Bremens Datenschutzbeauftragte Imke Sommer. (Jochen Zick)

Zahlreiche Firmen, Privatleute und Verwaltungen verstoßen im kleinsten Bundesland teils massiv gegen die europäische Datenschutz-Grundverordnung (DSGVO). Weil das so ist, bekommt Imke Sommer, die Landesbeauftragte für Datenschutz und Informationsfreiheit, noch im laufenden Jahr deutlich mehr Stellen für Personal, das einschlägigen Beschwerden nachgeht. Bestätigt die Bürgerschaft im Haushalt 2020/21 die Planungen des Senats, dann wird Sommers Behörde von derzeit 15 auf 25 Vollzeitstellen aufgestockt. Gebrauchen könnte sie eigentlich noch mehr, sagt die Chefin.

Wie hoch der Arbeitsanfall im Haus der Landesbeauftragten ist, hat jetzt eine parlamentarische Anfrage der Grünen offenbart. Die Fraktion hatte sich danach erkundigt, wie viele Verstöße den bremischen Datenschützern seit Inkrafttreten der DSGVO im Mai 2018 zur Kenntnis gelangt sind. Bis Ende Februar waren es 489, monatlich kommen rund 50 weitere hinzu. Meist werden Betroffene bei Imke Sommers Mitarbeitern vorstellig, denn für anlasslose Kontrollen, die das Gesetz durchaus vorsieht, hat die Landesbeauftragte bisher kaum personelle Ressourcen.

Das Spektrum der fahrlässigen und vorsätzlichen Verstöße gegen Datenschutzrecht ist breit. So wurden etwa in einem Krankenhaus Patientenbetten mit vollständiger Privat­adresse beschriftet, Fitnessstudios erhoben unzulässigerweise Daten über Nutzungshäufigkeit und -dauer. Andere Überschreitungen der DSGVO bestanden beispielsweise in der Weitergabe von Bewerbungsunterlagen innerhalb eines Konzerns, ohne dass die Betroffenen ihr Einverständnis dazu erklärt hatten. Was auch oft vorkommt: Arbeitgeber protokollieren bei der PC-Nutzung durch Beschäftigte deren individuelle Nutzungsdaten zum Zweck der Leistungskontrolle.

Nicht nur in der Privatwirtschaft gerät der Datenschutz oft aus dem Blickfeld, auch in Behörden nimmt man es damit gelegentlich nicht so genau. So verzeichnete Imke Sommers Team mehrfach unbefugte Abfragen in polizeilichen Informationssystemen. Beamte erkundigten sich unerlaubterweise nach dem Sachstand in Bewerbungsverfahren mit eigener Beteiligung oder brachten ohne dienstlichen Bezug Halterdaten von Fahrzeugen in Erfahrung.

Ein Berg von Verstößen

Offenkundig ist, dass die Landesbeauftragte mit ihrer derzeitigen Personalausstattung nicht klarkommt. „Trotz des unglaublichen Einsatzes meines Teams hat sich ein Berg von Verstößen aufgebaut“, beschreibt Imke Sommer die Lage. Soll heißen: Von den 489 registrierten Fällen sind 439 noch nicht abgearbeitet. Sofern ein Datenschutzverstoß festgestellt wurde, muss die Landesbeauftragte über das Ob und Wie von Sanktionen entscheiden. Sie kann zum Beispiel Datenverarbeitungsverbote oder -beschränkungen erlassen und Bußgelder verhängen.

Letzteres übrigens nur gegen nicht-staatliche Stellen. Erst vor wenigen Wochen hat Imke Sommer das erste Bußgeld auferlegt. Es betraf einen ambulanten Pflegedienst, der bei Zugriffsrechten und Einwilligungserklärungen gegen DSGVO-Bestimmungen verstoßen hatte. Als weitere Sanktionen ergingen acht Anordnungen, acht Verwarnungen und eine Warnung. Die Anordnung war gegen die AfD gerichtet, die ein politisch motiviertes Meldeportal für Beschwerden gegen Lehrkräfte einrichten wollte. Die Sommer-Behörde untersagte dies.

Die jetzt geplante Aufstockung des Personals ist einerseits bemerkenswert, denn in der Tat kommt es nicht oft vor, dass eine Behörde auf einen Schlag um mehr als ein Drittel verstärkt wird. Andererseits bleibt dem Senat nicht viel anderes übrig, denn die EU hat ihre Mitgliedsstaaten beim Erlass der Datenschutz-Grundverordnung zugleich verpflichtet, die jeweiligen Behörden funktionsfähig aufzustellen. Die Länder hätten dafür zu sorgen, heißt es in Artikel 52 der DSGVO, „dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse ... effektiv wahrnehmen zu können“.

EU-Kommission belässt es nicht bei Appellen

Dass Imke Sommer und ihre 14 Mitarbeiter hierzu aktuell kaum in der Lage sind, liegt angesichts der Zahlen auf der Hand. Die EU-Kommission belässt es bei der Durchsetzung von Artikel 52 nicht bei Appellen. Nach Informationen des WESER-KURIER sind bereits Vertragsverletzungsverfahren gegen einige Länder in Vorbereitung, die Datenschutz als Luxusproblem betrachten.

Wie teuer DSGVO-Verstöße werden können, kann man dem EU-weit geführten Register enforcementtracker.com entnehmen. Aus der Übersicht geht unter anderem hervor, dass der Bundesdatenschutzbeauftragte erst kürzlich einem Telekommunikations-Dienstleister eine Geldbuße von 9,5 Millionen Euro aufgebrummt hat. Dort wurden Nutzerdaten unzureichend gesichert. Im Oktober 2019 flatterte einem großen Wohnungskonzern ein Bußgeldbescheid über 14,5 Millionen Euro ins Haus. Das Unternehmen hatte Mieterdaten in einem System gespeichert, das keine Löschungsmöglichkeit vorsah.