27.03.20 / Die deftige Rechnung kann noch kommen / Datenschutz-Grundverordnung: Zuerst als bürokratisches Monster gefürchtet, dann eher belächelt und schon fast sträflich vergessen

Die deftige Rechnung kann noch kommen
Datenschutz-Grundverordnung: Zuerst als bürokratisches Monster gefürchtet, dann eher belächelt und schon fast sträflich vergessen
Boris T. Kaiser

Am 25. Mai 2018 trat europaweit, und in ihren Auswirkungen weltweit, die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft. Ziel der verpflichtenden Leitlinien war die EU-weite Vereinheitlichung der Regeln zur Verarbeitung privater und öffentlicher personenbezogener Angaben durch die meisten Datenträger, was zu einem besseren Datenschutz für die europäischen Internetnutzer führen sollte.

Außerdem wollte die Politik durch die EU-Verordnung Rechtssicherheit für Kunden und Unternehmen im digitalen Raum schaffen und einen institutionell garantierten freien Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleisten.

Ärzteverbände raten: Pflegt euer Datenschutz-Image

Herausgekommen ist, so beklagen viele, ein bürokratisches Monster aus diversen Beschränkungen, unterschiedlicher Gesetzesinterpretationen völlig unzureichenden internationalen Kooperationen und die Entschleunigung und Einschränkung der Freiheit des Internets durch juristische Abmahnungen und eine lähmende permanente Zustimmungspflicht.

Ohne Umschweife klärte die Kassenärztliche Vereinigung (KV) ihre Mitglieder auf. Ja, die EU-DSGVO habe zwei Seiten: Die eine sei die der zunehmenden Bürokratisierung. „Viele werden sicherlich nicht unberechtigt sagen: „Noch mehr Papierkrieg und weniger Zeit für Patienten. Wozu?“

Auf der anderen Seite, so die KV weiter, trage die EU-DSGVO, nicht zuletzt mit ihrem „hohen Sanktionsrahmen, dazu bei, die Gesellschaft insbesondere im Umgang mit den interessanten und schützenswerten Gesundheitsdaten zu sensibilisieren“. Verstöße können hart bestraft werden. Die DSGVO sieht ein Bußgeld von bis zu 20 Millionen Euro beziehungsweise vier Prozent des Jahresumsatzes vor.

Vor diesem Hintergrund riet die KV ihrer Klientel zur Datenschutz-Imagepflege in ihrer Praxis. Denn nicht nur eine „unzureichende Behandlung“ spräche sich unter Patienten schnell herum, sondern auch „die zu lasche Handhabung der sensiblen Daten“.

Ins gleiche Horn stieß der Freie Verband Deutscher Zahnärzte (FVDZ). Das neue Datenschutzrecht stelle die Verantwortlichen vor Herausforderungen, die unbedingt angegangen werden müßten. Da nütze auch nichts, sich hierüber aufzuregen. Die Zeit des Laissez-faire im Umgang mit personenbezogenen Daten sei jedenfalls vorbei, da davon auszugehen sei, daß die zuständigen Behörden über die Einhaltung der datenschutzrechtlichen Vorgaben wachen.

Überraschenderweise hielt der Datenschutzexperte Carsten Ulbricht in „Mittelstand-aktuell“, dem Newsletter des Bundesverbandes mittelständische Wirtschaft (BVMW) den Ball flach. Zwar habe die DSGVO zunächst viel Aufregung, Verwirrung und Verunsicherung ausgelöst, so der Rechtsanwalt. Doch sechs Monate nach Geltung der DSGVO müsse man konstatieren, daß die befürchtete Abmahnwelle ebenso ausgeblieben sei wie die Flut existenzgefährdender Bußgeldbescheide durch die Landesdatenschutzbehörden.

Bei ersten Fällen in Baden-Württemberg seien jedoch Bußgelder von 20.000 Euro wegen mangelnder Datensicherheitsmaßnahmen beziehungsweise 80.000 Euro wegen der unberechtigten Veröffentlichung gesundheitsbezogener Daten verhängt worden, so der Rechtsanwalt.

Im Dezember 2019 verhängte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber (SPD), gegen den Telekommunikationsdienstleister 1&1 eine Strafe in Höhe von 9, 5 Millionen Euro, weil er seiner Auffassung nach gemäß der europäischen Gesetzgebung keine hinreichenden Maßnahmen ergriffen habe, um Unberechtigten den Zugriff auf Kundendaten bei der telefonischen Kundenbetreuung zu verwehren.

