Aktuelles zur DSGVO im November

Konzentration auf echte Datenschutz-Probleme!

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Unternehmen sollten bei der DSGVO mit bewussten Falschinformationen rechnen, denn die Datenschutz-Grundverordnung ist leider auch ein gutes Geschäft für unseriöse Anbieter.
Unternehmen sollten bei der DSGVO mit bewussten Falschinformationen rechnen, denn die Datenschutz-Grundverordnung ist leider auch ein gutes Geschäft für unseriöse Anbieter. (Bild: Pixabay / CC0)

Die Aufregung um angebliche Datenschutz­probleme wegen Klingelschildern in den letzten Wochen ist ein gutes und gleichzeitig schlechtes Beispiel dafür, dass die DSGVO (Datenschutz-Grundverordnung) weiterhin missverstanden wird. Der Aufklärungsbedarf besteht nicht nur theoretisch, denn hohe Bußgelder werden durchaus verhängt. Dabei trifft es nicht nur Facebook.

Es muss nicht immer böser Wille dahinter stecken, wenn jemand für Verwirrung sorgt, es reicht auch Unkenntnis. Wenn jemand jedoch aus der Verwirrung Kapital schlagen will, sind die Absichten offensichtlich. Die vergangenen Wochen haben gezeigt, dass die Unklarheiten bezüglich DSGVO / GDPR bei Unternehmen, Bürgerinnen und Bürgern weiterhin sehr groß sind:

Die Medien waren voll davon, dass man womöglich Klingelschilder entfernen müsse, um der DSGVO zu entsprechen. Die Aufsichtsbehörden für den Datenschutz unternahmen große Anstrengungen, um für Aufklärung zu sorgen. Die Bundesbeauftragte veröffentlichte zum Beispiel extra ein Statement dazu: „Die Aufforderung zur Entfernung sämtlicher Klingelschilder ist unnötig“, erklärte Andrea Voßhoff. Wer immer über die mögliche Pflicht zur Entfernung von Klingelschildern berichtete, hatte die DSGVO und die Rechtsgrundlagen nicht verstanden.

Wann immer Unklarheiten herrschen, findet man Versuche, daraus Kapital zu schlagen. So warnten die Aufsichtsbehörden (pdf) vor Reaktionen auf die offensichtlich bundesweit massenhaft verschickten Fax-Mitteilungen für eine angebliche „Erfassung Gewerbebetriebe zum Basisdatenschutz nach EU-DSGVO“.

Natürlich werden für die angeblichen Datenschutz-Dienste saftige Jahresgebühren verlangt. Thomas Kranig, Präsident des BayLDA (Bayerisches Landesamt für Datenschutzaufsicht), sagte dazu: „Es ist erschreckend, mit welchen Methoden versucht wird, teilweise bestehende Unsicherheiten bei der Umsetzung der Datenschutz-Grundverordnung auszunützen. Wir können nur davor warnen.“

Doch im Datenschutz kann es nicht nur zu Unrecht teuer werden, sondern auch zu Recht: Hohe Bußgelder werden verhängt. Nicht alle Fälle sind dabei so prominent wie Facebook.

Datenpannen und Bußgelder

Datenpannen passieren, wie die folgenden Beispiele aus Brandenburg zeigen: So meldete eine Kita den Diebstahl ihrer Digitalkamera mit den Fotos der Kinder, eine Klinik übergab die Kopie eines Schwerbehindertenausweises versehentlich an den falschen Patienten und einige Bankkunden konnten beim Online-Banking die Kontoauszüge Dritter einsehen. Bei einem Hackerangriff auf einen Webshop wurden Kundendaten unbefugt kopiert, ein Hotel konnte nicht ausschließen, dass durch einen erpresserischen Hackerangriff Kreditkarten- oder andere Kundendaten aus seinem Buchungssystem in falsche Hände gerieten.

