DSGVO: Wo kein Kläger, da kein Richter – Domenic Ipta (Mößner & Ipta Rechtsanwälte)

Domenic Ipta ist Rechtsanwalt und Mediator bei der Kanzlei Mößner & Ipta Rechtsanwälte PartmbB. Im Interview spricht der Wirtschaftsjurist über die DSGVO und Probleme bei der Regulierung internationaler Plattformen.

Domenic Ipta
Mößner & Ipta Rechtsanwälte

Die Änderung der DSGVO hat 2018 für viel Verunsicherung in der Wirtschaft gesorgt. Waren die damaligen Ängste vor den neuen Datenschutzrichtlinien berechtigt?

Domenic Ipta: Wie bei jedem neuem Produkt, welches auf dem Markt geschmissen wird, ist die Verwirrung der Benutzer erstmals groß. Nichts anderes gilt bei dem Erlass von neuen Gesetzen oder Verordnungen. Hierbei rücken vermehrt die Aufklärungspflichten seitens des europäischen oder nationalen Gesetzgebers immer weiter in den Hintergrund. Vor allem die fehlende Bekenntnis zu einer einheitlichen Richtung und einem einheitlichen Umgang mit neuen Regelungen dienen als Zündstoff für Ängste von Bürgern und Unternehmen. Da niemand genau weiß, in welche Richtung die neue DSGVO abzielt und wie hoch der darin verkörperte Schutz sensibler Daten tatsächlich ist, wird hiermit erstmals, insbesondere gestärkt durchzunehmende und meist unqualifizierte Stimmen in den Medien und der Presse, eine Art Angstwirtschaft aufgebaut. Das Daten im Zeitalter der immer mehr zunehmenden Digitalisierung als das neue Gold anzusehen sind, dürfte mittlerweile außer Frage stehen. Aufgrund der immer ständig und schneller zunehmenden globalen Vernetzung sind einheitliche Regelungen, welche den Umgang mit (sensiblen) Daten festlegen, unabdingbar. Anderenfalls wird der Mensch zum gläsernen „Etwas“. Insofern waren und sind die Ängste derjenigen berechtigt, die ohne Grenzen mit den Daten anderer Handel getrieben haben oder immer noch treiben. Als klassisches Beispiel rücken in diesem Kontext die Social-Media-Plattformen in den Vordergrund. Deren Geschäftsmodell dient u.a. dazu, durch die gewonnen Daten, welche zur Identifikation der Nutzerin / des Nutzers herangezogen werden, diese / diesem mit gezielter und personalisierter Werbung zu überfluten. Hierbei sind die Werbemaßnahmen so gut auf das jeweilige Individuum abgestimmt worden, dass dieses in aller Regel sofort bereit sein dürfte ein Produkt unabhängig von ihrem / seinem tatsächlichen Bedürfnissen kaufen zu wollen. Dies geschieht mit cleveren Algorithmen, welche im Hintergrund ablaufen, ohne dass die Betroffene / der Betroffene hiervon Kenntnis erlangt. Was vielen nicht bewusst ist, ist die Tatsache, dass eine Anmeldung bei diesen Plattformen in der Regel zwar „kostenlos“ ist, die Benutzerin / der Benutzer jedoch mit ihren/seinen Daten, welche ein Vielfaches an Gegenwert aufweisen, hierfür bezahlt. Das die jeweilige Benutzerin / der jeweilige Benutzer nunmehr ein Interesse daran hat, zu wissen, was genau mit ihren / seinen Daten passiert, ist insofern als zeitgemäßes Grundrecht eines jeden Einzelnen einzustufen.

Des Weiteren waren die Ängste vor der neuen Datenschutzrichtlinie zudem begründet, als dass es einen enormen bürokratischen Mehraufwand mit sich gebracht hatte. Unternehmen mussten demzufolge interne Datenschutzkonzepte ausarbeiten und ihre Mitarbeiter dahingehend schulen und fortbilden. Ferner mussten Auftragsdatenverarbeitungsverträge abgeschlossen werden und ausgekugelte Löschungs- und Sicherheitskonzepte installiert werden. Metaphorisch ausgedrückt lässt eine Bank Ihre Goldbarren auch nicht frei im Raum stehen, sondern verschließt diese hinter dicken Tresorwänden.

Gibt es viele Fälle wegen Verstößen gegen die DSGVO?

Domenic Ipta: Wie auch mit vergleichbaren Rechtsverstößen greift der Grundsatz „wo kein Kläger, da kein Richter“. Verstöße gegen die geltenden Datenschutzvorschriften gibt es unzählige, jedoch blieb die große Abmahnwelle derweilen aus. Dies liegt zum einem daran, dass eine großzügige Umsetzungsfrist in der Richtlinie eingeräumt wurde und insofern gut beratende Unternehmen frühzeitig sich auf die neuen Regelungen einstellen konnten. Des Weiteren sind die Datenschutzbehörden derzeit eher zurückhaltend mit der Verhängung von Bußgeldern. Dies mag spekulativ an den nicht vorhandenen Kapazitäten, insbesondere in Form von Personalmangel liegen. Aber auch eine nicht vorhandene gefestigte Rechtsprechung lässt auf ein zurückhaltendes Vorgehen der Behörden schließen.

