Ihre Kontakte
Lukas Bühlmann
Michael Reinle
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union gilt bekanntlich seit dem 25. Mai 2018. Acht Monate später zieht der Europäische Datenschutzausschuss (EDSA) erstmals Bilanz über die Implementierung der DSGVO und der Rolle der nationalen Behörden in diesem Prozess. Seit der Einführung der DSGVO sind bei den nationalen Behörden mehr als 95’000 Beschwerden wegen angeblichen Datenschutzverstössen eingegangen und es wurden zahlreiche Bussen verhängt. In einigen Mitgliedstaaten wurden allerdings die nationalen Gesetze noch immer nicht an die DSGVO angepasst und den Aufsichtsbehörden fehlt das erforderliche Budget zur effektiven Durchsetzung der DSGVO.
Positives Zwischenfazit – gleichwohl Mängel bei der Umsetzung
In dem Ende Februar veröffentlichten Bericht zieht der EDSA zwar eine grundsätzlich positive Zwischenbilanz. Die DSGVO sowie die Zusammenarbeit im EDSA und mit den nationalen Aufsichtsbehörden funktioniere gut. Anlässlich der Vorstellung des Berichts im Innenausschusses des EU-Parlaments, wurde allerdings auch Kritik laut, wie heise.de berichtet. Diese war unter anderem an die EU-Kommission gerichtet. Denn auch acht Monate nach der Anwendung der DSGVO hätten 5 von 28 Mitgliedsstaaten ihre nationalen Gesetze noch nicht vollständig an die DGVO angepasst (Bulgarien, Griechenland, Portugal, Slowenien und Tschechien). Die EU-Kommission müsse energischer gegen die säumigen Mitgliedstaaten vorgehen.
Im Innenausschuss wurden weiter auch die bescheidenen Kompetenzen des Europäischen Datenschutzausschusses bemängelt. Dieser ist nicht ermächtigt, selbst Verfahren gegen Datenschutzverstösse zu eröffnen. Somit wird ein Fall nur untersucht, wenn sich eine nationale Behörde damit auseinandersetzt. Sollte diese nicht aktiv werden, passiert nichts. Der Chef der belgischen Datenschutzbehörde, Willem Debeuckelaere, forderte vor diesem Hintergrund, dem EDPB in Zukunft die nötigen Mittel und Kompetenz zu geben, um eigene Fälle auf EU Ebene zu verfolgen.
Ursprung und Anzahl der Verfahren
Bis zur Veröffentlichung des Berichts wurden bei den nationalen Behörden insgesamt 206’326 Fälle im Zusammenhang mit der DSGVO registriert. Davon wurden 94’622 durch Beschwerden bei den nationalen Datenschutzbehörden ausgelöst. Wie eine Infografik der EU-Kommission verdeutlicht, betrafen die Beschwerden primär Werbe-Anrufe, Werbe-Mails sowie die Videoüberwachung. Bei einer Datenschutzbehörde beschweren kann sich jede Person und Unternehmung, die sich in ihren Datenschutzrechten verletzt fühlt. Als Teil der Informationspflicht schreibt die DSGVO denn auch vor, dass die von einer Datenverarbeitung betroffenen Personen auf das Beschwerderecht hinzuweisen sind.
Die zweite grosse Fallkategorie betrifft Unternehmen, die im Falle eines Datenlecks («Data Breach») dazu verpflichtet sind, dieses bei einer Datenschutzbehörde zu melden. Bisher wurden 64’684 solcher Fälle gemeldet. 47’020 Fälle waren keiner dieser beiden Kategorien zuteilbar.
Von allen bisher eingebrachten Fällen sind 52% bereits abgeschlossen. 47% sind noch in Bearbeitung und gegen 1% wurde ein Rechtsmittel eingelegt.
Quelle: First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities – EDPB
Auslastung der Behörden
Die Bearbeitung der hängigen Fälle geht aufgrund der Überlastung der Behörden allerdings nur schleppend voran. Aufgrund ihrer neuen Kompetenzen war ein Ausbau der nationalen Datenschutzbehörden unumgänglich. Gleichwohl haben Polen und Tschechien das Budget ihrer jeweiligen Datenschutzbehörden um 15- respektive 6 % gekürzt.
Eine Mehrheit der Datenschutzbeauftragten gibt an, eine weitere Budgeterhöhung von 30-50% zu benötigten, um auf die neuen Anforderungen reagieren zu können. Allerdings erhielten die wenigsten Behörden die benötigten Mittel.
