Takea­ways (AI):
  • EDÖB aktiv seit DSG-Ein­füh­rung: Schwer­punk­te lagen anfangs auf Ein­füh­rungs­ar­bei­ten sowie der Bear­bei­tung alt­recht­li­cher Abklärungen.
  • Auf­sichts­auf­ga­ben fokus­siert: Ver­schie­de­ne Mög­lich­kei­ten wie for­mel­le Unter­su­chun­gen und infor­mel­le Vor­ab­klä­run­gen neh­men an Bedeu­tung zu.
  • Anzei­gen wegen DSG-Ver­stö­ßen: Bis 05.11.2024 wur­den 1,183 Anzei­gen ein­ge­reicht, wobei 889 bereits abge­schlos­sen sind.
  • Nie­der­schwel­li­ge Inter­ven­tio­nen erfolg­reich: 86 Inter­ven­tio­nen durch­ge­führt, 90% wur­den frei­wil­lig befolgt, was wirk­sa­me Regu­lie­rung zeigt.

Der EDÖB hat eini­ge Zah­len zu sei­ner Tätig­keit nach dem neu­en DSG seit Inkraft­tre­ten und bis zum Stich­tag vom 05.11.2024 ver­öf­fent­licht (Medi­en­mit­tei­lung).

In einer ersten Pha­se nach dem Inkraft­tre­ten und bis ins erste Quar­tal 2024 hat das Team des EDÖB in erster Linie Ein­füh­rungs­ar­bei­ten des neu­en Rechts bewäl­tigt (bspw. Merk­blät­ter, Weg­lei­tun­gen etc.), neben den lau­fen­den Auf­ga­ben und der Bear­bei­tung der noch vor­han­de­nen alt­recht­li­chen Sach­ver­halts­ab­klä­run­gen. Seit­her sind Auf­sichts­auf­ga­ben stär­ker in den Fokus gerückt, was in der Pra­xis deut­lich bemerk­bar wur­de. Der EDÖB hat hier­für in Wesent­li­chen fol­gen­de Möglichkeiten:

  • For­mel­le Unter­su­chung: for­mel­le Unter­su­chung “von Per­so­nen­da­ten­be­ar­bei­tun­gen, die auf­grund von kon­kre­ten Anzei­chen gegen die Daten­schutz­vor­schrif­ten des Bun­des ver­sto­ssen könn­te” (eigent­lich: Unter­su­chung ver­mu­te­ter Ver­stö­sse gegen das Daten­schutz­recht des Bun­des, die zwar mit einer Daten­be­ar­bei­tung zusam­men­hän­gen müs­sen – andern­falls wäre das DSG nicht anwend­bar –, die aber nicht in der Bear­bei­tung selbst bestehen müs­sen; auch ver­mu­te­te Ver­stö­sse gegen beglei­ten­de Pflich­ten kön­nen Gegen­stand einer Unter­su­chung sein);
  • Infor­mel­le Vor­ab­klä­rung: “infor­mel­le Abklä­rung, ob die Vor­aus­set­zun­gen zur Eröff­nung for­mel­ler Unter­su­chun­gen gege­ben sind oder nicht”;
  • Nie­der­schwel­li­ge Inter­ven­ti­on: “brief­li­che Ein­la­dung an die Ver­ant­wort­li­chen, bei ein­fa­chen Sach­ver­hal­ten frei­wil­lig zur raschen Her­stel­lung der Daten­schutz­kon­for­mi­tät einer Bear­bei­tung bei­zu­tra­gen” – in der Pra­xis ein wirk­sa­mes Vor­ge­hen, denn auch wenn man sich vor einer Unter­su­chung nicht fürch­ten müss­te, sind Aus­sa­gen des EDÖB auch ausser­halb einer Unter­su­chung fak­tisch von Gewicht, wes­halb auch nie­der­schwel­li­ge Akti­vi­tä­ten fak­tisch eine Form der Regu­lie­rung dar­stel­len. Recht­li­che Wür­di­gun­gen soll­te der EDÖB in sol­chen nie­der­schwel­li­gen Inter­ven­tio­nen des­halb nur mit Vor­sicht auf­neh­men (bspw. ob in einer bestimm­ten, in die­sem Sta­di­um nicht unter­such­ten Kon­stel­la­ti­on eine gemein­sa­me Ver­ant­wor­tung vor­liegt oder eine Anpas­sung von Bear­bei­tungs­tä­tig­kei­ten erfor­der­lich sei).

Nicht in Fra­ge kommt dage­gen ein Straf­an­trag, die­ses Recht hat der EDÖB nicht, aber bei den weni­gen Offi­zi­al­de­lik­ten ein Anzeigerecht.

Der EDÖB hat in der Zwi­schen­bi­lanz fol­gen­de Zah­len veröffentlicht:

Anzei­gen und Meldungen

Ein­ge­gan­ge­ne Anzei­gen wegen Ver­let­zun­gen des DSG: 1,183

  • in Bear­bei­tung: 294
  • abge­schlos­sen: 889

Ein­ge­gan­ge­ne Data Breach Mel­dun­gen: 293

Auf­sichts­hand­lun­gen

Nie­der­schwel­li­ge Inter­ven­tio­nen: 86

  • frei­wil­lig befolgt: ca. 90%

Nach neu­em Recht eröff­ne­te Vor­ab­klä­run­gen und Unter­su­chun­gen: 26

  • abge­schlos­sen: 7

Nicht bekannt sind bspw. fol­gen­de Zahlen:

  • Anzahl Inter­ven­tio­nen nach der Mel­dung einer Ver­let­zung der Datensicherheit
  • Gegen­stand der Unter­su­chun­gen auf­ge­schlüs­selt nach Bear­bei­tungs­grund­sät­zen, Betrof­fe­nen­rech­ten und Governance-Pflichten
  • Anzahl Straf­an­zei­gen bei Offi­zi­al­de­lik­ten (ver­mut­lich noch kei­ne oder fast keine)
  • Pro­zent­satz frei­wil­li­ger Mel­dun­gen von Sicherheitsverletzungen
  • Art der gemel­de­ten Sicherheitsverletzungen
  • Anzahl gemel­de­ter Daten­schutz­be­ra­ter vs. Anzahl mel­de­pflich­ti­ger Orga­ni­sa­tio­nen (Bun­des­be­hör­den ein­schliess­lich ver­wal­tungs­exter­ner Orga­ni­sa­tio­nen wie bspw. Sozialversicherungsträgern)
  • Anzahl Zugangs­ge­su­che beim EDÖB nach dem BGÖ mit Bezug auf Anzei­gen, Mel­dun­gen und Auf­sichts­hand­lun­gen (jeden­falls nicht null)

AI-generierte Takeaways können falsch sein.