Anfang November wurden die Ergebnisse einer Querschnittsprüfung vorgestellt, mit der die Umsetzung der Datenschutzgrundverordnung in niedersächsischen Unternehmen eingeschätzt werden sollte. Auch wurden die ersten Bußgeldbescheide verschickt.
Nachdem die erste Zeit nach Inkrafttreten der DSGVO noch von Zurückhaltung geprägt war, zieht die Landesdatenschutzbeauftragte jetzt spürbar die Zügel an. In den letzten Monaten wurden in Niedersachsen zwölf Geldbußen zwischen 40 000 und 290 000 Euro verhängt, auch gegen Unternehmen. Die Entscheidungen sind zwar noch nicht rechtskräftig, würden aber in der Spitze sogar noch über den lange als höchstes DSGVO-Bußgeld gehandelten mehr als 195 000 Euro liegen, die in Berlin – rechtskräftig – gegen einen Lieferdienst verhängt wurden.
Die Datenschutzbehörde der Bundeshauptstadt hat aber inzwischen mit einer Forderung von über 14 Mio. Euro aufhorchen lassen. Darüber wird allerdings noch gestritten. Betroffen ist ein Immobilienunternehmen. Grundlage für die Berechnung von DSGVO-Bußgeldern gegen Unternehmen ist inzwischen ein Konzept der Datenschutzbehörden des Bundes und der Länder, das im Oktober vorgelegt wurde. Danach erfolgt die Festlegung eines Bußgeldes in fünf Schritten, wobei Ausgangspunkt die Größe des betroffenen Unternehmens ist.
Seit Anfang November liegen auch die Ergebnisse einer Querschnittsprüfung in Niedersachsen vor. Branchenübergreifend waren kurz nach Inkrafttreten der DSGVO im vergangenen Mai 20 große und 30 mittelgroße Unternehmen ausgewählt und zur Umsetzung der DSGVO befragt worden. Aus Sicht von Barbara Thiel, Landesbeauftragte für den Datenschutz, zeigt diese bislang größte anlasslose Kontrolle ihrer Behörde, dass den niedersächsischen Unternehmen die Umsetzung der DSGVO bisher nur teilweise gelinge.
Bewertet wurden die 50 Unternehmen mit Ampelfarben:
Grün bedeutete für 9 Unternehmen, dass sie überwiegend zufriedenstellend abgeschnitten haben. Gelb erhielten 32 Unternehmen mit noch vereinzeltem Handlungsbedarf. Rot sahen wiederum neun Unternehmen, bei denen die Landesdatenschutzbeauftragte erhebliche Defizite ausmachte. Von ihnen müssen sich fünf auf weitere Kontrollen einstellen, die noch über die bislang abgefragten Kriterien hinausgehen können, so ein Sprecher der Behörde. Werden dabei schwerwiegende Verstöße gegen die Datenschutzregeln festgestellt, sind auch Bußgelder möglich.
Die Prüfung lief in zwei Schritten ab. Es gab also die Möglichkeit nachzubessern. Tatsächlich sahen nach der ersten Runde noch 30 Unternehmen rot, das heißt: Von zehn abgefragten Fragenkomplexen wurde bei zwei oder mehr von den Landesdatenschützern erheblicher Handlungsbedarf festgestellt. Dabei zeichneten sich bereits mit dem technisch-organisatorischen Datenschutz und der Datenschutz-Folgenabschätzung (DSFA) zwei besonders brisante Bereiche ab. Hier sieht Barbara Thiel besonders großen Nachholbedarf der Unternehmen. Die geringsten Schwierigkeiten bereiteten dagegen die Bereiche Auftragsdatenverarbeitung, Datenschutzbeauftragte, Meldepflichten von Datenschutzverletzungen und Dokumentation. Hier seien nur gelegentlich Defizite festgestellt worden.