Ausgangspunkt hierfür sind die neuesten Entwicklungen, wonach das erste Bußgeld nach der Datenschutz-Grundverordnung (DSGVO) auch in Deutschland verhängt wurde: Datensicherheit ist Pflicht, Mängel können zu Bußgeldern führen und in der Öffentlichkeit bekannt werden, so wie es einem baden-württembergischen Social-Media-Anbieter erging. Gegen diesen wurde aufgrund eines Verstoßes gegen die nach Art. 32 DSGVO vorgeschriebene Datensicherheit eine Geldbuße von 20.000 Euro verhangen. Die Bußgeldstelle des Landesbeauftragten für Datenschutz und Informationsfreiheit in Baden-Württemberg, Dr. Brink, hatte hierzu mit Bescheid vom 21. November 2018 gegen den Social-Media-Anbieter die Geldbuße verhängt. Grundlage dafür war folgende: Das betroffene Social-Media-Unternehmen hatte sich im September 2018 mit einer Meldung über eine Datenpanne an den Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) gewandt, wonach durch einen Hackerangriff im Juli 2018 personenbezogene Daten, Passwörter und E-Mail-Adressen, von hunderttausenden von Nutzern entwendet und Anfang September 2018 veröffentlicht wurden.

Der LfDI in Baden-Württemberg fand nach Prüfung schnell heraus, dass das Unternehmen die Passwörter ihrer Nutzer unverschlüsselt und unverfremdet gespeichert hatte und dadurch klar wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten verstieß. Es folgte ein Bußgeldverfahren gegen das Social-Media-Unternehmen, das jedoch neben der Kooperationsbereitschaft auch die finanzielle Gesamtbelastung für das Unternehmen berücksichtigte und damit verhältnismäßig gering ausfiel. Zwar wäre ein solches Bußgeldverfahren auch nach dem alten Bundesdatenschutzgesetz möglich gewesen, jedoch zählte „… am Ende die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer…“, so Dr. Brink. Weiterhin könnte man durch konstruktive Zusammenarbeit mit dem Unternehmen für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten sorgen, indem diese aus ihrem Schaden lernen und transparent an der Verbesserung des Datenschutzes mitwirken würden.

Die Aufsichtsbehörden für den Datenschutz führen zudem sehr konkrete Prüfungen durch, wodurch Unternehmen die Möglichkeit geboten wird, ihre eigene Datenschutzorganisation zu hinterfragen. Hierbei geht es jedoch nicht nur um die Frage, ob die Unternehmen bestimmte Eckpunkte der DSGVO einhalten, sondern darüber hinaus auch sehr konkrete Vorgaben erfüllen und damit nach entsprechender Prüfung die DSGVO umsetzen. Doch obwohl zunächst erwartet wurde, dass das erste verhängte Bußgeld nach der DSGVO wie ein Paukenschlag einschlagen würde, sieht die Realität anders, und damit durchaus positiv für den Datenschutz, aus. Denn Bußgelder sollen nach der DSGVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein.

Entsprechende Institutionen der Länder, wie beispielsweise das Bayerische Landesamt für Datenschutzaufsicht prüft hierzu flächendeckend den sicheren Betrieb von zum Beispiel Online-Shops und den Schutz vor Verschlüsselungstrojanern in Arztpraxen und hat somit die Datenschutz-Kontrollen auch in Bayern angestoßen. Die vier elementaren Bereiche, die aufgrund der neuen DSGVO geprüft werden müssen, stellen hierbei die Organisation, die datenschutzkonforme Verarbeitung, der entsprechende Umgang mit Betroffenenrechten sowie etwaige Datenschutzverletzungen dar. Dabei gehen die einzelnen Prüfbehörden sowohl gezielt als auch sehr konkret vor, wie sich anhand einer Prüfungsliste des Bayerischen Landesamt für Datenschutzaufsicht erkennen lässt: Das Löschen von Daten bei ERP-Systemen (SAP), die Datenschutzverletzungen bei (Unter-)Auftragverarbeitern, das Patch Management, WordPress und die Ransomware bei Arztpraxen sind dabei nur einige Punkte, die nach der neuen DSGVO überprüft werden müssen.

Doch ob Unternehmen, Behörden oder die Regierung nun neue Vorgaben und Prüfungen planen, in aller Regel geht es bei der Frage der neuen DSGVO um die Menschen, als Kunden oder als Bürger, und entsprechend müssen auch immer die Vorgaben des Datenschutzes berücksichtigt werden.

Menge Duarte JJA: Erste Bußgelder und konkrete Prüfungen nach DSGVO. Passion Chirurgie. 2019 März, 9(03): Artikel 04_11.