Sechs Monate DSGVO – ein Zwischenfazit

23.11.2018, Markus Gronemann

Genau sechs Monate ist es heute her, dass die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ innerhalb der EU anzuwenden ist.

Was bisher geschah

Viel wurde im Vorfeld darüber geschrieben und jeder Artikel der DSGVO genau analysiert und teils auch sehr unterschiedlich interpretiert. Das führte unweigerlich auch zu einer Reihe von Kuriositäten. E-Mail-Postfächer wurden – großteils völlig unnötig – von panikartigen, teilweise sogar flehenden Mails überflutet, in denen darum gebeten wurde den diversen Newslettern doch bitte weiterhin die Treue zu halten. Als Firma wurde man – ebenfalls nicht immer nur aus rechtlicher Notwendigkeit – von Geschäftspartnern darum gebeten, Auftragsdatenverarbeitungsverträge zu unterzeichnen; ganz egal ob man im Namen des Unternehmens überhaupt Daten verarbeitet oder nicht. Und in Wien wurde damit begonnen, die Namen von Klingelschildern in allen Gemeindebauten zu entfernen. Sicher ist sicher. Zu groß war die Angst vor existenzbedrohenden Strafen und davor, ein wichtiges Element der DSGVO-Umsetzung übersehen zu können.

Medien und Interessensvertretungen wie die Wirtschaftskammer taten ihr Übriges dazu, das Thema in den Wochen und Monaten vor dem 25. Mai in den Fokus zu rücken. Die Wirtschaftskammer stelle umfangreiche Informationen und Vorlagen zur Verfügung, die auch wirklich gut ausgearbeitet und für viele Firmen hilfreich waren; teilweise fühlten sich manche dadurch aber auch zu gut informiert und schickten die eine oder andere Vorlage gleich einmal an Geschäftspartner, ohne überhaupt eigene Daten oder Textbausteine einzufügen.

Kurz bevor die DSGVO auch in Österreich zur Anwendung kam, entschloss sich die Regierung jedoch dazu sie über das Datenschutz-Deregulierungs-Gesetz 2018 vom 20. April massiv zu entschärfen, was auch die EU-Kommission nicht kommentarlos hinnahm. Im österreichischen Datenschutzgesetz heißt es so nun etwa wörtlich in § 11: „Die Datenschutzbehörde wird den Katalog des Art. 83 Abs. 2 bis 6 DSGVO so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird. Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.“ – das Motto lautet also verwarnen statt Strafen, zumindest bei Erstverstößen.

Abmahnungen, Verfahren und erste Entscheidungen der Datenschutzbehörden

Die erste Berufssparte, die sich teilweise bereits am 25. Mai dazu bemüßigt fühlte die Einhaltung der DSGVO einzufordern waren wenig überraschend Abmahnanwälte, vor allem in Deutschland, die sich vor allem über fehlende Datenschutzerklärung, die Verwendung von Google Analytics ohne Opt-out Möglichkeit oder das ungefragte setzen von Cookies monierten und hier Wettbewerbsvorteile gegenüber dem Mitbewerb sahen.

Der ersten öffentlich bekanntgewordene Spruch der Datenschutzbehörde in Österreich erfolgte dann am 21. Juni 2018, und betraf die Raiffeisenbank Wien-Niederösterreich. In deren Online-Banking-System waren jeweils nur die Kontoauszüge der vergangenen 12 Monate einsehbar, für ältere Datensätze wollte die Bank gerne 30 Euro pro Jahr in Rechnung stellen; die Anfrage eines Kunde, der versuchte seine bisherigen Auszüge im Rahmen eines Auskunftsbegehrens zu erhalten wurde schlichtweg ignoriert, was zu einer Beschwerde bei der Datenschutzbehörde führte. Nachdem die Behörde sich die Standpunkte beider Parteien angehört hatte fällte sie eine Entscheidung: Die Raiffeisenbank habe ihre Auskunftspflicht nicht erfüllt. Zudem sei es nicht "exzessiv", alle Kontoauszüge zu verlangen.

