Implodierende Aufsichtsbehörden
Autor: Christiane Schulzki-Haddouti Erstellt am: 29. März 2019 Rubrik: Datenschutzbehörde, Datenschutzrecht, SanktionenDie Datenschutz-Aufsichtsbehörden der Länder drohen unter der Last der Beschwerden, Meldungen und Beratungsanfragen zu implodieren. Seit Jahren sind sie personell chronisch unterbesetzt, mit Einführung der Datenschutz-Grundverordnung haben sich Arbeitsbedingungen seit Mai 2018 noch einmal drastisch verschlechtert.
Die Meldungen von Datenschutzverletzungen sind um den Faktor 7 bis 22 in die Höhe geschnellt. Die Beschwerden haben sich um den Faktor 2 bis 3 erhöht. Die Anzahl der Beratungen ebenfalls. Im Ergebnis mussten einige Aufsichtsbehörden bereits ihre Beratungen erheblich einschränken. Sanktionen gab es hingegen bislang kaum welche, Vor-Ort-Prüfungen konnten kaum durchgeführt werden. Die Aufsichtsbehörden befinden sich in einer Art Dauer-Ausnahmezustand.
Das ist das Ergebnis einer Umfrage von PinG unter allen 18 Aufsichtsbehörden. Lediglich Sachsen-Anhalt, Thüringen und Bayern für den öffentlichen Bereich reagierten auf die Anfrage nicht. Heinz Müller, Leiter der Datenschutzaufsicht von Mecklenburg-Vorpommern entschuldigte sich damit, dass „aufgrund des hohen Beratungsbedarfs“ und aufgrund der „derzeitigen personellen Ausstattung“ eine Antwort nicht möglich sei.
Die Zahl der Meldungen von Datenschutzverletzungen ist „explosionsartig“ gestiegen
Der Umfang der nach Artikel 33 DS-GVO verlangten Meldung von Datenschutzverletzungen ist eklatant: In Berlin etwa hat sich die Zahl der Meldungen um den Faktor 7 auf 357 erhöht, in Bayern um den Faktor 18 auf 2471 Meldungen und in Nordrhein-Westfalen sogar um den Faktor 22 auf 1332 im Jahr 2018. Allein in den ersten zwei Monaten dieses Jahres gingen in der nordrhein-westfälischen Behörde 500 weitere Meldungen ein – 2019 wird aller Voraussicht nach den Meldeeingang von 2018 um ein Vielfaches toppen. Die Berliner Datenschutzbeauftragte Maja Smoltcyk stellt jedenfalls in ihrem Tätigkeitsbericht fest: „Ein Rückgang ist nicht erkennbar.“
Überraschend kam die Entwicklung nicht. So schreibt Thomas Kranig, Leiter der Bayerischen Datenschutzaufsicht (BayLDA) für den nicht-öffentlichen Bereich in seinem ersten Tätigkeitsbericht nach der DS-GVO: „Trotz aller Vorbereitungen trat dann doch ein, was eintreten musste: ‚Die Zahl der Meldungen zu Datenschutzverletzungen explodierte förmlich.‘“ Während 2017 nur 136 Meldungen erstattet wurden, waren es 2018 2471. An manchen Tagen werden über 30 Vorfälle gemeldet, „von Cyberattacken auf bayerische Unternehmen, verschlüsselte Rechner in Arztpraxen bis hin zu fehlversendeten Versicherungsschreiben“.
Es ist davon auszugehen, dass die Qualität der Meldungen eine andere ist als die von Beschwerden: Während Bürgerbeschwerden oftmals von Laien eingereicht werden, dürften Unternehmensmeldungen vielfach bereits eine erste fachliche Überprüfung durch den internen Datenschutzbeauftragten durchlaufen haben.
