Datenschutzbehörden müssen aufrüsten

Die Datenschutz-Grundverordnung bringt einen deutlichen Mehraufwand für die deutschen Datenschutzbehörden mit sich. Diese benötigen deutlich mehr Manpower, um der neuen Auftragslage gerecht zu werden.

Mit der Datenschutz-Grundverordnung kommen auf die deutschen Datenschutzbehörden neue Aufgaben zu. Ein von den deutschen Datenschutzbehörden in Auftrag gegebenes Gutachten kam nun zu dem Ergebnis, dass jede Behörde 24 bis 33 Stellen mehr benötige. Andernfalls sei es den Behörden nicht möglich, die DSGVO praktisch umzusetzen. Als mögliche Folge käme deshalb ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland in Betracht.

Aufwand der Datenschutzbehörden steigt

Die DSGVO bringe neue unbestimmte Rechtsbegriffe und teils widersprüchliche Regelungen mit sich, so die Position der Behörden. In der Folge würde der Aufwand für die Interpretation und rechtliche Bewertung von datenschutzrechtlichen Fragestellungen zunehmen. Zudem erhalten Betroffene die Möglichkeit eine schnelle Bearbeitung ihrer Anliegen gerichtlich zu erzwingen.

Die DSGVO sieht zudem die Möglichkeit vor, dass Datenschutzbehörden erstmalig auch bei anderen Behörden eingreifen können, wenn diese gegen das Datenschutzrecht verstoßen. Bisher konnten andere Behörden nur öffentlich abgemahnt werden. Damit kommt in der öffentlichen Verwaltung ein kompletter neuer Aufgabenbereich hinzu, der personell bislang nicht gedeckt werden musste.

Nach Ansicht des Gutachters Prof. Dr. Alexander Roßnagel erhöht sich zudem der Mehraufwand im Bereich der Präventionsarbeit, bspw. bei der Beratung von Unternehmen. Anders als die aktuelle Rechtslage überträgt die DSGVO den Datenschutzbehörden ferner einen expliziten Bildungs- und Sensibilisierungsauftrag und eine erweiterte Öffentlichkeitsarbeit.

Zahl der gerichtlichen Bußgeldverfahren soll steigen

Das Gutachten nimmt an, dass durch die DS-GVO auch die Zahl der Bußgeldverfahren vor den Gerichten steigen wird. Zwar steht den Behörden bei der Verhängung von Bußgeldern ein gewisser Ermessensspielraum zu. Allerdings konkretisiert die DSGVO die Anforderungen an dieses. So müssen Bußgelder gemäß Art. 83 Abs. 1 DSGVO im „Interesse einer konsequenteren Durchsetzung der Vorschriften“ eingesetzt werden und wirksam, verhältnismäßig und abschreckend ein. Die neuen Obergrenzen für Bußgelder sind um ca. das 100-fache gestiegen. In besonders gravierenden Fällen ist eine Strafe von 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes vorgesehen, Art. 83 Abs. 5 DSGVO.

Nachdem die Landesbehörden nach dem aktuellen Stand teilweise noch überhaupt keine Aufstockung erhalten und andere Bundesländer bisher neue Stellen im einstelligen Bereich geschaffen haben, ist eine Entspannung der Situation momentan nicht zu erwarten.

Windows 10: Datenschutzaufsicht CNIL mahnt Microsoft ab

Die französische Datenschutzaufsicht CNIL hat Microsoft abgemahnt. Grund ist das neue Betriebssystem Windows 10. Aus Sicht der Behörde verstößt dieses zumindest teilweise gegen französische Datenschutzbestimmungen.

CNIL beanstandet insbesondere bestimmte Datenerhebungen, die das Betriebssystem durchführt. Dazu zählen u.a. die Erhebung bestimmter Nutzungsdaten sowie Werbecookies. Auch die Datensicherheit steht in der Kritik. Microsoft würde ohne Einwilligung und übermäßig Daten sammeln, so die Behörde. Die Voreinstellungen des Betriebssystems gingen zu weit und seien mithin exzessiv.

CNIL kritisiert Sicherheitslücken

Bei der Sicherheit bemängelt die Behörde, dass zwar eine vierstellige PIN für die Nutzung der Online-Dienste festgelegt werden kann. Allerdings sind die Zugangsversuche nicht limitiert. Mittels eines Brute-Force-Angriffs ließen sich so Nutzerkonten leicht angreifen. Kommt Microsoft den Aufforderungen der Behörde nicht nach, drohen Strafen.

Unternehmen sollten sich dieser Sicherheitslücken bewusst sein und soweit möglich eigene Sicherheitsmaßnahmen ergreifen.

Bundeskartellamt als neue Datenschutzaufsicht?