Die erste große DSGVO-Sanktion erfolgte dann einige Monate später in Portugal: die lokale Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados) hat das Krankenhaus Barreiro Montijo in Barreiro zu einer Geldstrafe von 400.000 Euro verurteilt, da Patientendaten dort nicht ausreichen geschützt gewesen seien. Grund dafür waren zu wenig restriktiv konfigurierte Benutzerprofile in einer eingesetzten Software, in der auch Benutzer mit dem Profil „Techniker“ Zugriff auf sensible Patientendaten hatten. Darüber hinaus seien in dem System insgesamt 985 aktive Benutzer mit einem Profil „Arzt“ registriert, obwohl 2018 lediglich 296 Ärzte eingeteilt worden seien. Das Krankenhaus habe die Diskrepanz mit temporären Profilen im Rahmen eines Dienstleistungsvertrags zu erklären versucht und hat angekündigt, gegen die Entscheidung gerichtlich vorgehen zu wollen.

In Deutschland kam es erst vor wenigen Tagen zur ersten großen Verhängung eines Bußgeldes in Höhe von 20.000 Euro durch den Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) in Baden-Württemberg, die für dieses Bundesland zuständige Aufsichtsbehörde. Betroffen war der Betreiber der Webseite knuddels.de, einem seit 1999 tätigen Chatportal, das vor allem minderjährige Benutzer/innen als Zielgruppe hat. Am 8. September war eine Liste von 1,87 Millionen Benutzerdatensätzen, bestehend aus Benutzername auf der Plattform, dem verwendeten Passwort im Klartext und – in 57% der Fälle – auch der zugehörigen E-Mail-Adressen im Internet aufgetaucht, die mutmaßlich von einem Hacker-Angriff stammte. Die verhältnismäßig geringe Bußgeldzahlung wurde vom LfDI ebenfalls umfassend begründet:

Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

In Österreich gab es in den vergangenen sechs Monaten laut einem aktuellen Bericht des ORF-Magazins „Report“ bisher Mehr als 1.000 Beschwerden an die Datenschutzbehörde, bislang wurden jedoch erst drei Strafen in Höhe von 300 bis 4.800 Euro verhängt.

Was die Zukunft bringt

Einen großen Vorteil, den die DSGVO schon heute gebracht hat ist, dass durch die vermehrte Berichterstattung in den Medien und die Konfrontation mit dem Thema im Alltag, etwa im Geschäftsverkehr, in den Köpfen der Menschen ein größeres Bewusstsein für das Thema geschaffen wurde. Es wird nun häufiger hinterfragt, inwieweit Daten eigentlich erhoben werden müssen und was mit diesen Daten dann weiterhin passieren wird.

Das letzte Wort ist natürlich auch bei der „österreichischen Lösung“ zur DSGVO noch nicht gesprochen. Vera Jourová, EU-Kommissarin für Justiz und Konsumenten, hat hier ja bereits am 8. Mai ihren Unmut über die Anpassungen zum Ausdruck gebracht und laut Einschätzung des Verfassungsdienstes im Justizministerium ist sogar ein Vertragsverletzungsverfahren der EU gegen Österreich möglich. Datenschutzexperten gehen jedenfalls davon aus, dass das Gesetz – auch auf Druck von Brüssel – an wieder an die DSGVO angepasst werden muss, fraglich bleibt, ob es dann eine erneute Übergangsfrist geben wird, oder ob Verstöße dann sofort entsprechend durch die Datenschutzbehörde geahndet werden.

Der österreichische Datenschützer Max Schrems hat mit seinem Non-Profit-Unternehmen NOYB, dem Europäischen Zentrum für digitale Rechte bereits am 25. Mai Beschwerde gegen die Produkte Android (Google/Alphabet), und Facebook, Instagram sowie WhatsApp (Facebook Inc.) bei unterschiedlichen europäischen Datenschutzbehörden eingelegt, um gegen die erzwungene Zustimmung zu deren Datenschutzbestimmungen vorzugehen. Entscheidungen sind in diesen Fällen noch ausständig.

Auch andere Entscheidungen der Datenschutzbehörden in Fällen die große Konzerne wie Facebook, Google, und Amazon betreffen (alle drei Unternehmen hatten in den letzten Wochen und Monaten mit teils massiven Datenpannen zu kämpfen) werden in den kommenden Monaten richtungsweisend sein – nicht nur für die Judikatur und die zukünftige Beratung von Unternehmen bei der Umsetzung der DSGVO, sondern auch für die Wahrnehmung der Thematik bei Bürgern und Unternehmern: sollten die großen, global tätigen Konzerne hier glimpflich davonkommen, wäre dies ein deutliches Signal dafür dass die DSGVO gerade jene, die besonders verantwortungsvoll mit den Massen an von ihnen erhobenen und verarbeiteten Daten umgehen sollten, nicht im vorgesehenen Ausmaß betrifft.