Die Bremer Datenschutzbeauftragte Imke Sommer weist darauf hin, dass bei Beschwerden „Beschwerdeführende dahinterstehen, die über den Stand auf dem Laufenden gehalten werden.“ Außerdem müssten die Beschwerden bearbeitet werden, während die Bearbeitung von Meldungen nach Art. 33 im Ermessen der Aufsichtsbehörden liege – „vor allem dann, wenn die Meldenden schon alles richtig gemacht haben, ist es für den Grundrechtsschutz im Land besser, die knappen Personalressourcen für andere Dickschiffe zu verwenden. Es gebe zudem einen „Angst-Faktor auf Verarbeiterseite, den die DSGVO-Panik erzeugt hat“, der dazu führe, dass „lieber einmal zu viel als einmal zu wenig“ gemeldet wird.
„Grundsätzlich dürfen die durch die Meldung erhaltenen Informationen nicht dazu genutzt werden, die der Meldung zugrunde liegende Datenschutzverletzung zu sanktionieren“, betont Maja Smoltcyk im Tätigkeitsbericht. Allerdings könnten mehrfache gleichgelagerte Verstöße, „insbesondere solche, die auf strukturelle Mängel beim Verantwortlichen zurückgeführt werden können“ zu Betriebsprüfungen führen. In einem Fall in Baden-Württemberg führte eine Meldung bereits zu einem Bußgeldbescheid in Höhe von 20.000 Euro, der gegen den Social-Media-Anbieter knuddels.de verhängt wurde. Durch einen Hackerangriff waren im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden. Knuddels hatte die Passwörter im Klartext gespeichert, um einen Passwortfilter zu nutzen. Damit hatte es laut Aufsicht „wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten“ (Art. 32) verstoßen. Einschließlich der Geldbuße musste das Unternehmen einen Gesamtbetrag im sechsstelligen Euro-Bereich aufwenden, um angemessene und aktuelle IT-Sicherheitsmaßnahmen umzusetzen. Die baden-württembergische Aufsicht betonte dabei, dass in „konstruktiver Zusammenarbeit“ mit dem Unternehmen „umfangreiche Verbesserungen“ bei der Sicherheit der Nutzerdaten erreicht wurden.
Bußgelder als Ausnahmefall
Stefan Brink, der die Aufsichtsbehörde in Baden-Württemberg leitet, hat auch das bislang höchste Bußgeld nach der DS-GVO in Deutschland verhängt: 80.000 Euro zuzüglich einer Verfahrensgebühr von 4.000 Euro gegen einen Verantwortlichen, der bei einer digitalen Publikation aufgrund unzureichender interner Kontrollmechanismen versehentlich Gesundheitsdaten veröffentlicht hatte. Die Berliner Datenschutzbehörde verhängte Ende März ebenfalls ein Bußgeld im fünfstelligen Bereich, will jedoch bis zur Rechtskräftigkeit dazu keine weiteren Angaben machen.
Mit der DS-GVO hat sich der Bußgeldrahmen erweitert und die Anzahl der Bußgeldtatbestände erhöht. Die baden-württembergische Aufsichtsbehörde leitete 2018 insgesamt 138 Ordnungswidrigkeitsverfahren ein und ist damit bundesweit Spitze. Die nordrhein-westfälische Aufsichtsbehörde steht an zweiter Stelle mit 52 Bußgeldverfahren nach der DS-GVO sowie 36 Bußgeldbescheiden und einem Strafantrag. Sachsen leitete 56 Ordnungswidrigkeitsverfahren ein und musste 4 Verfahren einstellen. Bußgelder wurden bislang keine verhängt. Das Saarland leitete drei Bußgeldverfahren ein, ein Bußgeldbescheid (unter 300 Euro) ist bereits rechtskräftig. Berlin, Brandenburg, Rheinland-Pfalz leiteten 2018 jeweils zwei Bußgeldverfahren ein.
