Ein großer Erfolg, ein weiter Weg bis hin zur Rechtssicherheit

Im Blickpunkt: Die EU-Datenschutz-Grundverordnung ist seit dem 25.05.2018 in Kraft – eine Bestandsaufnahme

Von Rafael Hertz und Lena Pannecke

Beitrag als PDF (Download)

Seit etwas mehr als einem Jahr gilt die EU-Datenschutz-Grundverordnung, kurz DSGVO. Wir möchten diesen einjährigen Geburtstag der DGSVO zum Anlass nehmen, das erste Jahr einmal Revue passieren zu lassen.
Seit einem Jahr müssen Unternehmen und Organisationen europaweit den Datenschutz in ihre Strukturen und Abläufe mehr als je zuvor integrieren. Aber auch Unternehmen aus Drittländern, also außerhalb der Europäischen Union, unterliegen der DSGVO, wenn sie insbesondere Waren oder Dienstleistungen in der Europäischen Union anbieten.
Es bestehen somit Informations- und Auskunftspflichten, Pflichten zur Meldung von Datenpannen, viele Unternehmen brauchen einen Datenschutzbeauftragten, und die Datenabläufe müssen dokumentiert werden. Was hinter Begriffen wie Datenportabilität, Auftragsverarbeitung und Datenschutzfolgenabschätzung steckt, hat noch vor kurzem kaum jemanden interessiert. Das hat sich mit Geltung der DSGVO seit dem 25.05.2018 grundlegend geändert. Nicht nur mit Freude wurde die Nachricht über die neue, unmittelbar geltende Verordnung aufgenommen, sondern zum Teil auch mit Seufzen oder gar Spott.
Dies mag daran liegen, dass die DSGVO in viele Geschäftsbereiche eingreift und dennoch nicht immer direkt auf der Hand liegt, inwiefern Änderungen und Anpassungen in einem Unternehmen erforderlich sind. Dabei tragen auf den ersten Blick existenzbedrohende Bußgelder und neue wirtschaftliche Risiken, wie der Ersatz immaterieller Schäden, nicht gerade zur Beruhigung bei. Zusätzlich verbreitete sich die Panik vor einer Abmahnwelle wie ein Lauffeuer. Und schließlich sorgten bereits vor Mai 2018 zahlreiche nationale Besonderheiten – beispielsweise im Bereich des Arbeitsrechts – dafür, dass die Illusion eines in allen Teilen einheitlichen europäischen Datenschutzrechts frühzeitig verflogen war. Selbst für einheitlich geltende Teile der neuen Regula-rien besteht in vielen Bereichen Unklarheit darüber, wie eine europaweite einheitliche Auslegung aussehen soll. All das führte zu großer Unsicherheit und Überforderung zahlreicher Marktteilnehmer und mündete in Einzelfällen in übertriebenem Aktionismus oder kompletter Ignoranz der entstandenen Herausforderungen. Letztlich sind alle Beteiligten nach einem Jahr datenschutzrechtlicher Beratungspraxis in vielerlei Hinsicht erfahrener, und die eigentlichen Schwerpunkte sind besser definierbar.
Was hat sich denn nun als wesentlich herauskristallisiert? Wie viele Bußgelder wurden tatsächlich verhängt, was wurde aus der Abmahnwelle, und wie aktiv waren die Aufsichtsbehörden?

