Ein Jahr DSGVO – eine Bilanz aus der Anwaltspraxis
Vor wenigen Tagen „feierte“ die DSGVO ihren ersten „Geburtstag“. Zeit, um einmal Bilanz zu ziehen über die vielfach befürchtete EU-Verordnung. Was hat sich zum Positiven, was zum Negativen entwickelt?
Gastbeitrag Heute ist die Datenschutzgrundverordnung genau ein Jahr in Kraft. Zeit, um einmal Bilanz zu ziehen über die vielfach befürchtete EU-Verordnung. Was hat sich zum Positiven, was zum Negativen entwickelt? Wie haben Unternehmen auf den Anpassungsdruck reagiert? Ist die befürchtete Abmahnwelle eingetreten? Wurden schon hohe Bußgelder verhängt? Wie reagiert die Politik auf Abmahnmissbrauch, wie auf die Beschwerden kleinerer Unternehmen? Rechtsanwalt Christian Solmecke von der Kölner Kanzlei WILDE BEUGER SOLMECKE zieht Bilanz:
„Seit einem Jahr müssen große US-Konzerne wie Kleingartenvereine dieselben EU-weiten Regeln beachten: Die Datenschutzgrundverordnung (DSGVO), die seit dem 25. Mai 2018 in der EU gilt. Sie versprach vor allem einen einheitlichen und besseren Datenschutz in der EU. Doch schon im Vorfeld hat die DSGVO für viele Diskussionen, ja sogar Panik vor allem unter kleineren Betrieben und Vereinen gesorgt. Drakonische Bußgelder und Abmahnwellen wurden befürchtet. Viele wussten überhaupt nicht, wie genau die abstrakten Regeln in ihrer beruflichen Praxis umzusetzen waren. Sie wandten sich vielfach an Anwaltskanzleien wie uns, die Leitungen liefen heiß, es gab Wartelisten. Inzwischen haben aber nicht nur unsere Mandanten, sondern auch viele anderen Unternehmen die Umstellungsprozesse weitestgehend abgeschlossen. Zwar sind auch heute noch einige Rechtsfragen ungeklärt. Dennoch gilt ein vorsichtiges Aufatmen: Die schlimmsten Befürchtungen sind nicht eingetroffen.
Pro DSGVO: Mehr Bewusstsein für Datenschutz bei Verantwortlichen und Betroffenen
Eines hat die DSGVO aus unserer Sicht in jedem Fall bewirkt: Das Bewusstsein für den Datenschutz ist immens gestiegen. Viele Unternehmen haben ihren Datenbestand „aufgeräumt“ und sich erstmals einen Überblick über ihre datenschutzrechtlich relevanten Prozesse verschafft. Es war teilweise überraschend, zu sehen, dass viele kleinere Unternehmen sich vor der DSGVO nur unzureichend mit dem Thema Datenschutz auseinandergesetzt hatten und die Anforderungen des alten Bundesdatenschutzgesetzes (BDSG a.F.) häufig nicht erfüllten. Mit der DSGVO drohten jedoch gestiegene Bußgelder – und damit stieg die Motivation, sich an die gesetzlichen Vorgaben zu halten.
Auch den Betroffenen sind ihre Rechte sehr viel mehr bewusst. Nicht nur wir, auch unsere Mandanten melden zum Beispiel einen Anstieg von Auskunfts- und Löschungsanfragen.
Contra DSGVO: (Rechts-)unsicherheit und unverhältnismäßige Belastung kleinerer Unternehmen
Auf der anderen Seite besteht immer noch eine enorme Rechtsunsicherheit in vielen Bereichen, weil das noch junge Gesetz noch von den Gerichten ausgelegt werden muss. Beispiele sind etwa das Setzen von Cookies (hier warten zudem alle gespannt auf Klarheit durch die kommende ePrivacy-Verordnung), insbesondere für das Tracking zu Analysezwecken, die Frage, ob das Anfertigen gewerblicher Fotos nun nach der DSGVO zu beurteilen ist bis hin zum Streit, ob die DSGVO überhaupt wettbewerbsrechtlich abgemahnt werden kann. Bis hier höchstrichterliche Entscheidungen des Gerichtshofs der Europäischen Union (EuGH) vorliegen, werden noch Jahre vergehen.
