Wir blicken nun auf ein Jahr DS-GVO zurück. Hier erläutern wir die Auswirkungen in Deutschland seit Inkraftreten der Verordnung.
Ein Jahr Datenschutz-Grundverordnung (DS-GVO)
Einleitung
Vor genau einem Jahr ersetzte die EU-Datenschutz-Grundverordnung (DS-GVO) die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Bevor im Mai 2020 die EU Kommission die Evaluierung der DS-GVO vornehmen wird, wollen wir bereits das erste Jubiläum zum Anlass nehmen, das erste Jahr DS-GVO zu beleuchten und einen Ausblick auf noch zu erwartende Entwicklungen zu bieten. Als Fazit voranstellen lässt sich sicherlich, dass der Datenschutz bereits seit Inkrafttreten der DS-GVO in ganz Europa eine völlig neue Bedeutung erfährt. Die Umsetzung der neuen (und teils auch alten) Anforderungen dauert in den meisten Unternehmen aber noch an.
Auswirkungen in Deutschland
Mit Geltungswirkung der DS-GVO zum 25.05.2018 schienen zwei Gefühlsausprägungen zu dominieren: Durch Unsicherheit geprägter Aktionismus und andererseits besonnenes oder leichtfertiges Zuwarten. Mit Beginn des „DS-GVO-Hypes“ bildeten sich mit Blick auf die gesetzlich angedrohten Bußgelder der teils neuen, teils alten Anforderungen Mythen innerhalb der Wirtschaftswelt. Webseiten wurden offline genommen, Klingelschilder demontiert, Handwerker mussten Teppich- und Raummaße DS-GVO-konform verarbeiten und Gesichter in Fotoalben wurden geschwärzt. Viele Punkte haben sich zwischenzeitlich relativiert. Beispielsweise im Bereich der Personenfotografie äußerten sich Aufsichtsbehörden beschwichtigend. Mit Urteilen vom 18.6.2018 (15 W 27/18) und 8.10.2018 (15 U 110/18) hat das OLG Köln eine weitere Anwendbarkeit des KunstUrhG jedenfalls im journalistischen Bereich bejaht. Abzuwarten bleibt, ob sich diese Auffassung auch in höheren Instanzen und bundesweit durchsetzen kann. Dennoch: Das „one size fits all“ Prinzip der DS-GVO führt nach wie vor vielfach aufgrund des für unverhältnismäßig hoch erachteten Bürokratie- und Dokumentationsaufwand zu viel Kritik.
Auf der anderen Seite blieben und bleiben viele Unternehmen noch weitgehend untätig. Vor dem Hintergrund, dass die Aufsichtsbehörden bisher eher selten öffentlichkeitswirksam eingeschritten waren und die große Abmahnwelle ausblieb, werden sich diese Unternehmen in ihrer Vorgehensweise vermutlich zunächst bestätigt fühlen. In Deutschland gab es bisher weniger als 100 Bußgeldbescheide, welche sich der Höhe nach ganz überwiegend eher am unteren Ende des Bußgeldrahmens bewegt haben dürften. Doch die Aufsichtsbehörden haben bereits angekündigt, nach Ablauf einer gewissen Schonfrist verstärkt von den ihnen zur Verfügung stehenden Sanktionsmitteln Gebrauch machen zu wollen. Zum Vorbild nehmen könnten sich die deutschen Datenschutzwächter die französische Datenschutzaufsichtsbehörde. Gegen Google verhängte diese Anfang 2019 bereits ein Bußgeld in Höhe von 50 Millionen Euro wegen mangelnder Transparenz bei den Informationen zur Verwendung der erhobenen Daten. Trotz der – in Absolutheit betrachtet – hohen Summe steht hierbei jedoch zu vermuten, dass es sich dabei zunächst um einen Schuss vor den Bug gehandelt haben dürfte.
Die gering ausfallenden Sanktionen deutscher Unternehmen mögen in Teilen natürlich auch der Tatsache geschuldet sein, dass zumindest in Deutschland mit dem BDSG in seiner alten Fassung regelungstechnisch bereits ein solides Datenschutzniveau gewährleistet war. Die DS-GVO hat im Vergleich zur alten Rechtslage nur wenig an den grundlegenden Datenschutzbestimmungen geändert. Vielmehr übernimmt sie die Begriffe aus der Richtlinie 95/46/EG und ergänzt sie durch neue Präzisierungen. Unternehmen, welche bereits im Vor-DS-GVO-Zeitalter an ihrer Datenschutz-Compliance arbeiteten, dürften sich insofern weitgehend entspannt zurückgelehnt haben.
