Le RGPD un an après : quels enseignements, et quelles perspectives ?

DSGVO ein Jahr später: Welche Lehren und welche Aussichten?

Legal Watch – Juni 2019.

Am 25. Mai 2018 ist die Datenschutz-Grundverordnung in Kraft getreten.

Dieser neue Text hat zahlreiche Änderungen in der Geschäftspraxis mit sich gebracht, sei es auf der Ebene der internen Organisation oder im Kontakt mit den Kunden.

Obwohl der Datenschutz in Frankreich bereits seit 1978 und auf europäischer Ebene seit 1995 gesetzlich verankert ist, verleiht diese Verordnung diesem Thema, das sowohl ein Menschenrecht als auch ein wirtschaftliches Problem darstellt, neuen Schwung. Und die im neuen Text vorgesehenen Geldstrafen sind da keine Seltenheit.

Wie ist die praktische Situation hinsichtlich der Einhaltung der Vorschriften und der Maßnahmen der CNIL und ihrer europäischen Gegenstücke?

In Frankreich ist ein dramatischer Anstieg der Beschwerden, Sicherheitsmeldungen und Auskunftsersuchen bei der CNIL zu verzeichnen. Ende Mai veröffentlichte die Aufsichtsbehörde einen statistischen Bericht zum ersten Jahr, der mehr als 11.900 Beschwerden (+30 %) und 2.044 Meldungen von Datenschutzverletzungen verzeichnete. Die CNIL untersucht zudem weiterhin zahlreiche Fälle, teilweise in Zusammenarbeit mit ihren europäischen Nachbarn. So ist sie an 800 länderübergreifenden Verfahren beteiligt.

Die CNIL unterstützt Unternehmen bei ihren Compliance-Bemühungen, hat aber auch zahlreiche Sanktionen verhängt. Sehen wir uns einige davon genauer an:

  • Die spektakulärste Sanktion ist zweifellos die gegen Google verhängte Strafe in Höhe der Rekordsumme von fünfzig Millionen Euro.
  • Zwei weitere, wesentlich moderatere Sanktionen verdienen dennoch besonderes Interesse, da sie dem Staatsrat vorgelegt wurden, der ihre Verhältnismäßigkeit prüfte.
  • In einem der Fälle vom 17. April 2019 bestätigte der Staatsrat die Strafe von 75.000 Euro: Nach einer Mahnung und mehreren Aufforderungen der CNIL hatte der Adef (Verband für Wohnungsbau) eine Sicherheitslücke, die den Online-Zugriff auf die Unterlagen von Wohnungsbewerbern ermöglichte, immer noch nicht behoben. Die Zeit, die der Verband für die Umsetzung der geforderten Korrekturmaßnahmen benötigte, war für den Staatsrat einer der entscheidenden Faktoren.
  • Im zweiten Fall, ebenfalls vom 17. April 2019, reduzierte der Staatsrat die Höhe der von der CNIL gegen Optical Center verhängten Strafe: Das Unternehmen hatte innerhalb von zwei Tagen nach der Benachrichtigung durch die CNIL eine Sicherheitslücke behoben, die den Zugriff auf Kundenrechnungen über seine Website ermöglichte. Die Strafe wurde von 250.000 auf 200.000 Euro reduziert.
  • Wir schließen diese kurze Bestandsaufnahme mit der jüngsten Sanktion vom 13. Juni 2019 ab, die diesmal von Bedeutung ist, weil sie ein sehr kleines Unternehmen betrifft: Die Uniontrad Company hatte ein Videoüberwachungssystem eingerichtet, das ihre Mitarbeiter ständig überwachte.

Auch in diesem Fall hatte die CNIL das Unternehmen zweimal gewarnt, bevor sie es formell zur Änderung seiner Praktiken aufforderte, ohne dass die erforderlichen Maßnahmen innerhalb der gesetzten Frist ergriffen wurden. Am 18. Juni verhängte die CNIL unter Berücksichtigung der Größe und der finanziellen Lage des Unternehmens eine Verwaltungsstrafe in Höhe von 20.000 Euro.

Die Schlussfolgerung aus diesen verschiedenen Fällen ist, dass sowohl multinationale Konzerne als auch kleinere Unternehmen oder Verbände mit Sanktionen rechnen müssen. Darüber hinaus betonen alle Entscheidungen, wie wichtig die Reaktionsfähigkeit des Verantwortlichen bei Feststellung eines Verstoßes ist und welchen Einfluss diese Reaktion auf die Höhe einer möglichen Sanktion hat.

Was ist mit unseren europäischen Nachbarn?

