Datenschutzbehörden sind am Anschlag und haben zuwenig Ressourcen

Die Datenschutzbehörden der Länder stoßen seit Einführung der DSGVO immer heftiger an ihre Kapazitätsgrenzen. Die seit Mai 2018 stark gestiegene Zahl von Beschwerden, Meldungen und Beratungsanfragen haben auch dazu geführt, dass verschiedene Aufgaben nur noch stark eingeschränkt wahrgenommen werden konnten. Bußgelder wegen Verstößen gegen die Datenschutzvorgaben wurden nur in Ausnahmefällen und nach Bundesländern sehr unterschiedlich verhängt .

Das ergibt eine  Umfrage des Datenschutzmagazin Privacy in Germany (PinG): Das Ergebnis deutet hin auf eine Implosionsgefahr bei den Landesdatenschutzbehörden aufgrund des seit dem letzten Jahr enorm gewachsenen Arbeitsaufwands. Das Magazin hatte dazu eine Umfrage unter allen 18 Aufsichtsbehörden durchgeführt, wobei allerdings nicht alle Behörden allerdings auf alle Fragen antworten konnten.

Meldungen zu Datenschutzverstößen haben sich vervielfacht

Besonders drastisch fiel nach der Umfrage der Anstieg bei den Meldungen von Datenschutzverstößen nach Art. 33 DSGVO (=Verletzung des Schutzes personenbezogener Daten) aus.

  • Spitzenreiter war hier etwa die Datenschutzbehörde Nordrhein-Westfalen, wo sich die Zahl dieser Meldungen mehr als verzwanzigfachte und im Jahr 2018 auf insgesamt 1.332 anstieg.
  • In Bayern fiel der Anstieg um den Faktor 18 von 136 auf 2.471 Meldungen ebenfalls dramatisch aus.
  • Allein in den ersten beiden Monaten dieses Jahres gingen in NRW erneut 500 Meldungen ein.
  • Auch bei den anderen Bundesländern war keine Entspannung der Lage zu erkennen.

Beispiele: Die Palette der Meldungen reicht dabei von Cyberattacken auf Unternehmen über schlecht verschlüsselte Rechner in Arztpraxen bis zu fehlversendeten Versicherungsschreiben.

DSGVO-Bußgelder bislang eher die Ausnahme

Das bislang höchste Bußgeld nach der DSGVO verhängte bislang die Aufsichtsbehörde in Baden-Württemberg. 80.000 Euro plus weitere 4.000 Euro Verfahrensgebühr musste ein Verantwortlicher zahlen, der in einer digitalen Publikation aufgrund unzureichender interner Kontrollmechanismen versehentlich Gesundheitsdaten veröffentlicht hatte.

  • Die meisten Ordnungswidrigkeitsverfahren leiteten ebenfalls die baden-württembergische Datenschutzbehörde ein, die 2018 auf insgesamt 128 Fälle kam.
  • Auf dem zweiten Platz liegen die Datenschützer aus NRW, die 36 Bußgeldbescheide versendete und einen Strafantrag stellte.
  • Noch keine Bußgelder nach den Vorgaben der neuen DSGVO wurden etwa in Bayern und Schleswig-Holstein verhängt.

Beschwerden und Beratungen: " 

Stark zugenommen hat bei den Datenschutzbehörden auch die Zahl der Beschwerden.

  • Hier verdoppelten bis verdreifachten sich die Zahlen mitunter, etwa in Bayern, wo die Zahl der Beschwerden pro Mitarbeiter von 60 auf 152 stieg.
  • In ähnlicher Größenordnung liegt auch der Anstieg der Beratungsanfragen.
  • Die Überlastung der Behörden führt auch dazu, dass gerade die Beratungstätigkeiten nur noch eingeschränkt angeboten werden können.

Keine schnelle Besserung in Sicht: Schuldenberg bzw. Arbeitsvorrat wächst stetig

Insgesamt erwarten die Datenschutzbehörden keine schnelle Besserung der Lage. Die hohe Last durch Meldungen, Beschwerden und Beratungsanfragen hat weitreichende Folgen und die Behörden konnten aufgrund der Überlastung einigen ihrer Aufgabe nicht mehr gerecht werden. So konnten etwa aufwändige Vor-Ort-Prüfungen zuletzt kaum noch durchgeführt werden.

Warnungen aus Bayern

Anlässlich der Vorstellung des achten Tätigkeitsberichts des Bayerischen Landesamt für Datenschutz warnt auch dessen Leiter, Thomas Kranig, mit drastischen Worten vor einer Dauerüberlastung seiner Behörde:

„Derzeit befinden wir uns in einer schier aussichtslosen Lage: Täglich gehen deutlich mehr Eingaben und Meldungen von Datenschutzverletzungen ein, als wir abarbeiten können, von der enormen Anzahl von Beratungsanfragen ganz abgesehen. Unser Schuldenberg bzw. Arbeitsvorrat wächst stetig, weshalb sich die Wartezeiten auf eine Rückmeldung von uns enorm verlängerte - zur Unzufriedenheit aller Beteiligten.“

Für den Fall, dass es für seine Behörde in den nächsten beiden Jahren keine einzige weitere Stelle geben wird, wie es der Vorschlag der Bayerischen Staatsregierung für den Doppelhaushalt 2019/2020 vorsieht, werde man die Prioritäten des Landesamts völlig neu ausrichten müssen, um den dringenden Anforderungen der DSGVO gerecht werden zu können. So müssten insbesondere die Beratungsaktivitäten für Vereine oder auch kleinere Unternehmen weitgehend eingestellt werden.

Weitere News zum Thema:

Ziele des neuen Datenschutzbeauftragten

Datenschutzbehörden haben erste Verfahren wegen Verstößen gegen die DSGVO eingeleitet

Auswirkung der Datenschutzgrundverordnung auf Website-Pflichten

Hintergrund: 

Bereits im Juli 2018 verhängte die portugiesische Aufsichtsbehörde eine Geldbuße von 400.000 EUR gegen ein Krankenhaus wegen eines Zugriffs auf Patientendaten.

Im Oktober 2018 verhängte die österreichische Datenschutzbehörde eine Geldbuße von 4.800 EUR wegen einer unzulässigen Videoüberwachung in einem öffentlichen Raum.

DSGVO-Sanktionen

Gemäß Art. 83 Abs. 4 DSGVO sind

  • Geldbußen bis 10 Millionen Euro bzw. bis 2 % des weltweiten Jahresumsatzes,
  • in schweren Fällen bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes möglich.

Die Abschreckungswirkung dieser enorm hohen Geldbußen soll von Anfang an dazu beitragen, die DSGVO möglichst schnell und nachhaltig zur Geltung zu bringen.

Bemessung der DSGVO-Sanktionen bei Verstößen

Art. 83 DSGVO regelt die möglichen Bußgelder bei Verstößen, für deren Bemessung verschiedene Faktoren,

  • wie die Art und Schwere eines Verstoßes,
  • die Empfindlichkeit der betroffenen Daten,
  • die vorsätzliche oder fahrlässige Begehung
  • sowie die Kooperation mit der Aufsichtsbehörde

eine entscheidende Rolle spielen können.

Schlagworte zum Thema:  Datenschutz-Grundverordnung, EU-Recht, Sanktion