DSGVO: Datenschutzbehörden weiten ihre Kontrollen aus

Datenschutzbehörden haben sich nach dem DSGVO-Start im Mai 2018 mit Kontrollen noch zurückgehalten. Beratung stand im Fokus: Damit könnte es vorbei sein und Unternehmen werden sich auf härtere Zeiten einstellen müssen. Der baden-württembergische Landesbeauftragte für Datenschutz hat verstärkte Kontrollen im Jahr 2019 angekündigt und nannte die Branchen, die besonders im Visier stehen.

Gut ein halbes Jahr nach dem Inkrafttreten der Datenschutzgrundverordnung scheint sich so etwas wie ein Normalzustand einzupendeln. Zwar bestehen immer noch viele Unsicherheiten, doch bislang sind die prophezeiten Katastrophenszenarien ausgeblieben. Weder gab es größere Abmahnwellen noch wurden massenhaft Kleinunternehmen, Vereine oder Privatpersonen wegen Verstößen gegen die Datenschutzvorgaben von den Behörden belangt.

Diese und andere Datenschutzverstöße flogen schon auf 

Ganz DSGVO-untätig geblieben sind die Datenschutzbehörden allerdings auch bisher nicht und das ein oder andere Unternehmen musste unliebsame Bekanntschaft mit den deutlich verschärften Sanktionsmöglichkeiten machen.

Nach verstärkter Beratung nun verstärkte Datenschutz-Kontrollen angekündigt

Dennoch lag der Tätigkeitsschwerpunkt der zuständigen Datenschutzbehörden bislang eher bei Beratungsaktivitäten. Die Zahl dieser Beratungen hatte sich im letzten Jahr aufgrund des hohen Informationsbedarfs vervielfacht, was die meisten Behörden an ihre Kapazitätsgrenzen gebracht hatte.

So seien etwa angekündigte aber auch unangekündigte Kontrollen geplant, wobei er zugleich auch darauf hinwies, dass seine Behörde staatsanwaltliche Befugnisse habe und beispielsweise Unterlagen beschlagnahmt werden können. Kontrollen seien zudem auch ohne das Vorliegen konkreter Beschwerden möglich.

Social-Media-Unternehmen im Fokus

Ein Grund zur Panik sollte aber auch diese Ankündigung nicht sein. Zum einen lässt die personelle Ausstattung der Datenschutzbehörden nur eine überschaubare Anzahl von Stichproben zu, an eine flächendeckende Kontrolle ist dagegen eher nicht zu denken. So stellte auch Brink klar, dass man bei den Kontrollen Schwerpunkte setzen wolle. Kontrolliert werden sollen demnach vor allem:

  • Social-Media-Unternehmen
  • Unternehmen, die große Mengen an sensiblen Daten verwalten.

Vereine, die ebenfalls von den neuen Datenschutzvorschriften betroffen sind, und bei denen es in der Folge zu besonders großer Verunsicherung kam, sollen bei den Kontrollen dagegen nicht im Fokus stehen.

Es ist davon auszugehen, dass auch in den meisten anderen Bundesländern ähnliche Pläne zur Erhöhung der Kontrollaktivitäten vorliegen dürften.

Weitere News zum Thema:

Fragwürdiges Bußgeld wegen fehlendem Vertrag zur Auftragsverarbeitung

Erstes Bußgeld nach DSGVO

Datenschutzgrundverordnung im Überblick

Hintergrund:

Die von der DSGVO geregelten Datenschutzgrundsätze

Art. 5 DSGVO zieht aus dem Recht der EU-Bürger die Konsequenz und fordert von jedem Datenverarbeiter, bei der Verarbeitung personenbezogener Daten rechtliche Grundsätze zu beachten wie

  • den Grundsatz der Rechtmäßigkeit und Lauterkeit der Datenverarbeitung,
  • das Prinzip der Einwilligung des Betroffenen,
  • die umfassende Beachtung der Grundsätze von Treu und Glauben,
  • die absolute Wahrung der Integrität und Vertraulichkeit der erhobenen Daten,
  • die Bindung der Speicherung und Verarbeitung personenbezogener Daten an einen klar benannten Zweck,
  • die Speicherung dieser Daten nur in dem Umfang, der zur Zweckerreichung erforderlich ist (= Grundsatz der Datenminimierung),
  • den Grundsatz der Richtigkeit der erhobene Daten,
  • die Pflicht des Datenerfassers zur Rechenschaftslegung über den Umfang der gespeicherten Daten sowie über die Dauer der Speicherung,
  • die Verpflichtung, möglichen Pannen bei der Datenspeicherung vorzubeugen
  • sowie eingetretene Pannen und/oder Gesetzesverstöße sofort zu melden. 

Besonderer DSGVO-Schutz für besonders sensible Daten 

Der Verordnungsgeber sieht bestimmte Arten der Datenspeicherung als besonders gefährlich für die Betroffenen an. Dazu gehört insbesondere die Speicherung von Daten zum Zweck des so genannten Profiling. Unter Profiling wird versteht der Verordnungsgeber die Bewertung personenbezogener Daten für besonders heikle Aspekte wie

  • Arbeitsleistung,
  • wirtschaftliche Lage,
  • Gesundheit,
  • persönliche Vorlieben, Interessen,
  • Zuverlässigkeit
  • oder allgemein künftig zu erwartendes Verhalten des Betroffenen, Art. 4 Nr. 4 DSGVO.

Für die Bearbeitung solcher besonderer Kategorien personenbezogener Daten sieht Art. 9 DSGVO besondere Voraussetzungen für die Erteilung einer Einwilligung und die Erforderlichkeit der Verarbeitung vor.

Haufe Online Redaktion &
Schlagworte zum Thema:  Datenschutz-Grundverordnung, Datenschutz