Schleswig-Holstein hat bisher nach der DS-GVO kein Bußgeldverfahren abgeschlossen und noch kein Bußgeld verhängt. Auch Bayern hat bisher keine Bußgelder verhängt, weil vorrangig noch Altfälle nach BDSG-alt bearbeitet wurden. Die bremische Datenschutzbeauftragte Imke Sommer kam ebenfalls noch nicht dazu und begründet das in ihrem jetzt vorgestellten Tätigkeitsbericht damit, dass „zum deutlichen quantitativen Anstieg der Beschwerden, Anzeigen, Meldungen von Datenschutzverletzungen und sonstigen Aufgaben“ hinzukäme, „dass die Verfahren nach der DSGVO erheblich länger dauern, weil jeder Einzelfall, in dem eine Verletzung datenschutzrechtlicher Vorschriften festgestellt wird, eine bußgeldrechtliche Entscheidung nach sich zieht.“ Im Moment sei es ihr aufgrund des personellen Notstands nur möglich „einen kleinen Bruchteil der ihr nach der DS-GVO obliegenden Aufgaben zu erfüllen“.
„Keine Angaben“
PinG hatte sich bei allen Behörden danach erkundigt, wie viele Bußgelder verhängt wurden in Höhe von bis zu 300 Euro, 3 000 Euro, 10.000 Euro, 300 000 Euro und 3 Mio. Euro. In der Regel gaben die Behörden nichts über die Höhe der einzelnen Bußgeldbescheide bekannt. Allein Hamburg teilte mit, ein Bußgeld in Höhe von 500 Euro, ein Bußgeld in Höhe von 5.000 Euro sowie ein Bußgeld in Höhe von 20.000 Euro verhängt zu haben. Als einzige Datenschutzaufsicht gab Hessen an, überhaupt „keine Angaben“ zur Anzahl der Bußgeldverfahren nach der DS-GVO sowie zur Höhe der verhängten Bußgelder machen zu wollen. Auch gab es keine Auskunft dazu, wie viele Einsprüche es gab und wie oft daraufhin Verfahren eingestellt wurden.
Die Aufsichtsbehörden lassen sich also nur ungern in die Karten sehen. Aus den Umfrageergebnissen ist nicht abzusehen, mit welchen Sanktionen Unternehmen für welche Verstöße rechnen müssen. Nur in den wenigsten Fällen wie zu knuddels.de gibt es überhaupt eine öffentliche Mitteilung. Anders als wie in den Niederlanden gibt es keinen gemeinsamen Bußgeldkatalog in Deutschland, der etwa abstrakte Entscheidungskriterien aufstellen würde. Die niederländische Behörde hat vor kurzem einen Katalog veröffentlicht, mit dem sie den Bußgeldrahmen nach vier Kategorien unterteilt. Noch im Laufe dieses Jahres wollen sich die Aufsichtsbehörden in der Datenschutzkonferenz sowie im europäischen Datenschutzausschuss über eine einheitliche Anwendung der Sanktionsbestimmungen verständigen.
Anhaltspunkte für Kriterien
Aus den neuen Tätigkeitsberichten in Bayern, Berlin und Bremen, die Ende März 2019 veröffentlicht wurden, gehen vereinzelt Kriterien hervor: Aus den bayerischen Prüffragen zum Patchmanagement bei WordPress-Websites und Magento-Webshops beispielsweise wird deutlich, dass es in Bayern keine Bußgelder wegen fehlender SSL-Zertifikate oder einmaliger Sicherheitslücken geben soll. Die bayerische Datenschutzbehörde will jedoch Wiederholungsfälle ahnden, wenn Website-Betreiber nachweislich wider besseres Wissen ihre Software nicht auf dem aktuellsten Stand halten und damit eigentlich vermeidbare Sicherheitslücken riskieren. Ein wesentliches Kriterium ist auch die Kooperationsbereitschaft der verantwortlichen Datenverarbeiter, was etwa den Willen zur rückhaltlosen Aufklärung von Datenpannen anbelangt. Diese kann wie im Fall knuddels.de sich auf die Höhe der Sanktionen mildernd ausüben.