Das Bundeswirtschaftsministerium hat eine Novelle zu einer geplanten Änderung des Gesetzes gegen Wettbewerbsbeschränkungen eingebracht (9. GWB-Novelle). Nach dem Entwurf soll u.a. der Zugang zu Daten als Kriterium für eine Marktbeherrschung festgeschrieben werden. Das Bundeskartellamt könnte somit stärker gegen Internetunternehmen vorgehen.

Der Entwurf des Bundeswirtschaftsministeriums bringt für Datenschützer und Unternehmen, deren Kerngeschäft das Anbieten unentgeltlicher Dienste gegen Bereitstellung von Nutzerdaten, Änderungen, die eine neue Situation schaffen können. Mittlerweile hat das Kabinett die Novelle beschlossen. Für Unternehmen und Datenschützer ist besonders die Änderung beachtenswert, wann ein Markt in diesem Sinne vorherrscht. Nach dem Entwurf muss dafür nicht unbedingt Geld fließen.

Daten, die neue Marktwährung

Gemäß § 18 Abs. 2a GWB-E soll der Annahme eines Marktes in Zukunft nicht mehr entgegenstehen, dass Leistungen unentgeltlich erbracht werden. Eine Stellungnahme des Bundeswirtschaftsministeriums stellt klar, welche Unternehmen von der Novelle besonders betroffen sind. Ziel ist es, das Wettbewerbsrecht an die Digitalisierung der Märkte und ihrer Produkte anzupassen. Die Bundesregierung macht deutlich, dass es um die wettbewerbsrechtliche Erfassung von informations- und datenbasierten Geschäftsmodellen geht. Dieser Bereich gilt ihr aktuell als besonders anfällig für Marktmachtkonzentration und Missbrauch der Marktposition.

Daten werden somit als eine Art neue Währung verstanden. Der Nutzer von Internetdiensten und Apps, die unentgeltlich zur Verfügung stehen, bezahlt in gewisser Weise mit seinen Daten (bspw. Endgerät, Standortdaten, Nutzungsverhalten). Diese werden vom Unternehmen verarbeitet und genutzt, um durch Dritte Gewinne zu erwirtschaften. Die personalisierte Werbung dürfte ein Paradebeispiel für die vorliegende Situation darstellen.

Wird das Bundeskartellamt eine neue Datenschutzaufsicht?

Interessant wird die Entwicklung für die Rolle des Bundeskartellamts. Der Umgang von Unternehmen mit (personenbezogenen) Daten wird für die Kartellbehörde relevant, denn nach § 18 Abs. 3a GWB-E werden für die Bewertung einer Marktstellung in mehrseitigen Märkten und Netzwerken u.a. die parallele Nutzung und der Wechselaufwand für Nutzer (Nr. 2) und dessen Zugang zu Daten (Nr. 4) als künftige Kriterien herangezogen.

Inwieweit das Bundeskartellamt aber eine Art „Datenschutzaufsicht“ wird, bleibt abzuwarten. Vor allem ist bedeutsam, wie genau Verstöße gegen das geltende Datenschutzrecht in die Bewertung des Bundeskartellamts zur Beurteilung der Marktposition einfließen werden. In dem aktuellen Vorgehen gegen Facebook wird zumindest ersichtlich, dass das Bundeskartellamt einen direkten Zusammenhang zwischen Datenschutzverstößen und einem Missbrauch der Marktstellung sieht. Die Behörde untersucht deshalb die konkrete Ausgestaltung der Nutzungsbestimmungen des Internetunternehmens im Hinblick auf datenschutzrechtliche Verstöße.

Noch ist aber unklar, ob eine solche Einschätzung ausschließlich bei datenbasierten unentgeltlichen Geschäftsmodellen zur Anwendung kommen wird, oder ob auch Unternehmen, deren hauptsächliche geschäftliche Betätigung nicht in diesem Bereich liegen, hinsichtlich der Auswirkungen ihres Umgangs mit Daten kartellrechtlich überprüft werden könnten.

Prüfkatalog für Apps

Das bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat einen Prüfkatalog für den technischen Datenschutz bei Apps mit normalem Schutzbedarf veröffentlicht.

BayLDA stellt Prüfkatalog zur Verfügung

Der „Prüfkatalog für den technischen Datenschutz bei Apps mit normalem Schutzbedarf“ ist an die „Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter“ angelehnt. App-Entwickler können mit ihm ihre Produkte auf Konformität mit dem geltenden Datenschutzrecht überprüfen.

Erfragt werden u.a. die Art der personenbezogenen Daten, die Integrierung der Datenschutzbestimmungen in die App, die notwendigen bzw. erteilten Berechtigungen, die Ausgestaltung von Nutzerkonten und der Umgang mit den Zugangsdaten, Speicherung von Daten und Tracking.