Anrufer hätten bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden „weitreichende Informationen zu weiteren personenbezogenen Kundendaten“ erhalten können, hieß es zur Begründung.

24,6 Millionen Euro Bußgelder bereits verhängt

Deutlich gröber als im vermeintlichen Einzelfall bei 1&1 sollen da schon die Verstöße bei der schwedischen Textilhandelskette H&M gewesen sein. Das Unternehmen hat angeblich im großen Stil private Daten seiner Mitarbeiter gesammelt und gespeichert. Laut einem Bericht der FAZ, der den Hamburger Datenschutzbeauftragten zitiert, enthalten die Daten „detaillierte und systematische Aufzeichnungen von Vorgesetzten über ihre Arbeitnehmerinnen und Arbeitnehmer“, inklusive Gesundheitsdaten und Informationen aus dem familiären Umfeld der Angestellten, zum Beispiel zu familiären Streitigkeiten.

Aus Zufall sollen Mitarbeiter des Kundenzentrums, das für H&M in Deutschland und Österreich zuständig ist, auf Ordner mit dem privaten Material gestoßen sein, das offen zugänglich war, womit der Fall nicht nur den Tatbestand der Spionage erfülle, sondern eben auch einen Verstoß gegen die Datenschutz-Grundverordnung darstellte.

Juristen verzeichnen seit Inkrafttreten der DSGVO vor zwei Jahren rund 160.000 gemeldete Verstöße. Berücksichtigt wurden hierbei alle 28 Mitgliedstaaten der EU sowie die Länder Liechtenstein, Norwegen und Island. Insgesamt haben europäische Datenschutzbeauftragte gemäß der Berechnung Strafzahlungen in Höhe von insgesamt 114 Millionen Euro verhängt.

Laut „DLA Piper“, einer der größten Rechtsanwaltskanzleien der Welt, sollen allein in Deutschland fast 38.000 Zuwiderhandlungen gemeldet worden sein. Die Bundesrepublik liegt damit, nach Frankreich, auf Platz zwei bei den DSGVO-Strafen. Bußgelder in Höhe von 24,6 Millionen Euro habe man hierzulande bereits verhängt.

In der Rechnung noch nicht berücksichtigt wurden die Strafen gegen die Hotelkette Marriott sowie die Fluggesellschaft British Airways, die den EU-Aussteiger Großbritannien mit schlappen 329 Millionen Euro locker auf Platz eins katapultiert hätten und die 51,1 Millionen Euro Frankreichs fast schon mickrig erscheinen lassen.

Zu den bekanntesten DSGVO-Delinquenten der Bundesrepublik gehörte das Berliner Immobilen-Unternehmen Deutsche Wohnen SE, dem die zuständigen Datenschutzbehörden vorwarfen, ein Archivsystem zu verwenden, das keine Möglichkeit vorsehe, nicht mehr erforderliche Daten zu entfernen. In einer Datenbank seien, so sagen die Datenschützer, „teilweise Jahre alte private Angaben, wie Gehaltsbescheinigungen oder Kontoauszüge betroffener Mieter“ gespeichert gewesen.

Obgleich die börsennotierte Wohnungsgesellschaft bereits 2017 auf diesen Mißstand aufmerksam gemacht worden sei, habe sie keine substantiellen Verbesserungen vorgenommen. Ein Bußgeld von 14,5 Millionen Euro brummte das Amt in Berlin der Deutsche Wohnen SE dafür auf. Bei der Festsetzung des Bußgelds wurde erstmals ein neues Berechnungssystem angewandt, auf das sich die deutschen Datenschutzbehörden zuvor geeinigt hatten. Als Berechnungsgrundlage gilt dabei der Jahresumsatz des Unternehmens. Zusätzlich werden weitere Faktoren wie der Schweregrad des Verstoßes, das Verschulden und Wiederholungsgefahr berücksichtigt. Das Ergebnis soll ein Bußgeld sein, das „in jedem Einzelfall nicht nur wirksam und verhältnismäßig, sondern auch abschreckend“ ist, heißt es.

Datenschützer klagen über schlechte Personallage

Dabei hatten sich die obersten Datenschützer der Bundesländer nach dem Beschluß aus Brüssel darauf geeinigt, bei der Umsetzung nichts zu überstürzen. Im Gegensatz zu vielen anderen europäischen Staaten wollte man hierzulande zunächst einmal beobachten und beraten, wie es damals von offizieller Seite hieß. In weiten Teilen haben sich die Behörden auch tatsächlich an die Vorgabe gehalten. Die Ergebnisse dieser „Testphase“ sollen kommenden Mai in die erste Evaluierung des Gesetzes einfließen.

