Die seit Mai vergangenen Jahres geltenden neuen EU-Datenschutzregeln entfalten ihre Wirkung, auch in Baden-Württemberg. Die obersten Datenschützer machen nun Ernst - und suchen gezielt nach Verstößen.

Stuttgart - Landesdatenschützer Stefan Brink will verstärkt nach möglichen Datenschutzverstößen im Südwesten fahnden. „2019 wird das Jahr der Kontrolle“, sagte er am Montag in Stuttgart. Ende Mai 2018 war die Datenschutz-Grundverordnung der EU in Kraft getreten. Damit wird im Kern die Verarbeitung personenbezogener Daten durch Firmen, Vereine und Behörden geregelt. 2018 hatten Brink und seine Mitarbeiter den Schwerpunkt auf Beratungen gelegt, um die Regeln zu umfangreich erklären - das soll im laufenden Jahr anders werden.

 

Seine Behörde werde jetzt angekündigte und unangekündigte Kontrollen vornehmen - vor allem in Unternehmen, die mit der Verarbeitung großer Datenmengen befasst sind. „Wir haben staatsanwaltschaftliche Befugnisse“, sagte Brink. Seine Mitarbeiter könnten auch ohne Zustimmung eines Unternehmens die Situation vor Ort betrachten und Unterlagen beschlagnahmen. Die Kontrollen könne es auch geben, ohne dass seiner Behörde konkrete Beschwerden vorlägen. Vereine werden bei den Kontrollen laut Brink aber zunächst nicht im Fokus stehen.

Lesen Sie auch

Anzahl Beschwerden gestiegen

Brinks Behörde umfasst mittlerweile 60 Stellen. Die Mitarbeiter informierten im vergangenen Jahr rund 3000 Bürger, private Unternehmen und Vereine. 2017 waren es noch rund 800. Außerdem hat sich die Anzahl der bei Brink gemeldeten Datenpannen im selben Zeitraum verzehnfacht. Vergangenes Jahr waren es 774.

Sprunghaft angestiegen ist auch die Zahl der Beschwerden, die Brinks Behörden erreichten und die den nicht-öffentlichen Bereich, also beispielsweise Unternehmen, betrafen. Hier gab es einen Anstieg von 1872 (2017) auf 2714 (2018). Dabei ging es unter anderem um unerlaubte Werbungen, Spammails, Videoüberwachungen und speziell den Datenschutz, den Firmen gegenüber ihren Mitarbeitern einhalten müssen. Im vergangenen Jahr verhängte die Landesdatenschutzbehörde Bußgelder in Höhe von insgesamt rund 100 000 Euro.

Bislang habe Deutschland bei Datenschutzverstößen eher wirtschaftsfreundlich agiert, sagte Brink mit Blick auf die Zeit vor dem Inkrafttreten der EU-Datenschutz-Grundverordnung. Seit Mai 2018 werde in Sachen Bußgelder „scharf geschossen“. Strafen von bis zu 20 Millionen Euro sind möglich - nach der alten Rechtslage waren es hingegen maximal nur rund 300 000 Euro. Die Folge: Zwei Drittel der Unternehmen nähmen den Datenschutz mittlerweile ernst. Größere Unternehmen hätten kaum Probleme mit den Dokumentationspflichten, die sie im Umgang mit Daten nachweisen müssten. Kleine und mittlere Firmen und Vereine täten sich hingegen oft sehr schwer damit.

„Pflichten gelten für alle“

Darin liegt nach Brinks Einschätzung auch die größte Schwäche der neuen Regeln: Die neuen Datenschutzvorschriften unterscheiden nicht zwischen Großunternehmen und Vereinen, die oftmals rein ehrenamtlich getragen werden. „Die Pflichten gelten für alle. Das erweist sich in der Umsetzung als schwierig.“ Datenpannen müssen Brinks Behörde umgehend gemeldet werden - zudem müssen auch die informiert werden, deren Daten von der Panne betroffen sind, etwa nach einem Hackerangriff. Es kann aber auch um einen Laptop gehen, den ein Personalchef einer Firma versehentlich in der Bahn liegen lässt - und auf dem sich unverschlüsselte, personenbezogenen Daten befinden.