rel="nofollow" href="https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_4.pdf">https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_4.pdf (zuletzt aufgerufen am: 29.01.2020).
Vgl. https://datenschutz.hessen.de/datenschutz/internationales/angemessenheitsbeschlüsse (zuletzt aufgerufen am: 29.01.2020).
Vgl. https://www.datenschutz-bayern.de/datenschutzreform2018/Internationaler_Datenverkehr.pdf (zuletzt aufgerufen am: 29.01.2020).
Trotz vieler Ähnlichkeiten mit dem alten nationalen Datenschutzgesetz, dem BDSG a. F., bringt die DSGVO auch einige Neuerungen und Änderungen mit sich. Nationales Recht tritt in seiner Bedeutung weitestgehend in den Hintergrund. Die DSGVO regelt alles Wesentliche und Wichtige selbst, und zwar EU- bzw. EWR-weit sowie technikneutral.
Nach dem Mai 2018 war die DSGVO zeitweise eher zu einem Feindbild geworden als zu einer modernen Handhabung personenbezogener Daten. Besonders die Geldbußen haben – unbegründete – „Panik“ bei Unternehmen ausgelöst. Viele Vorgaben, Verbote und Fehlinformationen wie z. B. die Nutzung von Klingelschildern[1] und das Fotografieren in Kindergärten, die der DSGVO zugeschrieben wurden, waren im Umlauf. Dadurch hat das Image des Datenschutzes massiv gelitten und die Datenschutzbeauftragten galten eher als Verhinderer denn als Unterstützer. Diese „Neuerungen“ waren aber bereits im „alten“ Datenschutzrecht vorhanden und mussten schon vor der DSGVO beachtet und umgesetzt werden. Seitens der Datenschutzaufsichtsbehörden, der Datenschutzkonferenz (DSK), des Europäischen Datenschutzausschusses (EDSA) und der Gesetzgebung bedarf es immer noch einiges an Unterstützungshilfen sowie spezialgesetzlicher Datenschutzbestimmungen und Aufklärung durch die Datenschutzexperten.
Am 22.11.2018 hat der LfDI Baden-Württemberg die erste Geldbuße in Deutschland verhängt (
Die Wirksamkeit der DSGVO macht sich mittlerweile auch in der Höhe der Bußgelder bemerkbar: So verhängte der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) am 09.12.2019 ein Bußgeld i. H. v. 9,5 Mio. Euro gegen einen TK-Provider, die Berliner Beauftragte für Datenschutz und Informationsfreiheit 14,5 Mio. Euro gegen eine börsennotierte Immobiliengesellschaft.
|
|
|
| Eine Übersicht der durch die Aufsichtsbehörden innerhalb der EU verhängten Bußgelder bietet die Webseite: https://www.enforcementtracker.com. | |
Sanktionen und Bußgelder sind normalerweise ein schlechter Ratgeber, um gesetzeskonform und compliant als Unternehmen zu agieren. Andererseits sind sie aber ein probates Mittel, um Unternehmen zur Einhaltung von gesetzlichen Vorgaben zu bewegen. Und im Datenschutzrecht geht es schließlich um unser aller Rechte: dem Recht auf Selbstbestimmung und dem Persönlichkeitsrecht – kurzum um das „Recht auf Datenschutz“.
Die Anzahl der den deutschen Aufsichtsbehörden gemeldeten Datenschutzverstöße hat sich seit dem Inkrafttreten der DSGVO mehr als verzehnfacht. In einer digitalen Welt, in der wir leben, passieren eben auch viele Fehler. Dies zeigt, dass die Aufmerksamkeit und die Verantwortung sowie die Wichtigkeit des Datenschutzes größer geworden sind.
Nebenbei „doktert“ der Gesetzgeber am Datenschutzrecht. Im Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU), das am 25.11.2019 in Kraft getreten ist, wurde am Garanten und bewährten Konzept des Datenschutzbeauftragten gerüttelt. Die Benennungspflicht in einer Organisation wurde von zehn auf 20 Personen heraufgesetzt (§ 38 BDSG n. F.). In anderen Mitgliedstaaten schaut man dagegen mit Anerkennung auf das langjährige und bewährte deutsche Datenschutzniveau.
Um millionenfach personenbezogene Daten zu verarbeiten, braucht es heutzutage nur wenige Personen. Die Grenze der Benennungspflicht an der Zahl der Mitarbeiter festzumachen, zeigt, dass die Regierungskoalition die Digitalisierung nicht wirklich verstanden hat. Für die Wirtschaft wird dabei „Bürokratieabbau“ angeführt. Die Benennungspflicht für behördliche Datenschutzbeauftragte steht dabei allerdings nicht zur Debatte. Dies zeigt wiederholt, dass es gar nicht um Bürokratieabbau geht. Die Anforderungen der DSGVO bleiben – auch ohne DSB – bestehen, worauf Politik und Wirtschaftsverbände gerne vergessen hinzuweisen (vgl.
Auch vor diesem Hintergrund gilt es, in der Datenschutzpraxis vieles umzusetzen und neu zu strukturieren, um als Organisation „compliant“ zu sein. Datenschutz ist kein Produkt. Datenschutz ist ein Prozess – ein ewiger Prozess.
Fußnoten:
Vgl. https://www.golem.de/news/dsgvo-oberste-datenschuetzerin-beendet-posse-um-klingelschilder-1810-137197.html (zuletzt aufgerufen am: 29.01.2020).
Vgl. dpa: „DSGVO: Bislang 75 Bußgelder wegen Verstößen“ (vom 12.05.2019), auf: https://www.heise.de/newsticker/meldung/DSGVO-Bislang-75-Bussgelder-wegen-Verstoessen-4420368.html (zuletzt aufgerufen am: 29.01.2020).
https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2018/11_DigitalisierungUndDatenschutz.html
