• PRO
  • Events
  • About Blog Popular
  • Login
  • Register
  • PRO
  • Resources
    • Latest updates
    • Q&A
    • In-depth
    • In-house view
    • Practical resources
    • FromCounsel New
    • Commentary
  • Resources
  • Research
    • Legal research hub
    • Primary sources
    • Scanner: regulatory tracking
    • Lexy: powerful AI search
    • Research reports
    • Explore all
  • Research
  • Learn
    • All
    • Webinars
    • Videos
  • Learn
  • Experts
    • Find experts
    • Influencers
    • Client Choice New
    • Firms
    • About
    Introducing Instruct Counsel
    The next generation search tool for finding the right lawyer for you.
  • Experts
  • My newsfeed
  • Events
  • About
  • Blog
  • Popular
  • Legal research hub
  • Primary sources
  • Scanner: regulatory tracking
  • Lexy: powerful AI search
  • Research reports
  • Explore all
  • Find experts
  • Influencers
  • Client Choice New
  • Firms
  • About
Introducing Instruct Counsel
The next generation search tool for finding the right lawyer for you.
  • Compare
  • Topics
  • Interviews
  • Guides

Analytics

Review your content's performance and reach.

  • Analytics dashboard
  • Top articles
  • Top authors
  • Who's reading?

Content Development

Become your target audience’s go-to resource for today’s hottest topics.

  • Trending Topics
  • Discover Content
  • Horizons
  • Ideation

Client Intelligence

Understand your clients’ strategies and the most pressing issues they are facing.

  • Track Sectors
  • Track Clients
  • Mandates
  • Discover Companies
  • Reports Centre

Competitor Intelligence

Keep a step ahead of your key competitors and benchmark against them.

  • Benchmarking
  • Competitor Mandates
Home

Back Forward
  • Save & file
  • View original
  • Forward
  • Share
    • Facebook
    • Twitter
    • Linked In
  • Follow
    Please login to follow content.
  • Like
  • Instruct

add to folder:

  • My saved (default)
  • Read later
Folders shared with you

Register now for your free, tailored, daily legal newsfeed service.

Questions? Please contact [email protected]

Register

DSGVO: EU-Datenschutzausschuss zieht eine erste Bilanz

MLL Meyerlustenberger Lachenal Froriep Ltd

To view this article you need a PDF viewer such as Adobe Reader. Download Adobe Acrobat Reader

If you can't read this PDF, you can view its text here. Go back to the PDF .

European Union, Switzerland March 24 2019

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union gilt bekanntlich seit dem 25. Mai 2018. Acht Monate später zieht der Europäische Datenschutzausschuss (EDSA) erstmals Bilanz über die Implementierung der DSGVO und der Rolle der nationalen Behörden in diesem Prozess. Seit der Einführung der DSGVO sind bei den nationalen Behörden mehr als 95’000 Beschwerden wegen angeblichen Datenschutzverstössen eingegangen und es wurden zahlreiche Bussen verhängt. In einigen Mitgliedstaaten wurden allerdings die nationalen Gesetze noch immer nicht an die DSGVO angepasst und den Aufsichtsbehörden fehlt das erforderliche Budget zur effektiven Durchsetzung der DSGVO.

Positives Zwischenfazit – gleichwohl Mängel bei der Umsetzung

In dem Ende Februar veröffentlichten Bericht zieht der EDSA zwar eine grundsätzlich positive Zwischenbilanz. Die DSGVO sowie die Zusammenarbeit im EDSA und mit den nationalen Aufsichtsbehörden funktioniere gut. Anlässlich der Vorstellung des Berichts im Innenausschusses des EU-Parlaments, wurde allerdings auch Kritik laut, wie heise.de berichtet. Diese war unter anderem an die EU-Kommission gerichtet. Denn auch acht Monate nach der Anwendung der DSGVO hätten 5 von 28 Mitgliedsstaaten ihre nationalen Gesetze noch nicht vollständig an die DGVO angepasst (Bulgarien, Griechenland, Portugal, Slowenien und Tschechien). Die EU-Kommission müsse energischer gegen die säumigen Mitgliedstaaten vorgehen.