Kommt es zu einem Datenschutz-Verstoß, müssen bekanntlich Meldepflichten beachtet werden. „Die Meldepflicht für Datenschutzverstöße trägt dazu bei, aus Pannen oder Fehlern schnell die richtigen Konsequenzen zu ziehen“, erklärt die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg. „Damit ich notfalls eingreifen kann, genügt es nicht, mir irgendwann mitzuteilen, dass etwas passiert ist. Vielmehr sind umgehende und ausführliche Angaben zu Umfang, Folgen und Risiko sowie zu den getroffenen Maßnahmen erforderlich.“

Die Landesbeauftragte weist hier auf Missstände hin: „Diese Anforderungen an die Meldung von Datenpannen werden jedoch oft nicht erfüllt. Unvollständige oder verspätete Meldungen oder die trotz hohen Risikos unterbliebene Information der betroffenen Personen können mit einem Bußgeld geahndet werden. Davon werde ich künftig Gebrauch machen. Grundsätzlich gilt: Lieber einmal zu viel als einmal zu wenig melden.“

In den letzten Wochen sind auch Bußgelder verhängt worden, die allerdings noch nicht unter Anwendung der DSGVO bemessen wurden. Das UK Information Commissioner’s Office (ICO) hat ein Bußgeld für Facebook bekannt gegeben, aber auch gegen den Heathrow Airport, um nur zwei Beispiele zu nennen.

Es gibt aber auch bereits angedrohte Bußgelder nach DSGVO (pdf). In Portugal wurde bereits ein Bußgeld nach DSGVO verhängt, gegen ein Krankenhaus. Auch die Aufsichtsbehörden in Deutschland werden noch Bußgelder vermelden.

Datenschutz-Probleme für Patienten

Probleme mit der DSGVO können aber auch andere Konsequenzen haben als Bußgelder und zwar für die betroffenen Personen. So ist es wohl zur Ablehnung der Behandlung durch Ärztinnen und Ärzte gekommen, bei Weigerung der Patientin oder des Patienten, die Kenntnisnahme der Informationen nach Art. 13 DSGVO durch Unterschrift zu bestätigen.

Wer nun glaubt, die Aufsichtsbehörden würden ein solches, scheinbar datenschutzkonformes Vorgehen gutheißen, irrt sich: Die Datenschutzaufsichtsbehörden des Bundes und der Länder sprechen sich dagegen aus, dass Ärztinnen und Ärzte oder andere Angehörige von Gesundheitsberufen die Behandlung ablehnen oder die Verweigerung der Behandlung androhen, wenn die Patientin oder der Patient die Informationen nach Art. 13 DSGVO nicht mit ihrer oder seiner Unterschrift versieht. Eine solche Praxis ist nicht mit der DSGVO vereinbar, erklären die Aufsichtsbehörden.

EDPB sorgt für weitere Aufklärung

Leider sorgen auch die uneinheitlichen Informationen mancher Aufsichtsbehörden für Verwirrung. Mehr Harmonisierung wäre wünschenswert. So gibt es zum Beispiel von der Datenschutzkonferenz eine Liste der Verarbeitungstätigkeiten (pdf), für die eine Datenschutzfolgenabschätzung (DSFA) durchzuführen ist (wir berichteten). Diese Liste kann aber in anderen EU-Ländern auch etwas anders aussehen, wie das aktuelle Beispiel Liechtenstein (pdf) zeigt.

Der Europäische Datenschutzausschuss (EDPB) hat diese Situation nun kommentiert. Die EDPB-Vorsitzende Andrea Jelinek sagte: „Es war eine enorme Aufgabe für die Vorstandsmitglieder und das EDPB-Sekretariat, alle diese Listen zu prüfen und gemeinsame Kriterien festzulegen, was eine DSFA auslöst und was nicht. Es war eine hervorragende Gelegenheit für das EDPB, die Möglichkeiten und Herausforderungen der Beständigkeit in der Praxis zu testen. Die DSGVO erfordert keine vollständige Harmonisierung oder eine "EU-Liste", sie erfordert jedoch mehr Kohärenz, die wir in diesen 22 Stellungnahmen erreicht haben, indem wir uns auf eine gemeinsame Ansicht einigen.“

Die Unternehmen, Bürgerinnen und Bürger können also auf mehr Aufklärung und mehr Einheitlichkeit hoffen, sie sollten aber mit bewusster Falschinformation rechnen, denn die DSGVO ist leider auch ein mögliches, gutes Geschäft für unseriöse Anbieter. Deshalb ist es wichtig, sich auf die echten Datenschutz-Themen zu konzentrieren und diese zu klären, bevor einmal die Aufsicht an der Tür klingelt.

Kommentar zu diesem Artikel abgeben
Zu beklagen, dass die Black Lists nicht einheitlich sind halte ich nciht für zielführend. Warum...  lesen
posted am 29.11.2018 um 11:28 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45629192 / Standards & Technologie)