Noch bis zu einem Jahr nach Inkrafttreten der DSGVO haben die Datenschutzbehörden zumindest in Deutschland kein Millionenbußgeld verhängt. Die Zahl der verhängten Sanktionen steigt allerdings stetig.
Es stellt sich deshalb die Frage, ob es bislang lediglich eine Schonfrist von Seiten der Behörden gab – und wenn ja, ob sie langsam abläuft.
Ein Jahr nach Inkrafttreten der neuen DSGVO haben acht deutsche Datenschutzbehörden (Baden-Württemberg, Hamburg, Bayern, Berlin, Brandenburg, Bremen, Sachsen-Anhalt, Saarland) ihre Tätigkeitsberichte für das zurückliegende Jahr veröffentlicht. Die Dokumente erlauben einen Einblick in die bisher verhängten Bußgelder und sonstigen Maßnahmen, geben einen Überblick über Zahlen, Themen und erlauben einen Ausblick zu einer möglichen künftigen Ausrichtung der Datenschutzbehörden.
Ein Blick auf die Berichte zeigt:
Sucht man nach wiederkehrenden Themen in den doch recht unterschiedlichen Berichten der Datenschutzbehörden, fällt zunächst – wenig überraschend – auf, dass seit dem 25. Mai 2018 ein deutlicher Anstieg der Beschwerden von betroffenen Personen sowie der Meldungen von Datenschutzverstößen (data breaches) verzeichnet wurden. Schon vor mehr als drei Jahren, und damit sogar noch deutlich vor Inkrafttreten und Geltung der DSGVO, hatte der Hamburger Datenschutzbeauftragte eindringlich vor diesem Szenario gewarnt und die mangelnde Personalausstattung der Datenschutzbehörden beklagt.
Die nun in den Tätigkeitsberichten veröffentlichten Zahlen für den nicht-öffentlichen Bereich dokumentieren einen erheblichen Anstieg der Beschwerden von Betroffenen und Meldungen von Datenschutzverstößen. Die Behörden in Bayern, Baden-Württemberg, Berlin und Hamburg waren von diesem Anstieg zahlenmäßig besonders betroffen.
Trotz der stark gestiegenen Zahl von Beschwerden haben vor allem die Behörden in Bayern, Berlin und Baden-Württemberg im Berichtszeitraum bislang weiterhin eine hohe Anzahl von Beratungsanfragen bearbeitet. Ein Grund für die stark unterschiedliche Zahl der Beratungen mag in der unterschiedlichen Ausstattung der Behörden und der unterschiedlichen Struktur der Bundesländer, aber auch im unterschiedlichen Vorgehen der Behörden liegen. So hat das bayerische Landesamt für Datenschutzaufsicht in der Vergangenheit verstärkt den Ansatz verfolgt, verantwortliche Stellen zu datenschutzrechtlichen Themen zu beraten, statt Verstöße sofort im streitigen Verfahren zu verfolgen.
Ob es in Zukunft bei einer derart umfassenden Beratungstätigkeit der Datenschutzbehörden bleiben kann, darf bezweifelt werden. So kündigte die bayerische Behörde in ihrem Tätigkeitsbericht (S. 2) an, bei anhaltender Überbelastung ihre Beratungsleistungen für Vereine, Verbände und kleine und mittlere Unternehmen, aber auch für Großunternehmen weitgehend einstellen zu müssen. Presseberichten zufolge plant die Datenschutzbehörde in Baden-Württemberg, die Zahl der Kontrollen zur Datenschutz-Compliance in 2019 um den Faktor 20 zu steigern. Da die personelle Ausstattung der Behörde nicht im gleichen Maße wachsen kann und wird, muss diese Schwerpunktsetzung auf Datenschutz-Kontrollen zwangsläufig zu Lasten der Beratungstätigkeit gehen.
Ob diese Neuausrichtung tatsächlich im angekündigten Umfang umgesetzt werden kann und ob sich weitere Datenschutzbehörden anschließen werden, wird erst die Zukunft zeigen.