Daß die Bilanz der hierzu bestellten Experten deutlich besser ausfallen dürfte als das Urteil vieler Bürger, die mit der EU-Regelung bislang vor allem Abmahnungen gegen kleine Blogger und Website-Betreiber oder die Verschandelung ihrer in den Sozialen Netzwerken veröffentlichten Party-Selfies durch die jetzt vorgeschriebene Unkenntlichmachung sämtlicher Personen im Hintergrund verbinden, läßt ein Deutschlandfunk-Interview mit seinem hauseigenen IT-Experten, Jan Rähm, am Rande einer mit der Thematik befaßten Konferenz von Fachleuten und einflußreichen Betroffenen in Berlin im Vorfeld der offiziellen Bewertung durch die Europäische Union erahnen.

Rähm, der selbst zu den Fachleuten gehört, auf deren Expertise die politisch Verantwortlichen sich bei der Evaluierung stützen wollen, sieht, bei aller Kritik, schon viel Positives. Die befürchtete große Abmahnwelle sei bislang ausgeblieben und die Verordnung habe inzwischen sogar weltweiten Vorbildcharakter und sei, so berichtet der Dlf-IT-Experte durchaus „ein bißchen stolz“, „von Kalifornien über Mexiko bis nach Japan und Korea“, zur Grundlage für ähnliche Regulierung des Internets geworden.

Größere Veränderungen im Zuge der Evaluierung erwartet Rähm daher nicht. „Eher kleinere Anpassungen und Korrekturen.“ So könne bei der Entbürokratisierung noch etwas getan werden, auch wenn er selbst „das Gejammer über die Bürokratie für unberechtigt“ hält. Verbessert werden müsse vor allem die Zusammenarbeit der Datenschützer der verschiedenen EU-Länder, die „auch entsprechend ausgestattet sein sollten – personell wie finanziell“. In jedem Fall, da sind sich Politik, Behörden und Experten einig, soll die EU-Verordnung in diesem Jahr auch in Deutschland so richtig scharf gestellt werden.

Patientendaten-Schutzgesetz (PDSG)

Digitale Lösungen schnell zum Patienten bringen und dabei sensible Gesundheitsdaten bestmöglich schützen – das ist das Ziel des Patientendaten-Schutzgesetzes (PDSG), das Bundesgesundheitsminister Jens Spahn (CDU) Anfang Februar vorgelegt hat. Demzufolge sollen Versicherte mit einer neuen, „sicheren“ App E-Rezepte in einer Apotheke ihrer Wahl einlösen können. Auch sollen Facharzt-Überweisungen sich zukünftig digital übermitteln lassen. Und Patienten ein Recht darauf bekommen, daß der Arzt ihre elektronische Patientenakte (ePA) befüllt. Darin sollen sich ab 2022 auch der Impfausweis, der Mutterpaß, das gelbe U-Heft für Kinder und das Zahn-Bonusheft speichern lassen, so das Bundesgesundheitsministerium (BMG). Der Vorstand der Kassenärztlichen Bundesvereinigung (KBV) kritisierte den Entwurf des PDSG: „So wird keine Akzeptanz für die Digitalisierung im Gesundheitswesen bei den niedergelassenen Ärztinnen und Ärzten geschaffen.“ Digitalisierung sei kein Selbstzweck. Sie müsse sich daran messen lassen, wie sie die Versorgung der Patienten verbessert, und wie sie helfe, die Arbeit der Kollegen in den Praxen zu entlasten – ohne dabei zusätzliche Kosten zu verursachen. Eindeutige Antworten auf diese notwendigen Zielsetzungen erkenne er nicht, erklärte Andreas Gassen, Vorstandsvorsitzender der KBV. „Das birgt das Risiko, daß noch mehr Vertrauen sowohl bei Ärzten als auch Patienten in die Digitalisierung verlorengeht“, fügte er hinzu. Den Aspekt der IT-Sicherheit brachte Vorstandsmitglied Thomas Kriedel ins Spiel. „Die Verantwortung für die IT-Sicherheit der Komponenten darf nicht auf die Arztpraxen abgewälzt werden. Das gilt auch für die erheblichen Kosten, die ihnen im Zuge der mit der Digitalisierung verbundenen strukturellen Veränderungen entstehen werden. Hier ist der Gesetzgeber aufgefordert, klare Vorgaben zur Finanzierung der Strukturkosten zu setzen.“ Auch dies sei ein im Sinne der Akzeptanz notwendiges Signal, resümiert der KBV-Vorstand Kriedel. (ctw)