BayLDA im Interview: So wird die DSGVO in der Praxis gehandhabt
Es wird damit gedroht, dass Firmen bei nicht korrekter Umsetzung, akut abmahngefährdet sind und Abmahnanwälte nur darauf warten, loslegen zu können. Wie schätzen Sie hier die Situation ein? Besteht für Abmahnungen überhaupt eine Basis? Kann eine nicht korrekte Datenschutzerklärung abgemahnt werden?
Thomas Kranig, BayLDA Kranig: Wenn ein Datenschutzverstoß auch wettbewerbsrechtlich relevant ist, ist es nicht ausgeschlossen, dass man deswegen abgemahnt werden kann. Man liest immer wieder Äußerungen, dass sich dies zu einem Geschäftsmodell entwickeln kann. Konkrete Anhaltspunkte dafür liegen uns derzeit aber nicht vor.
Es wird mit Bußgelder von bis zu 20 Mio. Euro gedroht, wenn zum Beispiel Artikel 32 (Sicherheit der Verarbeitung) nicht eingehalten wird. Wie wird das in der Praxis gehandhabt? Wird die BayLDA selbst aktiv und Überprüfungen vornehmen oder werden Sie vor allem »Hinweisen« nachgehen?
Kranig: Nach der Datenschutz-Grundverordnung sind fast alle Verstöße gegen Vorschriften der Verordnung mit einem Bußgeld bedroht. Dies bedeutet aber nicht, dass unmittelbar nach dem 25. Mai 2018 eine große »Bußgeldorgie« starten wird. Wir werden weiterhin Beschwerden nachgehen, aber auch ohne Vorliegen von Beschwerden (anlasslose) Prüfungen durchführen. Wenn wir dort Verstöße feststellen und diese eine gewisse Bedeutung haben, kann es auch zu Bußgeldverfahren kommen. Neu ist gegenüber dem bisherigen Recht, dass auch bei Verstößen gegen Vorschriften der Datensicherheit, unter anderem auch Art. 32 DS-GVO nunmehr ein Bußgeld festgesetzt werden könnte, was früher nicht der Fall war.
DSGVO: Eine weitere Übergangsfrist ist nicht vorgesehen
Viele Unternehmen und vor allem Selbstständige sowie Freiberufler haben sich noch nicht mit der DSGVO beschäftigt, zum Teil sogar noch nichts davon gehört. Unwissenheit schützt nicht vor Strafe, oder? Einige hoffen darauf, dass es noch eine gewisse Karenzzeit gibt. Gibt es noch etwas Hoffnung für die Betroffenen? Bzw. hätte hier nicht etwas mehr Aufklärungsarbeit betrieben werden sollen?
Kranig: Am 25. Mai 2018 endet die zweijährige Übergangsfrist für die DS-GVO. Eine weitere Übergangsfrist oder Karenzzeit ist nicht vorgesehen. Wir gehen davon an aus, dass alle, die es wissen wollten, auch zur Kenntnis nehmen konnten, dass es ein neues Datenschutzrecht geben wird. Alle Aufsichtsbehörden, auch wir, haben mit umfangreichen Informationen auf den Webseiten und durch zahlreiche Presseveröffentlichungen die Allgemeinheit auf das neue Recht hingewiesen. Für viele kleine Unternehmen, freiberuflich Tätige, Vereine usw. sind die Anforderungen durchaus überschaubar. Konkrete Hilfestellungen dazu finden Sie auf unserer Homepage: www.lda.bayern.de
Werden bekanntgewordene Verstöße gegen die DSGVO sofort geahndet oder erhalten die Betroffenen, zumindest bei kleineren Vergehen, eine Frist den Mangel zu beheben?
Kranig: Unsere Leitlinie als Datenschutzaufsichtsbehörde ist, so viel wie möglich Präventionsarbeit zu leisten, um zu verhindern, dass Datenschutzverstöße überhaupt entstehen. Wenn wir Verstöße feststellen, ist unser primäres Interesse, diese unverzüglich abzustellen. Handelt es sich dabei aber um gravierende Verstöße oder Verstöße, die begangen werden, obwohl der Verantwortliche (so heißt nach der DS-GVO das Unternehmen, der Verein usw., der mit personenbezogenen Daten von betroffenen Personen umgeht) dies wusste und wissen musste, kann es durchaus auch nachhaltige Sanktionen geben.
Experten aus der Industrie erwarten, dass die Behörden an einigen größeren Firmen Exempel statuieren werden, auch um den Ernst der Lage zu verdeutlichen. Können Sie hierzu etwas sagen?
Kranig: Uns geht es nicht darum, an bestimmten Unternehmen Exempel zu statuieren, sondern uns geht es darum, wenn Beschwerden vorliegen, diesen nachzugehen und zu prüfen, ob die Datenschutzvorschriften eingehalten werden oder nicht. Die gilt unabhängig davon, ob es sich dabei um ein größeres oder kleineres Unternehmen handelt. Wie bisher wird es möglich sein, ohne jedoch das entsprechende Unternehmen zu nennen, Verstöße öffentlich zu machen, um andere entsprechend zu informieren, diese Verstöße nicht auch zu begehen.