Was sind im Alltag die wichtigsten datenschutzrechtlichen Regelungen?

Domenic Ipta: Die wohl wichtigste Grundregel ist Transparenz. Transparenz in Hinblick darauf, dass eine lückenlose Aufklärung erfolgt. Insoweit sind Angaben, zu welchen Zwecken die gespeicherten Daten tatsächlich verwendet werden, wo und wie lange diese gespeichert werden und ob die Daten in ein Drittland übertragen werden, unabdingbar! Nur infolge einer vollumfänglichen Aufklärung kann der betroffene Nutzer seine freiwillige Einwilligung für einen entsprechenden Datenverarbeitungsvorgang erteilen. Nichts anderes ist in der Medizin schon seit Jahren der Fall. Vor einer aufwändigen Operation muss der Patient über alle Risiken ausführlich aufgeklärt werden. Nichts anderes soll nun auch durch die DSGVO erreicht werden.

Mit der Umsetzung der EU-Datenschutz-Grundverordnung (DS-GVO) Ende 2019 wurden die nationalen Regelungen des Bundesdatenschutzgesetzes (BDSG) aufgehoben. Gibt es Änderungen, die für Unternehmen von Relevanz sind?

Domenic Ipta: Die Fragestellung ist insoweit zu konkretisieren, dass mit dem Erlass der DSGVO das BDSG in keiner Weise aufgehoben worden ist. Das BDSG wurde im Zuge der DSGVO lediglich reformiert, sodass beide Regelungen nebeneinanderstehen. Dies ist insofern wichtig, da der europäische Gesetzgeber aufgrund von sogenannten Öffnungs- und Konkretisierungsklauseln innerhalb der DSGVO den jeweiligen Mitgliedsstaaten einen eigenen Entscheidungsspielraum eingeräumt hat. Klauseln dieser Art finden sich z.B. in Art. 85 DSGVO für die Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit, für die Verarbeitung von personenbezogenen Daten im Beschäftigungskontext in Art. 88 DSGVO und für die Benennung eines Datenschutzbeauftragten in Art. 37 Abs. 4 S.1 2. Hs. DSGVO.

Um in diesem Kontext nur ein Beispiel zu nennen, hat die Bundesrepublik Deutschland die Kriterien für eine Benennung des Datenschutzbeauftragten verschärft geregelt. Insofern ist dieser bereits erforderlich, soweit in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen sind, vgl. § 38 Abs. 1 Satz 1 2. Hs. BDSG. Zu beachten ist, dass die Anzahl der beschäftigten Personen von zehn auf zwanzig aufgrund des zweites Datenschutz- Anpassungs- und Umsetzungsgesetz EU 2. DSAnpUG-EU vom 20.09.2019 angehoben wurde. Dies sollte in erster Linie zur Entlastung von kleineren bis mittleren Unternehmen führen.

Zusammenfassend ist es daher von großer Wichtigkeit, dass Unternehmen die aktuelle Rechtslage im Auge behalten oder sich rechtlich beraten lassen. Infolgedessen können Abmahnungen, Wettbewerbsverstöße oder drohenden Bußgelder rechtzeitig vermieden werden.

Die strengeren datenschutzrechtlichen Vorgaben zielten eigentlich auf die großen US-Anbieter. Wurde das Ziel eines besseren Umgangs mit personenbezogenen Daten erreicht?

Domenic Ipta: Politisch betrachtet dürfte auch diese Fragestellung nicht allzu laut geäußert werden. Es gibt großartige amerikanische Unternehmen, die seit jeher einen großen Wert auf Datenschutz legen. Zu nennen sei insbesondere das Unternehmen „Apple Inc.“, welches die Privatsphäre seiner Endabnehmer respektiert und vermehrt versucht zu schützen. Aber die viel spannendere Frage dürfte sein, ob die DSGVO überhaupt in Drittländern Anwendung findet. Dies lässt sich anhand des räumlichen Anwendungsbereichs der Richtlinie festlegen. Der räumliche Anwendungsbereich wird in Art. 3 DSGVO legal definiert. Insofern muss die Verarbeitung personenbezogener Daten im Rahmen einer Tätigkeit einer Niederlassung in der EU erfolgen. Wenn also zum Beispiel die US-amerikanische Firma ein Büro in Europa anmietet und dort Mitarbeiter beschäftigt, die mit Computern arbeiten, fällt die Verarbeitung von Daten unter die DSGVO. Das Gleiche gilt für Waren und Dienstleistungen, die in der EU angeboten werden, auch wenn das Unternehmen im nichteuropäischen Ausland sitzt. Letztendlich gilt die DSGVO auch für Niederlassungen, die nicht in Europa, aber aufgrund von völkerrechtlichen Bestimmungen dem Recht eines EU- Mitgliedsstaates unterliegen. Dies wären zum Beispiel Konsulate oder diplomatische Vertretungen. Zusammenfassend wurde anhand der DSGVO versucht sämtliche Fallkonstellationen, welche den Umgang mit Daten betreffen, aufzufangen und entsprechend zu regeln.