Überrollt von Bürgereingaben und Beratungsanfragen
Alle Aufsichtsbehörden berichten über ein stark gestiegenes Beschwerdeaufkommen. In Berlin beispielsweise vervierfachte sich im vergangenen Jahr das Aufkommen im Vorjahresvergleich. Das BayLDA rechnet vor, dass die Zahl der Beschwerden pro Mitarbeiter von 60 auf 152 stieg. In Nordrhein-Westfalen verdreifachten sich die Eingabezahlen von 4.400 im Jahr 2017 auf 12.000 im Jahr 2018. Tendenz steigend: Allein in den ersten sechs Wochen 2019 gingen 2.500 Eingaben ein. Die Eingaben umfassen schriftliche Beschwerden und Beratungsanfragen.
Angesichts des erheblich gewachsenen Beratungsbedarf zeichnet sich eine Änderung der Beratungspraxis ab, zumal einige Aufsichtsbehörden ihre Beratungstätigkeiten bereits erheblich eingeschränkt haben. Etliche Behörden erfassen die Zahl der Beratungsanfragen nicht, doch die verfügbaren Zahlen zeigen einen deutlichen Zuwachs. Das BayLDA zeigt sogar die Belastung pro Mitarbeiter: Fielen auf eine Person im Jahr 2014 noch 176 Beratungsanfragen, waren dies im Jahr 2018 schon 384.
Bayern, Schleswig-Holstein und Niedersachsen schränkten bereits Beratungstätigkeit ein. Die Berliner Behörde machte klar, dass „bei Weitem nicht mehr alle Anfragen sachgerecht beantwortet“ werden können und erforderliche Prüfungen „kaum noch machbar“ seien. Insgesamt wurden im vergangenen Jahr in Berlin 55 Beratungen von interessierten Unternehmen durchgeführt. Die zweimal monatlich stattfindende Startup-Sprechstunde der Berliner Aufsicht ist auf drei Monate im Voraus ausgebucht. Ob die Beratung für Start-up-Unternehmen im Jahr 2019 weiterhin angeboten werden kann, ist derzeit ungewiss. Inzwischen diskutieren die Behördenleiter „intensiv“, ob Beratungen eigentlich nach der DS-GVO Pflicht sind, berichtet BayLDA-Leiter Thomas Kranig in seinem ersten Tätigkeitsbericht nach der DS-GVO.
Prägende Neuerungen
In den Antworten der Aufsichtsbehörden auf unsere Umfrage wurden zwei Themen am Rande angesprochen, die mittelfristig die Arbeitsstrukturen in den Aufsichtsbehörden prägen werden. Dabei handelt es sich zum einen um die Datenschutzfolgenabschätzungen, zum anderen die Kooperation in Europa.
Die Datenschutz-Folgenabschätzung müssen Unternehmen für bestimmte Verarbeitungen vornehmen, bei denen ein hohes Grundrechtsrisiko anzunehmen ist. Auf Verlangen ist sie den Aufsichtsbehörden vorzulegen, die diese prüfen müssen. Die deutschen Aufsichtsbehörden haben sich dazu bereits über eine Muss-Liste verständigt. Noch ist ungeklärt, welche Methoden für die Durchführung einer Datenschutz-Folgenabschätzung anerkannt werden. Dem Vernehmen nach befindet sich eine erste Datenschutz-Folgenabschätzung bereits in Prüfung, wobei über die Prüfmethoden bislang wenig bekannt ist.
Auf europäischer Ebene wurde darüber noch keine Entscheidung getroffen. Der Blick in den Tätigkeitsbericht der BayLDA zeigt, dass drei Methoden im Moment in Diskussion sind. So empfiehlt das BayLDA eine Anwendung der ISO-Norm 29134, „wobei die gesetzlichen Anforderungen der DS-GVO vorrangig zur ISO-Norm umzusetzen sind“. Das vom „Forum Privatheit“ bevorzugte Standard-Datenschutzmodell (SDM) wird vom BayLDA „als geeignet“ angesehen, „sofern der Security-Ansatz durch weitere Methoden (z. B. IT-Grundschutz oder ISO 27001) berücksichtigt wird“. Akzeptiert wird überdies die Methode der französischen Aufsichtsbehörde CNIL, „sofern die nicht-sicherheitsbasierten Grundsätze angemessen und wirksam nachgewiesen werden“.
