Datenschutzverstöße
Hans Kudlich, Universität Erlangen, und Georg Thüsing, Universität Bonn, halten es in der FAZ vom 15. Januar nicht für den richtigen Weg, die Sanktionen für Datenschutz-Verstöße am Umsatz des Unternehmens anzusetzen, wie es das im Oktober 2019 verabschiedete Konzept der Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen vorsieht. Trotz des Charmes mathematischer Genauigkeit ist es verfehlt, den Umsatz als einzig relevante Ausgangsgröße zur Bemessung der Wirtschaftskraft des Unternehmens zu nutzen. Mit den Zielen des Bußgeldes hat dies nichts zu tun. Soll die Verhältnismäßigkeit gewahrt werden, dann müssten zentrale Parameter zur Bestimmung des wirtschaftlichen Grundwerts der Gewinn des Unternehmens oder das Schadenspotential des Datenverstoßes sein, nicht der Umsatz. Der ist eine Schranke allein im Hinblick auf den Höchstbetrag.
Viele Verstöße seit Einführung der DSGVO
Moritz Temmel weist am 21. Januar in golem.de auf eine Studie der Rechtsanwaltskanzlei DLA Piper hin. In ihr sind über 160.000 Verstöße gegen die DSGVO seit deren Inkrafttreten im Mai 2018 ermittelt worden. Insgesamt sind durch die Datenschutzbehörden 114 Millionen Euro an Bußgeldern verhängt worden. In Deutschland waren es 24,5 Millionen Euro. Die meisten Datenschutz-Verstöße hat es in den Niederlanden gegeben (40.647), gefolgt von Deutschland mit 37.636 Fällen.
Bußgeldvergehen
Die Hamburger Datenschutzbehörde hat ein Bußgeldverfahren gegen H&M eingeleitet, meldet die FAZ am 25. Januar. Es geht um die Aufzeichnung sensibelster Daten zu Krankheiten und anderen persönlichen Umständen im H&M-Kundenzentrum für Deutschland und Österreich in Nürnberg. Die Datenschutzbehörde hat Festplatten mit insgesamt rund 60 Gigabyte Datenmaterial ausgewertet. „Der Verdacht massiver Verstöße gegen Datenschutzrechte der Mitarbeiterinnen und Mitarbeiter habe sich erhärtet“, so der Hamburger Datenschutzbeauftragte Johannes Caspar. Es handelt sich auch um Gesundheitsdaten der Betroffenen, sowie um Daten von Personen aus deren sozialem Umfeld, um Todesfälle oder Urlaubserlebnisse.
Das wir in Deutschland, mit den Erfahrungen von mehr als 30 Jahren Datenschutz auf Platz 2 liegen, ist meines Erachtens schon sehr bedenklich und zeigt, wie eingefahren unser System schon ist. Es gilt hier alte Gedanken und Gewohnheiten aufzubrechen und mit den neuen Begebenheiten umgehen zu lernen.
Was hat Datenschutz mit Unternehmenssicherheit zu tun? Sehr viel – auch wenn Datenschutz nicht mit Datensicherheit verwechselt werden darf. Personenbezogene Daten sind Teil des grundrechtlich geschützten Persönlichkeitsrechts. Sie sind ein Schutzgut, das jeder zu achten hat, der über personenbezogene Daten anderer Personen verfügt, sie automatisiert verarbeitet oder in einem Dateisystem speichert. Die Erfüllung der durch die DSGVO wesentlich gesteigerten Dokumentations-, Informations- und Einwilligungspflichten stellt insbesondere KMU vor große Umsetzungsprobleme. Der Erfahrungsbericht der Datenschutzkonferenz (DSK) Ende 2019 zur Anwendung der DSGVO sieht nach wie vor Probleme bei der Umsetzung der Informationspflichten. Er räumt ein, dass die Informationspflichten die Verantwortlichen vor einen nicht immer nachvollziehbaren Aufwand stellen. Hingewiesen sei auf die Richtlinie VdS 10010, die Vorgaben und Hilfestellungen für die Implementierung eines Datenschutzmanagementsystems (DSMS) sowie konkrete Maßnahmen für die organisatorische und technische Umsetzung der DSGVO enthalten. Sie sind speziell für KMU ausgelegt und verfolgen das Ziel, die Umsetzung der DSGVO mit möglichst geringem Aufwand zu erreichen. Bestandteil der VdS 10010 ist die Etablierung einer Datenschutzleitlinie und eines kontinuierlichen Verbesserungsprozesses. Die Implementierung eines DSMS im Unternehmen ist unabdingbar. Um Synergien zu nutzen, sollte es dem jeweils bestehenden Managementsystem angepasst werden. Dabei ist es sinnvoll, sich an anerkannten Standards auszurichten und möglichst auch eine Zertifizierung gem. Art. 42 DSGVO anzustreben.