Alle Indikatoren zeigen einen Anstieg der Beschwerden und Untersuchungen durch Datenschutzbehörden sowie der Höhe der Sanktionen.

Bei allen Datenschutzbehörden im Europäischen Wirtschaftsraum liegen etwas mehr als 280.000 Fälle vor, darunter rund 144.000 Beschwerden und 89 Sicherheitsverletzungen. Ende Mai liefen gegen 371 Datenschutzbehörden Ermittlungen.

Eine Initiative zur Auflistung der verschiedenen Sanktionen auf europäischer Ebene, die von einem deutschen Beratungsunternehmen aktualisiert wurde, bietet einen globalen Überblick über die Maßnahmen der Aufsichtsbehörden: https://www.enforcementtracker.com.

Die höchsten Strafen – neben der von der CNIL gegen Google – verhängte Portugal mit einer Geldstrafe von 400.000 Euro gegen ein Krankenhaus wegen mangelnden Schutzes von Patientendaten. Die CNIL verhängte ebenfalls eine Geldstrafe von 400.000 Euro gegen eine Immobilienagentur. Und Spanien verhängte eine Smartphone-App, die heimlich die Mikrofone von Privatpersonen nutzt. Die spanische Profi-Fußballliga wurde wegen dieses Verstoßes mit einer Geldstrafe von 250.000 Euro belegt und hat gegen diese Entscheidung Berufung eingelegt.

Auf dem Weg zu einer Koordinierung der öffentlichen Behörden über die DSGVO hinaus?

Eine bemerkenswerte Neuerung betrifft die Zusammenarbeit der Behörden mit dem Ziel, ihre Kohärenz und Effizienz zu erhöhen. Diese Initiativen betreffen insbesondere die Datenschutzbehörden, die für Wettbewerbsfragen zuständigen Behörden und die für den Verbraucherschutz zuständigen Behörden.

Die Diskussionen, die 2016 vom Europäischen Datenschutzbeauftragten im Rahmen des Projekts „Digital Clearing House“ initiiert wurden, werden nun vom akademischen Sektor orchestriert und durch eine Resolution des Europäischen Parlaments unterstützt.

Das Projekt bringt nun Behörden aus Europa und anderen Kontinenten zusammen. Die entstandenen Synergien konzentrieren sich auf den Schutz von Einzelpersonen im Kontext der digitalen Wirtschaft und von „Big Data“. Das Treffen am 5. Juni 2019 brachte 25 Aufsichtsbehörden aus der Europäischen Union und anderen Ländern zusammen. Zwei wichtige Themen wurden diskutiert: Facebook und Microsoft. Die Behörden konzentrieren ihre Diskussionen auch auf die Entwicklung von Diensten mit nicht-monetärer Vergütung. Mit anderen Worten: Inwieweit können wir akzeptieren, dass Einzelpersonen im Austausch für einen digitalen Dienst mit ihren Daten bezahlen?

Konkrete Leitlinien zu dieser Frage werden im Herbst nach der nächsten Sitzung der Aufsichtsbehörden erwartet. Angesichts der Herausforderungen der digitalen Wirtschaft könnte dies eine bedeutende Entwicklung sein.

Und außerdem:

• In Frankreich: Die CNIL stellt eine neue Version ihres Tools online, das den für die Verarbeitung Verantwortlichen bei seinen Folgenabschätzungen (AIPD) unterstützen soll.

• in Europa : Auf dem Weg zu einer strengeren Auslegung der Vorschriften für die elektronische Kundenwerbung? Mehrere Aufsichtsbehörden haben angekündigt, ihre Auslegung in Bezug auf die Einholung der Einwilligung der betroffenen Personen und Cookies zu überprüfen. Dazu gehören Belgien, Frankreich, das Vereinigte Königreich und die Niederlande. Es sei darauf hingewiesen, dass der Europäische Datenschutzausschuss in einer Pressemitteilung vom Mai 2018 bereits ausdrücklich gegen die Verwendung von „Cookie-Walls“ entschieden hatte, die den Zugriff auf eine Website von der Einwilligung der Besucher abhängig machen.

• in der Welt: Um die Notwendigkeit eines Gesetzes zur Regulierung von Algorithmen zu beurteilen, untersuchte der Handelsausschuss des US-Senats während einer Anhörung am 25. Juni, wie Unternehmen wie Google, YouTube und Facebook künstliche Intelligenz nutzen, um Einfluss zu nehmen

Entdecken Sie Viqtor®
de_DE_formalDE
fr_FRFR en_USEN es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL de_DE_formalDE