Sanktionen und Aktivitäten der Aufsichtsbehörden
Die deutschen, aber auch die Datenschutzbehörden im europäischen Ausland waren bisher in puncto Bußgelder eher zurückhaltend. Die französische Datenschutzbehörde CNIL hat mit 50 Millionen Euro wohl das bislang höchste Bußgeld gegen Google verhängt. Art. 83 DSGVO erlaubt es Datenschutzbehörden, Bußgelder in Höhe von bis zu 20 Millionen Euro oder in Höhe von 4% des globalen Jahresumsatzes eines Unternehmens zu verhängen.
In Deutschland sind bisher wohl ungefähr 100 Bußgeldverfahren öffentlich bekanntgeworden, wobei zu beachten ist, dass nicht jede Datenschutzbehörde ihre Zahlen veröffentlicht. Es gilt auch nach Einführung der DSGVO weiterhin die Regel, dass gegen ein einmaliges – gegebenenfalls auch nach Verhandlung mit der Behörde bezüglich dessen Höhe – verhängtes Bußgeld in den seltensten Fällen gerichtlich vorgegangen wird. Das Stigma eines Bußgelds soll möglichst nicht öffentlich werden – unabhängig davon, ob rechtmäßig verhängt oder nicht.
Das wohl erste bekanntgewordene Bußgeld in Deutschland richtete sich gegen die soziale Plattform Knuddels. Das Unternehmen hatte Kundendaten im Klartext auf seinen Servern gespeichert und dadurch einen Hackerangriff ermöglicht, in dessen Folge all diese Daten veröffentlicht wurden. Dass das Bußgeld mit 20.000 Euro dennoch recht milde ausfiel, lag wohl am kooperativen Verhalten des Unternehmens im weiteren Verlauf des Verfahrens. Die wohl höchste Einzel-strafe verhängte der Landesdatenschutzbeauftragte von Baden-Württemberg mit 80.000 Euro wegen geleakter Gesundheitsdaten.
Insgesamt waren die Gründe für die in Deutschland bislang bekanntgewordenen Sanktionen sehr unterschiedlicher Natur. So führten zum Beispiel die Offenlegung von Kontoauszügen gegenüber Unbefugten beim Onlinebanking, die unbefugte Weitergabe und somit Offenlegung von Daten, die sich auf einen Dritten beziehen, die Offenlegung von E-Mail-Adressen im offenen Verteiler, unzulässige Werbe-E-Mails oder die Aufzeichnung von Kunden und Arbeitnehmern durch unzulässige Videoüberwachung zu Bußgeldern.
Zweifelsohne wurden bereits für das erste Jahr der DSGVO weitaus höhere Bußgelder erwartet. Zu berücksichtigen ist jedoch, dass das traditionell geringe deutsche Bußgeldniveau sich gesamteuropäischen Standards angleichen wird. Es ist die ausdrückliche Intention der DSGVO, dass die Bußgelder als Mittel zur Durchsetzung in repressivem, aber auch präventivem Sinne eingesetzt werden. Standards werden sich noch herauskristallisieren.
Auch darüber hinaus waren die Aufsichtsbehörden im Jahr 2018 zurückhaltend, was nicht unbedingt an einer bewussten Rücksichtnahme in der Anfangsphase, sondern vielmehr an einer schier hoffnungslosen Unterbesetzung liegen dürfte. Es wurden vermehrt Fragebögen zur Überprüfung an Unternehmen geschickt, Vor-Ort-Kontrollen blieben jedoch zunächst eher eine Seltenheit. So wurden beispielsweise von der bayrischen Landesbehörde 20 bayerische Onlineshops, zufällig aus allen Branchen zusammengestellt, hinsichtlich der Verwendung von veralteten und unsicheren E-Commerce-Systemen geprüft. Diese hatten Fragebögen zu beantworten und wurden aufgefordert, Missstände zu beheben. 2018 sei das Jahr der Beratung gewesen, teilte Stefan Brink, Datenschutzbeauftragter in Baden-Württemberg, in einem Interview mit dem SWR mit. 2019 hingegen werde das Jahr der Kontrollen. Die Beratung sei laut Brink wichtig gewesen, weil die neue Datenschutz-Grundverordnung der Europäischen Union von allen dieselben hohen Standards in Sachen Datenschutz verlange. Für 2019 kündigte er an, dass seine Behörde ange-kündigte und unangekündigte Kontrollen vornehmen werde. Im Visier stünden dabei vor allem Social-Media-Unternehmen und Unternehmen, die große Mengen an sensiblen Daten verwalten.

