28 Feb DSGVO: So läuft es in der Praxis
Last Updated on 2019-02-28
Bisher wurden EU-weit knapp 60.000 Datenlecks gemeldet und knapp 100 Geldbußen verhängt. Größter „Brocken“: Der US-Internetgigant Google bekam eine 50-Millionen-Strafe aufgebrummt.
Am 25. Mai 2018 wurde die EU-Datenschutzgrundverordnung (DSGVO) wirksam. Zeitgleich traten in Österreich das Datenschutz-Anpassungsgesetz 2018 und das Datenschutz-Deregulierungsgesetz 2018 in Kraft. Seither – so eine kürzlich veröffentlichte Umfrage der Anwaltskanzlei DLA-Piper – gab es bei den Datenschutzbehörden der EU-Staaten knapp 60.000 Beschwerden wegen eines „data breach“, also wegen der Verletzung des Schutzes personenbezogener Daten. Die meisten Meldungen wurden mit 15.400 in den Niederlanden verzeichnet, gefolgt von Deutschland (12.600) und Großbritannien (10.600). In Österreich wurden laut DLA-Piper-Umfrage bisher rund 600 Meldungen gezählt.
Die DSGVO ist alles andere als ein zahnloses Regelwerk. Wer dagegen verstößt, muss mit saftigen Strafen reichen, sie können bis zu vier Prozent des weltweiten Umsatzes oder 20 Millionen Euro betragen. Bisher wurden europaweit 91 Geldstrafen verhängt. Die mit Abstand größte sage und schreibe 50 Millionen Euro wurde im Jänner 2019 in Frankreich dem US-Internetgiganten Google aufgebrummt. Der Vorwurf: Google habe bei der Verarbeitung personenbezogener Daten zu Werbezwecken von den Nutzern keine ausreichende Zustimmung eingeholt. Google kündigte an, gegen die Strafe in Berufung zu gehen und verlegte die Zuständigkeit für Datenschutzthemen umgehend nach Irland.
Bereits Ende 2018 war in Portugal ein Krankenhaus ins Visier der Datenschützer geraten. Für das Krankenhaus Barreiro Montijo, das sich in der Nähe von Lissabon befindet, setzte es eine Geldstrafe in Höhe von 400.000 Euro u.a. deswegen, weil zu viele Personen Zugang zu Patientendaten hatten. Daten, die eigentlich ausschließlich für Ärzte bestimmt waren, konnten auch von IT-Technikern eingesehen werden. 20.000 Euro Geldstrafe fasste in Deutschland eine Chat-Plattform aus, die den schönen Namen Knuddels.de trägt. Bei Knuddels waren die Passwörter der Nutzer im Klartext gespeichert, was nicht zulässig ist. Die Sache flog auf, als die Plattform Opfer eines Hackerangriffs wurde. Ein vergleichsweise „kleiner Fisch“ war jener Wettcafé-Betreiber in Österreich, der im Lokal eine illegale Videoüberwachung installiert hatte. Ihm verpasste die heimische Datenschutzbehörde eine Geldbuße von 5280 Euro.
Für Aufregung sorgt in Österreich vor kurzem der lockere Umgang der heimischen Post mit dem Datenschutz. Wie die Rechercheplattform Addendum aufdeckte, wurden von der Post, die auch als Adressverlag und Direktmarketingunternehmen tätig ist, „Parteiaffinitäten“ ihrer Kunden berechnet und gespeichert. Die Datensätze wurden dann an politische Parteien verkauft, die sie für ihre Wahlwerbung verwendeten. Nach Einschätzung der Datenschutzbehörde hat die Post damit eindeutig gegen die DSGVO verstoßen. Die Post hat gegen den Bescheid Einspruch erhoben, die beanstandeten Daten wurden gelöscht. Wie die Causa letztlich ausgeht und vor allem wie hoch eine allfällige Geldstrafe gegen das börsenotierte Unternehmen sein könnte, ist offen.
Österreichs Unternehmen sind noch nicht zur Gänze „DSGVO-fit“. Laut einer Umfrage der Unternehmensberatung Deloitte hat erst ein Viertel der Firmen die Anforderungen der Verordnung vollständig umgesetzt. Zwei Drittel sind auf einem guten Weg, zwölf Prozent – darunter vor allem kleinere Betriebe – stehen noch am Anfang. Vor allem die rechtlichen Unklarheiten der EU-Verordnung machen vielen Probleme. Das betrifft nicht nur die IT-Abteilungen, sondern auch Vorstände und Aufsichtsräte, die sich jetzt verstärkt um den Datenschutz in ihren Unternehmen kümmern müssen.
Auf der DSGVO-Welle reiten auch Cyber-Kriminelle mit. So gibt es Berichte aus Deutschland, wonach dort massenhaft gefälschte E-Mails im Umlauf sind, in denen die Empfänger über eine angebliche Abmahnung wegen eines DSGVO-Verstoßes informiert werden. Wird der Datei-Anhang geöffnet, wird eine Schadsoftware aktiviert.
Die EU-DSGVO ist zwar noch nicht einmal ein Jahr alt, trotzdem orten Experten bereits erhebliche Schwachstellen und Änderungsbedarf. Der österreichische Datenschutzaktivist Max Schrems, der unter anderem mit Facebook im juristischen Clinch liegt, hält die aktuelle Regelung für zu schwammig. „Wir brauchen eine DSGVO 2.0“, meinte er vor kurzem bei einer Diskussionsveranstaltung. Weil es keine Alternativen zu Facebook, Google & Co. gibt und diese Giganten damit den Nutzern ihre Bedingungen aufzwingen können, müssten Datenschutzthemen global geregelt werden, so Schrems.
Auf nationaler Ebene wäre hingegen zu überlegen, ob für Behörden hierzulande immer eine Extrawurst gebraten werden muss. Über das Amtsgeheimnis wird ja schon seit Jahren diskutiert – es existiert noch immer. Und die DSGVO gilt in Österreich anders als etwa in Deutschland nur für private Unternehmen, nicht aber für öffentliche Unternehmen und Behörden.
Autorin: Dr. Christine Domforth