Im Innenausschuss wurden weiter auch die bescheidenen Kompetenzen des Europäischen Datenschutzausschusses bemängelt. Dieser ist nicht ermächtigt, selbst Verfahren gegen Datenschutzverstösse zu eröffnen. Somit wird ein Fall nur untersucht, wenn sich eine nationale Behörde damit auseinandersetzt. Sollte diese nicht aktiv werden, passiert nichts. Der Chef der belgischen Datenschutzbehörde, Willem Debeuckelaere, forderte vor diesem Hintergrund, dem EDPB in Zukunft die nötigen Mittel und Kompetenz zu geben, um eigene Fälle auf EU Ebene zu verfolgen.

Ursprung und Anzahl der Verfahren

Bis zur Veröffentlichung des Berichts wurden bei den nationalen Behörden insgesamt 206’326 Fälle im Zusammenhang mit der DSGVO registriert. Davon wurden 94’622 durch Beschwerden bei den nationalen Datenschutzbehörden ausgelöst. Wie eine Infografik der EU-Kommission verdeutlicht, betrafen die Beschwerden primär Werbe-Anrufe, Werbe-Mails sowie die Videoüberwachung. Bei einer Datenschutzbehörde beschweren kann sich jede Person und Unternehmung, die sich in ihren Datenschutzrechten verletzt fühlt. Als Teil der Informationspflicht schreibt die DSGVO denn auch vor, dass die von einer Datenverarbeitung betroffenen Personen auf das Beschwerderecht hinzuweisen sind.

Die zweite grosse Fallkategorie betrifft Unternehmen, die im Falle eines Datenlecks („Data Breach“) dazu verpflichtet sind, dieses bei einer Datenschutzbehörde zu melden. Bisher wurden 64’684 solcher Fälle gemeldet. 47’020 Fälle waren keiner dieser beiden Kategorien zuteilbar.

Von allen bisher eingebrachten Fällen sind 52% bereits abgeschlossen. 47% sind noch in Bearbeitung und gegen 1% wurde ein Rechtsmittel eingelegt.

Quelle: First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities – EDPB

Auslastung der Behörden Die Bearbeitung der hängigen Fälle geht aufgrund der Überlastung der Behörden allerdings nur schleppend voran. Aufgrund ihrer neuen Kompetenzen war ein Ausbau der nationalen Datenschutzbehörden unumgänglich. Gleichwohl haben Polen und Tschechien das Budget ihrer jeweiligen Datenschutzbehörden um 15- respektive 6 % gekürzt.

Eine Mehrheit der Datenschutzbeauftragten gibt an, eine weitere Budgeterhöhung von 30-50% zu benötigten, um auf die neuen Anforderungen reagieren zu können. Allerdings erhielten die wenigsten Behörden die benötigten Mittel.

Quelle: First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities – EDPB

Auch im Personalbereich sind die meisten Datenschutzbehörden stark gewachsen. Bei gerade einmal acht Behörden blieb die Anzahl an Angestellten konstant und bei einer ging sie sogar zurück. Alle anderen stellten zusätzliche Mitarbeiter an, wobei bei den meisten noch immer Bedarf nach mehr Personal besteht. In den meisten Behörden wird deshalb auch in diesem Jahr ein Ausbau stattfinden.

Quelle: First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities – EDPB

Bussgeldentscheide Trotz der beschränkten Ressourcen haben die nationalen Behörden (aus elf EWR-Staaten) Bussgelder in der Höhe von 56 Millionen Euro ausgesprochen. Der erste Bussgeldentscheid wurde Ende 2018 gegen den Chat-Anbieter Knuddels gefällt. Hacker veröffentlichten E-Mail-Adressen von 330’000 Nutzern, die unverschlüsselt auf den Knuddels-Servern gespeichert wurden. Die Busse fiel mit 20’000 Euro verhältnismässig gering aus, da das Unternehmen mit den Behörden kooperierte.

Am 21. Januar 2019 sprach die französische Datenschutzbehörde (Commission Nationale de l’Informatique e des Libertés (CNIL)) die bisher grösste DSGVO-Busse aus. Google wurde zu einer Geldbusse von 50’000’000 Euro verurteilt. Grund dafür war die mangelnde Datenschutzerklärung, die sowohl mit Blick auf das Transparenzgebot als auch hinsichtlich der Gültigkeit der Einwilligung in die Datenverarbeitung gegen die sanktionsbedrohten Bestimmungen der DSGVO verstossen hatte (vgl. dazu MLL-News vom 25.02.2019).