Doch mit der Hoffnung, es werde auch weiterhin nur die Großen treffen, dürften die wenigen untätig abwartenden Unternehmen schon in näherer Zukunft nicht mehr gut fahren. Freilich liegt und lag der Fokus der Aufsichtsbehörden tatsächlich zunächst auf den im großen Stil personenbezogene Daten verarbeitenden Playern der Wirtschaft. Begründet liegen dürfte diese aufsichtsbehördliche Vorgehensweise neben der voran zu stellenden Überlastung der Behörden auch damit, dass mit dem Vorgehen gegen Großkonzerne das Bewusstsein der Bevölkerung für den Datenschutz weiter geschärft werden kann. Gerade Unternehmen, welche technisch und organisatorisch noch nicht nachgebessert haben, besonders sensible oder besondere Kategorien von Daten verarbeiten oder ihre Kunden über Prozesse nicht transparent informieren, sind gut beraten, die Zurückhaltung der Behörden nicht fehl zu interpretieren.
Denn festzustellen ist aus der Beraterperspektive bereits jetzt, dass betroffene Personen kritischer geworden sind. Dies zeigt schon die hohe Zahl von geltend gemachten Betroffenenrechten, insbesondere in Form von Auskunftsansprüchen und dem Recht auf Löschung, wobei insbesondere das Löschen von Daten viele Unternehmen vor praktische Probleme in der Umsetzung stellt. Neben dem starken öffentlichen Fokus auf das Thema Datenschutz mag die Erhöhte Sensibilität der Betroffenen auch daran liegen, dass Unternehmen sich mittlerweile transparenter zeigen (müssen), was im Nebeneffekt zu kritischen Rückfragen der betroffenen Personen führt. So zeigt sich, dass Verbraucher auch den Weg zu den Aufsichtsbehörden nicht scheuen, insbesondere wenn geltend gemachte Betroffenenansprüche aus ihrer Sicht nicht zufriedenstellend erfüllt wurden.
Handreichungen der Behörden und Unterstützung durch Berater
Auch „ein Jahr danach“ herrscht noch vielfach Rechtsunsicherheit bei der praktischen Umsetzung der Vorgaben aus der DS-GVO und dem neuen BDSG. Aufsichtsbehörden werden daher auch künftig gefordert sein, Unternehmen weitere Hilfestellung zu geben. Zur Unterstützung haben sich die Aufsichtsbehörden zwar bereits mit einer großen Zahl an Publikationen hervorgetan. Was den Detailgrad der Handreichungen und auch die erforderliche Abstimmung der europäischen Behörden untereinander angeht, besteht, jedenfalls aus unserer Sicht, noch Potential zur Verbesserung. Um bei der hohen Zahl von (sich teils widersprechenden) Guidelines, Leitfäden, sonstigen Angaben der Behörden und Urteilen nicht den Überblick zu verlieren und selbige richtig einordnen zu können, sind viele Unternehmen auf externe Beratung angewiesen. Berater können den Unternehmen dabei helfen, Widersprüche zu erkennen und mit Auslegung zu schließende Lücken der zur Verfügung stehenden Texte einzuordnen, um somit eine weitgehend rechtssichere Umsetzung der gestellten Anforderungen zu gewährleisten.
Wichtigstes Ziel der Datenschutz-Grundverordnung war, Transparenz zu schaffen. Dies dürfte den meisten Unternehmen ansatzweise bereits gelungen sein. Nun gilt es, im Wege von Soforthilfemaßnahmen erstellte Datenschutzinformationen nochmals mit der technischen und organisatorischen Realität abzugleichen und den propagierten Datenschutz im Unternehmen auch tatsächlich zu leben.
Ausblick
Mit Spannung zu beobachten bleiben die Entwicklungen rund um den Gesetzgebungsprozess der e-Privacy-Verordnung. Diese dürfte auf lange Sicht im Zusammenhang mit dem Tracking von Internetnutzern mittels der Verwendung von Cookies für Klarheit sorgen. Hier bleibt zu hoffen, dass das ursprünglich für 2018 geplante Gesetz noch vor dem zweiten Jahrestag der DS-GVO verabschiedet wird.
Softwarehersteller, welche Unternehmen bei der technischen Umsetzung effizienter Löschkonzepte unterstützen können, werden sich einen klaren Wettbewerbsvorteil gegenüber der Konkurrenz erarbeiten. Abzuwarten bleiben weitere Entwicklungen aus der Rechtsprechung und Einlassungen der Datenschutzaufsichtsbehörden. Und doch werden auch in nächster Zeit – auch für uns Berater –viele Fragen offenbleiben. Gerne unterstützen wir Sie auch in Zukunft dabei, mit bestehenden Rechtsunsicherheiten umzugehen.
