Datenschutz im Jahr 2019: Unser Jahresrückblick

Freitag, 20. Dezember 2019


Das Jahr 2019 neigt sich dem Ende zu. Zeit für einen Jahresrückblick! In unserem Beitrag fassen wir die wichtigsten Ereignisse des Jahres zusammen und geben einen Ausblick für 2020.

Die DSGVO wird 1

Im Mai 2019 feierte die in der Öffentlichkeit viel diskutierte Datenschutz-Grundverordnung (DSGVO) ihren ersten Geburtstag. Insgesamt ist die DSGVO nun schon seit mehr als eineinhalb Jahren anwendbar. Trotz ihres nicht mehr ganz so jungen Alters und der vergleichsweise langen Übergangsfrist von insgesamt zwei Jahren führt allein ihr Name bei manchen Unternehmen zu Schweißperlen auf der Stirn.

Datenschutz als Wettbewerbsvorteil

Trotz aller Unsicherheiten haben viele Unternehmen große Fortschritte bei der Umsetzung der DSGVO gemacht. Die Verordnung ist aber nicht nur eine Last: Unternehmen erkennen zunehmend auch die Vorteile der DSGVO. Denn datenschutzkonforme Produkte und Dienstleistungen haben einen deutlich höheren Marktwert bekommen. Wer sich beim Thema DSGVO gut aufstellt, hat es leicht, sich gegenüber der Konkurrenz durchzusetzen.

Welche Themen waren wichtig in 2019?

Zu Beginn des Jahres war es noch relativ ruhig, insbesondere seitens der Aufsichtsbehörden. Das änderte sich schlagartig zu Beginn der zweiten Jahreshälfte.

Im Februar sorgte das Bundeskartellamt (BKartA) für einen Paukenschlag. Die Behörde, die für die Überwachung und für den Schutz des Wettbewerbs zuständig ist, beschränkte mit der Entscheidung vom 07.02.2019 Facebooks Verarbeitungen von Nutzerdaten, für die keine wirksamen Einwilligungen der Betroffenen vorliegen. Der Vorwurf gegenüber Facebook bestand in einem sog. Konditionenmissbrauch (weitere Informationen dazu finden Sie hier). Gegen diesen Vorwurf legte Facebook Beschwerde ein, das OLG Düsseldorf gab Facebook in erster Instanz Recht (mehr dazu hier). Das BKartA ließ die Entscheidung daraufhin durch den BGH überprüfen. Eine endgültige Entscheidung steht noch aus.

Im April diesen Jahres kündigte die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) an, dass unter der Federführung des "Arbeitskreis Technik" eine Prüfung des Windows 10-Betriebssystems vorgenommen werden würde. Als Ergebnis dieser Prüfung veröffentlichte die DSK im November ein Prüfschema, mit dem Verantwortliche nun selbst den datenschutzkonformen Einsatz von Windows 10 im eigenen Unternehmen prüfen können. Darin stellt die DSK allerdings auch fest, dass eine vollständige Unterbindung der Datenübermittlung an Microsoft bei der Nutzung von Windows 10 nicht möglich ist, sodass ein datenschutzkonformer Einsatz des Systems nur schwer möglich ist.

Im Oktober folgte dann ein weiterer Paukenschlag: Der Europäische Gerichtshof (EuGH, Urteil v. 01.10.2019, Az. C-673/17) entschied, dass technisch nicht nötige Cookies nur mit ausdrücklicher, freiwilliger und informierter Einwilligung gesetzt werden dürfen – selbst dann, wenn durch diese Cookies keine personenbezogenen Daten verarbeitet werden. Unternehmen sollten sich spätestens jetzt Gedanken darüber machen, wie sie ihre Webseiten-Nutzer über die einzelnen Cookies informieren und wie nötige Einwilligung eingeholt werden.

Nur kurze Zeit später veröffentliche die DSK ein einheitliches Konzept zur Bemessung von Bußgeldern für die deutschen Aufsichtsbehörden. Die Höhe des Bußgeldes ist nach den Vorgaben der DSGVO an den weltweiten Jahresumsatz des vorangegangenen Geschäftsjahres des verantwortlichen Unternehmens geknüpft. "Unternehmen" bedeutet hierbei der gesamte Konzern und berücksichtigt auch den Umsatz der dazugehörigen Tochterunternehmen. Die Datenschutzbehörden ziehen für die genaue Berechnung verschiedene Parameter heran, die hier nachgelesen werden können..

Im November veröffentlichte die DSK Informationen zur Nutzung von Gesundheitswebseiten und -Apps und wies erneut darauf hin, dass viele dieser Webseiten personenbezogene Daten der Nutzer verarbeiten, ohne dass die Nutzer darauf hingewiesen werden, geschweige denn, dass eine Einwilligung in die Verarbeitung von besonderes sensiblen Gesundheitsdaten eingeholt wird.

Am 26.11.2019 trat das Zweite Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) in Kraft, welches – immerhin einen Tag zuvor – im Bundesgesetzblatt veröffentlicht wurde. So wurde quasi über Nacht die Grenze für die Benennung eines Datenschutzbeauftragten von zehn auf zwanzig Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, erhöht. Alle weiteren Änderungen durch das Gesetz sind in der Praxis von geringerer Bedeutung. In der Regel wurden lediglich Begrifflichkeiten angepasst.