Abmahnungen
Große Befürchtungen machten sich vor Inkrafttreten der DSGVO auch in Bezug auf mögliche Abmahnungen breit. Aufgrund einer ausgeprägten Abmahnpraxis in Deutschland sah man auch im Datenschutzrecht ein großes Potential.
Viele Unternehmen erhielten in der Tat Abmahnungen, z.B. wegen des Fehlens oder wegen der Fehlerhaftigkeit von Datenschutzerklärungen auf deren Websites. Doch die große Abmahnwelle blieb zunächst aus. Gegen anwaltlich beratene Betroffene wirkten die wenigen Abmahnanwälte und -kanzleien letztlich relativ hilflos und zeigten keinen langen Atem. Betroffenen blieb oftmals nichts anderes übrig, als ruhig zu bleiben und die Forderungen möglichst abzuwehren. Betroffene, die nachgegeben haben, haben schließlich oft kurze Zeit später eine weitere Abmahnung eines anderen Wettbewerbers, aber auch – was erst recht rechtlich zweifelhaft ist – von anwaltlich vertretenen natürlichen Personen, die die Unternehmenswebsite besucht haben wollen, vorgefunden.
Nach wie vor ist unklar, ob Datenschutzverstöße überhaupt abmahnfähig sind. Die Gerichte, die hierüber seit Mai 2018 zu urteilen hatten, zeigen keine einheitliche Linie. So sind einige der Auffassung, dass die ­DSGVO für den Fall eines Datenschutzrechtsverstoßes abschließende Sanktionsmechanismen bereithalte, so dass für Abmahnungen durch Wettbewerber über den Weg privatrechtlicher Rechtsdurchsetzung kein Raum sei (unter anderen LG Bochum, Urteil vom 07.08.2018 – I-12 O 85/18). Andere Gerichte vertreten demgegenüber die Ansicht, dass eine solche Vorgehensweise durchaus mit der DSGVO in Einklang zu bringen sei (unter anderem LG Würzburg, Beschluss vom 13.09.2018 – 11 O 1741/18).
Die Bundesregierung brachte am 15.05.2019 einen Gesetzentwurf zur Eindämmung von Abmahnungen („Entwurf eines Gesetzes zur Stärkung des fairen Wettbewerbs“) auf den Weg. Unter anderem sollen demnach Kleinstunternehmen (weniger als zehn Personen beschäftigt, und Jahresumsatz oder Jahresbilanz übersteigt nicht 2 Millionen Euro) sowie kleine Unternehmen (weniger als 50 Personen beschäftigt und Jahresumsatz oder Jahresbilanz nicht über 10 Millionen Euro) nicht mehr kostenpflichtig abgemahnt werden dürfen. Gänzlich wird eine Abmahnung hier jedoch nicht ausgeschlossen, sie muss nur entsprechend gut begründet sein.

