100 Tage DSGVO: „Wutmails schreiben reicht nicht“

100 Tage DSGVO: „Wutmails schreiben reicht nicht“

Seit dem 25. Mai gelten europaweit verschärfte Datenschutz-Richtlinien. Die Zahl der Beschwerden hat seither deutich zugenommen.

Steht DSGVO auf der Einladung, garantiert das auch nach dem 25. Mai noch volle Säle, wie die Österreichische Computergesellschaft (OCG) bei einer Diskussion am 11. September feststellen durfte: Erste Bilanz wurde gezogen – nach 100 Umsetzungstagen. In Kraft getreten war die DSGVO ja bereits 2016.

Matthias Schmidl, stellvertretender Leiter der österreichischen Datenschutzbehörde, erinnerte sich an die Nacht vom 25. Mai: „Meine Chefin wurde in Brüssel gerade zur Vorsitzenden des European Data Protection Board gewählt. Wir hielten Stellung im Büro und waren gespannt, was passieren würde. Pünktlich um Mitternacht kam die erste Beschwerde von Max Schrems, die wir dann an die zuständige Behörde in Irland weitergeleitet haben. Und dann passierte erst einmal nichts. Das war wohl eine kleine Schockstarre“, kommentierte Schmidl den D-Day im Mai. „Die DSGVO gilt und die Welt dreht sich weiter“. In den folgenden Wochen erhöhte sich das Beschwerdeaufkommen aber ordentlich, wie seine aktuelle Statistik zeigte: 721 Beschwerden waren bis zum 11. September eingegangen, im ganzen Jahr 2017 waren es zum Vergleich nur 489.

DSGVO Facts

  • 721 Beschwerden (25.5.2018 - 11.9.2018) vs. 489 Beschwerden (2017)
  • 252 Meldungen zur Verletzung personenbezogener Daten (25.5.2018 - 11.9.2018) vs. 66 Meldungen 2017
  • 115 laufende Verwaltungsstrafverfahren (Stand 11.9.2018)
  • 58 aktive amtswegige Prüfverfahren (Stand 11.9.2018)

Viele Beschwerdeführer scheitern am Formular

Bei der Behörde ist also doch ein erhöhtes Beschwerdeaufkommen zu bemerken, das – so Schmidl – noch höher sein könnte, wenn viele der Beschwerdeführer nicht an der Eingabe scheiterten. Die ist zwar nicht sonderlich kompliziert, aber ein Formular muss auch online zumindest ausgefüllt werden. „Aus Ärger oder Wut einfach eine E-Mail zu schreiben, reicht nicht,“ sagt Schmidl. Die Datenschutzbehörde (Dsb) stellt auf ihrer Website (www.dsb.gv.at) dazu die entsprechenden Informationen und Formulare zur Verfügung. Schmidl ergänzt: "Das Formular auf der Website der DSB muss nicht zwingend verwendet werden, es wird aber unsererseits empfohlen, weil dann alle Punkte einer ordnungsgemäßen Beschwerde abgedeckt sind."

Beschwerden richtig einbringen

Eine korrekte Beschwerde muss laut Behörde (Dsb) folgende Elemente enthalten:

  • Die Bezeichnung des als verletzt erachteten Rechts.
  • Soweit zumutbar: die Bezeichnung des Beschwerdegegners.
  • Den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird.
  • Die Gründe, auf die sich die behauptete Rechtswidrigkeit stützt.
  • Das Begehren, die behauptete Rechtsverletzung festzustellen.
  • Die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.

Seit 25. Mai müssen auch Datenschutzverletzungen („Data Breach Notification“) der Behörde gemeldet werden. Hier gehen verstärkt Meldungen ein, so Schmidl, die allerdings eine große Bandbreite haben: „Vom falsch adressierten Kuvert über gestohlene Datenträger bis hin zu einem Hackerangriff war bereits alles dabei,“ sagt der Jurist. Aber erst in zwei Fällen habe man die Unternehmen tatsächlich auftragen müssen, die Betroffenen darüber zu informieren.

Matthias Schmidl, stv. Leiter Datenschutzbehörde Dsb: "Die DSGVO gilt und die Welt dreht sich weiter."

Matthias Schmidl, stv. Leiter Datenschutzbehörde Dsb: "Die DSGVO gilt und die Welt dreht sich weiter."

Unter den bislang eingegangenen Beschwerden betrafen 248 einen grenzüberschreitenden Datenverkehr. Hier kritisierte Schmidl, dass Unternehmern außerhalb der EU vielfach noch keine lokalen Datenschutzbeauftragten bzw. -Kontakte nominiert hätten.

Weitgehend einig war man sich bei einer anschließenden Diskussion mit Wirtschaftsvertretern (u.a. ÖBB, PwC, msecure), dass die Unternehmen mit der Umsetzung mittlerweile deutlich besser zurecht kommen, auch wenn noch lange keine Rede davon sein kann, dass die DSGVO zu 100 Prozent umgesetzt wird. Gerade KMU und Vereine haben noch immer Schwierigkeiten und wie ein Experte aus Bayern zu berichten wusste, scheint das auch bei unseren deutschen Nachbarn der Fall zu sein. „Erst 30 Prozent der Unternehmen sind wirklich DSGVO-fit,“ sagt Horst Nadjafi vom bayrischen Berater msecure. Er beobachtet aber wie viele einen klaren Sinneswandel: „Datenschutz ist ein Qualitätsmerkmal für Unternehmen und Verwaltungen geworden. Das leisten sich jetzt immer mehr.“ Das worüber vor Monaten vielfach noch herzhaft geschimpft wurde, wird jetzt viel positiver gesehen als früher.

Kommentar
Peter Schentler, Principal Horváth & Partners Österreich

Management Commentary

Warum niedrige Zinsen für CFOs kein Thema mehr sind

Ravin Mehta, Gründer von "The unbelievable Machine Company" (*uM)

Digitalisierung: Vorwärts in die Zukunft

Big Data, big Business: "Daten sind besser als Öl"

Digitalisierung: Vorwärts in die Zukunft

Künstliche Intelligenz: Keine Angst vor denkenden Computern