Im Dezember beschäftigte uns ein Thema, bei denen der Otto Normalverbraucher vermutlich die Hände über den Kopf zusammen schlagen würde. Diesmal ging es um den Versand von Weihnachtspost, eine übliche und irgendwie ja auch ganz nette Tradition in Unternehmen, um den Geschäftspartnern und Kunden einfach mal Danke zu sagen. Soweit so gut. Bis sich die Aufsichtsbehörde in Rheinland-Pfalz überlegte, hinter Türchen zwei des eigenen Adventskalenders darüber zu informieren, wie man denn eigentlich datenschutzkonform Weihnachtsgrüße versenden kann. Das Ende vom Lied: Diskussionen auf allen Seiten, wobei manchen die Informationen der Aufsichtsbehörde nicht vollständig genug waren, anderen wiederum die wenigen Infos der Aufsichtsbehörde schon genügten, um auf die DSGVO zu schimpfen.

Bußgelder im Jahr 2019

Die Steine kamen langsam ins Rollen. Zum Ende des Jahres allerdings wurden die deutschen Datenschutzaufsichten aktiv und zeigten Zähne. Im letzten Quartal 2019 katapultierten sie sich noch schnell in die europaweiten Top 10 der höchsten Bußgelder.

Die deutschen Aufsichtsbehörden landen in dem Top 10-Ranking der Bußgelder in Europa auf den Plätzen fünf und sechs. Dabei reihte sich das Bußgeld von 14,5 Millionen Euro der Berliner Datenschutzaufsicht gegenüber der Deutschen Wohnen SE (wir berichteten hier) auf Platz fünf ein, dicht gefolgt von dem erst im Dezember ausgesprochenen Bußgeld des Bundesbeauftragten für Datenschutz gegenüber der 1&1 Telecom in Höhe von 9,55 Millionen Euro.

Einsamer Spitzenreiter in Bezug auf das Verteilen der höchsten DSGVO-Bußgelder in Europa ist aber die britische Aufsichtsbehörde, die zum einen die Marriott International Inc. mit mehr als 110 Millionen Euro bestrafte und zum anderen gegenüber der British Airways ein Bußgeld von mehr als 200 Millionen Euro aussprach.

Eine wichtige Frage bleibt: Warum wurden die Bußgelder ausgesprochen? Gibt es Themen, auf die die Behörden besonders schauen? Neben immer wiederkehrenden Mängeln bei den technischen und organisatorischen Maßnahmen, sind es oft die nicht beachteten Basics des Datenschutzes, die zu Strafen führen. Zum Teil fehlte einfach die Rechtsgrundlage, um die Daten verarbeiten zu dürfen. Teilweise wurden Grundätze wie Datensparsamkeit oder Löschpflichten nicht beachtet. Anfragen von Betroffenen oder auch der Aufsichtsbehörden selbst wurden zu spät, fehlerhaft oder einfach auch gar nicht beantwortet.

Auffällig ist, dass die betroffenen Unternehmen in vielen Fällen bereits mehrfach von den Datenschutzbehörden zu Beseitigung der Datenschutzverstöße aufgefordert worden waren. Das schlichtweg zu ignorieren, ist nicht nur nicht zielführend, sondern gefährlich: Immer wieder wird in Bußgeldbescheiden vermerkt, dass sich die Zusammenarbeit mit den Behörden und das Bemühen um schnelle Beseitigung von Missständen strafmildernd auswirkten.

Was erwartet uns im Jahr 2020?

Im Mai 2020 wird die DSGVO zwei Jahre alt – hoffentlich ein Grund zum Feiern. Die deutschen Aufsichtsbehörden haben im Rahmen eines Erfahrungsberichts bereits konkrete Änderungsvorschläge für die DSGVO veröffentlicht. Wir werden sehen, ob das schon im nächsten Jahr eine Rolle spielen wird.

Zu hoffen bleibt, dass sich die vielen offenen Fragen, die es immer noch in der Datenschutzpraxis gibt, im Jahr 2020 klären werden, damit die Unternehmen ihre Prozesse rechtssicher planen können, ohne dass böse Datenschutz-Überraschungen auf sie warten.

Alle blicken auf den Berxit. Prüfen Sie am besten schon jetzt, welche Datenverarbeitungsprozesse gegebenenfalls von einem EU-Austritt betroffen wären und treffen Sie Vorkehrungen, um in diesem Fall schnell handeln zu können. Informationen dazu, was genau zu beachten ist, finden Sie unter anderem auf der Seite der britischen Aufsichtsbehörde für Datenschutz (Information Commissioner’s Office, ICO).

Die Aufsichtsbehörden sind aktiver geworden und gewöhnen sich an Bußgelder in Millionenhöhe. Für Unternehmen bleibt zu hoffen, dass zwischen den Aufsichtsbehörden kein Wettbewerb entsteht – getreu dem Motto „Wer hatte das größte Bußgeld?“. In Vorbereitung auf das Jahr 2020 sollten sich Unternehmen auf jeden Fall für etwaige Bußgelder wappnen – bestenfalls durch eine gute Umsetzung der gesetzlichen Datenschutzvorgaben. Hierzu sei gesagt: Auch die Aufsichtsbehörden kochen nur mit Wasser! Sollte sich eine Behörde an Sie wenden und Informationen verlangen, so kommunizieren Sie mit dieser! Ignorieren Sie Anfragen nicht und versuchen Sie, bestmöglich mit der Behörde zusammenzuarbeiten.

Das gesamte Team der procado GmbH wünscht Ihnen und Ihren Familien besinnliche Weihnachten, ein paar angenehme freie Tage und einen tollen Start in das neue Jahr! Wir freuen uns auf die neuen Herausforderungen im Jahr 2020!