Bis dahin befinden sich viele Unternehmen in dem Dilemma, entweder die teils sehr strengen Ansichten der deutschen Datenschutzbehörden zu befolgen, um Bußgelder zu vermeiden, oder ein Risiko einzugehen und darauf zu hoffen, dass die Gerichte eine weniger strenge Auffassung vertreten werden. Gerade kleine und mittlere Betriebe belastet dieses Risiko mehr als größere Unternehmen, die sich langjährige Prozesse durch alle Instanzen leisten können.
Nicht nur die faktische Rechtsunsicherheit, sondern auch fehlende Beratung führte vielfach zu Verwirrung unter Unternehmern. Viele kleinere Betriebe konnten sich keinen Anwalt leisten, andere standen auf der Warteliste der Kanzleien, auch die Aufsichtsbehörden waren teils massiv überlastet. Wegen der fehlenden Aufklärung kam es zu Überschusshandlungen, tausende unnötiger Einwilligungen wurden eingeholt, teilweise die digitalen Aktivitäten gleich vollständig eingestellt.
Hier zeigt sich auch das zweite Problem der DSGVO: Sie unterscheidet eben nicht zwischen einem Kleingartenverein und Google. Daher belasten etwa die Dokumentations- und Informationspflichten kleinere Unternehmen und Vereine übermäßig. Sowohl im Hinblick auf den personellen und zeitlichen Aufwand als auch finanziell, gerade wegen des hohen Beratungsbedarfs. Großkonzerne wie Facebook und Google hingegen haben schon lange vor dem Stichtag ihre Prozesse umgestellt – sie konnten sich schließlich die optimale Beratung leisten. Generell treffen die neuen Vorgaben sie weitaus weniger hart, als von den Gesetzgebern erhofft. Etwa das neue „Recht auf Datenmitnahme“ zu anderen Anbietern verpufft ins Leere, weil es kaum eine echte Konkurrenz zu den amerikanischen sozialen Netzwerken gibt, zu denen Nutzer wechseln könnten.
Gab es eine Abmahnwelle?
Viele hatten im Vorfeld des Stichtags der Datenschutzgrundverordnung (DSGVO) eine regelrechte Abmahnwelle befürchtet. Dies hat sich nicht bewahrheitet. Ein Grund liegt vermutlich in der bereits erwähnten Rechtsunsicherheit, die ja auch für die „Gegenseite“ der abmahnenden Wettbewerber gilt.
Abmahnungen sind natürlich dennoch auf unseren Tischen gelandet. Moniert werden häufig nicht vorhandene SSL-Verschlüsselungen oder fehlerhafte Datenschutzerklärungen. Nicht alle diese Abmahnungen können jedoch als seriös bezeichnet werden. Manche sind eher dubios, offensichtlich rechtsmissbräuchlich oder es handelt sich gar um betrügerische Fake-Abmahnungen. Andere weisen zumindest bei näherem Hinsehen massive Rechtsfehler auf. Ernst zu nehmen sind Abmahnungen dennoch, denn der Laie kann seriöse Abmahnungen meist nicht von denen schwarzer Schafe unterscheiden. Daher sollte man Abmahnungen immer anwaltlich prüfen lassen.
Möglicherweise können Abgemahnte aber bald ein wenig aufatmen. Zwar ist der ursprüngliche Plan der CDU, ein Verbot von Abmahngebühren über einen Zeitraum von zwölf Monaten schon vor der Sommerpause zu etablieren, am Widerstand der SPD gescheitert. Nun hat die Regierung jedoch, wie im Koalitionsvertrag geplant, den Entwurf eines Gesetzes gegen Abmahnmissbrauch beschlossen. Sollte das Gesetz verabschiedet werden, gelten auch für DSGVO-Abmahnungen strengere Hürden.
Wurden schon viele Bußgelder verhängt?