Die Zusammenarbeit mit anderen europäischen Aufsichtsbehörden im One-Stop-Shop-Verfahren gestaltet sich aufwändig: Die Berliner Datenschutzbehörde etwa berichtet über „komplizierte, arbeits- und zeitintensive Abstimmungsverfahren mit den anderen Aufsichtsbehörden, die zudem in englischer Sprache und unter strengen Fristen geführt werden müssen“. Zwar wurde hierfür eine neue „Servicestelle Europaangelegenheiten“ geschaffen, doch die Anzahl der abstimmungsbedürftigen Fälle überträfe „alle Erwartungen“.
Die Abstimmung bei grenzüberschreitenden Sachverhalten erfolgt über das Binnenmarkt-Informationssystem (IMI). Seit dem Wirksamwerden der DS-GVO wurden im Jahr 2018 rund 500 Fälle in das IMI eingestellt. Sämtliche Fälle mussten in der Servicestelle Europaangelegenheiten auf eine mögliche Zuständigkeit der Berliner Datenschutzbeauftragten geprüft werden, wobei in über 150 Fällen eine Zuständigkeit bejaht wurde. Das BayLDA sah sich in 193 Fällen betroffen. Laut Aussage des Bundesdatenschutzbeauftragten, der das IMI pflegt, wurden bis zum 24.Januar 2019 von deutschen Aufsichtsbehörden insgesamt 331 Verfahren in das IMI eingestellt.
Schwache Statistikführung
Abschließend bleibt festzustellen, dass die 17 deutschen Datenschutz-Aufsichtsbehörden, die für Unternehmen zuständig sind, auch im ersten Jahr der DS-GVO noch immer keine gemeinsame Sprache in Sachen Statistik gefunden haben. Der vor geraumer Zeit gescheiterte Versuch, zu einer Vereinheitlichung der Systematik der Tätigkeitsberichte zu finden, ist jedoch wieder in kleinerem Rahmen wieder aufgelebt: So hat sich „etwa die Hälfte“ der Aufsichtsbehörden, wie Thomas Kranig berichtet, darauf verständigt, in einem Kapitel „Zahlen und Fakten“ statistische Angaben in einem einheitlichen Format darzustellen. Wer diese Behörden sind, ist noch nicht bekannt. Berlin und Bremen haben jetzt ihre Tätigkeitsberichte vorgestellt: Demnach gehört Bremen dazu, Berlin nicht.
Noch befremdlicher als die geringe Bereitschaft zu einer einheitlichen Statistik ist es, wenn Datenschutzbehörden, wie jetzt in unserer Umfrage geschehen, gar keine oder unvollständige Angaben zu zentralen Punkten wie Bußgeldverfahren machen. Das ist nicht nur angesichts der langen Vorbereitungszeit auf die DS-GVO, sondern auf mit Hinblick darauf, dass die meisten Amtsleiter in Personalunion auch das Thema „Informationsfreiheit“ vertreten, nur schwer nachvollziehbar. Das betrifft nicht nur die meisten ostdeutschen Aufsichtsbehörden, sondern leider mit Hessen auch die älteste Datenschutzaufsicht Deutschlands, die zuletzt durch eine ausgefeilte Aktenführung positiv auffiel. Spätestens 2020 wollen alle deutschen Aufsichtsbehörden zu einer einheitlichen Statistik finden. Man darf gespannt sein.
Rubrik: Datenschutzbehörde, Datenschutzrecht, Sanktionen Stichwörter: Beschwerden, Meldungen, Tätigkeitsberichte