Sieben Monate nach dem Start der EU-weiten Datenschutzgrundverordnung (DSGVO) ächzen Bayerns Datenschützer unter hoher Arbeitslast. Dabei befassen sich das Landesamt für Datensicherheit und der Landesbeauftragte für den Datenschutz weniger mit Verstößen auf Social-Media-Plattformen. Beide Stellen berichten, dass der am häufigst auftretene Vorfall für sie das Problem der Fehlkuveriterung sei: Briefe, die an falsche Empfänger gehen.
"Gerade, wenn es um Krankenhaus-Post geht, können sehr sensible Informationen betroffen sein", sagt Landesdatenschutzbeauftragter Thomas Petri. Seine Behörde kümmert sich um Datenschutz bei Ämtern und Behörden. Das Landesamt für Datenschutzaufsicht unter Präsident Thomas Kranig ist für Unternehmen und Vereine zuständig.
Die Bewertung der DSGVO fällt bei beiden ähnlich aus: Sie habe dazu beigetragen, das Anliegen des Datenschutzes bekannter zu machen. Kehrseite seien zwei überlastete Behörden. "Das Aufkommen hat sich mit der DSGVO fast verzehnfacht", sagt Kranig. "Wir bemerken viel Unsicherheit bei den neuen Regeln."
Einige "Zumutungen"
Ähnliches berichtet Thomas Petri. Rund tausend Meldungen habe seine Behörde in den vergangenen Monaten erreicht. Die DSGVO bewertet er trotzdem besser, als befürchtet. "Die DSGVO ist in sich stimmig." Allerdings weise sie "auch einige Zumutungen auf". Petri nennt die hohen Dokumentationsvorschriften, die vor allem kleine Unternehmen belasten. Andererseits: "Wenn man sich den Datenklau-Skandal ansieht: Eine Menge Daten wäre unangetastet geblieben, hätte die DSGVO gegolten."
Obwohl das inzwischen der Fall, habe sie bayernweit noch zu keinen Sanktionen geführt. Bürgern und Unternehmen sollen Zeit haben, sich an die Vorgaben zu gewöhnen. Kranig verweist auf die Diskussionen um Namen auf Klingelschildern: Das zeige, dass alle noch etwas Zeit brauchen. Beim Datenschutz sei auch der Kontext wichtig, in dem eine Verfehlung zustande gekommen sei, ergänzt Petri. Handele es sich um ein Versehen oder Unsicherheit, gebe es Schonfristen. Bei Vorsatz oder Fahrlässigkeit sei dies durchaus anders.
So sehen Vereine die Datenschutzgrundverordnung
Überprüfung möglich
Viel häufiger als echte Verstöße seien ohnehin Datenpannen wie der erwähnte falsch kuvertierten Brief. Und oft wenden sich Unternehmen, Vereine und Behörden auch nur zur Beratung an die Experten. Man wolle wissen, ob die eigenen Abläufe mit der DSGVO vereinbar seien. "In solchen Fällen gibt es natürlich keine Sanktionen", sagt Petri.
Allerdings schauen die Datenschützer, wie die Ratsuchenden mit den Tipps umgehen, was sie tun, um weitere Pannen zu verhindern. Und sie beobachten, welche Stellen scheinbar keinen Beratungsbedarf haben. Wer sich nie erkundigt, könne sich schon mal auf eine baldige Prüfung einstellen.
Beispiele :
400000 Euro Strafe: Datenschutz in Portugal
Ein portugiesisches Beispiel für einen heftigen Verstoß samt großer Strafe macht unter Datenschützern gerade die Runde: Dort musste jüngst ein Krankenhaus 400 000 Euro Strafe bezahlen. In dem Haus arbeiten rund 250 Ärzte, Zugang zu den Patientendaten hatte das Haus aber an über 900 Personen ausgegeben. „Jeder, der wollte, hatte Zugang“, sagt Bayerns Datenschutzbeauftragter Thomas Petri. In Deutschland habe er von solchen Fällen bislang nicht gehört.
Um Kommentare verfassen zu können, müssen Sie sich anmelden.
Bitte beachten Sie unsere Nutzungsregeln.