Die DSGVO erlaubt es Datenschutzbehörden theoretisch, Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des globalen Umsatzes zu verhängen – je nachdem, welcher Betrag höher ist. Diese Zahlen haben gerade kleinere Unternehmen zittern lassen, obwohl der gestiegene Bußgeldrahmen ja primär die großen US-Datenkraken treffen sollte und die Behörden immer den Grundsatz der Verhältnismäßigkeit beachten müssen.
Deutsche Datenschutzbehörden haben zunächst etwa ein halbes Jahr gewartet, bevor sie überhaupt Bußgelder verhängt haben. Inzwischen gab es zwar einige Strafen, sie hielten sich jedoch allesamt im Rahmen. Das bislang höchste Bußgeld von 80.000 Euro wurde wegen geleakter Gesundheitsdaten aufgrund unzureichender interner Kontrollmechanismen fällig. Das deutsche soziale Netzwerk „Knuddels“ musste 20.000 Euro zahlen, weil es Nutzerdaten unverschlüsselt auf alten Servern gelagert hatte. Wegen eines fehlenden Vertrags zur Auftragsverarbeitung musste das Versandunternehmen Kolibri Image 5.000 Euro zahlen. Ähnliche Summen wurden auch in anderen Fällen bei kleineren Unternehmen fällig. Anfang des Jahres hieß es, es seien bereits 41 Bußgelder verhängt worden, die meisten in NRW. Inzwischen dürften es bereits mehr sein und es werden noch einige Sanktionen in 2019 folgen. So hat Bayern hat für 2019 das „Jahr der Kontrollen“ angekündigt, auch andere Bundesländer nehmen bereits anlasslose, unangekündigte Kontrollen vor.
Im EU-Ausland machen die Behörden schon eher vom hohen Bußgeldrahmen Gebrauch: Ein Krankenhaus in Portugal musste 400.000 Euro zahlen, weil Mitarbeiter Zugriff auf Patientendaten hatten, die nur für Ärzte bestimmt waren. Für einen ähnlichen Verstoß wurde ein französisches Optikzentrum mit 250.000 Euro sanktioniert. Und in Polen sollte der führende Anbieter von Wirtschaftsinformationen wegen Verstoßes gegen die Informationspflicht 220.000 Euro zahlen. Es ist aber gut möglich, dass die Gerichte solch hohe Strafen noch mit Blick auf die Verhältnismäßigkeit reduzieren werden.
Mit besonderer Spannung schaut man auf ein Verfahren in Frankreich. Dort sollte Google 50 Millionen Euro wegen mutmaßlicher Verstöße gegen die Informationspflichten und fehlerhafter Einwilligungen in die Datenverarbeitung zahlen. Der Konzern legte Widerspruch ein. Noch ist unklar, ob die französischen Behörden überhaupt zuständig sind oder ob nicht nur die irischen Behörden agieren dürfen, weil Google dort seinen europäischen Sitz hat. Außerdem ist unklar, ob die Gerichte der traditionell strengen Auslegung der Datenschutzbehörden folgen werden.
Sollte die DSGVO entschärft werden?
Angesichts der unverhältnismäßig hohen Belastung gerade kleinerer Unternehmen und Vereine werden derzeit Stimmen laut, die eine „Entschärfung“ der DSGVO fordern.
Sogar der Bundesdatenschutzbeauftragte zieht in seinem Bericht zu einem Jahr DSGVO in Erwägung, den bürokratischen Aufwand etwa bei den Informations- und Dokumentationspflichten zu verringern. Manche Unternehmer fordern drastischere Einschnitte wie etwa, Unternehmen mit weniger als 50.000 Datensätzen aus dem Anwendungsbereich der DSGVO herauszunehmen. Dass solche Vorstöße auf Resonanz in der Politik stoßen werden, wage ich jedoch, zu bezweifeln. Realistischer klingt es, eine Art „Schonfrist“ für kleine Unternehmen zu etablieren, sodass bei einem ersten Verstoß erst eine bußgeldfreie Ermahnung der Aufsichtsbehörden folgen soll.
Ob und welche Änderungen die DSGVO erfahren wird, könnte sich im nächsten Jahr zeigen. Im Mai 2020 legt die EU-Kommission dem Europäischen Parlament einen ersten Bericht zur Evaluation der DSGVO vor. Dann könnte die Kommission Änderungen vorschlagen.“