Gerade für den Fall der Übermittlung von Daten in ein Drittland sehen Art. 44 ff. DSGVO zusätzliche Anforderungen vor. In diesem Kontext dürfte vielen das EU-US Privacy Shield ein Begriff sein. Dieses wurde seitens des EuGH mit Urteil vom 16.07.2020 (Az.: C-311/18) gekippt. Ebenfalls wie beim Vorgänger Abkommen, dem Safe Harbour Abkommen, ist hierbei immer eine Abwägung zwischen den Grundrechten (Persönlichkeitsrecht und Recht auf informationelle Selbstbestimmung) und dem wirtschaftlichen Interesse (Handel mit Daten) zu treffen. In der oben genannten Entscheidung argumenteierte der EuGH, dass das EU-US Privacy Shield kein „angemessenes Datenschutzniveau“ im Sinne der Art. 45 ff. DSGVO darstellt. Begründet wurde dies damit, dass US-Behörden zu viele Rechte besitzen, um anlasslos Daten von EU-Bürgern abzugreifen, zu überwachen und auszuwerten. Eine Rechtfertigung seitens der US-Behörden bedarf es in der Regel nicht. Dies stellt nach der Ansicht des EuGH einen zu starken Grundrechtseingriff in den Wesensgehalt dar und sei insofern nicht zu billigen.

Grundsätzlich kommt als „angemessenes Datenschutzniveau“ im Sinne des Art. 45 DSGVO drei Varianten in Betracht:

1. SCC (standard contractual clauses): spezielle Vertragsklauseln zwischen datenex- und datenimportierendem Unternehmen, die aufgrund eines Beschlusses der EU-Kommission zur Verfügung gestellt wurden und die soweit sie im Wesentlichen unverändert übernommen werden (Art. 46 Abs. 2 lit. d) DSGVO);

2. BCR (binding corporate rules): unternehmensinterne Regelungen, die den Umgang mit personenbezogenen Daten betreffen und die ein entsprechendes Genehmigungsverfahren durchlaufen haben (Art. 47 DSGVO);

3. CoC (codes of conduct): Abkommen zwischen EU und Amerika (z.B. Safe Harbour; EU-US- Privacy-Shield).

Abzuwarten bleibt daher, wie politisch auf die Entscheidung des EuGH reagiert wird. Bereits jetzt werden mehrere Alternativen diskutiert. Zum einem könnte der Grundrechtsstandard in Amerika, entsprechend dem europäischen Grundrechts- und Datenschutzstandard, nach oben gesetzt werden. Dies würde jedoch mit einer Beschneidung der Rechte der amerikanischen Behörden und Überwachungsdienste einhergehen. Zum anderen könnte der Grundrechtsstandard in Europa auf das amerikanische Niveau herabgesetzt werden. Die mit der DSGVO verfolgten Zwecke und Ziele würden demnach als reine Wunschvorstellung in die Geschichte eingehen. Als letztes könnten die Daten zudem auch in Europa verbleiben.

Ferner wird diskutiert, ob nicht auf ein Instrument, welches die DSGVO ausdrücklich vorzieht, zurückgegriffen werden kann. Die EINWILLIGUNG. Gem. Art. 49 Abs. 1 Satz 1 lit. a) DSGVO kann die Einwilligung des Betroffenen zur Übertragung von Daten in ein Drittland eingeholt werden. Hierbei ist jedoch, wie bereits oben ausgeführt, eine genauste Aufklärung über die Zwecke der Übertragung und die damit verbundenen Risiken und Folgen einer Übermittlung erforderlich. Diese sieht unter anderen vor, dass Unternehmen darüber aufklären müssen, dass Daten unbewusst und anlasslos von US-Behörden abgefangen und ausgewertet werden können. Die Auswertung der Daten können dann dazu führen, dass ein europäischer Bürger unter Umständen beispielsweise ein Einreiseverbot nach Amerika erhält.

Aus nationaler Sicht stellt sich dann das berechtigte Folgeproblem, ob eine Einwilligung in einen rechtsfreien Raum überhaupt rechtliche möglich ist. Auch diese Frage muss vorerst unbeantwortet bleiben.

Wie Sie also sehen sind noch viele Fragen ungeklärt. Um auf Ihre Frage zurückzukommen, ist derzeit grundsätzlich kein besserer Umgang mit personenbezogenen Daten zwischen der EU und Amerika erreicht worden. Ob Amerika diesbezüglich einen Schritt auf Europa zugeht oder der umgekehrte Fall eintritt, bleibt abzuwarten. Nichtsdestotrotz steht aufgrund des oben genannten Urteils des EuGH fest, dass die Datenübertragung nach Amerika derzeit als rechtswidrig anzusehen ist, mit der Folge, dass dieses Verhalten durch die Datenschutzbehörden mit einem Bußgeld geahndet werden kann.

Herr Ipta, vielen Dank für das Gespräch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.