVO. Gerade bei hochsensiblen Daten wie solchen aus dem Bereich der Gesundheit ergeben sich daraus enorm hohe Vorgaben, was insbesondere den „Stand der Technik“ angeht. Hinzu kommen zu dokumentierende Risikoanalysen im Rahmen von Datenschutzfolgenabschätzungen. Nicht nur für Datenschutzbeauftragte und Anwälte, sondern gerade auch für IT-Spezialisten wird daher 2020 ein spannendes Jahr werden.

Dieser Artikel stammt aus c't 3/2020 . (hob)