100 Tage DSGVO: Datenschutz-Experte: "Der Schutz der Daten fällt leider hinten runter"

Strafen in Millionenhöhe, Abmahnwellen durch dubiose Anwälte und ein Berg an Bürokratie: Die neue Datenschutzgrundverordnung (DSGVO) hat vielen Menschen vor ihrer Veröffentlichung reichlich Angst und Unsicherheit gemacht. Dass sie darüber hinaus die Kontrolle über persönliche Daten, gerade im digitalen Bereich, klarer geregelt hat, geriet oft in Vergessenheit. Diesen Sonntag ist sie 100 Tage in Kraft.

Zuständig für die Umsetzung der Verordnung in Bayern ist das Landesamt für Datenschutzaufsicht (LDA) in Ansbach. Anruf beim Amt: "Um den Geschäftsbetrieb weiter aufrecht erhalten zu können, haben wir aufgrund der immensen Anfragen zur Datenschutzgrundverordnung unsere Geschäftszeiten begrenzt", teilt ein Anrufbeantworter mit. Später meldet sich Thomas Kranig, Präsident des LDA. "Die Arbeit ist wahnsinnig viel mehr geworden", sagt er.

Die gemeldeten Datenpannen in Bayern haben sich vervielfacht

Konkret heißt das: Die Beschwerden, die beim LDA eingingen, haben sich seit Einführung der DSGVO mehr als verdoppelt. Bei den Beratungen für Unternehmen und Privatpersonen liegt die Steigerung im Vergleich zum Vorjahr sogar bei mehr als 300 Prozent.

Doch selbst diese Zahl steht noch in keinem Verhältnis zu den Datenpannen: Im ganzen Jahr 2017 wurden dem LDA 270 Datenpannen gemeldet. Seit Inkrafttreten der DSGVO vor 100 Tagen sind es bereits 1876. Als Datenpanne gelten Fälle, in denen Unbekannte Zugriff auf persönliche Daten bekommen. Das können ein erfolgreicher Hackerangriff auf ein Firmenregister, eine E-Mail, die an einen falschen Empfänger gesendet wurde, oder einfach ein verlorenes Briefkuvert sein. Derartige Vorkommen gab es schon früher, seit dem Inkrafttreten der DSGVO müssen sie allerdings deutlich häufiger der Aufsichtsbehörde gemeldet werden.

Zu der Anzahl der Bußgeldverfahren und Verstöße liegen dem LDA keine aktuellen Zahlen vor. Kranig vermutet allerdings, dass die DSGVO-Verletzungen im fünfstelligen Bereich liegen werden. Mit so einer Zusatzbelastung durch die DSGVO hat auch der Präsident des Landesamtes nicht gerechnet. Seit sieben Jahren leitet Kranig die Behörde."Wir haben schon erwartet, dass die Arbeit mehr wird. Aber dass es in dieser Masse kommt - da habe wohl auch ich mich in manchen Bereichen getäuscht", gesteht er: "Momentan sind wir sprichwörtlich abgesoffen." Bis in der Behörde wieder Normalität einkehrt, wird es noch dauern. Anfang nächsten Jahres könnte es soweit sein, hofft der Präsident.

Schwäbische Wirtschaftsunternehmen klagen über mehr Aufwand durch die DSGVO

Von Routine ist bei den schwäbischen Wirtschaftsunternehmen ebenfalls noch nichts zu spüren. Laut einer Umfrage der Industrie- und Handelskammer Schwaben klagten drei Monate nach Inkrafttreten der DSGVO noch 79 Prozent der Firmen über einen erhöhten bürokratischen Aufwand. "Vor allem für kleine und mittlere Unternehmen stellt die Umsetzung der neuen Regelungen eine große Herausforderung dar ", berichtet Eva Schönmetzler, Expertin für Datenschutzrecht der IHK. Da es kaum offizielle Hilfestellungen gab, sei vor allem zu Beginn die Überforderung zu spüren gewesen.

Verbände und Behörden haben mit Informationsveranstaltungen, Hilfestellungen auf ihren Internetseiten und Telefonhotlines auf diese Unsicherheiten reagiert. Es sei wichtig, dass die neuen Regelungen übersichtlich, klar strukturiert und leicht verständlich formuliert sind, so Schönfelder. Dabei habe sich auch das LDA als äußerst kooperativer Partner erwiesen. "Unternehmen erhalten hier nicht nur Antworten auf ihre offenen Fragen, sondern gleichzeitig eine verbindliche Aussage der Aufsichtsbehörde", erklärt Schönfelder.

Diese verbindlichen Aussagen stellen das Landesamt wiederum vor Probleme. "Es kommt nicht darauf an, was wir in Bayern sagen, sondern was europaweit gilt", erklärt Thomas Kranig. Seine Behörde muss Rechtsunsicherheiten, wie es sie bei neuen Gesetzen meistens gibt, daher mit der Bundesbehörde und europaweiten Aufsichtsbehörden koordinieren.

Warum es in Bayern nur vereinzelt Abmahnungen gab

Die ungeklärten Fragen zur DSGVO bieten Unternehmen allerdings auch einen entscheidenden Vorteil: Bislang sei unklar, ob wettbewerbsrechtliche Abmahnungen aufgrund von Verstößen gegen die DSGVO überhaupt möglich sind, erklärt Julia Berger, Rechtsreferentin von der Verbraucherzentrale Bayern (VBZ). Unter anderem deswegen ist die Abmahnwelle nicht in der befürchteten Form eingetreten.

Der IHK Schwaben sind gar keine bekannt, die Verbraucherzentrale Bayern berichtet von vereinzelten Abmahnungen. Bei den von der DSGVO besonders betroffenen Digitalunternehmen sieht die Lage anders aus: Rund einen Monat nach Inkrafttreten hatten bereits fünf Prozent der Mitgliedsunternehmen des Bundesverbands für Digitale Wirtschaft (BVDW) eine Abmahnung bekommen. Diese Umfrage habe man bisher nicht wiederholt, teilt ein Sprecher mit. Allerdings rechnen fast 30 Prozent der BVDW-Unternehmen noch mit einer Abmahnung.

Egal ob Unternehmen oder Privatperson: Wer eine datenschutzrechtliche Abmahnung erhält, sollte diese unbedingt prüfen lassen, rät die Verbraucherzentrale. Nicht selten werde festgestellt, dass die Abmahnung unberechtigt ist. "Dann kann der Betroffene sogar die eigenen Anwaltskosten als Schadenersatz in Ansatz bringen", so die Rechtsreferentin.

Thomas Kranig glaubt derweil nicht daran, dass es noch zu einer großen Abmahnwelle in Bayern kommt. "Angst müssten die Unternehmen nur vor uns haben. Aber wir kommen gar nicht dazu, erstmal müssen wir über den Tellerrand schauen."

Trotz der vielen Arbeit sieht Kranig die DSGVO auch positiv: "Ich denke, das Thema Datenschutz ist dadurch mehr in der Gesellschaft angekommen", sagt er. Leider werde die Verordnung eher bürokratisch angesehen. "Das, worum es eigentlich geht, nämlich der Schutz der Daten, fällt hinten runter."