Quelle: First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities – EDPB
Auch im Personalbereich sind die meisten Datenschutzbehörden stark gewachsen. Bei gerade einmal acht Behörden blieb die Anzahl an Angestellten konstant und bei einer ging sie sogar zurück. Alle anderen stellten zusätzliche Mitarbeiter an, wobei bei den meisten noch immer Bedarf nach mehr Personal besteht. In den meisten Behörden wird deshalb auch in diesem Jahr ein Ausbau stattfinden.
Quelle: First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities – EDPB
Bussgeldentscheide
Trotz der beschränkten Ressourcen haben die nationalen Behörden (aus elf EWR-Staaten) Bussgelder in der Höhe von 56 Millionen Euro ausgesprochen. Der erste Bussgeldentscheid wurde Ende 2018 gegen den Chat-Anbieter Knuddels gefällt. Hacker veröffentlichten E-Mail-Adressen von 330’000 Nutzern, die unverschlüsselt auf den Knuddels-Servern gespeichert wurden. Die Busse fiel mit 20’000 Euro verhältnismässig gering aus, da das Unternehmen mit den Behörden kooperierte.
Am 21. Januar 2019 sprach die französische Datenschutzbehörde (Commission Nationale de l’Informatique e des Libertés (CNIL)) die bisher grösste DSGVO-Busse aus. Google wurde zu einer Geldbusse von 50’000’000 Euro verurteilt. Grund dafür war die mangelnde Datenschutzerklärung, die sowohl mit Blick auf das Transparenzgebot als auch hinsichtlich der Gültigkeit der Einwilligung in die Datenverarbeitung gegen die sanktionsbedrohten Bestimmungen der DSGVO verstossen hatte (vgl. dazu MLL-News vom 25.02.2019).
Der Entscheid der CNIL, aber auch Verfahren in anderen Ländern verdeutlichen, dass die anfängliche Schonfrist mittlerweile vorbei ist und die Behörden eine härtere Gangart an den Tag legen (vgl. MLL-News vom 25.2.2019).
Kooperation der Behörden
Gerade beim Cross-Border Datenverkehr ist eine Kooperation der Datenschutzbeauftragten für eine effektive Umsetzung der DSGVO unerlässlich. Um die Lösungsfindung zu erleichtern kommt der sog. One-Stop-Shop Mechanismus zum Zug. Zu Beginn eines jeden Cross-Border-Verfahrens wird als erstes die federführende Behörde ermittelt. Grundsätzlich ist die Behörde aus dem Land federführend, in dem das Unternehmen, das den Verstoss begangen hat, seinen Hauptsitz hat. Sie ist verantwortlich für die Kooperation mit anderen Behörden und das Treffen von Entscheidungen bezüglich der Auslegung der DSGVO. Die Behörden in den betroffenen Ländern fungieren hingegen als Kontrollorgan. Dies führte im Prozess gegen Google zu Unklarheiten, da hier die französische Datenschutzbehörde federführend war, obwohl Google seinen Hauptsitz in Irland hat (vgl. MLL-News vom 25.02.2019)
Fazit und Ausblick
Der Bericht des EDSA macht deutlich, dass die Anwendung der DSGVO nicht nur die Unternehmen, sondern auch die Aufsichtsbehörden vor finanzielle Herausforderungen gestellt hat. Bei vielen Behörden genügen die Mittel nicht, um die Flut der Fälle bewältigen zu können. Viele Staaten haben mittlerweile reagiert und stocken die Budgets ihrer Behörden auf, während andere immer noch an der Anpassung der nationalen Gesetze arbeiten.
Bekanntlich erfüllt ein grosser Teil der Unternehmen nach wie vor die Vorgaben der DSGVO noch nicht. Der Bericht verdeutlicht nun, dass der Anpassungsprozess auch bei den Aufsichtsbehörden noch nicht abgeschlossen ist. Folglich steht auf beiden Seiten noch viel Arbeit an.
Weitere Informationen:
- MLL-News vom 25.02.2019: Französische Datenschutzbehörde verhängt Rekordbusse gegen Google wegen DSGVO-Verletzung
- MLL-News vom 30.06.2017: EU-DSGVO-Umsetzungsfrist läuft am 25. Mai 2018 ab
- First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities – EDPB
- Neue Datenschutzregeln: mehr als 95.000 Beschwerden wegen Verstößen gegen Datenschutz – Bericht der EU Kommission
- Infografik der EU-Kommission: «GDPR in numbers«
