Die Datenschutzbeauftragten der Länder sind für die Einhaltung der DSGVO zuständig. Seit dem 25. Mai ist sie in Kraft, und seitdem werden die Behörden mit Beschwerden und Anfragen überhäuft.
Das Bayerische Landesamt für Datenschutzaufsicht führte 2017 2.974 Beratungen durch, dieses Jahr waren es bis zum 17. September 6.629. Rheinland-Pfalz teilt mit, dass man nur noch die schriftlichen Anfragen zählen könne – die telefonischen seien einfach zu viel. Aus Schleswig-Holstein heißt es, dass zu Hochzeiten die Dienststelle kaum noch telefonisch zu erreichen gewesen sei. Berlin meldet ein fünffaches Aufkommen von Anfragen und Beschwerden, Sachsen ein drei- bis vierfaches: „Und das, obwohl wir kaum mehr Personal haben“, so ein Sprecher im Gespräch mit den Deutschen Wirtschaftsnachrichten.
Anfragen zum korrekten Umgang mit Daten kommen in der Regel von Unternehmen, Vereinen und anderen Organisationen. Beschwerden werden zu einem geringen Prozentsatz von Unternehmen, größtenteils jedoch von Privatpersonen eingereicht. Häufige Gründe sind nicht gelöschte Accounts, unerlaubte Email-Werbung sowie das Nichtlöschen personenbezogener Daten. Weiterhin Videoüberwachung, der nicht sachgemäße Umgang mit Daten durch den Arbeitgeber sowie die Verletzung des Schutzes personenbezogener Daten in Arztpraxen. Wolfram Barner aus Baden-Württemberg nennt im Gespräch mit den Deutschen Wirtschaftsnachrichten darüber hinaus „rechtswidrige Zugriffe auf Datenbanken durch Polizeibeamte“.
Einige Bundesländer haben bereits Bußgelder wegen DSGVO-Verstößen erlassen. Beispielsweise Nordrhein-Westfalen. Dabei ging es vor allem um Fälle, „in denen wir von den angeschriebenen Verantwortlichen keine Auskünfte erhalten haben“, so Behördensprecher Daniel Strunk, sowie um den „unrechtmäßigen Einsatz von sogenannten Dashcams“. Bußgeldbescheiden gingen umfangreiche Aktivitäten wie Untersuchungen, Anhörungen, das Einlegen von Rechtsmitteln seitens des Betroffenen und anschließende erneute Anhörungen voraus, heißt es aus Berlin. Deshalb habe man auch noch keine Bußgelder verhängt, aber es sei nur eine „Zeitfrage“, bis das geschehe. Das sagt auch Wolfram Barner. Die Ordnungswidrigkeiten in Baden-Württemberg befänden sich allesamt noch im „Ermittlungsstadium“, Bußgelder „werden jedoch noch im Jahre 2018 in erheblichem Umfang anfallen“.
Die Datenschutzbeauftragte von Schleswig-Holstein, Marit Hansen, sagte den Deutschen Wirtschaftsnachrichten: „Bußgelder haben wir noch nicht verhängt, da solche Verfahren länger dauern, weil zunächst der Sachverhalt aufgeklärt werden muss und Anhörungen durchzuführen sind – da laufen zurzeit mehrere Verfahren, aber noch ohne finales Ergebnis. Die anderen Instrumente – Hinweise geben, Warnungen aussprechen, Verwarnungen aussprechen, Anordnungen treffen wie beispielsweise das Untersagen einer Datenverarbeitung – sind alle schon zum Einsatz gekommen.“
Beim Erlassen einer Geldbuße hätten die Behörden einen Ermessenspielraum, sagte die Berliner Sprecherin. Die Höhe der Strafe hänge unter anderem davon ab, wie viele Menschen von der Nichteinhaltung des Datenschutzes betroffen gewesen seien, aber auch, mit welchen Daten unsachgemäß umgegangen worden sei. Beispielsweise würde das Speichern einer Adresse weniger schwere Konsequenzen nach sich ziehen als der Missbrauch von besonders schutzwürdigem Datenmaterial wie etwas Gesundheitsdaten.
Der Sprecher der Hamburger Behörde, Martin Schemm, sagte den Deutschen Wirtschaftsnachrichten, dass die Bearbeitung von Beschwerden über Facebook und Google häufig Probleme aufwerfe. Beide Tech-Unternehmen haben ihren Deutschland-Sitz in der Hansestadt, ihre Europa-Zentrale jedoch in Irland. In vielen Beschwerdefällen müsse vor der Bearbeitung erst geprüft werden, wer zuständig sei: Hamburg oder Irland.
Einig sind sich die Datenschützer weitestgehend darüber, dass die DSGVO innerhalb Europas zu mehr Gerechtigkeit führe: In Deutschland seien die datenschutzrechtlichen Bestimmungen schon lange sehr streng, in vielen anderen europäischen Ländern jedoch äußerst locker. Marit Hansen: „Ein Ziel der DSGVO war ja das ´Level Playing Field´ – das haben wir in Europa auf dem Markt noch nicht erreicht, aber die Voraussetzungen dafür sind besser als in der Vor-DSGVO-Zeit.“