Die Meldungen zu Datenschutzverletzungen haben seit Einführung der Datenschutz-Grundverordnung (DSGVO) dramatisch zugenommen. Das geht aus dem aktuellen Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) hervor. Ohne eine Personalaufstockung sieht sich das Amt kaum mehr in der Lage, all seinen Aufgaben nachzukommen.
In ihren Tätigkeitsberichten informieren die Aufsichtsbehörden über die Schwerpunkte ihrer Arbeit. Die Berichte sind daher für die praktische Tätigkeit der Datenschutzbeauftragten eine wichtige Erkenntnisquelle. Bislang erschienen die Berichte in der Regel alle zwei Jahre, gemäß Art. 59 DSGVO wird dies zukünftig jährlich der Fall sein. Im Zentralarchiv für Tätigkeitsberichte des Bundes-und der Landesbeauftragten und der Aufsichtsbehörden für den Datenschutz (ZAfTDa) sind auch die Tätigkeitsberichte der anderen Aufsichtsbehörden zu finden. Das ZAfTDa stellt die seit 1971 erschienenen Tätigkeitsberichte online zur Verfügung.
Ansturm nach Inkrafttreten der DSGVO
Am 22. März 2019 veröffentlichte das bayerische Landesamt für Datenschutzaufsicht seinen jüngsten Tätigkeitsbericht für die Jahre 2017 und 2018. Trotz der Anstrengungen im Vorfeld des Wirksamwerdens der DSGVO wurde auch das BayLDA im Mai 2018 von der Realität eingeholt und erlebte einen seitdem anhaltenden Ansturm von Beratungsanfragen. Zur Verunsicherung von Verantwortlichen wie Betroffenen trugen nicht zuletzt viele Mythen bei, die in der medialen Landschaft kursierten, etwa über angebliche Verbote, Visitenkarten weiterzugeben oder Klingelschilder anzubringen. Hinzu kamen nahezu täglich umfangreiche Berichterstattungen zum EU-Datenschutzrecht.
Ob und in welchem Umfang Aufsichtsbehörden wie das BayLDA künftig aktiv kontrollieren und beraten können, hängt letztlich von den personellen Ressourcen ab. Der Präsident des BayLDA, Thomas Kranig, weist in diesem Zusammenhang im Vorwort zu seinem jüngsten Tätigkeitsbericht (Seite 2) auf eine schier aussichtslose Lage hin:
„Täglich gehen deutlich mehr Eingaben und Meldungen von Datenschutzverletzungen ein, als wir abarbeiten können, von der enormen Anzahl von Beratungsanfragen ganz abgesehen. Unser Schuldenberg bzw. Arbeitsvorrat wächst stetig, weshalb sich die Wartezeiten auf eine Rückmeldung von uns enorm verlängerten – zur Unzufriedenheit aller Beteiligten.“
Rekordwerte bei Beschwerden und Meldungen
Ein Blick in die Statistiken des Tätigkeitsberichts zeigt die dramatische Entwicklung: Die Zahl der Beschwerden hat sich auf den ersten Blick mehr als verdoppelt: von 1684 auf 3643. Das BayLDA weist darauf hin, dass diese Tatsache nicht bedeuten muss, dass der Umgang der Verantwortlichen mit personenbezogenen Daten in Bayern deutlich schlechter geworden ist, sondern vielmehr, dass die zahlreichen Veranstaltungen, Presseberichte und Informationsmaterialien dazu geführt haben, dass es vielen Bürgern bewusster geworden ist, dass sie Betroffenenrechte haben und diese auch geltend machen können. Trotz aller Vorbereitungen und Unterstützungsleistungen des BayLDA trat also ein, was befürchtet worden war: Die Zahl der Meldungen zu Datenschutzverletzungen explodierte förmlich durch die DSGVO. Insgesamt 2471 Meldungen gingen im Jahr 2018 beim BayLDA ein, davon 2376 seit dem 25. Mai 2018 – ein Rekordwert in der Geschichte der bayerischen Aufsichtsbehörde.
Im Berichtszeitraum, bei dem die DSGVO nur in sieben der insgesamt 24 Monate angewendet wurde, hat das BayLDA noch keine Warnungen, Verwarnungen, Geldbußen und Widerrufe von Zertifizierungen erlassen. Dies unterstreicht ebenfalls, dass nicht nur die Verantwortlichen eine Eingewöhnungsphase benötigten, sondern auch die Aufsichtsbehörden. Das BayLDA hat sich in dieser Phase dafür entschieden, eine Gewichtung von Beratungsauftrag und aktiven Datenschutzkontrollen mit Augenmaß zu betreiben. Es zählte bisher zum Leitbild des BayLDA, dass jede Beratung, die dazu beiträgt, dass kein Datenschutzverstoß begangen wird, viel mehr wert ist als zahlreiche Sanktionen.
Beratungen stehen auf der Kippe
BayLDA-Präsident Thomas Kranig weist in seinem Tätigkeitsbericht klar darauf hin (Seite 2), dass sich die starke Überbelastung seiner Mitarbeiterinnen und Mitarbeiter insbesondere im Jahr 2018 auf Dauer nicht fortsetzen lässt:
„Sollte es bei dem Vorschlag [der Bayerischen Staatsregierung für den Doppelhaushalt 2019/20] bleiben, müssen wir unsere Beratungsleistungen für Vereine, Verbände und kleine und mittlere Unternehmen (KMU), aber auch für die sehr innovativen Großunternehmen in Bayern, die Mitwirkung bei Zertifizierungen u.a. weitgehend einstellen. […] Fristen zur Bearbeitung von Beschwerden und gemeldeten Datenschutzverstößen lassen uns nicht mehr viel Spielraum für Beratung.“
Dennoch hat das BayLDA auch im Berichtszeitraum wieder durch flächendeckende Prüfungen auf die Wichtigkeit von Cybersicherheit hingewiesen. Als ein Beispiel seien die Schwachstellen auf bayerischen Websites genannt. Das BayLDA hat die verantwortlichen Betreiber nicht nur sensibilisiert, sondern auch dazu bewegt, die Missstände zu beseitigen. Des Weiteren führte es auch Kontrollen in vielen anderen Datenschutzbereichen wie der Videoüberwachung, dem Online-Tracking und bei den Informationspflichten durch.
Besondere Erwähnung verdient der wichtige Beitrag des BayLDA in der „Einführungsphase“ der DSGVO über Bayern hinaus, der bewirkt hat, dass die deutschen Datenschutzbehörden im Rahmen der Datenschutzkonferenz (DSK) dem Veröffentlichungskonzept von Kurzpapieren folgten und abgestimmte Inhalte zur DSGVO unter einem gemeinsamen DSK-Web-Auftritt publizierten.
Fazit
Durch die umfassende Berichterstattung in den Medien über die DSGVO sind sich viele Bürgerinnen und Bürger in Bayern ihrer Rechte bewusst geworden – und nehmen sie nun auch wahr. Das führt zu einem explosionsartigen Anstieg der Beschwerden und Meldungen im Zusammenhang mit Datenschutzverletzungen, die von den bayerischen Datenschützern fristgerecht bearbeitet werden müssen. Die Folge: Seiner wichtigen, weil vorbeugenden Beratungstätigkeit für Vereine, Verbände und Unternehmen kann das bayerische Landesamt für Datenschutzaufsicht (BayLDA) künftig kaum mehr nachkommen.
Von Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München