Aus der Praxis
Ausgehend von einem Unternehmen mittlerer Größe aus dem produzierenden oder dem Dienstleistungssektor, das eine zeitgemäße IT-Struktur aufweist und moderne Medien zur Umsatzoptimierung einsetzt, haben sich einige Themenschwerpunkte herauskristallisiert.
Im Fokus standen nicht zu Unrecht oftmals insbesondere das äußere Erscheinungsbild und das aktive Auftreten nach außen. Vielen Unternehmen war es wichtig, sich zunächst nach außen hin nicht für Dritte angreifbar zu machen. Dritte in diesem Sinne können Aufsichtsbehörden, Wettbewerber, aber auch Verbände sein. Als Dritte werden jedoch auch oft die eigenen Arbeitnehmer und deren Interessenvertretungen angesehen.
So standen zunächst insbesondere die Datenschutzerklärungen und der gesamte Internetauftritt im Vordergrund. Grundsätzlich besteht die Pflicht, den Betroffenen über die Verarbeitung seiner personenbezogenen Daten zu informieren, und zwar zeitlich vor der ersten Erhebung seiner Daten. Im Rahmen von Websites wird dieser der Transparenz dienenden Pflicht praxisgerecht durch eine Datenschutzerklärung nachgekommen. Die Erfahrung zeigt, dass in der Datenschutzerklärung oft „versehentlich“ Datenschutzverstöße dokumentiert werden. Dies macht es Dritten naturgemäß einfach, Fehler zu erkennen. Solche Fehler entstehen insbesondere auch dann, wenn Verantwortliche den Sinn und Zweck der Datenschutzerklärung verkennen und fälschlicherweise Datenverarbeitungsvorgänge beschreiben, die nichts mit einer Verarbeitung im Zusammenhang mit der Website zu tun haben, und dabei „versehentlich“ Verstöße veröffentlichen. Demgegenüber liegen Autoren vollkommen falsch, wenn sie im Umkehrschluss lieber nicht über alle Verarbeitungsvorgänge im Zusammenhang mit der Website informieren, weil sie der Ansicht sind, ein Dritter könne das nicht ohne weiteres überprüfen. Vieles kann ein Besucher sogar relativ einfach überprüfen. So kann man sich durch das Drücken der F12-Taste am Computer über den eigenen Browser die durch eine Website gesetzten Cookies anzeigen lassen. Aufgrund eines mittlerweile durchaus vorhandenen Bewusstseins in der Bevölkerung für den Datenschutz sollte man nicht davon ausgehen, dass Nutzer ohnehin keine Überprüfungen vornähmem und sich nicht interessierten. Gerade auch bei konzerneinheitlichen grenzüberschreitenden Web­sites stehen die beteiligten Unternehmen oft vor vielen, regelmäßig verkannten Herausforderungen. Dass die deutsche Tochtergesellschaft Verantwortliche im Sinne des Gesetzes sein könnte, dass beispielsweise im Bereich der Werbung die Informationen den oft strengeren deutschen Vorgaben entsprechen sollten und dass eine beispielsweise englischsprachige Datenschutzerklärung den Anforderungen nicht genügen könnte, wird daher oft übersehen.
Darüber hinaus rückte auch die Benennung von Datenschutzbeauftragten näher in den Fokus, obwohl sich zur Bestellungspflicht jedenfalls in Deutschland kaum etwas geändert hat. Wohl allein die Pflicht, den Datenschutzbeauftragten der Aufsichtsbehörde melden zu müssen, reichte jedoch aus, dass sich regelrecht explosionsartig ein neuer Markt für externe Datenschutzbeauftragte etablierte. Aufgrund der Komplexität und Haftungsrisiken spielt in der Praxis nämlich der externe Datenschutzbeauftragte eine weitaus größere Rolle, als das vor dem Mai 2018 der Fall war. Konzerne versuchen, die Kompetenz auch grenzüberschreitend zu bündeln und mitunter einen Konzerndatenschutzbeauftragten zu bestellen. Bei externen und internen Datenschutzbe-auftragten spielt der Interessenkonflikt regelmäßig eine Rolle. Anwälte, die neben ihrer regelmäßigen Beratung des Unternehmens auch zum externen Datenschutzbeauftragten bestellt sind, sowie interne Datenschutzbeauftragte, die eine exponierte Position im Konzern haben, leiden oft unter einem verkannten Interessenkonflikt, der für die Verantwortlichen gravierende Folgen haben und im Ergebnis dazu führen kann, dass kein Datenschutzbeauftragter in Sinne des Gesetzes bestellt wurde.
Schließlich stand der gesamte Unternehmensauftritt nach außen inklusive Werbung (Newsletter und Einladungen zu Veranstaltungen etc.) auf der Agenda. Von großem Interesse war es bereits vor dem 25.05.2018, die Kontakte von Unternehmen zu „retten“. Die Befürchtung war groß, dass die DSGVO dazu führen würde, dass Unternehmen einen Großteil ihrer Kontakte löschen müss-ten oder jedenfalls nicht wie bisher für Werbezwecke nutzen könnten. Es folgten Wellen von „Einwilligungs-E-Mails“. Unabhängig davon, dass es bereits erhebliche Zweifel gab, inwiefern jene E-Mails den gewünschten Rechtszustand herbeiführen konnten, gab es ein viel überzeugenderes Argument dagegen: Die Quote der auf solche E-Mails Einwilligenden lag so gut wie nie über 5%. Was sollte sodann mit den anderen 95% der Kontakte passieren? Die Erfahrung zeigte, dass Unternehmen, die die Rechtmäßigkeit der Verarbeitung ihrer bestehenden Kontakte gewissenhaft unter Zugrundelegung anderer Rechtfertigungstatbestände als der Einwilligung prüften, eine weitaus höhere Quote erreicht haben. Schließlich musste für die Zeit ab dem 25.05.2018 insbesondere der Bereich E-Mail-Werbung rechtmäßig ausgestaltet werden. Soweit es um Anmeldungen zu Veranstaltungen oder Newsletter über die firmeneigene Website ging, war die Umsetzung einschließlich der notwendigen Informationspflichten relativ einfach. Vor weitaus größeren Herausforderungen standen Unternehmen, wenn die Datenerfassung beispielsweise über die klassische Visitenkarte erfolgt. Jedenfalls ist die Übergabe einer Visitenkarte nicht zwangsläufig mit einer konkludenten Einwilligung, zukünftig Werbung erhalten zu wollen, gleichzusetzen. Die Lösungen sind vielschichtig und reichen bis hin zur Erfassung der Visitenkarte über ein Tablet nebst entsprechend direkt bei Übergabe der Visitenkarte (etwa im Rahmen einer Messe) erfolgter elektronischer Einwilligung.
Sodann mussten Auftragsverarbeitungsverträge auch aufgrund ihrer Außenwirkung überarbeitet und angepasst werden. Überdies musste jede Zusammenarbeit mit einem Dritten mit Bezug zur Verarbeitung von Daten überprüft werden. Die Erfahrung zeigt, dass kaum ein Unternehmen ernsthaft von sich behaupten kann, man setze keine Auftragsverarbeiter ein. Nur beispielhaft seien hier externe IT-Services oder Daten- und Aktenvernichtungsservices genannt.
In einem zweiten Schritt fokussierten sich viele Unternehmen oftmals auf interne Prozesse und Abläufe. Hier spielten insbesondere Themen wie die Ermittlung der richtigen Rechtsgrundlage für verschiedene Datenverarbeitungsprozesse, das Erstellen von Datenschutzfolgeabschätzungen, der Abschluss von Betriebsvereinbarungen als Rechtfertigung für die Verarbeitung von Arbeitnehmerdaten sowie die Entwicklung von internen Strukturen zur Dokumentierung, Einhaltung von Speicher- und Löschfristen oder Meldung von Datenpannen eine Rolle. Insbesondere klare Regelungen bezüglich der Verantwortlichkeiten in der Vorbereitungs-, aber auch in der Umsetzungsphase mussten im Unternehmen oft erst etabliert werden. Ebenfalls spielten in diesem Kontext die Erstellung von internen Richtlinien und Handlungsanweisungen sowie interne Schulungen von Mitarbeitern eine große Rolle.

