Wird es ab dem 25. Mai 2018 mehr Kontrollen durch die Aufsichtsbehörden bei datenschutzrechtlichen Verstößen geben?

In wenigen Monaten ist die neue EU Datenschutz-Grundverordnung (DS-GVO) für alle Unternehmen, die Waren und Dienstleistungen innerhalb der Europäischen Union anbieten, bindend. Wie bereits ausgeführt [siehe Blog-Beitrag Bußgelder], drohen ab dem 25. Mai 2018 bei Verstößen gegen datenschutzrechtliche Bestimmungen erhebliche Bußgelder durch die Aufsichtsbehörden. Es stellt sich die Frage, ob zukünftig auch mit deutlich mehr Kontrollen der Aufsichtsbehörden zu rechnen ist.

Im Zuge der ausgeweiteten Pflichten beziehungsweise Aufgaben der Aufsichtsbehörden kommt auf diese ab Geltung der DS-GVO ein erheblich erhöhter Aufwand zu.

Zum einen sind sie in Zukunft für Fälle zuständig, in denen die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der EU befinden, durch einen nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter erfolgt. Zum anderen bringt die DS-GVO zahlreiche neue Pflichten für Unternehmen mit sich (wie zum Beispiel erweiterte Betroffenenrechte, eine Datenschutz-Folgenabschätzung oder Meldepflichten bei Datenpannen). Die neuen Pflichten müssen von den Aufsichtsbehörden kontrolliert werden.

Dieser Mehraufwand ist mit dem momentan bestehenden Personal nur schwer zu leisten. Schon jetzt genügen die Ressourcen der Aufsichtsbehörden kaum, um ihre Aufgaben zu erfüllen.

Im Zuge der DS-GVO ist mindestens mit einem niedrigen zweistelligen zusätzlichen Personalbedarf pro Aufsichtsbehörde zu rechnen. Allerdings ist nicht davon auszugehen, dass kurzfristig deutlich mehr Mittel und somit Mitarbeiter zur Verfügung stehen werden.

Zwar werden die Kontrollen der Aufsichtsbehörden mit Geltung der DS-GVO zunehmen, um die Anforderungen der DS-GVO zu erfüllen. Wegen der geringen Ressourcen der Aufsichtsbehörden ist aber nicht mit einem unmittelbaren exorbitanten Anstieg der Kontrollen zu rechnen.

Nichtsdestotrotz ist Unternehmen dringend zu raten, die Vorgaben der DS-GVO bis zum Stichtag umzusetzen, da ansonsten nicht nur Bußgelder der Aufsichtsbehörden, sondern in Zukunft auch vermehrt Schadensersatzansprüche von betroffenen Personen [siehe Blog-Beitrag Schadensersatzansprüche] drohen.


Über die Autoren:
Die Schwerpunkte von Dr. Michael Dallmann liegen im Bereich des deutschen und europäischen Kartellrechts. Darüber hinaus ist er auch im Datenschutzrecht sowie im gewerblichen Rechtsschutz tätig.
Philipp Busse berät Unternehmen bei Fragestellungen im Rahmen des IT-Rechts, insbesondere im Datenschutzrecht.