Zwei Jahre DSGVO: Zwischen hohen Strafenandrohungen, Unwissenheit und Überforderung Gastkommentar von Dr. Markus Knasmüller, Geschäftsführer BMD Systemhaus GesmbH Steyr, 18. Mai 2020 - Am 25. Mai ist es genau zwei Jahre her, dass die DSGVO in Kraft ist. Für viele ein Thema, das noch immer mit Angst besetzt ist. So wichtig Datenschutz ist (wie gerade aktuell die Debatten um die Corona App oder das Ergänzungsregister zeigen), so umstritten ist die DSGVO. Stichworte dafür sind  die hohen Strafen, der bürokratische Aufwand aber auch noch immer die vielen Unsicherheiten, wie die Verordnung zu interpretieren sei. Beratung geht vor Strafe Tatsächlich sind die hohen Strafandrohungen (bis zu 20 Millionen Euro, bei internationalen Konzernen sogar noch deutlich mehr) derzeit eher ein Schreckgespenst: Denn zumindest in Österreich geht eindeutig „Beraten“ vor „Strafen“. Dies, obwohl Österreich europaweit einerseits sogar die allererste Strafe auf Grund der DSGVO verhängt hat (auf Grund einer nicht erlaubten Videoüberwachung). Andererseits ist Österreich - laut einer Studie von DLA Piper - in Summe jenes Land mit den dritthöchsten Strafen. Die hohe Gesamtsumme beruht allerdings fast ausschließlich auf der – noch nicht rechtskräftigen – 18-Millionen-Euro-Strafe gegen die österreichische Post auf Grund der Speicherung von möglichen Parteiaffinitäten. Noch kein Grund zur Entspannung Fakt ist, dass in Sachen DSGVO kein Grund besteht, sich entspannt zurückzulehnen. Denn die exorbitant hohe Strafe gegen die Post, aber auch eine 50.000 Euro Strafe gegen eine „Allergie-Klinik“ (also gegen ein eher kleineres Unternehmen) auf Grund diverser Vergehen (kein Datenschutzbeauftragter, unterlassene Information an die Personen deren Daten verarbeitet werden, …) verdeutlichen, dass im Einzelfall die Datenschutzbehörde auch schmerzhafte Strafen verhängt. Viele Länder strafen strenger International sind hohe Strafen beinahe schon an der Tagesordnung, etwa 9,5 Millionen Euro gegen einen deutschen Telekommunikationsdienstleister auf Grund von unerlaubter Herausgabe von Daten oder 14,5 Millionen Euro gegen das Unternehmen „Deutsches Wohnen“, weil veraltete Daten nicht gelöscht worden waren. Auch in anderen Ländern wurden durchaus hohe Strafen verhängt, etwa 645.000 Euro in Polen gegen eine Firma, die von einem Hackerangriff auf Grund eines Datenlecks betroffen war (unzureichende Schutzmaßnahmen) oder 500.000 Euro in Frankreich, weil in einem CRM-System unnötigerweise Daten über den Gesundheitszustand von angerufenen Personen gespeichert waren. Abgesehen davon drohen bei entsprechenden Verletzungen auch Schadenersatzklagen von Betroffenen, die – insbesondere bei vielen Betroffenen in Summe – vielfach sogar noch finanziell höher als etwaige Strafen ausfallen könnten. Zwei Drittel der österreichischen Unternehmen arbeiten noch an Umsetzung Insofern machen aktuelle Studien bezüglich des immer noch geringen Umsetzungsgrades der DSGVO bei österreichischen Unternehmen nachdenklich. Etwa eine Studie von Deloitte nach der immer noch zwei Drittel der Unternehmen mitten in der Umsetzung der DSGVO stecken, oder eine TÜV-Studie nach der 42 % der Mitarbeiter noch nie eine Datenschutzschulung erhalten haben. Klar, oft reicht der gesunde Menschenverstand um zu wissen, wie mit konkreten personenbezogenen Daten umzugehen ist. Aber angesichts von verschiedenen Verpflichtungen, wie etwa dem Führen eines Verarbeitungsverzeichnisses, dem Recht auf Information und Auskunft oder der Meldepflicht einer etwaigen Datenschutzverletzung ist doch neben viel bürokratischem Aufwand auch umfassendes Wissen notwendig. Auch große Betriebe oft überfordert Diese überfordern oft sogar große Betriebe, aber natürlich insbesondere KMUs. Dazu kommt, dass die DSGVO eben nicht an konkrete Anwendungsfälle gekoppelt ist. Das lässt sehr viel Interpretationsspielraum offen und zeitverzögert schaffen hier die Entscheidungen der Behörden Rechtssicherheit. Von besonderer Bedeutung sind hier natürlich die der österreichischen Datenschutzbehörde (DSB). Im eben veröffentlichten Datenschutzbericht für das Jahr 2019 sind dabei etwa die wichtigsten angeführt. Probleme im Detail So ist etwa das Verwenden von Grundbuchdaten für einmalige Werbezwecke durchaus zulässig. Werden diese aber öfter genutzt (im konkreten Falle waren es dreimal in einem Jahr, davon zweimal innerhalb eines Monat) so ist dies überschießend. Auch ist interessant, dass sensible Online-Portale, wie Online-Dating-Portale jedenfalls ein Double-Opt-In-Verfahren für die Anmeldung implementieren müssen (also nur die Angabe einer E-Mail-Adresse reicht nicht) oder das die automatisierte Kennzeichenerfassung bei einer Parkgarage zulässig ist. Ferner meint die DSB, dass eine Notwendigkeit einer verschlüsselten Übertragung von personenbezogenen Daten aus der DSGVO nicht ableitbar ist. Recht auf Auskunft mit Fragezeichen Abschließend vielleicht noch ein paar Worte zur möglicherweise aufwendigsten Vorschrift der DSGVO, dem Recht auf Auskunft. Jeder kann so von jedem Unternehmen erfahren, welche Daten über sich gespeichert werden, woher die stammen und sogar eine Kopie dieser Datensätze verlangen. Wie tiefgehend dieses Recht wirklich ist und wie die konkrete Identität nachgewiesen wird, ist teilweise noch offen. Entscheidungen gibt es aber schon in die Richtung, dass nach einer Anfrage nicht einfach die Daten gelöscht werden dürfen, um dann zu sagen, dass sowieso keine verarbeitet werden. Eine andere wichtige Entscheidung ist, dass Verfahren der Datenschutzbehörde wegen Nichterfüllung der Auskunftspflicht eingestellt werden, wenn während des Verfahrens die Auskunft erteilt wird.