DSGVO betrifft alle Unternehmen – unabhängig von der Firmengröße
Kleinere Unternehmen sowie Ärzte, Handwerker, die keinen Datenschutzbeauftragten stellen müssen, denken zum Teil, die DSGVO betrifft sie nicht und sie müssten gar nichts unternehmen. Was ist hier die Sachlage?
Kranig: Einen Datenschutzbeauftragten müssen in aller Regel Verantwortliche benennen, bei denen zehn oder mehr Mitarbeiter überwiegend regelmäßig mit personenbezogenen Daten umgehen. Ein Datenschutzbeauftragter kann entweder ein interner Mitarbeiter sein, der diese Aufgabenstellung in aller Regel neben seiner sonstigen Aufgabe erfüllt. Denkbar ist auch, mit einem Dienstvertrag einen externen Datenschutzbeauftragten zu beauftragen. Für Ärzte, Handwerker oder Vereine ist in aller Regel kein Datenschutzbeauftragter zu benennen. Dies bedeutet aber nicht, dass sie nicht die Datenschutzvorschriften einhalten müssen. Diese Verpflichtung besteht unabhängig davon, ob man einen Datenschutzbeauftragten benennen muss oder nicht.
DSGVO: Was können kleinen Firmen jetzt noch tun?
Was raten Sie kleineren Firmen, die jetzt noch nicht viel unternommen haben?
DSGVO-Broschüre für Unternehmen und Verine Kranig: Wir raten den kleineren Firmen, einen intensiven Blick auf unsere Homepage zu werfen. Dort finden sie konkrete Hinweise, was sie machen müssen. Das Bayerische Landesamt für Datenschutzaufsicht hat darüber hinaus eine Broschüre mit dem Titel: »Erste Hilfe zu Datenschutz-Grundverordnung für Unternehmen und Vereine – ein Sofortmaßnahmenpaket« herausgegeben, dass zum Preis von 5,50 Euro im Buchhandel erhältlich ist. In dieser Broschüre haben wir versucht, mit einfachen Worten die wesentlichen Anforderungen, die kleine Unternehmen und Vereine leisten müssen, darzustellen und Muster mit aufgenommen, an denen man sich orientieren kann. Wem dies nicht ausreicht, der kann sich noch den Rat von Datenschutzsachverständigen zusätzlich einkaufen.
Können Sie sagen, wie viele externe Datenschutzbeauftragte es hierzulande gibt?
Kranig: Angaben darüber, wie viele interne oder auch externe Datenschutzbeauftragte es in Bayern oder in Deutschland gibt, haben wir nicht. Neu ist aber, dass alle Verantwortlichen ab dem 25. Mai 2018, die eine Datenschutzbeauftragten benennen müssen, auch verpflichtet sind, diesen der Aufsichtsbehörde mitzuteilen.
Ab wann verarbeiten Mitarbeiter personenbezogene Daten?
Müssen Mitarbeiter fest angestellt sein oder zählen auch freie Mitarbeiter hinzu? Vermutlich, wenn diese im Auftrag der betreffenden Firma agieren und auch eine eigene Firmen-E-Mail besitzen, oder?
Kranig: Ein Datenschutzbeauftragter ist zu benennen, wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dazu zählen die fest angestellten Mitarbeiter, unabhängig davon, ob sie Vollzeit oder Teilzeit arbeiten.
Personen sind nur dann ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, wenn dieser Umgang ihre Hauptaufgabe ist, zum Beispiel in der Personalverwaltung, als Sprechstundenhilfe oder in der Buchhaltung usw. Wer als Monteur Adressen und Namen bekommt, um Kunden zu besuchen und dort Arbeiten zu verrichten, verarbeitet nicht ständig automatisiert personenbezogene Daten, selbst wenn er diese Daten in einem Laptop oder Tablet gespeichert hat.
Es heißt, wer E-Mails verschickt, fällt bereits unter diesen Passus? Gelten E-Mails bereits als Verarbeitung personenbezogener Daten? Wo zieht man hier die Grenze?
Kranig: Wer personenbezogene Daten (nicht nur für ausschließlich private Zwecke) verarbeitet, das heißt erhebt, speichert, übermittelt, verändert, löscht usw., unterliegt dem Datenschutz. Wer eine E-Mail schreibt und dabei personenbezogene Daten übermittelt, muss die Vorgaben des Datenschutzes beachten.
Firmenchef kann sich nicht selbst kontrollieren
Ist es richtig, dass Firmenchefs und Abteilungsleiter nicht die Aufgabe des Datenschutzbeauftragten übernehmen können? Wer kann Datenschutzbeauftragter werden?
Kranig: Die Aufgabe eines Datenschutzbeauftragten ist es, in einem Unternehmen zu kontrollieren, ob die Datenschutzvorschriften eingehalten werden und die Unternehmensleitung darauf hinzuweisen, wenn sie nicht eingehalten werden. Dies bedeutet, dass bei der Benennung eines Datenschutzbeauftragten eine Interessenskollision ausgeschlossen sein muss. Ein Firmenchef kann sich als Datenschutzbeauftragter nicht selbst kontrollieren. Er kann deshalb, ebenso wie in aller Regel der IT-Leiter, nicht zum Datenschutzbeauftragten benannt werden.
Herr Kranig, vielen Dank für das Gespräch.