Der Entscheid der CNIL, aber auch Verfahren in anderen Ländern verdeutlichen, dass die anfängliche Schonfrist mittlerweile vorbei ist und die Behörden eine härtere Gangart an den Tag legen (vgl. MLL-News vom 25.2.2019).

Kooperation der Behörden Gerade beim Cross-Border Datenverkehr ist eine Kooperation der Datenschutzbeauftragten für eine effektive Umsetzung der DSGVO unerlässlich. Um die Lösungsfindung zu erleichtern kommt der sog. One-Stop-Shop Mechanismus zum Zug. Zu Beginn eines jeden Cross-Border-Verfahrens wird als erstes die federführende Behörde ermittelt. Grundsätzlich ist die Behörde aus dem Land federführend, in dem das Unternehmen, das den Verstoss begangen hat, seinen Hauptsitz hat. Sie ist verantwortlich für die Kooperation mit anderen Behörden und das Treffen von Entscheidungen bezüglich der Auslegung der DSGVO. Die Behörden in den betroffenen Ländern fungieren hingegen als Kontrollorgan. Dies führte im Prozess gegen Google zu Unklarheiten, da hier die französische Datenschutzbehörde federführend war, obwohl Google seinen Hauptsitz in Irland hat (vgl. MLL-News vom 25.02.2019).

Fazit und Ausblick Der Bericht des EDSA macht deutlich, dass die Anwendung der DSGVO nicht nur die Unternehmen, sondern auch die Aufsichtsbehörden vor finanzielle Herausforderungen gestellt hat. Bei vielen Behörden genügen die Mittel nicht, um die Flut der Fälle bewältigen zu können. Viele Staaten haben mittlerweile reagiert und stocken die Budgets ihrer Behörden auf, während andere immer noch an der Anpassung der nationalen Gesetze arbeiten.

Bekanntlich erfüllt ein grosser Teil der Unternehmen nach wie vor die Vorgaben der DSGVO noch nicht. Der Bericht verdeutlicht nun, dass der Anpassungsprozess auch bei den Aufsichtsbehörden noch nicht abgeschlossen ist. Folglich steht auf beiden Seiten noch viel Arbeit an.

Weitere Informationen:

MLL Meyerlustenberger Lachenal Froriep Ltd - Lukas Bühlmann and Michael Reinle

Back Forward
  • Save & file
  • View original
  • Forward
  • Share
    • Facebook
    • Twitter
    • Linked In
  • Follow
    Please login to follow content.
  • Like
  • Instruct

add to folder:

  • My saved (default)
  • Read later
Folders shared with you

Filed under

  • European Union
  • Switzerland
  • IT & Data Protection
  • Litigation
  • MLL Meyerlustenberger Lachenal Froriep Ltd

Laws

  • GDPR

Organisations

  • European Commission

Popular articles from this firm

  1. Le point sur la tokenisation de l’immobilier en Suisse *
  2. NFTs and Trademarks - What You Need to Know *
  3. Das Erbrecht der Geschwister (Teil 1) *
  4. BAG-Kreisschreiben: Konkretisierung der datenschutzrechtlichen Vorschriften im Bereich des KVG *
  5. New Rules for UK Nationals Wanting to Work in Switzerland *

If you would like to learn how Lexology can drive your content marketing strategy forward, please email [email protected].

Powered by Lexology
Primary sources PRO
  • Regulation (EU) 2016/679 - General Data Protection Regulation (GDPR)

    • View in Primary sources

Related practical resources PRO

  • Checklist Checklist: Data subject access rights under the GDPR (UK)
  • Checklist Checklist: Lawful processing of personal data under the GDPR (UK)
  • Checklist Checklist: What to include in your organisation’s privacy notice (UK)

Related research hubs

  • European Commission
  • GDPR
  • European Union
  • Switzerland
  • IT & Data Protection
  • Litigation
Back to Top
Resources
  • Daily newsfeed
  • Commentary
  • Q&A
  • Research hubs
  • Learn
  • In-depth
  • Lexy: AI search
Experts
  • Find experts
  • Legal Influencers
  • Firms
  • About Instruct Counsel
More
  • About us
  • Blog
  • Events
  • Popular
Legal
  • Terms of use
  • Cookies
  • Disclaimer
  • Privacy policy
Contact
  • Contact
  • RSS feeds
  • Submissions
 
  • Login
  • Register
  • Follow on Twitter
  • Follow on LinkedIn

© Copyright 2006 - 2022 Law Business Research

Law Business Research