Fazit
Insgesamt ist das Bewusstsein für den Datenschutz ­gestiegen. Das kann als großer Erfolg angesehen werden, sollte jedoch nicht darüber hinwegtäuschen, dass es noch ein weiter Weg bis hin zur Rechtssicherheit ist. Die Interpretation der DSGVO variiert bisweilen in einigen Bereichen stark. Ziel muss eine einheitliche Praxis sein, die sich nur durch konkrete Hilfestellungen und Aussagen der Datenschutzbehörden, aber letztlich auch gerichtliche Entscheidungen entwickeln kann. Aber bei einem brandneuen Gesetz wie diesem ist dies wohl keine Überraschung. Und letztlich gilt, dass weder Landes- und Bundesbehörden noch die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK), weder der Europäische Datenschutz-ausschuss (EDSA) noch der Europäische Datenschutzbeauftragte (EDSB) die DSGVO abschließend auslegen. Die Auslegungs­hoheit obliegt auch nicht den nationalen Gerichten. ­Einzig der Europäische Gerichtshof hätte diese Kompetenz, die er niemals auch nur annähernd zu den wesentlichen Auslegungsfragen wird nutzen können. Daher wird uns auch in Zukunft die DSGVO viel Gesprächsstoff liefern.

rafael.hertz@kallan-legal.de

Lena.pannecke@kallan-legal.de